Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao planejar sua implantação do Microsoft Sentinel, você geralmente deseja entender os modelos de preços e cobrança para otimizar seus custos. Os dados da análise de segurança do Microsoft Sentinel são armazenados em um workspace do Log Analytics do Azure Monitor. A cobrança é baseada no volume de dados analisados no Microsoft Sentinel e armazenados no workspace do Log Analytics. O custo de ambos é combinado em um tipo de preço simplificado. Saiba mais sobre os tipos de preços simplificados ou saiba mais sobre os preços do Microsoft Sentinel em geral.
Para ajudar a estimar os custos esperados do Microsoft Sentinel, entre em contato com um especialista em vendas de segurança para obter mais informações sobre preços ou solicitar uma cotação.
Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais em sua fatura do Azure. Embora este artigo explique como planejar custos e entender a cobrança do Microsoft Sentinel, você receberá cobranças por todos os serviços e recursos do Azure usados na sua assinatura Azure, incluindo serviços de parceiros.
Este artigo faz parte do guia de implantação do Microsoft Sentinel.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior segurança.
Avaliação gratuita
Habilite o Microsoft Sentinel em um workspace do Azure Monitor Log Analytics e os primeiros 10 GB/dia ingeridos usando o plano de logs Analytics são gratuitos por 31 dias. O custo para a ingestão de dados do Log Analytics e os encargos de análise do Microsoft Sentinel até o limite de 10 GB/dia são dispensados durante o período de avaliação de 31 dias. Essa avaliação gratuita está sujeita a um limite de 20 workspaces por locatário do Azure.
Consulte a página de preços do Microsoft Sentinel para obter informações sobre como o uso além desses limites é cobrado. Encargos relacionados a recursos extras para automação e traga seu próprio aprendizado de máquina ainda são aplicáveis durante a avaliação gratuita e quaisquer encargos relacionados ao data lake do Microsoft Sentinel.
Durante sua avaliação gratuita, localize recursos para gerenciamento de custos, treinamento e muito mais na guia De notícias e avaliação > gratuita no Microsoft Sentinel no portal do Azure. Essa guia também exibe detalhes sobre as datas da avaliação gratuita e quantos dias faltam até a expiração da avaliação.
Entender o modelo de cobrança completo do Microsoft Sentinel
O Microsoft Sentinel oferece um modelo de preços flexível e previsível. Para obter mais informações, confira a página de preços do Microsoft Sentinel. Workspaces com mais de julho de 2023 podem ter encargos de workspace do Log Analytics separados do Microsoft Sentinel em um tipo de preço clássico. Para ver os encargos relacionados do Log Analytics, confira Preços do Log Analytics do Azure Monitor.
O Microsoft Sentinel é executado na infraestrutura do Azure que acumula custos quando você implanta um novo recurso. É importante entender que pode haver outros custos de infraestrutura adicionais acumulados.
Como você é cobrado pelo Microsoft Sentinel
O preço é baseado na camada na qual os dados são ingeridos. Para obter mais informações sobre camadas e planos, consulte camadas de dados no Microsoft Sentinel.
Camada de análise
Há duas maneiras de pagar pela camada de análise: pagamento conforme o uso e camadas por compromisso.
Pagamento conforme o uso é o modelo padrão, com base no volume de dados real armazenado e, opcionalmente, para retenção de dados além de 90 dias. O volume de dados é medido em GB (109 bytes).
O Log Analytics e o Microsoft Sentinel têm preços de camada de compromisso , anteriormente chamados de Reservas de Capacidade. Esses tipos de preços são combinados em tipos de preço simplificados que são mais previsíveis e oferecem economias substanciais em comparação com os preços de pagamento conforme o uso .
A precificação da camada de compromisso começa a partir de 100 GB por dia. Qualquer uso acima do nível de compromisso é cobrado com base na taxa de Nível de Compromisso selecionada. Por exemplo, um Nível de Compromisso igual a 100 GB por dia cobra você pelo volume de dados de 100 GB estabelecido no compromisso, além de GB/dia extra com base na taxa com desconto em vigor para esse nível. O Preço em vigor por GB é simplesmente o Preço do Microsoft Sentinel dividido pela quantidade de GB por dia do Nível. Para obter mais informações, consulte preços do Microsoft Azure Sentinel.
Aumente seu nível de compromisso a qualquer momento para otimizar os custos à medida que o seu volume de dados aumenta. A redução do nível de compromisso só é permitida a cada 31 dias. Para ver seu tipo de preços atual do Microsoft Sentinel, selecione Configurações no Microsoft Sentinel e, em seguida, selecione a guia Preços. Seu tipo de preço atual está marcado como Nível atual.
Para definir e alterar o nível de compromisso, confira Definir ou alterar o tipo de preço. Alterne os workspaces anteriores a julho de 2023 para a experiência simplificada de tipos de preços para unificar os medidores de cobrança. Ou continue usando os tipos de preço clássicos que separam os preços do Log Analytics do preço clássico do Microsoft Sentinel. Para obter mais informações, consulte tipos de preços simplificados.
Camada do data lake
Para saber mais sobre o data lake do Microsoft Sentinel, consulte o data lake do Microsoft Sentinel.
A camada data lake incorre em encargos com base no uso de várias funcionalidades do data lake.
- A ingestão no data lake é cobrada por GB para todos os dados ingeridos em tabelas cuja retenção está definida somente para a camada do data lake. As taxas de ingestão do data lake não se aplicam quando os dados são ingeridos em tabelas cuja retenção está definida para incluir as camadas analítica e do data lake.
- O processamento de dados é cobrado por GB pelos dados ingeridos em tabelas com retenção definida apenas para a camada data lake. Ele dá suporte a transformações como redação, divisão, filtragem e normalização. Os encargos de processamento de dados não se aplicam quando os dados são ingeridos em tabelas com retenção definida para incluir camadas analíticas e de data lake.
- Os encargos de armazenamento do data lake são aplicados por GB por mês para todos os dados que permanecem na camada data lake após o término do período de retenção da camada analítica. Os encargos são baseados em uma taxa de compactação de dados simples e uniforme de 6:1. Por exemplo, se você reter 600 GB de dados brutos, ele será cobrado como 100 GB de dados compactados.
- Os encargos de consulta do Data Lake se aplicam por GB de dados não compactados analisados usando consultas KQL (Linguagem de Consulta Kusto) ou trabalhos KQL.
- Os custos dos Insights de dados avançados são gerados por hora de computação usada durante as sessões de notebook de exploração do data lake ou a execução de trabalhos do notebook de exploração do data lake. As horas de computação são calculadas multiplicando o número de núcleos no pool selecionado para o notebook com o tempo em que uma sessão estava ativa ou um trabalho estava em execução. As sessões e os trabalhos do notebook do data lake estão disponíveis em pools de 4, 8 e 16 núcleos.
Após a integração, o uso de workspaces do Microsoft Sentinel começa a ser cobrado por meio dos medidores descritos acima, em vez dos medidores de retenção de longo prazo (anteriormente conhecidos como Arquivo), pesquisa ou ingestão de logs auxiliares.
Importante
Os clientes existentes do Microsoft Sentinel que atualmente usam e são cobrados pela ingestão de logs auxiliares, retenção de longo prazo e pesquisa verão as cobranças serem transferidas para os novos medidores de ingestão, armazenamento e consulta do data lake, respectivamente, assim que forem integrados ao data lake do Microsoft Sentinel. Os preços dos medidores anteriores não são transferidos. Para obter mais informações sobre preços, consulte os preços do Microsoft Sentinel.
Para clientes que ainda não se integraram ao data lake do Microsoft Sentinel e estão usando logs auxiliares ou básicos, veja Gerenciar a retenção de dados em um workspace do Log Analytics e Preços do Azure Monitor para obter informações relevantes.
Tipos de preços simplificados
Os tipos de preços simplificadas combinam os custos de análise de dados do Microsoft Sentinel e os custos do armazenamento de ingestão do Log Analytics em um único tipo de preços. A captura de tela a seguir mostra o tipo de preço simplificado que todos os novos workspaces usam.
Alterne qualquer workspace configurado com tipos de preço clássicos para os tipos de preço simplificados. Para obter mais informações sobre como Mudar para o novo preço, consulte Inscreva-se em um tipo de preço simplificado.
A combinação dos tipos de preços oferece uma simplificação para a experiência geral de cobrança e gerenciamento de custos. Isso inclui visualização na página de preços e menos etapas para estimar os custos na calculadora do Azure. Para agregar mais valor aos novos tipos simplificados, o benefício atual do Microsoft Defender para servidores P2, que concede 500 MB de ingestão de dados de segurança no Log Analytics, foi estendido aos tipos de preços simplificados. Essa alteração aumenta muito o benefício financeiro de trazer dados elegíveis ingeridos no Microsoft Sentinel para cada VM (máquina virtual) protegida dessa maneira. Para obter mais informações, consulte Perguntas frequentes : benefício do Microsoft Defender para servidores P2 que concede 500 MB.
Entender sua fatura do Microsoft Sentinel
Os medidores faturáveis são os componentes individuais do seu serviço que aparecem na sua cobrança e são mostrados no Gerenciamento de Custos da Microsoft. Ao final do período de cobrança, os preços de cada medidor serão somados. A fatura mostrará uma seção para todos os custos do Microsoft Sentinel. Há um item em linha separada para cada medidor.
Para ver sua fatura do Azure, selecione Análise de Custos no painel de navegação esquerdo de Gerenciamento de Custos. Na tela análise de custo, localize e selecione os detalhes da fatura de Todos os modos de exibição. Para entender o nível de acesso necessário para exibir informações de cobrança, consulte Gerenciar o acesso às informações de cobrança do Azure.
Os custos mostrados na imagem a seguir são apenas para fins de exemplo. Eles não têm a finalidade de refletir os custos reais. A partir de 1º de julho de 2023, os tipos de preços antigos serão prefixados como Clássico.
As cobranças do Microsoft Sentinel e do Log Analytics podem aparecer na sua fatura do Azure como itens de linha separados, com base no plano de preços selecionado. Os tipos de preço simplificados são representados como um único item de linha sentinel para o tipo de preço. A ingestão e a análise são cobradas diariamente. Se o seu workspace exceder a alocação de uso do nível de compromisso em um determinado dia, a fatura do Azure mostrará um item de linha para o nível de compromisso com o custo fixo associado e um item de linha separado para o custo além do nível de compromisso, cobrado com base na mesma taxa em vigor do nível de compromisso.
As guias a seguir mostram como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure, dependendo do seu tipo de preço simplificado.
Se você for cobrado com base na taxa simplificada do nível de compromisso, essa tabela mostrará como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure.
| Descrição do custo | Nome do serviço | Medidor |
|---|---|---|
| Nível de compromisso do Microsoft Sentinel | Sentinel |
n Nível de compromisso de GB |
| Excedente do nível de compromisso do Microsoft Sentinel | Sentinel |
Análise |
Saiba como visualizar e baixar sua fatura do Azure.
Custos e preços para outros serviços
O Microsoft Sentinel integra-se a muitos outros serviços do Azure, incluindo Aplicativos Lógicos do Azure, Azure Notebooks e traga seus próprios modelos de BYOML (aprendizado de máquina). Alguns desses serviços podem ter encargos adicionais. Alguns dos conectores de dados e soluções do Microsoft Sentinel usam o Azure Functions para ingestão de dados, o que também tem um custo associado separado.
Saiba mais sobre preços para esses serviços:
- Preços dos Aplicativos Lógicos de Automação
- Preços de notebooks
- Preços de BYOML
- Preços do Azure Functions
Qualquer outro serviço usado pode ter custos associados.
Custos de retenção de dados interativos e totais
Depois que você habilitar o Microsoft Sentinel em um workspace do Log Analytics, considere estas opções de configuração:
- Retenção gratuita de todos os dados ingeridos no espaço de trabalho durante os primeiros 90 dias. A retenção além de 90 dias é cobrada de acordo com os preços de retenção padrão do Log Analytics.
- Especifique as diferentes configurações de retenção para tipos de dados individuais. Saiba mais sobre a retenção por tipo de dados.
- Estenda a retenção de dados com retenção total para que você tenha acesso aos logs históricos. O data lake do Microsoft Sentinel é um estado de retenção de baixo custo para preservação de dados para coisas como conformidade regulatória. Ele é cobrado com base no volume de dados armazenados e verificados. Use Tabelas de Gerenciamento de Dados > para ajustar o período de retenção para Análise e Total e saiba mais em O que é o Data Lake do Microsoft Sentinel?.
- Altere as tabelas que contêm dados de segurança secundários para Camada Lake. Isso permite que você armazene logs de alto volume e baixo valor a um preço baixo, com recursos de consulta internos. Use > para mover tabelas do Analytics para a camada Lake.
Custos adicionais de ingestão de CEF
O CEF é um formato de eventos de Syslog compatível com o Microsoft Sentinel. Use o CEF para trazer valiosas informações de segurança de várias fontes para seu workspace do Microsoft Sentinel. Os logs de CEF chegam na tabela CommonSecurityLog no Microsoft Sentinel, que inclui todos os campos de CEF atualizados padrão.
Muitos dispositivos e fontes de dados dão suporte a registro em log de campos além do esquema de CEF padrão. Esses campos adicionais chegam na tabela AdditionalExtensions. Esses campos podem ter volumes de ingestão mais altos do que os campos CEF padrão, porque o conteúdo do evento dentro desses campos pode ser variável.
Custos que podem ser acumulados após a exclusão de recursos
A remoção do Microsoft Sentinel não remove o workspace do Log Analytics em que o Microsoft Sentinel foi implantado ou qualquer cobrança separada que o workspace pode estar incorrendo.
Fontes de dados gratuitas
As seguintes fontes de dados são gratuitas com o Microsoft Sentinel:
- Logs de atividade do Azure
- Integridade do Microsoft Sentinel
- Logs de Auditoria do Office 365, incluindo todas as atividades do SharePoint, as atividades de administrador do Exchange e o Teams
- Alertas de segurança, incluindo alertas das seguintes fontes:
- Microsoft Defender XDR
- Microsoft Defender para Nuvem
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade
- Microsoft Defender para Aplicativos de Nuvem
- Microsoft Defender para ponto de extremidade
- Alertas das seguintes fontes:
- Microsoft Defender para Nuvem
- Microsoft Defender para Aplicativos de Nuvem
Embora os alertas sejam gratuitos, os logs brutos de alguns tipos de dados do Microsoft Defender XDR, de aplicativos do Microsoft Defender para Nuvem/Ponto de Extremidade/Identidade/Office 365, do Microsoft Entra ID e da Proteção de Informações do Azure (AIP) são pagos.
A seguinte tabela lista as fontes de dados no Microsoft Sentinel e no Log Analytics que não são cobradas. Para obter mais informações, consulte tabelas excluídas.
| Conector de dados do Microsoft Sentinel | Tipo de dados gratuitos |
|---|---|
| Atividades do Azure | AzureActivity |
| Monitoramento de integridade para Microsoft Sentinel1 | SentinelHealth |
| Proteção do Microsoft Entra ID | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Equipes) | |
| Microsoft Defender para Nuvem | SecurityAlert (Central de Segurança do Azure) |
| Microsoft Defender para IoT | SecurityAlert (Central de Segurança do Azure para IoT) |
| Microsoft Defender XDR | Incidente de Segurança |
| Alerta de Segurança | |
| Microsoft Defender para Ponto de Extremidade | SecurityAlert (MDATP) |
| Microsoft Defender para Identidade | SecurityAlert (AATP) |
| Microsoft Defender para Aplicativos de Nuvem | SecurityAlert (MCAS) |
| Microsoft Defender para Office 365 (versão prévia) | SecurityAlert (OATP) |
1Para obter mais informações, confira Auditoria e monitoramento de integridade do Microsoft Sentinel.
Para conectores de dados que incluem tipos de dados gratuitos e pagos, selecione quais tipos de dados você deseja habilitar.
Saiba mais sobre como conectar fontes de dados, incluindo fontes de dados gratuitas e pagas.
Saiba mais
- Monitorar custos para o Microsoft Sentinel
- Reduzir custos para o Microsoft Sentinel
- Saiba como otimizar seus investimentos na nuvem com o Gerenciamento de Custos da Microsoft.
- Saiba mais sobre como gerenciar custos com a análise de custos.
- Saiba mais sobre como evitar custos inesperados.
- Faça o curso de aprendizado orientado de Gerenciamento de Custos.
- Para obter mais dicas sobre como reduzir o volume de dados do Log Analytics, confira Práticas recomendadas do Azure Monitor – Gerenciamento de custos.
Próximas etapas
Neste artigo, você aprendeu a planejar custos e entender as cobranças do Microsoft Sentinel.