Microsoft Sentinel のコストは、Azure で課金される月額料金の一部でしかありません。 この記事では、Microsoft Sentinel のコストを削減する方法について説明しますが、パートナーのサービスを含め、課金は、Azure サブスクリプションで使用されるすべての Azure サービスとリソースに対して行われます。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
価格レベルを設定または変更します
最大の節約を最適化するには、インジェストボリュームを監視して、インジェストボリュームパターンに最も近いコミットメントレベルがあることを確認します。 データ ボリュームの変化に合わせて、コミットメント レベルを増減することを検討してください。
コミットメント レベルはいつでも増やすことができます。この場合、31 日間のコミットメント期間が再開されます。 ただし、従量課金制またはより低いコミットメント レベルに戻すには、31 日間のコミットメント期間が終了するまで待つ必要があります。 コミットメント階層の課金は毎日行われます。
現在の Microsoft Sentinel 価格レベルを表示するには、Microsoft Sentinel の左側のナビゲーションで [設定] を選択し、[ 価格 ] タブを選択します。現在の価格レベルは現在 のレベルとしてマークされています。
価格レベルのコミットメントを変更するには、価格ページで他のレベルのいずれかを選択し、[ 適用] を選択します。 価格レベルを変更するには、Microsoft Sentinel ワークスペースの 共同作成者 または 所有者 が必要です。
コストを監視する方法の詳細については、「 Microsoft Sentinel のコストの管理と監視」を参照してください。
従来の価格レベルを引き続き使用しているワークスペースの場合、Microsoft Sentinel の価格レベルに Log Analytics 料金は含まれません。 詳細については、「 簡略化された価格レベル」を参照してください。
事前購入プランを購入する
Microsoft Sentinel コミット ユニット (CU) を事前購入すると、Microsoft Sentinel 分析レベルのコストを節約できます。 事前購入した CU は、1 年間の購入期間中いつでも使用できます。
対象となる Microsoft Sentinel のコストは、まず事前購入された CU から自動的に差し引かれます。 事前購入割引を受けるために、事前購入済みプランを CU の使用状況の Microsoft Sentinel ワークスペースに再デプロイしたり、割り当てたりする必要はありません。
詳細については、「 購入前プランを使用して Microsoft Sentinel のコストを最適化する」を参照してください。
セキュリティ以外のデータを別のワークスペースに分離する
Microsoft Sentinel により、Microsoft Sentinel が有効な Log Analytics ワークスペースに取り込まれたすべてのデータが分析されます。 セキュリティ以外の運用データ用に別のワークスペースを用意し、Microsoft Sentinel のコストが発生しないようにするのが最善です。
Microsoft Sentinel データ レイクを使用して、忠実度の低いデータまたはセカンダリ セキュリティ データを作成する
分析レベルは継続的でリアルタイムの脅威検出に最適ですが、Microsoft Sentinel Data Lake は、リアルタイムの脅威検出に必要のないセカンダリ セキュリティ データのクエリと分析に適しています。 Microsoft Sentinel Data Lake では、インジェストとストレージが大幅に削減されたコストで提供されます。 詳細については、「 Microsoft Sentinel の価格」を参照してください。
専用クラスターを使用して Log Analytics のコストを最適化する
少なくとも 100 GB を同じリージョン内の 1 つまたは複数の Microsoft Sentinel ワークスペースに取り込む場合は、コストを削減するために Log Analytics 専用クラスターへの移行を検討してください。 Log Analytics 専用クラスター コミットメントレベルは、合計 100 GB 以上をまとめて取り込むワークスペース全体のデータ ボリュームを集計します。 詳細については、 専用クラスターの簡略化された価格レベルに関する記事を参照してください。
複数の Microsoft Sentinel ワークスペースを Log Analytics 専用クラスターに追加できます。 Microsoft Sentinel に Log Analytics 専用クラスターを使用すると、次のような利点があります。
クエリに含まれるすべてのワークスペースが専用クラスター内にある場合、クロスワークスペース クエリの実行速度が向上します。 環境内のワークスペースはできるだけ少なくすることをお勧めします。専用クラスターでは、1 つのワークスペース間クエリに含めるための 100 個のワークスペース制限 が保持されます。
専用クラスター内のすべてのワークスペースは、クラスターに設定された Log Analytics コミットメントレベルを共有できます。 ワークスペースごとに個別の Log Analytics コミットメント レベルにコミットする必要がないと、コストの削減と効率が向上します。 専用クラスターを有効にすると、1 日あたり 100 GB の最小 Log Analytics コミットメント レベルにコミットできます。
コストの最適化のために専用クラスターに移行する場合の、その他の考慮事項を次に示します。
- リージョンおよびサブスクリプションごとのクラスターの最大数は 2 です。
- クラスターにリンクされているすべてのワークスペースは、同じリージョンに存在する必要があります。
- クラスターにリンクされるワークスペースの最大数は 1000 です。
- クラスターからリンクされたワークスペースのリンクを解除することができます。 特定のワークスペースでのリンク操作の回数は、30 日間に 2 回に制限されます。
- 既存のワークスペースをカスタマー マネージド キー (CMK) クラスターに移動することはできません。 クラスター内にワークスペースを作成する必要があります。
- 別のリソース グループまたはサブスクリプションへのクラスターの移動は、現時点ではサポートされていません。
- ワークスペースが別のクラスターにリンクされている場合、クラスターへのワークスペースのリンクは失敗します。
専用クラスターの詳細については、 Log Analytics 専用クラスターに関するページを参照してください。
全面的なリテンションでデータ保持コストを削減する
Microsoft Sentinel では、分析の保持期間の最初の 90 日間、既定で分析層データが保持されます。 データが古くなるにつれて、リアルタイムの分析と調査の価値が失われます。 セキュリティ オペレーション センター (SOC) ユーザーは、古いデータに頻繁にアクセスしない可能性がありますが、より広範な履歴調査や監査の目的でデータにアクセスしたいと考えています。 Microsoft Sentinel のデータ保持コストを削減するために、合計リテンション期間を利用できます。 分析の保持状態から経過したデータは、引き続き、大幅に削減されたコストで保持し、データ レイク探索機能を使用してアクセスできます。 詳細については、 Lake の探索、KQL クエリに関する説明を参照してください。
データ管理>テーブルを使用して、分析と合計保有期間を調整します。
Windows セキュリティ イベントにデータ収集ルールを使用する
Windows セキュリティ イベント コネクタを使用すると、Microsoft Sentinel ワークスペースに接続されている Windows Server を実行しているすべてのコンピューター (物理サーバー、仮想サーバー、オンプレミス サーバー、クラウドなど) からセキュリティ イベントをストリーミングできます。 このコネクタには、各エージェントから収集するデータを定義するために、データ収集ルールを使用する Azure Monitor エージェントのサポートが含まれています。
データ収集ルールにより、大規模な収集設定の管理が可能になる一方、コンピューターのサブセットの一意の範囲指定された構成も可能になります。 詳細については、「 Azure Monitor エージェントのデータ収集を構成する」を参照してください。
すべてのイベント、最小、共通など、あらかじめ定義されているイベントのセットを選択して取り込むこともできますが、データ収集ルールを使用すると、カスタム フィルターを作成して、取り込む特定のイベントを選択することができます。 Azure Monitor エージェントにより、これらのルールを使用してソースのデータがフィルター処理されてから、選択したイベントだけが取り込まれ、その他はすべて残されます。 特定のイベントを選択して取り込むと、コストを最適化し、いっそう節約するのに役立ちます。
次のステップ
- Microsoft Cost Management を使用してクラウドへの投資を最適化する方法について説明します。
- コスト分析を使用したコストの管理の詳細について説明します。
- 予期しないコストを防ぐ方法について説明します。
- Cost Management のガイド付き学習コースを受講します。
- Log Analytics データ量の削減に関するその他のヒントについては、「 Azure Monitor のベスト プラクティス - コスト管理」を参照してください。
- Microsoft Sentinel Data Lake の詳細については、 Microsoft Sentinel Data Lake に関する説明を参照してください。
- Microsoft Sentinel Data Lake にオンボードするには、「Microsoft Sentinel Data Lake へのデータのオンボード」を参照してください。