Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando planifique la implementación de Microsoft Sentinel, normalmente querrá conocer sus modelos de precios y facturación para optimizar sus costos. Los datos de análisis de seguridad de Microsoft Sentinel se almacenan en un área de trabajo de Log Analytics de Azure Monitor. La facturación se basa en el volumen de datos analizados en Microsoft Sentinel y almacenados en el área de trabajo de Log Analytics. El costo de ambos se combina en un plan de tarifa simplificado. Obtenga más información sobre los planes de tarifa simplificados u obtenga más información sobre los precios de Microsoft Sentinel en general.
Para ayudar a calcular los costos esperados de Microsoft Sentinel, póngase en contacto con un especialista en ventas de seguridad para obtener más información sobre los precios o para solicitar una cotización.
Los costos de Microsoft Sentinel son solo una parte de los costos mensuales de la factura de Azure. Aunque en este artículo se explica cómo planear los costos y entender la facturación de Microsoft Sentinel, se le facturan todos los servicios y recursos de Azure que use su suscripción de Azure, incluidos los servicios de asociado.
Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Evaluación gratuita
Habilite Microsoft Sentinel en un área de trabajo de Log Analytics de Azure Monitor y los primeros 10 GB/día ingeridos con el plan de registros de Analytics serán gratuitos durante 31 días. El costo de la ingestión de datos de Log Analytics y los cargos por análisis de Microsoft Sentinel, hasta el límite de 10 GB/día, se eximen por el período de prueba de 31 días. Esta evaluación gratuita está sujeta a un límite de 20 áreas de trabajo por inquilino de Azure.
Consulte la página de precios de Microsoft Sentinel para obtener información sobre cómo se cobra el uso más allá de estos límites. Los cargos relacionados con funcionalidades adicionales para la automatización y llevar su propio aprendizaje automático siguen siendo aplicables durante la evaluación gratuita, así como cualquier cargo relacionado con el lago de datos de Microsoft Sentinel.
Durante la evaluación gratuita, busque recursos para la administración de costos, el entrenamiento y mucho más en la pestaña Noticias y guías > Evaluación gratuita de Microsoft Sentinel en Azure Portal. En esta pestaña también se muestran detalles sobre las fechas de la evaluación gratuita y el número de días que quedan hasta que expire la evaluación.
Descripción del modelo de facturación completo de Microsoft Sentinel
Microsoft Sentinel ofrece un modelo de precios flexible y predecible. Para obtener más información, vea la página de precios de Microsoft Sentinel. Las áreas de trabajo anteriores a julio de 2023 podrían tener cargos de área de trabajo de Log Analytics independientes de Microsoft Sentinel en un plan de tarifa clásico. Para ver los cargos de Log Analytics relacionados, consulte los precios de Log Analytics de Azure Monitor.
Microsoft Sentinel se ejecuta en infraestructura de Azure que acumula costos cuando se implementan recursos nuevos. Es importante entender que podrían generarse otros costos de infraestructura adicionales.
Cargos de Microsoft Sentinel
Los precios se basan en el nivel en el que se ingieren los datos. Para obtener más información sobre los niveles y planes, consulte Niveles de datos en Microsoft Sentinel.
Nivel de análisis
Hay dos maneras de pagar por el nivel de análisis: los niveles de pago por uso y compromiso.
Pago por uso es el modelo predeterminado, en función del volumen de datos real almacenado y opcionalmente para la retención de datos más de 90 días. El volumen de datos se mide en GB (109 bytes).
Log Analytics y Microsoft Sentinel tienen precios por nivel de compromiso, antes denominados Reservas de capacidad. Estos planes de tarifa se combinan en planes de tarifa simplificados que son más predecibles y ofrecen ahorros sustanciales en comparación con los precios de pago por uso .
Los precios del plan de compromiso comienzan a 100 GB al día. Cualquier uso por encima del nivel de compromiso se factura según la tarifa del nivel de compromiso que hayas seleccionado. Por ejemplo, un nivel de compromiso de 100 GB al día le factura por el volumen de datos confirmado de 100 GB, además de cualquier GB/día adicional a la tarifa efectiva con descuento para ese nivel. El Precio efectivo por GB es simplemente el Precio de Microsoft Sentinel dividido por la cantidad del Nivel de GB al día. Para más información, consulte Precios de Microsoft Sentinel.
Aumenta el nivel de compromiso en cualquier momento para optimizar los costos a medida que aumentas el volumen de datos. La reducción del nivel de compromiso solo se permite cada 31 días. Para ver el plan de tarifa actual de Microsoft Sentinel, seleccione Configuración en Microsoft Sentinel y luego seleccione la pestaña Precios. El plan de tarifa actual aparece marcado como Nivel actual.
Para establecer y cambiar el nivel de compromiso, consulta Establecer o cambiar el plan de tarifa. Cambie las áreas de trabajo anteriores a julio de 2023 a la experiencia simplificada de planes de tarifa para unificar los medidores de facturación. O bien, siga usando los planes de tarifa clásicos que separan los precios de Log Analytics de los precios clásicos de Microsoft Sentinel clásico. Para obtener más información, consulte Planes de tarifa simplificados.
Capa de Lago de datos
Para más información sobre el lago de datos de Microsoft Sentinel, consulte Lago de datos de Microsoft Sentinel.
La capa de lago de datos incurre en cargos basados en el uso de varias funcionalidades del lago de datos.
- La incorporación de datos al lago de datos se cobra por GB de datos ingresados en tablas, exclusivamente cuando la retención está establecida en el nivel de lago de datos. Los cargos de ingesta del lago de datos no se aplican cuando los datos se ingieren en tablas con la retención configurada para incluir tanto los niveles de análisis como de lago de datos.
- El procesamiento de datos se cobra por GB por los datos que se ingresan en tablas con la retención establecida únicamente en el nivel de lago de datos. Admite transformaciones como redacción, división, filtrado y normalización. Los cargos de procesamiento de datos no se aplican cuando los datos se introducen en tablas con retención configurada para incluir capas analíticas y de lago de datos.
- Los cargos de almacenamiento de Data Lake se aplican por GB al mes para cualquier dato que permanezca en la capa de almacenamiento después de que termine el período de retención del nivel analítico. Los cargos se basan en una tasa de compresión de datos simple y uniforme de 6:1. Por ejemplo, si conserva 600 GB de datos sin procesar, se factura como 100 GB de datos comprimidos.
- Los cargos de consulta de Data Lake se aplican por GB de datos sin comprimir analizados mediante consultas del Lenguaje de Consulta Kusto (KQL) o trabajos de KQL.
- Los cargos por información avanzadas de datos se aplican por cada hora de procesamiento computacional utilizada al emplear sesiones de notebooks de exploración del lago de datos o al ejecutar trabajos de notebooks de exploración del lago de datos. Las horas de proceso se calculan multiplicando el número de núcleos del grupo seleccionado para el notebook por el tiempo que estuvo activa una sesión o en ejecución un trabajo. Las sesiones y los trabajos del cuaderno de Data Lake están disponibles en grupos de cuatro, ocho y 16 núcleos.
Una vez integrado, el uso de las áreas de trabajo de Microsoft Sentinel comenzará a facturarse a través de los medidores descritos anteriormente, en lugar de los medidores de retención a largo plazo actual (anteriormente conocido como Archivo), búsqueda o ingesta de registros auxiliares.
Importante
Los clientes existentes de Microsoft Sentinel que actualmente utilizan y se les cobra por la ingesta de registros auxiliares, la retención a largo plazo y la búsqueda verán que los cargos pasan a la nueva ingesta de lago de datos, almacenamiento de lago de datos y mediciones de consulta de lago de datos, respectivamente, una vez que se incorporen al lago de datos de Microsoft Sentinel. Los precios de los medidores anteriores no se transfieren. Para obtener más información sobre los precios, consulte Precios de Microsoft Sentinel.
Para los clientes que no se han incorporado al lago de datos de Microsoft Sentinel y que actualmente usan registros auxiliares o básicos, consulte Administración de la retención de datos en un área de trabajo de Log Analytics y precios de Azure Monitor para obtener información relevante.
Planes de tarifa simplificados
Los planes de tarifa simplificados combinan los costos de análisis de datos para Microsoft Sentinel y los costos de almacenamiento de ingesta de Log Analytics en un único plan de tarifa. En la captura de pantalla siguiente se muestra el plan de tarifa simplificado que usan todas las áreas de trabajo nuevas.
Cambie cualquier área de trabajo configurada con planes de tarifa clásicos a los planes de tarifa simplificados. Para obtener más información sobre cómo cambiar a nuevos precios, consulte Inscribirse en un plan de tarifa simplificado.
La combinación de los planes de tarifa ofrece una simplificación de la experiencia general de facturación y administración de costos. Esto incluye la visualización en la página de precios y menos pasos que calculan los costos en la calculadora de Azure. Para agregar más valor a los nuevos niveles simplificados, la ventaja actual de Microsoft Defender para servidores P2 que concede 500 MB de ingesta de datos de seguridad en Log Analytics se amplía a los planes de tarifa simplificados. Este cambio aumenta considerablemente la ventaja financiera de incorporar los datos aptos ingeridos en Microsoft Sentinel para cada máquina virtual (VM) protegida de esta manera. Para obtener más información, vea preguntas más frecuentes sobre: ventaja de Microsoft Defender para servidores P2 que concede 500 MB.
Descripción de la factura de Microsoft Sentinel
Los medidores facturables son los componentes individuales de su servicio que aparecen en su factura y se muestran en Microsoft Cost Management. Al final del ciclo de facturación, se suman los cargos de cada medidor. La factura muestra una sección con todos los costos de Microsoft Sentinel. Hay un elemento de línea independiente para cada medidor.
Para ver la factura de Azure, seleccione Análisis de costos en el panel de navegación izquierdo de Cost Management. En la pantalla Análisis de costos, busque y seleccione Detalles de factura en Todas las vistas. Para comprender el nivel de acceso necesario para ver la información de facturación, consulte Administración del acceso a la información de facturación de Azure.
Los costos que se muestran en la siguiente imagen son solo a modo de ejemplo. No están diseñados para reflejar los costos reales. A partir del 1 de julio de 2023, los planes de tarifa heredados tienen el prefijo Clásico.
Los cargos de Microsoft Sentinel y Log Analytics pueden aparecer como elementos de línea independientes en la factura de Azure, en función del plan de precios seleccionado. Los planes de tarifa simplificados se representan como un único elemento de línea sentinel para el plan de tarifa. La ingesta y el análisis se facturan diariamente. Si el área de trabajo supera su asignación de uso del nivel de compromiso en cualquier día determinado, la factura de Azure muestra un elemento de línea para el nivel de compromiso con su coste fijo asociado y un elemento de línea independiente para el coste más allá del nivel de compromiso, facturado con la misma tarifa de nivel de compromiso efectiva.
En la tabla siguiente se muestra cómo aparecen los costos de Microsoft Sentinel en las columnas Nombre de servicio y Medidor de la factura de Azure en función de su plan de tarifa simplificado.
Si se te factura según la tarifa del nivel de compromiso simplificado, en esta tabla se muestra cómo aparecen los costos de Microsoft Sentinel en las columnas Nombre de servicio y Medidor de la factura de Azure.
| Descripción del costo | Nombre del servicio | Medidor |
|---|---|---|
| Nivel de compromiso de Microsoft Sentinel | Sentinel |
Nivel de compromiso de n GB |
| Uso por encima del límite de nivel de compromiso de Microsoft Sentinel | Sentinel |
Análisis |
Vea cómo puede consultar y descargar su factura de Azure.
Costos y precios de otros servicios
Microsoft Sentinel se integra con muchos otros servicios de Azure, como Azure Logic Apps, Azure Notebooks y BYOML (traiga sus propios modelos de aprendizaje automático). Algunos de estos servicios pueden tener cargos adicionales. Algunos de los conectores de datos y las soluciones de Microsoft Sentinel usan Azure Functions para la ingesta de datos, que también tiene un costo asociado independiente.
Consulte la información de precios de estos servicios:
Cualquier otro servicio que use podría tener costes asociados.
Costos de retención de datos interactivos y totales
Después de habilitar Microsoft Sentinel en un área de trabajo de Log Analytics, tenga en cuenta estas opciones de configuración:
- Retención de todos los datos ingeridos en el área de trabajo sin cargo adicional durante los primeros 90 días. La retención de datos más allá de 90 días se cobra según los precios estándar de retención de Log Analytics.
- Especifique los diferentes valores de retención para tipos de datos individuales. Consulte información sobre la retención por tipo de datos.
- Amplíe la retención de datos con una retención completa para acceder a los registros históricos. El lago de datos de Microsoft Sentinel es un estado de retención de bajo costo para la conservación de datos para elementos como el cumplimiento normativo. Se cobra en función del volumen de datos almacenados y analizados. Use tablas de administración de > datos para ajustar el período de retención total y análisis y obtenga más información en ¿Qué es el lago de datos de Microsoft Sentinel?.
- Cambie las tablas que contienen datos de seguridad secundarios a capa de lago. Esto le permite almacenar registros de alto volumen y de bajo valor a un precio bajo, con funcionalidades de consulta integradas. Use Administración de datos > Tablas para cambiar las tablas de Analytics a la capa de lago.
Otros costos de ingesta de CEF
CEF es un formato de eventos de Syslog compatible en Microsoft Sentinel. Use CEF para traer información de seguridad valiosa de una serie de orígenes al área de trabajo de Microsoft Sentinel. Los registros CEF se colocan en la tabla CommonSecurityLog de Microsoft Sentinel, que incluye todos los campos CEF estándar actualizados.
Muchos dispositivos y orígenes de datos permiten registrar campos más allá del esquema CEF estándar. Estos campos adicionales llegan a la tabla AdditionalExtensions. Estos campos podrían tener volúmenes de ingesta más altos que los campos CEF estándar, ya que el contenido del evento dentro de estos campos puede ser variable.
Costos que pueden generarse tras eliminar un recurso
Al quitar Microsoft Sentinel no se elimina el área de trabajo de Log Analytics en la que se ha implementado Microsoft Sentinel ni los posibles cargos independientes que pudiera generar esa área de trabajo.
Orígenes de datos gratuitos
Los siguientes orígenes de datos son gratuitos con Microsoft Sentinel:
- Registros de actividad de Azure
- Salud de Microsoft Sentinel
- Registros de auditoría de Office 365, incluida toda la actividad de SharePoint, la actividad de administrador de Exchange y Teams
- Alertas de seguridad, incluidas las alertas de los orígenes siguientes:
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender para Office 365
- Microsoft Defender for Identity
- Microsoft Defender para aplicaciones en la nube
- Microsoft Defender para punto de conexión
- Alertas de los orígenes siguientes:
- Microsoft Defender for Cloud
- Microsoft Defender para aplicaciones en la nube
Aunque las alertas son gratuitas, se pagan los registros sin procesar de algunos tipos de datos de Microsoft Defender XDR, Defender for Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID y Azure Information Protection (AIP).
En la tabla siguiente se enumeran los orígenes de datos de Microsoft Sentinel y Log Analytics que no se cobran. Para obtener más información, consulte Tablas excluidas.
| Conector de datos de Microsoft Sentinel | Tipo de datos gratis |
|---|---|
| Actividad de Azure | AzureActivity |
| Supervisión del estado de Microsoft Sentinel1 | SentinelHealth |
| Protección de Microsoft Entra ID | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Intercambio) | |
| OfficeActivity (Teams) | |
| Microsoft Defender for Cloud | SecurityAlert (Azure Security Center) |
| Microsoft Defender para IoT | SecurityAlert (Azure Security Center para IoT) |
| Microsoft Defender XDR | Incidente de Seguridad |
| Alerta de Seguridad | |
| Microsoft Defender para punto de conexión | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender para aplicaciones en la nube | SecurityAlert (MCAS) |
| Microsoft Defender para Office 365 (versión preliminar) | SecurityAlert (OATP) |
1Para obtener más información, consulte auditoría y supervisión de estado de Microsoft Sentinel.
En el caso de los conectores de datos que incluyen tipos de datos gratuitos y de pago, seleccione los tipos de datos que desea habilitar.
Consulte más información sobre cómo conectar orígenes de datos, incluidos orígenes de datos gratuitos y de pago.
Más información
- Supervisión de los costos de Microsoft Sentinel
- Reducción de los costos de Microsoft Sentinel
- Obtenga información sobre cómo optimizar su inversión en la nube con Microsoft Cost Management.
- Obtenga información sobre cómo administrar los costos con los análisis de costos.
- Obtenga información sobre cómo evitar los costos inesperados.
- Haga el curso de aprendizaje guiado sobre Cost Management.
- Para más sugerencias sobre cómo reducir el volumen de datos de Log Analytics, consulte Procedimientos recomendados de Azure Monitor: Administración de costos.
Pasos siguientes
En este artículo, ha aprendido a planear los costos y a comprender la facturación de Microsoft Sentinel.