Partager via

Réduction des coûts pour Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Les coûts pour Microsoft Sentinel ne représentent qu’une partie des coûts mensuels sur votre facture Azure. Cet article explique comment réduire les coûts pour Microsoft Sentinel. Tous les services et ressources Azure utilisés par votre abonnement Azure, dont les services partenaires, vous sont toutefois facturés.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.

À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez Il est temps de passer à autre chose : mise hors service du portail Azure de Microsoft Sentinel pour une sécurité accrue.

Définir ou modifier le niveau tarifaire

Pour optimiser les économies les plus élevées, surveillez votre volume d’ingestion pour vous assurer que vous disposez du niveau d’engagement qui s’aligne le plus étroitement sur vos modèles de volume d’ingestion. Envisagez d’augmenter ou de diminuer votre niveau d’engagement pour s’aligner sur la modification des volumes de données.

Vous pouvez augmenter votre niveau d’engagement à tout moment, ce qui redémarre la période d’engagement de 31 jours. Toutefois, pour revenir au paiement à l’utilisation ou à un niveau d’engagement inférieur, vous devez attendre jusqu’à la fin de la période d’engagement de 31 jours. La facturation des niveaux d’engagement est quotidienne.

Pour afficher votre niveau tarifaire Microsoft Sentinel actuel, sélectionnez Paramètres dans le volet de navigation gauche de Microsoft Sentinel, puis sélectionnez l’onglet Tarification . Votre niveau tarifaire actuel est marqué niveau actuel.

Pour modifier votre engagement de niveau tarifaire, sélectionnez l’un des autres niveaux dans la page de tarification, puis sélectionnez Appliquer. Vous devez disposer du contributeur ou du propriétaire de l’espace de travail Microsoft Sentinel pour modifier le niveau tarifaire.

Capture d’écran de la page de tarification dans les paramètres Microsoft Sentinel, avec paiement à l’utilisation sélectionné comme niveau tarifaire actuel.

Pour en savoir plus sur la surveillance de vos coûts, consultez Gérer et surveiller les coûts pour Microsoft Sentinel.

Pour les espaces de travail qui utilisent toujours des niveaux tarifaires classiques, les niveaux tarifaires de Microsoft Sentinel n’incluent pas de frais Log Analytics. Pour plus d’informations, consultez niveaux tarifaires simplifiés.

Acheter un plan de pré-achat

Économisez sur vos coûts de niveau d'analyse Microsoft Sentinel en préachetant des unités d'engagement Microsoft Sentinel (UC). Vous pouvez utiliser les unités de validation pré-achetées à tout moment pendant la période d’achat d’un an.

Les coûts Microsoft Sentinel éligibles sont déduits automatiquement en premier des unités de validation pré-achetées. Vous n’avez pas besoin de redéployer ou d’affecter un plan pré-acheté à vos espaces de travail Microsoft Sentinel pour que l’utilisation des unités de validation bénéficie des remises des pré-achats.

Pour plus d’informations, consultez Optimiser les coûts de Microsoft Sentinel avec un plan de pré-achat.

Séparer les données non relatives à la sécurité dans un espace de travail différent

Microsoft Sentinel analyse toutes les données ingérées dans les espaces de travail Log Analytics avec Microsoft Sentinel. Il est préférable de disposer d’un espace de travail distinct pour les données d’opérations non liées à la sécurité, afin de s’assurer qu’elles n’entraînent pas de coûts de Microsoft Sentinel.

Utiliser le lac de données Microsoft Sentinel pour les données de sécurité de moindre fidélité ou secondaires

Bien que le niveau d’analytique soit le plus approprié pour la détection continue et en temps réel des menaces, le lac de données Microsoft Sentinel est adapté aux requêtes et à l’analyse des données de sécurité secondaires qui n’est pas nécessaire pour la détection des menaces en temps réel. Le lac de données Microsoft Sentinel offre une ingestion et un stockage à un coût nettement réduit. Pour plus d’informations, consultez tarification de Microsoft Sentinel.

Optimiser les coûts de Log Analytics à l’aide de clusters dédiés

Si vous ingérez au moins 100 Go/jour dans votre espace de travail Microsoft Sentinel ou dans des espaces de travail de la même région, envisagez de passer à un cluster dédié Log Analytics pour réduire les coûts. Un niveau d’engagement de cluster dédié Log Analytics agrège le volume de données entre les espaces de travail qui ingèrent collectivement un total de 100 Go ou plus. Pour plus d’informations, consultez le niveau tarifaire simplifié pour le cluster dédié.

Vous pouvez ajouter plusieurs espaces de travail Microsoft Sentinel à un cluster dédié Log Analytics. L’utilisation d’un cluster dédié Log Analytics pour Microsoft Sentinel présente deux avantages :

  • Les requêtes interespaces de travail s’exécutent plus rapidement si tous les espaces de travail impliqués dans la requête se trouvent dans le cluster dédié. Il est encore préférable d’avoir aussi peu d’espaces de travail que possible dans votre environnement, et un cluster dédié conserve toujours la limite de 100 espaces de travail pour l’inclusion dans une requête inter-espaces de travail unique.

  • Tous les espaces de travail du cluster dédié peuvent partager le niveau d’engagement Log Analytics défini sur le cluster. Il n’est pas nécessaire de s’engager dans des niveaux d’engagement Log Analytics distincts pour chaque espace de travail, ce qui permet d’économiser des coûts et d’améliorer l’efficacité. En activant un cluster dédié, vous vous commitez sur un niveau d’engagement Log Analytics minimal de 100 Go d’ingestion par jour.

Voici d’autres considérations à prendre en compte pour passer à un cluster dédié afin d’optimiser les coûts :

  • Le nombre maximum de clusters par région et par abonnement est de deux.
  • Tous les espaces de travail liés à un cluster doivent se trouver dans la même région.
  • Le nombre maximal d’espaces de travail liés à un cluster est de 1000.
  • Vous pouvez dissocier un espace de travail lié à votre cluster. Le nombre d’opérations de liaison sur un espace de travail particulier est limité à 2 par période de 30 jours.
  • Vous ne pouvez pas déplacer un espace de travail existant vers un cluster avec clé gérée par le client (CMK). Vous devez créer l’espace de travail dans le cluster.
  • Le déplacement d’un cluster vers un autre groupe de ressources ou un autre abonnement n’est pas pris en charge actuellement.
  • Un lien d’espace de travail vers un cluster échoue si l’espace de travail est lié à un autre cluster.

Pour plus d’informations sur les clusters dédiés, consultez Clusters dédiés Log Analytics.

Réduire les coûts de rétention des données avec la rétention totale

Microsoft Sentinel conserve par défaut les données d’analyse pendant les 90 premiers jours dans la rétention analytique. À mesure que les données vieillint, elles perdent sa valeur pour l’analytique et l’investigation en temps réel. Les utilisateurs du Centre d’opérations de sécurité (SOC) peuvent ne pas accéder aux données plus anciennes aussi fréquemment, mais souhaitent toujours accéder aux données à des fins d’historique ou d’audit plus larges. Pour vous aider à réduire les coûts de rétention des données Microsoft Sentinel, la rétention totale est disponible. Les données qui sortent de leur état de rétention analytique peuvent toujours être conservées, à un coût considérablement réduit, et accessibles à l'aide de fonctionnalités d'exploration de data lake. Pour plus d’informations, consultez exploration des lacs, requêtes KQL.

Utilisez les tables de gestion des > données pour ajuster la période de rétention analytique et totale.

Utiliser les règles de collecte de données pour vos événements de sécurité Windows

Le connecteur Événements de sécurité Windows vous permet de diffuser en continu des événements de sécurité à partir d’un ordinateur exécutant Windows Server connecté à votre espace de travail Microsoft Sentinel, y compris les serveurs physiques, virtuels ou locaux, ou dans n’importe quel cloud. Ce connecteur prend en charge l’agent Azure Monitor, qui utilise des règles de collecte de données pour définir les données à collecter auprès de chaque agent.

Les règles de collecte de données vous permettent de gérer les paramètres de collecte à grande échelle, tout en continuant d’autoriser des configurations uniques, délimitées pour les sous-ensembles de machines. Pour plus d’informations, consultez Configurer la collecte de données pour l’agent Azure Monitor.

En plus des ensembles d’événements prédéfinis que vous pouvez sélectionner pour l’ingestion, tels que Tous les événements, Minimal ou Courant, les règles de collecte de données vous permettent de créer des filtres personnalisés et de sélectionner des événements spécifiques à ingérer. L’agent Azure Monitor utilise ces règles pour filtrer les données à la source, puis ingérer uniquement les événements que vous avez sélectionnés tout en laissant les autres données de côté. La sélection d’événements spécifiques à ingérer peut vous aider à optimiser vos coûts et à faire plus d’économies.

Étapes suivantes

  • Last updated on