Planen der Kosten für Microsoft Sentinel

Microsoft Sentinel bietet intelligente Sicherheitsanalysen für Ihr gesamtes Unternehmen. Die Daten für diese Analysen werden in einem Log Analytics-Arbeitsbereich in Azure Monitor gespeichert. Microsoft Sentinel wird auf der Grundlage des Datenvolumens für die Analyse in Microsoft Sentinel und dem Speicher im Log Analytics-Arbeitsbereich in Azure Monitor berechnet. Weitere Informationen finden Sie auf der Seite Microsoft Sentinel – Preise.

Verwenden Sie den Azure-Preisrechner zum Schätzen der Kosten, bevor Sie Ressourcen für Microsoft Sentinel hinzufügen.

Kosten für Microsoft Sentinel stellen nur einen Teil der monatlichen Kosten Ihrer Azure-Rechnung dar. Zwar werden in diesem Artikel das Planen der Kosten und die Abrechnung für Microsoft Sentinel erläutert, aber Ihnen werden alle Azure-Dienste und -Ressourcen in Rechnung gestellt, die im Rahmen Ihres Azure-Abonnements verwendet werden, einschließlich Diensten von Partnern.

Kostenlose Testversion

Testen Sie Microsoft Sentinel die ersten 31 Tage kostenlos. Microsoft Sentinel kann für einen Log Analytics-Arbeitsbereich in Azure Monitor ohne zusätzliche Kosten aktiviert werden. Dies gilt gemäß den unten angegebenen Grenzwerten:

  • Neue Log Analytics-Arbeitsbereiche können für die ersten 31 Tage bis zu 10 GB pro Tag ohne Kosten nutzen. Neue Arbeitsbereiche umfassen Arbeitsbereiche, die weniger als drei Tage alt sind.

    Sowohl die Log Analytics-Datenerfassung als auch Microsoft Sentinel Gebühren entfallen während des 31-tägigen Testzeitraums. Diese kostenlose Testversion unterliegt einem Grenzwert von maximal 20 Arbeitsbereichen pro Azure-Mandant.

  • Vorhandene Log Analytics-Arbeitsbereiche können Microsoft Sentinel ohne zusätzliche Kosten aktivieren. Vorhandene Arbeitsbereiche umfassen alle Arbeitsbereiche, die vor mehr als drei Tagen erstellt wurden.

    Nur die Microsoft Sentinel Gebühren entfallen während des 31-tägigen Testzeitraums.

Nutzungen, die diese Grenzwerte überschreiten, werden gemäß den Preisen berechnet, die auf der Seite Microsoft Sentinel – Preise aufgeführt sind. Gebühren im Zusammenhang mit Azure Monitor Log Analytics für die Datenerfassung und zusätzliche Funktionen für die Automatisierung sowie ‘Bringen Sie Ihr eigenes Maschinen-Lernen mit‘ gelten auch während des kostenlosen Testversionszeitraums weiter.

Während Ihrer kostenlosen Testversion finden Sie Ressourcen für Kostenverwaltung, Schulungen und vieles mehr auf der Registerkarte Neues& und Leitfäden > Kostenlose Testversion in Microsoft Sentinel. Auf dieser Registerkarte werden auch Details zu den Datumsangaben Ihrer kostenlosen Testversion und zu der Anzahl der Tage angezeigt, die Sie bis zum Ablauf der Testversion noch haben.

Identifizieren von Datenquellen

Identifizieren Sie die Datenquellen, die Sie erfassen oder in Ihrem Arbeitsbereich in Microsoft Sentinel erfassen möchten. Microsoft Sentinel ermöglicht Ihnen das Einlesen von Daten aus einer oder mehreren Datenquellen. Einige dieser Datenquellen sind kostenlos, für andere werden Gebühren berechnet. Weitere Informationen finden Sie unter Kostenlose Datenquellen.

Schätzen der Kosten vor Nutzung von Microsoft Sentinel

Wenn Sie Microsoft Sentinel noch nicht einsetzen, können Sie mithilfe des Microsoft Sentinel-Preisrechners die potenziellen Kosten schätzen. Geben Sie Microsoft Sentinel in das Feld „Suchen“ ein, und wählen Sie die resultierende Kachel „Microsoft Sentinel“ aus. Mit dem Preisrechner können Sie Ihre wahrscheinlichen Kosten auf Grundlage Ihres erwarteten Datenerfassungs- und -aufbewahrungsaufkommens schätzen.

Beispielsweise können Sie das tägliche Datenaufkommen (in GB), das Sie in Microsoft Sentinel erfassen möchten, und die Region für Ihren Arbeitsbereich eingeben. Der Rechner gibt die aggregierten monatlichen Kosten für diese Komponenten aus:

  • Azure Monitor-Datenerfassung: Analyseprotokolle und Basisprotokolle
  • Microsoft Sentinel-Datenanalyse: Analyseprotokolle und Basisprotokolle
  • Beibehaltung von Daten
  • Datenarchiv (archivierte Protokolle)
  • Abfragen von Basisprotokollen

Grundlegendes zum vollständigen Abrechnungsmodell für Microsoft Sentinel

Microsoft Sentinel bietet ein flexibles und berechenbares Preismodell. Weitere Informationen finden Sie auf der Seite Microsoft Sentinel – Preise. Die zugehörigen Log Analytics-Gebühren finden Sie unter Azure Monitor Log Analytics – Preise.

Microsoft Sentinel wird in Azure-Infrastruktur ausgeführt, für die Kosten anfallen, sobald Sie neue Ressourcen bereitstellen. Es ist wichtig zu verstehen, dass möglicherweise andere zusätzliche Infrastrukturkosten anfallen.

Rechnungsstellung für Microsoft Sentinel

Microsoft Sentinel bietet flexible Preismodelle basierend auf den Protokolltypen, die in einem Arbeitsbereich erfasst werden. Analyseprotokolle machen in der Regel den größten Teil Ihrer Protokolle mit hohem Sicherheitswert aus. Basisprotokolle sind häufig ausführlich und weisen einen geringen Sicherheitswert auf.

Analyseprotokolle

Für Analyseprotokolle gibt es zwei Zahlungsoptionen: nutzungsbasierte Bezahlung und Mindestabnahme.

  • Nutzungsbasierte Zahlung ist das Standardmodell, das auf dem tatsächlich gespeicherten Datenvolumen basiert und optional eine Datenaufbewahrung über 90 Tage hinaus vorsieht. Das Datenvolumen wird in GB (10^9 Bytes) gemessen.

  • Log Analytics und Microsoft Sentinel bieten auch den Tarif Mindestabnahme (zuvor als „Kapazitätsreservierungen“ bezeichnet), der besser kalkulierbar ist und im Vergleich zu „Nutzungsbasierte Zahlung“ eine Ersparnis bis zu 65 % bringt.

    Mit dem Tarif „Mindestabnahme“ können Sie Kapazität ab 100 GB/Tag buchen. Sämtliche Nutzung, die die gebuchte Kapazität überschreitet, wird mit dem von Ihnen für die Mindestabnahme gewählten Satz in Rechnung gestellt. Bei einer Mindestabnahme von 100 GB/Tag wird beispielsweise das zugesagte Datenvolumen von 100 GB/Tag plus jedes weitere GB/Tag zum ermäßigten Satz für diesen Tarif in Rechnung gestellt.

    Sie können Ihre Mindestabnahme jederzeit erhöhen und alle 31 Tage verringern, um die Kosten zu optimieren, sobald Ihr Datenvolumen zu- oder abnimmt. Um Ihren aktuellen Microsoft Sentinel-Tarif einzusehen, wählen Sie im linken Navigationsbereich von Microsoft Sentinel Einstellungen und dann die Registerkarte Preise aus. Ihr aktueller Tarif ist als Aktueller Tarif markiert.

    Informationen zum Festlegen und Ändern Ihrer Mindestabnahme finden Sie unter Festlegen oder Ändern des Tarifs.

Basisprotokolle (Vorschau)

Für Basisprotokolle fallen geringere Kosten an, und der Pauschalpreis wird pro GB berechnet. Sie haben die folgenden Einschränkungen:

  • Weniger Abfragefunktionen
  • Aufbewahrung für acht Tage
  • Keine Unterstützung für geplante Warnungen

Basisprotokolle eignen sich am besten für die Playbookautomatisierung, Ad-hoc-Abfragen, Untersuchungen und die Suchvorgänge. Weitere Informationen finden Sie unter Konfigurieren von Basisprotokollen in Azure Monitor.

Grundlegendes zur Microsoft Sentinel-Rechnung

Abrechenbare Verbrauchseinheiten sind die einzelnen Komponenten Ihres Diensts, die auf Ihrer Rechnung und auch in der Kostenanalyse unter Ihrem Dienst ausgewiesen werden. Am Ende Ihres Abrechnungszeitraums werden die Gebühren für die einzelnen Verbrauchseinheiten summiert. Ihre Rechnung enthält einen Abschnitt für alle Microsoft Sentinel-Kosten an. Für jede Verbrauchseinheit besteht ein separates Zeilenelement.

Um Ihre Azure-Rechnung einzusehen, wählen Sie im linken Navigationsbereich von Cost Management + Billing die Option Kostenanalyse aus. Wählen Sie auf dem Bildschirm Kostenanalyse den Dropdownpfeil im Feld Ansicht und dann Rechnungsdetails aus.

Die in der folgenden Abbildung gezeigten Kosten dienen nur als Beispiel. Sie sollen keine tatsächlichen Kosten widerspiegeln.

Screenshot showing the Microsoft Sentinel section of a sample Azure bill.

Microsoft Sentinel- und Log Analytics-Gebühren werden auf Ihrer Azure-Rechnung basierend auf Ihrem ausgewählten Tarif als separate Posten ausgewiesen. Wenn Sie die Mindestabnahme für Ihren Arbeitsbereich in einem bestimmten Monat überschreiten, weist die Azure-Rechnung einen Einzelposten für die Mindestabnahme mit den damit verbundenen Fixkosten und einen separaten Einzelposten für die über die Mindestabnahme hinausgehende Erfassung aus, die zum gleichen Mindestabnahmesatz abgerechnet wird.

Die folgenden Registerkarten zeigen, wie Microsoft Sentinel- und Log Analytics-Kosten in den Spalten Dienstname und Verbrauchseinheit Ihrer Azure-Rechnung in Abhängigkeit Ihres Tarifs ausgewiesen werden.

Wenn Ihnen die Kosten für die Mindestabnahme in Rechnung gestellt werden, zeigt die folgende Tabelle, wie Microsoft Sentinel- und Log Analytics-Kosten in den Spalten Dienstname und Verbrauchseinheit Ihrer Azure-Rechnung ausgewiesen werden.

Kostenbeschreibung Dienstname Zähler
Microsoft Sentinel-Mindestabnahme sentinel n GB Mindestabnahme
Log Analytics-Mindestabnahme azure monitor n GB Mindestabnahme
Microsoft Sentinel-Überschreitung der Mindestabnahme sentinel Analyse
Log Analytics-Überschreitung der Mindestabnahme log analytics Datenerfassung
Datenerfassung bei Basisprotokollen azure monitor Datenerfassung – Basisprotokolle
Datenanalyse bei Basisprotokollen sentinel Analyse – Basisprotokolle

Weitere Informationen zum Anzeigen und Herunterladen Ihrer Azure-Rechnung finden Sie unter Anzeigen und Herunterladen der Azure-Nutzung und -Gebühren.

Kosten anderer Dienste

Microsoft Sentinel kann in viele andere Azure-Dienste integriert werden, um erweiterte Funktionen bereitzustellen. Zu diesen Diensten gehören Azure Logic Apps, Azure Notebooks und BYOML-Modelle (Bring Your Own Machine Learning). Für einige dieser Dienste fallen möglicherweise zusätzliche Gebühren an. Einige der Datenconnectors und -lösungen von Microsoft Sentinel verwenden für die Datenerfassung Azure Functions, wodurch ebenfalls gesonderte Kosten anfallen.

Preisdetails für diese Dienste finden Sie unter:

Für alle anderen Dienste, die Sie nutzen, können Kosten anfallen.

Kosten für Datenaufbewahrung und archivierte Protokolle

Nachdem Sie Microsoft Sentinel in einem Log Analytics-Arbeitsbereich aktiviert haben, können Sie alle im Arbeitsbereich erfassten Daten in den ersten 90 Tagen kostenlos aufbewahren. Eine Aufbewahrung über 90 Tage hinaus wird gemäß den standardmäßigen Log Analytics-Aufbewahrungspreisen in Rechnung gestellt.

Sie können für einzelne Datentypen unterschiedliche Aufbewahrungseinstellungen angeben. Weitere Informationen finden Sie unter Aufbewahrung nach Datentyp. Sie können auch die Langzeitaufbewahrung für Ihre Daten aktivieren und auf Verlaufsprotokolle zugreifen, indem Sie archivierte Protokolle aktivieren. Das Datenarchiv ist eine kosteneffiziente Aufbewahrungsebene für Archivspeicher. Es wird basierend auf der gespeicherten und überprüften Datenmenge in Rechnung gestellt. Weitere Informationen finden Sie unter Konfigurieren von Datenaufbewahrungs- und Archivrichtlinien in Azure Monitor-Protokollen. Archivierte Protokolle befinden sich in der Public Preview.

Die Aufbewahrung für 90 Tage gilt nicht für Basisprotokolle. Wenn Sie die Datenaufbewahrung für Basisprotokolle auf mehr als acht Tage erweitern möchten, können Sie die Daten in archivierten Protokollen für bis zu sieben Jahre speichern.

Andere CEF-Erfassungskosten

CEF ist ein unterstütztes Syslog-Ereignisformat in Microsoft Sentinel. Sie können CEF verwenden, um wertvolle Sicherheitsinformationen aus verschiedenen Quellen in Ihren Microsoft Sentinel-Arbeitsbereich einzubringen. CEF-Protokolle werden in die Tabelle „CommonSecurityLog“ in Microsoft Sentinel gesammelt, die alle standardmäßigen aktuellen CEF-Felder enthält.

Viele Geräte und Datenquellen lassen Protokollierungsfelder zu, die über das CEF-Standardschema hinausgehen. Diese zusätzlichen Felder werden in der Tabelle AdditionalExtensions angezeigt. Diese Felder können höhere Erfassungsvolumen als die CEF-Standardfelder haben, da der Ereignisinhalt in diesen Feldern variabel sein kann.

Nach dem Löschen von Ressourcen möglicherweise anfallende Kosten

Durch das Entfernen von Microsoft Sentinel werden weder der Log Analytics-Arbeitsbereich, in dem Microsoft Sentinel bereitgestellt wurde, noch etwaige separate Gebühren entfernt, die für diesen Arbeitsbereich anfallen könnten.

Kostenlose Datenquellen

Die folgenden Datenquellen lassen sich kostenlos mit Microsoft Sentinel nutzen:

  • Azure-Aktivitätsprotokolle.
  • Office 365-Überwachungsprotokolle, einschließlich aller SharePoint-Aktivitäten, Exchange-Administratoraktivitäten und Teams.
  • Sicherheitswarnungen, einschließlich Warnungen von Microsoft Defender für Cloud, Microsoft 365 Defender, Microsoft Defender für Office 365, Microsoft Defender for Identity und Microsoft Defender für Endpunkt.
  • Warnungen von Microsoft Defender für Cloud und Microsoft Defender for Cloud Apps.

Warnungen sind zwar kostenlos, aber Rohprotokolle für einige Datentypen von Microsoft 365 Defender, Microsoft Defender for Cloud Apps, Azure Active Directory (Azure AD) und Azure Information Protection (AIP) sind kostenpflichtig.

In der folgenden Tabelle sind die kostenlosen Datenquellen aufgeführt, die Sie in Microsoft Sentinel aktivieren können. Einige der Datenconnectors, z. B. Microsoft 365 Defender und Defender for Cloud Apps, enthalten sowohl kostenlose als auch kostenpflichtige Datentypen.

Microsoft Sentinel-Datenconnector Datentyp Kostenlos oder kostenpflichtig
Azure-Aktivitätsprotokolle AzureActivity Kostenlos
Azure AD Identity Protection SecurityAlert (IPC) Kostenlos
Office 365 OfficeActivity (SharePoint) Kostenlos
OfficeActivity (Exchange) Kostenlos
OfficeActivity (Teams) Kostenlos
Microsoft Defender für Cloud SecurityAlert (Defender für Cloud) Kostenlos
Microsoft Defender für IoT SecurityAlert (Defender für IoT) Kostenlos
Microsoft 365 Defender SecurityIncident Kostenlos
SecurityAlert Kostenlos
DeviceEvents Kostenpflichtig
DeviceFileEvents Kostenpflichtig
DeviceImageLoadEvents Kostenpflichtig
DeviceInfo Kostenpflichtig
DeviceLogonEvents Kostenpflichtig
DeviceNetworkEvents Kostenpflichtig
DeviceNetworkInfo Kostenpflichtig
DeviceProcessEvents Kostenpflichtig
DeviceRegistryEvents Kostenpflichtig
DeviceFileCertificateInfo Kostenpflichtig
Microsoft Defender für den Endpunkt SecurityAlert (MDATP) Kostenlos
Microsoft Defender for Identity SecurityAlert (AATP) Kostenlos
Microsoft Defender für Cloud-Apps SecurityAlert (Defender for Cloud Apps) Kostenlos
MCASShadowITReporting Kostenpflichtig

Für Datenconnectors, die sowohl kostenlose als auch kostenpflichtige Datentypen enthalten, können Sie auswählen, welche Datentypen Sie aktivieren möchten.

Screenshot of the Data connector page for Defender for Cloud Apps, with the free security alerts selected and the paid M C A S Shadow I T Reporting not selected.

Weitere Informationen über kostenlose und kostenpflichtige Datenquellen und Connectors finden Sie unter Verbinden von Datenquellen.

In der Public Preview aufgeführte Datenconnectors verursachen keine Kosten. Datenconnectors verursachen erst Kosten, sobald sie allgemein verfügbar sind.

Nächste Schritte