Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais em sua fatura do Azure. Embora este artigo explique como reduzir os custos do Microsoft Sentinel, você receberá cobranças por todos os serviços e recursos do Azure usados na sua assinatura Azure, incluindo serviços de parceiros.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior segurança.
Definir ou alterar o tipo de preço
Para otimizar a maior economia, monitore seu volume de ingestão para garantir que você tenha o nível de compromisso que mais se alinha aos seus padrões de volume de ingestão. Considere aumentar ou diminuir sua camada de compromisso para se alinhar com a alteração de volumes de dados.
Você pode aumentar o nível de compromisso a qualquer momento, o que reinicia o período de compromisso de 31 dias. No entanto, para voltar para o pagamento conforme o uso ou para um nível de compromisso mais baixo, você deve esperar até que o período de compromisso de 31 dias seja concluído. A cobrança com base nas camadas de compromisso é diária.
Para ver o tipo de preço atual do Microsoft Sentinel, selecione Configurações no painel de navegação à esquerda do Microsoft Sentinel e escolha a guia Preços. O seu tipo de preço atual está marcado como Camada atual.
Para alterar o compromisso do tipo de preço, selecione uma das outras camadas na página de preços e escolha Aplicar. Para alterar o tipo de preço, você precisa ter a função de Colaborador ou Proprietário no workspace do Microsoft Sentinel.
Para saber mais sobre como monitorar seus custos, consulte Gerenciar e monitorar custos do Microsoft Sentinel.
Para workspaces que ainda usam tipos de preço clássicos, os tipos de preço do Microsoft Sentinel não incluem encargos do Log Analytics. Para obter mais informações, consulte Camadas de preços simplificados.
Comprar um plano de compra antecipada
Economize nos custos da camada de análise do Microsoft Sentinel ao comprar previamente as CUs (unidades de confirmação) do Microsoft Sentinel. Use as CUs compradas antecipadamente a qualquer momento durante a vigência da compra de um ano.
Todos os custos qualificados do Microsoft Sentinel são primeiro deduzidos automaticamente das CUs compradas antecipadamente. Você não precisa reimplantar nem atribuir um plano comprado antecipadamente aos workspaces do seu Microsoft Sentinel para uso da CU para obter os descontos da compra antecipada.
Para obter mais informações, confira Otimizar os custos do Microsoft Sentinel com um plano de compra antecipada.
Separar os dados que não sejam de segurança em um workspace diferente
O Microsoft Sentinel analisa todos os dados ingeridos nos workspaces do Log Analytics habilitados para o Microsoft Sentinel. É melhor ter um workspace separado para dados de operações que não sejam de segurança, para garantir que eles não incorram em custos do Microsoft Sentinel.
Usar o data lake do Microsoft Sentinel para dados de segurança secundários ou de menor fidelidade
Embora a camada de análise seja mais apropriada para detecção contínua de ameaças em tempo real, o data lake do Microsoft Sentinel é adequado para consulta e análise de dados de segurança secundários que não são necessários para detecção de ameaças em tempo real. O Data Lake do Microsoft Sentinel oferece ingestão e armazenamento com um custo significativamente reduzido. Para obter mais informações, confira Preços do Microsoft Azure Sentinel.
Otimizar os custos do Log Analytics com clusters dedicados
Se você ingerir pelo menos 100 GB no seu workspace do Microsoft Sentinel ou workspaces na mesma região, considere mover para um cluster dedicado de Análise de Logs para diminuir os custos. Um nível de compromisso de cluster dedicado do Log Analytics agrega o volume de dados entre workspaces que ingerem coletivamente um total de 100 GB ou mais. Para obter mais informações, consulte Camada de preços simplificada para cluster dedicado.
Você pode adicionar vários workspaces do Microsoft Sentinel a um cluster dedicado do Log Analytics. Há algumas vantagens de usar um cluster dedicado do Log Analytics para o Microsoft Sentinel:
As consultas entre workspaces são executadas mais rapidamente se todos os workspaces envolvidos na consulta estiverem no cluster dedicado. Ainda é melhor ter o menor número de workspaces possível em seu ambiente, e um cluster dedicado ainda retém o limite de 100 workspaces para inclusão em cada consulta entre workspaces.
Todos os workspaces no cluster dedicado podem compartilhar a camada de compromisso do Log Analytics definida no cluster. Não precisar se comprometer com camadas de compromisso separadas do Log Analytics para cada workspace pode permitir economia de custos e eficiências. Ao habilitar um cluster dedicado, você se compromete com um nível mínimo de compromisso do Log Analytics de 100 GB de ingestão por dia.
Aqui estão algumas outras considerações para mudar para um cluster dedicado a fim de otimizar custos:
- O número máximo de clusters ativos por região e assinatura é dois.
- Todos os workspaces vinculados a um cluster precisam estar na mesma região.
- O máximo de workspaces vinculados a um cluster é 1000.
- Você pode desvincular um workspace do cluster. O número de operações de vinculação de workspace específico é limitado a duas em um período de 30 dias.
- Não é possível mover um workspace existente para um cluster CMK (chave gerenciada pelo cliente). Você precisa criar o workspace no cluster.
- No momento, não há suporte para mover o cluster para outro grupo de recursos ou assinatura.
- Um link de workspace para um cluster falhará se esse workspace estiver vinculado a outro cluster.
Para obter mais informações sobre clusters dedicados, confira clusters dedicados do Log Analytics.
Reduzir os custos de retenção de dados com retenção total
O Microsoft Sentinel retém dados da camada de análise por padrão nos primeiros 90 dias na retenção de análise. À medida que os dados envelhecem, ele perde seu valor para análise e investigação em tempo real. Os usuários do SOC (Centro de Operações de Segurança) podem não acessar dados mais antigos com frequência, mas ainda desejam acessar os dados para investigações históricas mais amplas ou para fins de auditoria. Para ajudá-lo a reduzir os custos de retenção de dados do Microsoft Sentinel, a retenção total está disponível. Os dados que saem do seu período de retenção para análise ainda podem ser retidos, a um custo muito reduzido, e acessados usando capacidades de exploração do data lake. Para obter mais informações, consulte Exploração do Lake, consultas KQL.
Use Tabelas de gerenciamento de dados> para ajustar o período de retenção de Análise e Total.
Usar regras de coleta de dados para Eventos de Segurança do Windows
O conector de Eventos de Segurança do Windows permite que você transmita eventos de segurança de qualquer computador que esteja executando o Windows Server conectado ao seu workspace do Microsoft Sentinel, incluindo servidores físicos, virtuais ou locais, ou em qualquer nuvem. Este conector inclui suporte para o agente do Azure Monitor, que usa regras de coleta de dados para definir os dados a serem coletados de cada agente.
As regras de coleta de dados permitem que você gerencie as configurações de coleta em escala e, ao mesmo tempo, permite configurações exclusivas com escopo para subconjuntos de computadores. Confira Configurar a coleta de dados para o agente do Azure Monitor para saber mais.
Além dos conjuntos predefinidos de eventos que você pode selecionar para ingerir, como "Todos os eventos", "Mínimo" ou "Comum", as regras de coleta de dados permitem criar filtros personalizados e selecionar eventos específicos a serem ingeridos. O Agente do Azure Monitor usa essas regras para filtrar os dados na origem e, em seguida, ingerir apenas os eventos selecionados, deixando todo o resto para trás. A seleção de eventos específicos para ingestão pode ajudar a otimizar custos e a economizar mais.
Próximas etapas
- Saiba como otimizar seus investimentos na nuvem com o Gerenciamento de Custos da Microsoft.
- Saiba mais sobre como gerenciar custos com a análise de custos.
- Saiba mais sobre como evitar custos inesperados.
- Faça o curso de aprendizado orientado de Gerenciamento de Custos.
- Para obter mais dicas sobre como reduzir o volume de dados do Log Analytics, confira Práticas recomendadas do Azure Monitor – Gerenciamento de custos.
- Para entender mais sobre o Data Lake do Microsoft Sentinel, consulte o data lake do Microsoft Sentinel.
- Para integrar ao data lake do Microsoft Sentinel, consulte Integrar dados ao data lake do Microsoft Sentinel.