Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie Ihre Microsoft Sentinel-Bereitstellung planen, wollen Sie normalerweise die Preis- und Abrechnungsmodelle verstehen, um Ihre Kosten zu optimieren. Die Sicherheitsanalysedaten von Microsoft Sentinel werden in einem Azure Monitor Log Analytics-Arbeitsbereich gespeichert. Die Abrechnung basiert auf dem Volumen der Daten, die in Microsoft Sentinel analysiert und im Log Analytics-Arbeitsbereich gespeichert werden. Die Kosten für beide werden in einem vereinfachten Tarif kombiniert. Erfahren Sie mehr über die vereinfachten Tarife, oder erfahren Sie mehr über die Microsoft Sentinel-Preise im Allgemeinen.
Um Ihre erwarteten Kosten für Microsoft Sentinel zu schätzen, wenden Sie sich an einen Sicherheitsvertriebsspezialisten , um weitere Informationen zu Preisen zu erhalten oder ein Angebot anzufordern.
Kosten für Microsoft Sentinel stellen nur einen Teil der monatlichen Kosten Ihrer Azure-Rechnung dar. Zwar werden in diesem Artikel das Planen der Kosten und die Abrechnung für Microsoft Sentinel erläutert, aber Ihnen werden alle Azure-Dienste und -Ressourcen in Rechnung gestellt, die im Rahmen Ihres Azure-Abonnements verwendet werden, einschließlich Diensten von Partnern.
Dieser Artikel gehört zum Bereitstellungsleitfaden für Microsoft Sentinel.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Kostenlose Testversion
Aktivieren Sie Microsoft Sentinel in einem Azure Monitor Log Analytics-Arbeitsbereich, und die ersten 10 GB/Tag, die mit dem Analytics-Protokollplan aufgenommen werden, sind 31 Tage lang kostenlos. Die Kosten für die Datenaufnahme bei Log Analytics und die Analysegebühren von Microsoft Sentinel werden bis zum Limit von 10 GB/Tag während des 31-tägigen Testzeitraums erlassen. Diese kostenlose Testversion unterliegt einem Grenzwert von maximal 20 Arbeitsbereichen pro Azure-Mandant.
Informationen dazu, wie die Nutzung über diese Grenzwerte hinaus berechnet wird, finden Sie auf der Microsoft Sentinel-Preisseite . Gebühren im Zusammenhang mit zusätzlichen Funktionen für die Automatisierung und zum Mitbringen Ihres eigenen maschinellen Lernens gelten weiterhin während der kostenlosen Testversion und alle microsoft Sentinel-Datensee-bezogenen Gebühren.
Suchen Sie während Ihrer kostenlosen Testversion Ressourcen für Kostenverwaltung, Schulung und mehr auf der Registerkarte "Kostenlose Testversion" > in Microsoft Sentinel im Azure-Portal. Auf dieser Registerkarte werden auch Details zu den Datumsangaben Ihrer kostenlosen Testversion und zu der Anzahl der Tage angezeigt, die Sie bis zum Ablauf der Testversion noch haben.
Grundlegendes zum vollständigen Abrechnungsmodell für Microsoft Sentinel
Microsoft Sentinel bietet ein flexibles und berechenbares Preismodell. Weitere Informationen finden Sie auf der Seite Microsoft Sentinel – Preise. Für Arbeitsbereiche, die älter als Juli 2023 sind, können die Gebühren für den Log Analytics-Arbeitsbereich von denen für Microsoft Sentinel in einem klassischen Tarif getrennt sein. Die zugehörigen Log Analytics-Gebühren finden Sie unter Azure Monitor Log Analytics – Preise.
Microsoft Sentinel wird in Azure-Infrastruktur ausgeführt, für die Kosten anfallen, sobald Sie neue Ressourcen bereitstellen. Es ist wichtig zu verstehen, dass möglicherweise andere zusätzliche Infrastrukturkosten anfallen.
Rechnungsstellung für Microsoft Sentinel
Die Preise basieren auf der Ebene, in die die Daten aufgenommen werden. Weitere Informationen zu Ebenen und Plänen finden Sie unter "Datenebenen" in Microsoft Sentinel.
Analyseebene
Es gibt zwei Möglichkeiten, die Analyseebene zu bezahlen: Pay-as-you-go und Verpflichtungsstufen.
Pay-as-you-go ist das Standardmodell, das auf dem tatsächlichen Datenvolumen basiert, das gespeichert wird, und optional bietet es die Möglichkeit zur Datenaufbewahrung über 90 Tage hinaus. Das Datenvolumen wird in GB (109 Bytes) gemessen.
Log Analytics und Microsoft Sentinel haben Verpflichtungsstufenpreisgestaltung, früher als Kapazitätsreservierungen bezeichnet. Diese Preisniveaus werden in vereinfachte Preisstufen kombiniert, die vorhersehbarer sind und erhebliche Einsparungen im Vergleich zu pay-as-you-go-Preisen bieten.
Die Preisgestaltung der Verpflichtungsstufe beginnt bei 100 GB pro Tag. Sämtliche Nutzung, die über die Mindestabnahme hinausgeht, wird mit dem von Ihnen für die Mindestabnahme gewählten Satz in Rechnung gestellt. Beispiel: Eine Verpflichtungsstufe von 100 GB pro Tag berechnet Sie für das zugesicherte Datenvolumen von 100 GB sowie alle zusätzlichen GB/Tag mit dem ermäßigten Effektivsatz für diese Stufe. Tatsächlicher Preis pro GB ist einfach der Microsoft Sentinel-Preis geteilt durch die GB-pro-Tag-Menge des Tarifs. Weitere Informationen finden Sie unter Preise für Microsoft Sentinel.
Sie können Ihre Mindestabnahme jederzeit erhöhen, um die Kosten zu optimieren, wenn Ihr Datenvolumen zunimmt. Eine Verringerung der Mindestabnahme ist nur alle 31 Tage zulässig. Um Ihren aktuellen Microsoft Sentinel-Tarif einzusehen, wählen Sie in Microsoft Sentinel Einstellungen und dann die Registerkarte Preise aus. Ihr aktueller Tarif ist als Aktueller Tarif markiert.
Informationen zum Festlegen und Ändern Ihrer Mindestabnahme finden Sie unter Festlegen oder Ändern des Tarifs. Stellen Sie alle Arbeitsbereiche, die älter als Juli 2023 sind, auf die vereinfachte Preisstufenerfahrung um, um die Berechnung der Gebühren zu vereinheitlichen. Oder verwenden Sie weiterhin die klassischen Preisstufen, die die Log Analytics-Preise von den klassischen Microsoft Sentinel-Preisen trennen. Weitere Informationen finden Sie unter vereinfachte Tarife.
Data Lake-Ebene
Weitere Informationen zum Microsoft Sentinel-Datensee finden Sie im Microsoft Sentinel-Datensee.
Die Data Lake-Schicht verursacht Gebühren auf Grundlage der Nutzung verschiedener Data Lake-Funktionen.
- Data Lake-Erfassung wird pro GB für alle Daten berechnet, die in Tabellen erfasst werden, wobei die Aufbewahrung nur auf die Data Lake-Ebene festgelegt ist. Datenaufnahmekosten für den Data Lake fallen nicht an, wenn Daten in Tabellen aufgenommen werden, deren Aufbewahrungsrichtlinie sowohl Analyse- als auch Data-Lake-Ebenen umfasst.
- Die Datenverarbeitung wird pro GB für Daten berechnet, die in Tabellen aufgenommen werden, deren Aufbewahrung nur auf die Ebene des Datensees eingestellt ist. Es unterstützt Transformationen wie Redaction, Splitting, Filterung und Normalisierung. Datenverarbeitungsgebühren fallen nicht an, wenn Daten in Tabellen aufgenommen werden, deren Aufbewahrung so eingestellt ist, dass sie sowohl Analyse- als auch Data-Lake-Ebenen umfasst.
- Datensee-Speichergebühren werden pro GB pro Monat für alle Daten angewendet, die nach Ablauf des Aufbewahrungszeitraums der Analyseebene in der Datenseeebene verbleiben. Gebühren basieren auf einer einfachen und einheitlichen Datenkomprimierungsrate von 6:1. Wenn Sie beispielsweise 600 GB Rohdaten beibehalten, wird sie als 100 GB komprimierte Daten in Rechnung gestellt.
- Datensee-Abfragegebühren gelten pro GB von nicht komprimierten Daten, die mithilfe von Kusto Query Language (KQL)-Abfragen oder KQL-Aufträgen analysiert wurden.
- Gebühren für erweiterte Datenerkenntnisse gelten pro Berechnungsstunde, die bei der Nutzung von Data-Lake-Explorer-Notebooksitzungen oder der Ausführung von Data-Lake-Explorer-Notizbuchaufträgen anfallen. Die Rechenstunden werden berechnet, indem die Anzahl der Kerne des für das Notizbuch ausgewählten Pools mit der Zeit multipliziert wird, in der eine Sitzung aktiv war oder ein Auftrag ausgeführt wurde. Data Lake-Notebook-Sitzungen und -Aufträge sind in Pools mit 4, 8 und 16 Kernen verfügbar.
Nach dem Onboarding wird die Nutzung von Microsoft Sentinel-Arbeitsbereichen über die zuvor beschriebenen Verbrauchseinheiten abgerechnet und nicht mehr über die bestehenden Verbrauchseinheiten für Langzeitaufbewahrung (früher als „Archivierung” bezeichnet), Suche oder Erfassung von Zusatzprotokollen.
Wichtig
Bestehende Microsoft Sentinel-Kunden, die derzeit Hilfsprotokolle aufnehmen, langfristig aufbewahren und durchsuchen, werden den Wechsel zu den neuen Datensee-Erfassungs-, Datensee-Speicher- und Datensee-Abfragezählern sehen, sobald sie in den Microsoft Sentinel-Datensee eingeführt werden. Tarife aus vorherigen Zählern werden nicht übernommen. Weitere Informationen zum Preis finden Sie unter Microsoft Sentinel-Preise.
Kunden, die kein Onboarding für den Microsoft Sentinel-Data Lake durchgeführt haben und derzeit Zusatz- oder Basisprotokolle verwenden, finden relevante Informationen unter Verwalten der Datenaufbewahrung in einem Log Analytics-Arbeitsbereich und Azure Monitor-Preise.
Vereinfachte Tarife
Vereinfachte Tarife kombinieren die Kosten für die Datenanalyse für Microsoft Sentinel und die Log Analytics-Speicherkosten für die Erfassung in einem einzigen Tarif. Der folgende Screenshot zeigt den vereinfachten Tarif, den alle neuen Arbeitsbereiche verwenden werden.
Stelle Sie alle Arbeitsbereiche, die mit klassischen Tarifen konfiguriert sind, auf die vereinfachten Tarife um. Weitere Informationen zum Wechseln zu neuen Preisen finden Sie unter Registrieren für einen vereinfachten Tarif.
Die Kombination der Preisniveaus bietet eine Vereinfachung der gesamten Abrechnungs- und Kostenverwaltungserfahrung. Dazu gehört die Visualisierung auf der Preisseite und weniger Schritte zur Schätzung der Kosten im Azure-Rechner. Um den neuen vereinfachten Tarifen einen zusätzlichen Wert zu verleihen, wurde der aktuelle Microsoft Defender for Servers P2-Nutzen mit einer Gewährleistung von 500 MB für die Erfassung von Sicherheitsdaten in Log Analytics auf die vereinfachten Tarife erweitert. Diese Änderung erhöht den finanziellen Nutzen erheblich, wenn berechtigte Daten für jede auf diese Weise geschützte VM in Microsoft Sentinel erfasst werden. Weitere Informationen finden Sie unter Häufig gestellte Fragen (Microsoft Defender for Servers P2 – 500 MB-Vorteil).
Grundlegendes zur Microsoft Sentinel-Rechnung
Abrechenbare Verbrauchseinheiten sind die einzelnen Komponenten Ihres Diensts, die auf Ihrer Rechnung erscheinen und im Microsoft Cost Management angezeigt werden. Am Ende Ihres Abrechnungszeitraums werden die Gebühren für die einzelnen Verbrauchseinheiten summiert. Ihre Rechnung enthält einen Abschnitt für alle Microsoft Sentinel-Kosten an. Für jede Verbrauchseinheit besteht ein separates Zeilenelement.
Um Ihre Azure-Rechnung einzusehen, wählen Sie im linken Navigationsbereich von Cost Management die Option Kostenanalyse aus. Suchen Sie auf dem Bildschirm Kostenanalyse die Rechnungsdetails aus allen Ansichten, und wählen Sie sie aus. Informationen zur Zugriffsstufe, die zum Anzeigen von Abrechnungsinformationen erforderlich ist, finden Sie unter Verwalten des Zugriffs auf Abrechnungsinformationen für Azure.
Die in der folgenden Abbildung gezeigten Kosten dienen nur als Beispiel. Sie sollen keine tatsächlichen Kosten widerspiegeln. Ab dem 1. Juli 2023 wird den Legacy-Tarifen das Präfix Klassisch vorangestellt.
Microsoft Sentinel- und Log Analytics-Gebühren können auf Ihrer Azure-Rechnung basierend auf Ihrem ausgewählten Tarif als separate Posten ausgewiesen werden. Vereinfachte Tarife werden als einzelne sentinel-Position für den Tarif dargestellt. Erfassung und Analyse werden auf Tagesbasis abgerechnet. Wenn Ihr Arbeitsbereich an einem bestimmten Tag die ihm zugewiesene Mindestabnahme überschreitet, weist die Azure-Rechnung einen Einzelposten für die Mindestabnahme mit den zugehörigen Fixkosten und einen separaten Einzelposten für die über die Mindestabnahme hinausgehenden Kosten aus, der zum gleichen effektiven Mindestabnahmesatz abgerechnet wird.
Die folgenden Registerkarten zeigen, wie Microsoft Sentinel-Kosten in den Spalten Dienstname und Verbrauchseinheit Ihrer Azure-Rechnung in Abhängigkeit Ihres vereinfachten Tarifs ausgewiesen werden.
Wenn Ihnen die Kosten gemäß dem vereinfachten Mindestabnahmesatz in Rechnung gestellt werden, zeigt die folgende Tabelle, wie Microsoft Sentinel-Kosten in den Spalten Dienstname und Verbrauchseinheit Ihrer Azure-Rechnung ausgewiesen werden.
| Kostenbeschreibung | Dienstname | Zähler |
|---|---|---|
| Microsoft Sentinel-Mindestabnahme | Sentinel |
n GB-Prepaidtarif |
| Überschreitung der Microsoft Sentinel-Mindestabnahme | Sentinel |
Analyse |
Erfahren Sie, wie Sie Ihre Azure-Rechnung anzeigen und herunterladen.
Kosten und Preise für andere Dienstleistungen
Microsoft Sentinel lässt sich in viele andere Azure-Dienste integrieren, darunter Azure Logic Apps, Azure Notebooks und Verwenden von eigenen maschinelles Lernen (BYOML)-Modelle. Für einige dieser Dienste fallen möglicherweise zusätzliche Gebühren an. Einige der Datenconnectors und -lösungen von Microsoft Sentinel verwenden für die Datenerfassung Azure Functions, wodurch ebenfalls gesonderte Kosten anfallen.
Informieren Sie sich über die Preise für diese Dienste:
- Azure Logic Apps – Preise
- Azure Machine Learning – Preise
- Machine Learning Studio (Classic) – Preise
- Azure Functions – Preise
Für alle anderen Dienste, die Sie nutzen, können Kosten anfallen.
Interaktive und gesamte Datenaufbewahrungskosten
Nachdem Sie Microsoft Sentinel in einem Log Analytics-Arbeitsbereich aktiviert haben, sollten Sie die folgenden Konfigurationsoptionen betrachten:
- Bewahren Sie alle Daten, die in den Arbeitsbereich erfasst wurden, in den ersten 90 Tagen kostenlos auf. Eine Aufbewahrung über 90 Tage hinaus wird gemäß den standardmäßigen Log Analytics-Aufbewahrungspreisen in Rechnung gestellt.
- Geben Sie unterschiedliche Aufbewahrungseinstellungen für einzelne Datentypen an. Erfahren Sie mehr über die Aufbewahrung nach Datentyp.
- Verlängern Sie die Datenaufbewahrung mithilfe einer vollständigen Aufbewahrung, um Zugriff auf historische Protokolle zu erhalten. Der Microsoft Sentinel-Datensee ist ein kostengünstiger Aufbewahrungszustand für die Erhaltung von Daten für solche Dinge wie die Einhaltung gesetzlicher Vorschriften. Es wird basierend auf der gespeicherten und überprüften Datenmenge in Rechnung gestellt. Verwenden Sie Datenverwaltungstabellen>, um den Analyse- und Gesamtaufbewahrungszeitraum anzupassen, und erfahren Sie mehr unter Was ist Microsoft Sentinel Data Lake?.
- Wechseln Sie Tabellen, die sekundäre Sicherheitsdaten enthalten, auf die Lake-Ebene. Auf diese Weise können Sie Protokolle mit hohem Volumen und geringem Wert zu einem niedrigen Preis speichern, und zwar mit integrierten Abfragefunktionen. Verwenden Sie Datenverwaltungstabellen>, um Tabellen von Der Analyse- zur Lake-Ebene zu wechseln.
Andere CEF-Erfassungskosten
CEF ist ein unterstütztes Syslog-Ereignisformat in Microsoft Sentinel. Verwenden Sie CEF, um wertvolle Sicherheitsinformationen aus verschiedenen Quellen in Ihren Microsoft Sentinel-Arbeitsbereich einzubringen. CEF-Protokolle werden in die Tabelle „CommonSecurityLog“ in Microsoft Sentinel gesammelt, die alle standardmäßigen aktuellen CEF-Felder enthält.
Viele Geräte und Datenquellen unterstützen Protokollierungsfelder jenseits des standardmäßigen CEF-Schemas. Diese zusätzlichen Felder werden in der Tabelle AdditionalExtensions angezeigt. Diese Felder können höhere Erfassungsvolumen als die CEF-Standardfelder haben, da der Ereignisinhalt in diesen Feldern variabel sein kann.
Nach dem Löschen von Ressourcen möglicherweise anfallende Kosten
Durch das Entfernen von Microsoft Sentinel werden weder der Log Analytics-Arbeitsbereich, in dem Microsoft Sentinel bereitgestellt wurde, noch etwaige separate Gebühren entfernt, die für diesen Arbeitsbereich anfallen könnten.
Kostenlose Datenquellen
Die folgenden Datenquellen lassen sich kostenlos mit Microsoft Sentinel nutzen:
- Azure-Aktivitätsprotokolle
- Microsoft Sentinel-Integrität
- Office 365-Überwachungsprotokolle, einschließlich aller SharePoint-Aktivitäten, Exchange-Administratoraktivitäten und Teams
- Sicherheitswarnungen, einschließlich Warnungen aus den folgenden Quellen:
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender für Office 365
- Microsoft Defender for Identity
- Microsoft Defender für Cloud-Apps
- Microsoft Defender für den Endpunkt
- Warnungen aus den folgenden Quellen:
- Microsoft Defender for Cloud
- Microsoft Defender für Cloud-Apps
Warnungen sind kostenlos, aber Rohdatenprotokolle für einige Datentypen von Microsoft Defender XDR, Defender for Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID und Azure Information Protection (AIP) sind kostenpflichtig.
Die folgende Tabelle führt die Datenquellen in Microsoft Sentinel und Log Analytics auf, die nicht in Rechnung gestellt werden. Weitere Informationen finden Sie unter ausgeschlossene Tabellen.
| Microsoft Sentinel-Datenconnector | Freier Datentyp |
|---|---|
| Azure-Aktivität | AzureActivity |
| Systemüberwachung für Microsoft Sentinel1 | SentinelHealth |
| Microsoft Entra ID Protection | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| Büroaktivität (Teams) | |
| Microsoft Defender für Cloud | SecurityAlert (Azure Security Center) |
| Microsoft Defender für IoT | SecurityAlert (Azure Security Center für IoT) |
| Microsoft Defender XDR | Sicherheitsvorfall |
| Sicherheitswarnung | |
| Microsoft Defender für Endpunkte | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender für Cloud-Apps | SecurityAlert (MCAS) |
| Microsoft Defender für Office 365 (Vorschau) | SecurityAlert (OATP) |
1Weitere Informationen finden Sie unter Überwachung und Integritätsüberwachung für Microsoft Sentinel.
Für Datenconnectors, die sowohl kostenlose als auch kostenpflichtige Datentypen enthalten, wählen Sie aus, welche Datentypen Sie aktivieren möchten.
Erfahren Sie mehr darüber, wie Sie Datenquellen verbinden, einschließlich kostenloser und kostenpflichtiger Datenquellen.
Weitere Informationen
- Überwachen der Kosten für Microsoft Sentinel
- Reduzieren der Kosten für Microsoft Sentinel
- Erfahren Sie, wie Sie Ihre Cloudinvestitionen mit Microsoft Cost Management optimieren.
- Erfahren Sie mehr über die Verwaltung von Kosten mit der Kostenanalyse.
- Erfahren Sie, wie Sie unerwartete Kosten vermeiden.
- Nehmen Sie an dem angeleiteten Kurs Cost Management teil.
- Weitere Tipps zum Reduzieren des Log Analytics-Datenvolumens finden Sie unter Bewährte Azure Monitor-Methoden: Kostenverwaltung.
Nächste Schritte
In diesem Artikel haben Sie mehr über die Kostenplanung und die Abrechnung für Microsoft Sentinel erfahren.