Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais na sua fatura do Azure. Embora este artigo explique como reduzir os custos do Microsoft Sentinel, você será cobrado por todos os serviços e recursos do Azure que sua assinatura do Azure usa, incluindo serviços de parceiros.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Definir ou alterar o nível de preços
Para otimizar a maior poupança, monitorize o volume de ingestão para garantir que tem o nível de compromisso que mais se alinha com os seus padrões de volume de ingestão. Considere aumentar ou diminuir o seu nível de compromisso para se alinhar com as mudanças nos volumes de dados.
Pode aumentar o seu nível de compromisso a qualquer momento, o que reinicia o período de compromisso de 31 dias. No entanto, para voltar ao pay-as-you-go ou a um nível de compromisso inferior, deve esperar até ao fim do período de compromisso de 31 dias. A faturação dos níveis de compromisso ocorre diariamente.
Para ver o seu nível de preços atual do Microsoft Sentinel, selecione Configurações na navegação esquerda do Microsoft Sentinel e, em seguida, selecione a guia Preço . Seu nível de preço atual está marcado como Nível atual.
Para alterar seu compromisso de camada de preço, selecione um dos outros níveis na página de preços e selecione Aplicar. Você deve ter Colaborador ou Proprietário do espaço de trabalho do Microsoft Sentinel para alterar a camada de preço.
Para saber mais sobre como monitorar seus custos, consulte Gerenciar e monitorar custos para o Microsoft Sentinel.
Para os espaços de trabalho que ainda utilizam os níveis de preços clássicos, os níveis de preços do Microsoft Sentinel não incluem cobranças do serviço Log Analytics. Para obter mais informações, consulte Níveis de preços simplificados.
Comprar um plano de pré-compra
Poupe nos custos da camada de análise do Microsoft Sentinel ao pré-comprar unidades de compromisso (CUs) do Microsoft Sentinel. Use as UCs pré-compradas a qualquer momento durante o período de compra de um ano.
Todos os custos elegíveis do Microsoft Sentinel são deduzidos primeiro das CUs pré-compradas automaticamente. Você não precisa reimplementar ou atribuir um plano pré-adquirido aos seus espaços de trabalho do Microsoft Sentinel para que o uso da CU receba os descontos de compra antecipada.
Para obter mais informações, consulte Otimizar os custos do Microsoft Sentinel com um plano de pré-compra.
Separe dados não relacionados à segurança em um espaço de trabalho diferente
Microsoft Sentinel analisa todos os dados ingeridos nos espaços de trabalho do Log Analytics habilitados para o Microsoft Sentinel. É melhor ter um espaço de trabalho separado para dados de operações que não sejam de segurança, para garantir que não incorra em custos do Microsoft Sentinel.
Utilize o lago de dados do Microsoft Sentinel para dados de menor fidelidade ou dados de segurança secundários.
Embora a camada de análise seja mais apropriada para deteção contínua de ameaças em tempo real, o data lake do Microsoft Sentinel é adequado para consultas e análises de dados de segurança secundários que não são necessários para a deteção de ameaças em tempo real. O data lake do Microsoft Sentinel oferece ingestão e armazenamento a um custo significativamente reduzido. Para obter mais informações, consulte Preços do Microsoft Sentinel.
Otimize os custos do Log Analytics com clusters dedicados
Se você ingerir pelo menos 100 GB em seu espaço de trabalho do Microsoft Sentinel ou espaços de trabalho na mesma região, considere mudar para um cluster dedicado do Log Analytics para reduzir custos. Uma camada de compromisso de cluster dedicado do Log Analytics agrega o volume de dados entre espaços de trabalho que, em conjunto, ingerem um total de 100 GB ou mais. Para obter mais informações, consulte Nível de preços simplificado para cluster dedicado.
Você pode adicionar vários espaços de trabalho do Microsoft Sentinel a um cluster dedicado do Log Analytics. Há algumas vantagens em usar um cluster dedicado do Log Analytics para o Microsoft Sentinel:
As consultas entre espaços de trabalho são executadas mais rapidamente se todos os espaços de trabalho envolvidos na consulta estiverem no cluster dedicado. Ainda é melhor ter o menor número possível de espaços de trabalho em seu ambiente, e um cluster dedicado ainda mantém o limite de 100 espaços de trabalho para inclusão em uma única consulta entre espaços de trabalho.
Todos os espaços de trabalho no cluster dedicado podem partilhar o conjunto de níveis de compromisso do Log Analytics no cluster. Não ter de se comprometer com níveis de compromisso separados na Log Analytics para cada espaço de trabalho pode permitir poupanças de custos e eficiência. Ao ativar um cluster dedicado, compromete-se com um nível mínimo de compromisso Log Analytics de 100 GB de ingestão por dia.
Aqui estão algumas outras considerações para mudar para um cluster dedicado para otimização de custos:
- O número máximo de clusters por região e assinatura é dois.
- Todos os espaços de trabalho vinculados a um cluster devem estar na mesma região.
- O máximo de espaços de trabalho vinculados a um cluster é 1000.
- Você pode desvincular um espaço de trabalho vinculado do cluster. O número de operações de link em um espaço de trabalho específico é limitado a dois em um período de 30 dias.
- Não é possível mover um espaço de trabalho existente para um cluster de chave gerenciada pelo cliente (CMK). Você deve criar o espaço de trabalho no cluster.
- Atualmente, não há suporte para mover um cluster para outro grupo de recursos ou assinatura.
- Um link de espaço de trabalho para um cluster falhará se o espaço de trabalho estiver vinculado a outro cluster.
Para obter mais informações sobre clusters dedicados, consulte Clusters dedicados do Log Analytics.
Reduza os custos de retenção de dados com retenção total
O Microsoft Sentinel retém dados da camada de análise por padrão durante os primeiros 90 dias de retenção de análise. À medida que os dados envelhecem, eles perdem seu valor para análises e investigações em tempo real. Os usuários do centro de operações de segurança (SOC) podem não acessar dados mais antigos com tanta frequência, mas ainda desejam acessar os dados para investigações históricas mais amplas ou fins de auditoria. Para ajudá-lo a reduzir os custos de retenção de dados do Microsoft Sentinel, a retenção total está disponível. Os dados que saem do seu estado de retenção analítica ainda podem ser retidos, a um custo muito reduzido, e acessados usando capacidades de exploração de data lake. Para obter mais informações, consulte Exploração do lago, consultas KQL.
Use as Tabelas de gestão de dados > para ajustar o período de retenção de Analytics e Total.
Usar regras de coleta de dados para seus Eventos de Segurança do Windows
O conector de Eventos de Segurança do Windows permite transmitir eventos de segurança de qualquer computador que execute o Windows Server conectado ao seu espaço de trabalho do Microsoft Sentinel, incluindo servidores físicos, virtuais ou locais, ou em qualquer nuvem. Esse conector inclui suporte para o Azure Monitor Agent, que usa regras de coleta de dados para definir os dados a serem coletados de cada agente.
As regras de coleta de dados permitem gerenciar configurações de coleta em escala, ao mesmo tempo em que permitem configurações exclusivas e com escopo para subconjuntos de máquinas. Para obter mais informações, consulte Configurar a coleta de dados para o Azure Monitor Agent.
Além dos conjuntos predefinidos de eventos que você pode selecionar para ingerir, como Todos os eventos, Mínimo ou Comum, as regras de coleta de dados permitem criar filtros personalizados e selecionar eventos específicos para ingerir. O Agente do Azure Monitor usa essas regras para filtrar os dados na origem e, em seguida, ingerir apenas os eventos selecionados, deixando todo o resto para trás. Selecionar eventos específicos para ingerir pode ajudá-lo a otimizar seus custos e economizar mais.
Próximos passos
- Saiba como otimizar o seu investimento na nuvem com o Microsoft Cost Management.
- Saiba mais sobre como gerenciar custos com análise de custos.
- Saiba como evitar custos inesperados.
- Faça o curso de aprendizagem guiada em Gestão de Custos .
- Para obter mais dicas sobre como reduzir o volume de dados do Log Analytics, consulte Práticas recomendadas do Azure Monitor - Gerenciamento de custos.
- Para entender mais sobre o data lake do Microsoft Sentinel, consulte Data lake do Microsoft Sentinel.
- Para integrar ao data lake do Microsoft Sentinel, consulte Integrar dados ao data lake do Microsoft Sentinel.