Azure SentinelはクラウドネイティブなSIEMでSOARやUEBAの機能も備えています。基本的に利用料金はデータ取り込み量とデータ保持量・期間による従量課金になりますが、導入時にログ量が分からずコストを見積もるのが難しかったりします。そのため、本記事ではAzure Sentinelのコスト見積もり方法について紹介します。

Azure Sentinelの利用料金

Sentinelはログ保管場所として、AzureのLog Analyticsワークスペースを利用します。そのため、Sentinel利用時にはLog Analyticsワークスペースの利用料金もかかります。Sentinelの料金説明の詳細はこちらにありますが、ざっくり言うと「Sentinelに取り込むデータの料金」＋「Log Analyticsワークスペースに取り込むデータの料金」＋「Log Analyticsワークスペースに保持するデータの料金」になります。
注意が必要なのは、取り込むデータに対して、SentinelとLog Analyticsワークスペースの両方で課金される点です。

90日間はログ保持の料金無料

Sentinelが有効となっているLog Analyticsワークスペースの場合、90日間は無料でログ保持ができます。つまり、Log Analyticsワークスペースのログ保持期間を90日以内にしておけば、「Log Analyticsワークスペースに保持するデータの料金」はかかりません。
参考：https://docs.microsoft.com/ja-jp/azure/sentinel/azure-sentinel-billing#data-retention-costs

取り込み無料のログもある

AzureアクティビティやOffice 365など一部のログについては、Sentinel・Log Analyticsワークスペースへのログ取り込みが無料です。並んでいるサービスを見るとAzure ADも無料のように思えますが、こちらは有料です。なお、取り込みのみ無料のため、90日を超えてログ保持した場合は、Log Analyticsワークスペースの料金がかかります。

参考：https://docs.microsoft.com/ja-jp/azure/sentinel/azure-sentinel-billing#free-data-sources

コスト見積もり方法

本題のコスト見積もり方法です。事前にログ量が把握できればいいのですが、なかなか難しいと思いますので、Sentinelの無料試用版で各種ログを取り込み、ブックを使って可視化します。
※Sentinel無償試用版はLog Analyticsワークスペースなどの料金はかかるので要注意。詳しくはこちら。

使用するブックは「Azure Sentinelコスト」です。

こちらのブックを有効化すると、以下のように各コストが確認できます。使用するリージョンに応じて単価が異なるので、Ingestion priceとRetenion priceの箇所のパラメータを変更します。（Ingestion priceはSentinelとLog Analyticsワークスペースの合計）