Microsoft Sentinel のリソースを使い始めた後、Cost Management の機能を使用して、予算の設定とコストの監視を行います。 また、予測コストを確認し、支出の傾向を特定して、行動する可能性がある領域を特定することもできます。現在プレビュー段階の Data Lake では、Microsoft Defender ポータルで使用状況を直接表示することもできます。
Microsoft Sentinel のコストは、Azure で課金される月額料金の一部でしかありません。 この記事では、Microsoft Sentinel のコストの管理および監視の方法について説明しますが、パートナーのサービスを含め、課金は、Azure サブスクリプションで使用されるすべての Azure サービスとリソースに対して行われます。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
前提条件
Cost Management でコスト データを表示し、コスト分析を実行するには、サポートされている種類の Azure アカウントと、少なくとも読み取りアクセス権が必要です。
Cost Management のコスト分析では、ほとんどの種類の Azure アカウントがサポートされていますが、すべてではありません。 サポートされているアカウントの種類の完全な一覧を表示するには、「 Cost Management データについて」を参照してください。
Microsoft Cost Management データへのアクセス権の割り当てについては、「データへの アクセスの割り当て」を参照してください。
分析レベルのコストを管理および監視する
Microsoft Sentinel で Azure リソースを使用する場合、コストが発生します。 Azure リソース使用のユニット コストは、期間 (秒、分、時間、日数など) やユニット使用量 (バイト、メガバイトなど) によって異なります。
コスト分析を使用してコストを表示する
Microsoft Sentinel が課金対象データの取り込みを開始するとすぐに、コストが発生します。 Azure portal のコスト分析を使用して、これらのコストを表示します。 詳細については、「 コスト分析の使用を開始する」を参照してください。
コスト分析を使用すると、さまざまな期間について、Microsoft Sentinel のコストをグラフや表で表示できます。 たとえば、日単位、現在の月、以前の月、年単位などがあります。 予算や予想コストを基準としてコストを表示することもできます。 時間経過を示す、より長い期間のビューに切り替えると、支出の傾向を特定するのに役立ちます。 超過出費が発生した可能性のある時期を確認できます。 予算を作成したら、それを超えた場所も簡単に確認できます。
Microsoft Cost Management + Billing ハブには便利な機能が用意されています。 Azure portal で Cost Management + Billing を開いた後、左側のナビゲーションで [Cost Management ] を選択し、調査する スコープ またはリソースのセット (Azure サブスクリプションやリソース グループなど) を選択します。
[コスト分析] 画面には、Azure の使用状況とコストの詳細なビューと、さまざまな制御とフィルターを適用するオプションが表示されます。
たとえば、特定の期間の日単位のコストのグラフを表示するには:
[ 表示 ] フィールドでドロップダウン キャレットを選択し、[ 累積コスト ] または [ 日次コスト] を選択します。
日付フィールドのドロップダウン キャレットを選択して、日付範囲を選択します。
粒度の横にあるドロップダウンキャレットを選択し、日単位を選択します。
次の図に示すコストは、説明のみを目的としています。 実際のコストを反映したものではありません。
さらに、制御を適用することもできます。 たとえば、Microsoft Sentinel に関連付けられているコストのみを表示するには、[ フィルターの追加] を選択し、[ サービス名] を選択してから、 Sentinel、 Log Analytics、 Azure Monitor というサービス名を選択します。
Microsoft Sentinel 分析レベルのデータ インジェスト ボリュームは、一部のポータルの使用状況グラフの Security Insights の下に表示されます。
Microsoft Sentinel クラシック価格レベルには Log Analytics の料金は含まれていないため、これらの料金が個別に課金される場合があります。 Microsoft Sentinel のシンプル価格は、2 つのコストを 1 つのレベル セットに組み合わせたものです。 Microsoft Sentinel の簡略化された価格レベルの詳細については、「 簡略化された価格レベル」を参照してください。
コスト削減の詳細については、「Microsoft Sentinel で 予算を作成 し 、コストを削減する」を参照してください。
クエリを実行して分析層のデータ インジェストを理解する
Microsoft Sentinel では、広範なクエリ言語を使用して、膨大な量の運用データの分析、操作、分析情報の抽出が数秒で行われます。 データ インジェストの量を把握するために使用できるいくつかの Kusto クエリを次に示します。
ソリューション別にデータ インジェストの量を表示するには、次のクエリを実行します。
Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart
データの種類別にデータ インジェストの量を表示するには、次のクエリを実行します。
Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart
ソリューションとデータの種類の両方ごとにデータ インジェストの量を表示するには、次のクエリを実行します。
Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc
上の例で使用されている次の項目の詳細については、Kusto ドキュメントを参照してください。
- where 演算子
- extend 演算子
- summarize 演算子
- render 演算子
- sort 演算子
- iff() 関数
- ago() 関数
- now() 関数
- bin() 関数
- startofday() 関数
- count() 集計関数
- sum() 集計関数
KQL の詳細については、 Kusto クエリ言語 (KQL) の概要に関するページを参照してください。
その他のリソース:
分析層におけるデータの取り込みを視覚化するワークブックを展開する
ワークスペース使用状況レポート ブックには、ワークスペースのデータ使用量、コスト、使用状況の統計情報が表示されます。 ブックでは、ワークスペースのデータ インジェストの状態と、無料データと課金対象データの量が示されます。 ブックのロジックを使用して、データ インジェストとコストを監視し、カスタム ビューやルールベースのアラートを作成することができます。
また、このブックではインジェストの詳細も提供されます。 ブックにより、ワークスペース内のデータがデータ テーブル別に分割され、テーブルとエントリごとの量が提供されて、インジェスト パターンの理解を深めるのに役立ちます。
ワークスペース使用状況レポート ブックを有効にするには:
- Microsoft Sentinel の左側のナビゲーションで、[ 脅威の管理>作業ブック] を選択します。
- 検索バーに ワークスペースの使用状況 を入力し、[ ワークスペース使用状況レポート] を選択します。
- ブックをそのまま使用する [テンプレートの表示 ] を選択するか、[ 保存] を選択してブックの編集可能なコピーを作成します。 コピーを保存する場合は、[保存されたブックの表示] を選択します。
- ブックで、表示する サブスクリプション と ワークスペース を選択し、表示する期間に TimeRange を設定します。 [ヘルプの表示] トグルを [はい] に設定すると、ブックにその場で説明を表示できます。
コスト データのエクスポート
コスト データをストレージ アカウントにエクスポートすることもできます。 コスト データのエクスポートは、自分や他のユーザーがコストに関する追加のデータ分析を行う必要がある場合に便利です。 たとえば、財務チームは、Excel や Power BI を使用してデータを分析できます。 日単位、週単位、または月単位のスケジュールでコストをエクスポートし、カスタムの日付範囲を設定することができます。 コスト データのエクスポートは、推奨されるコスト データセット取得方法です。
予算を作成する
予算を作成してコストを追跡し、支出の異常や超過リスクを関係者に自動的に通知するアラートを作成できます。 アラートは、予算とコストのしきい値と比較した支出に基づきます。 予算とアラートは、Azure サブスクリプションとリソース グループに対して作成されるため、全体的なコスト監視戦略の一環として役立ちます。
監視の粒度を細かくする必要がある場合は、Azure の特定のリソースまたはサービスのフィルターを使用して予算を作成できます。 フィルターを使用すると、追加のコストがかかる新しいリソースが誤って作成されないようにすることができます。 予算を作成するときに使用できるフィルター オプションの詳細については、「 グループ化とフィルターのオプション」を参照してください。
コスト管理のアラートにプレイブックを使用する
Analytics レベルの予算を制御するために、コスト管理プレイブックを作成できます。 Microsoft Sentinel ワークスペースが特定の期間について定義した予算を超えた場合、プレイブックによってアラートが送信されます。
Microsoft Sentinel GitHub コミュニティから、GitHub で Send-IngestionCostAlert コスト管理プレイブックが提供されています。 このプレイブックは繰り返しトリガーによってアクティブ化され、高い柔軟性を備えています。 要件に基づいて、実行頻度、インジェスト量、トリガーするメッセージを制御できます。
Data Lake レベルのコストを管理および監視する
オンボードが完了すると、新しい Microsoft Sentinel データ レイク メーターを使用して、Data Lake レベルの機能の使用量が課金されます。 新しいメーターの詳細については、「データ レイク レベル」を参照してください。
Microsoft Sentinel コスト管理を Microsoft Defender ポータルで
現在プレビュー段階にある新しい Cost Management エクスペリエンスは、>の Microsoft Sentinel Cost Management で、データ レイク層の使用に関連するコストの管理と監視に役立ちます。
概要ページでは、関連するコスト追跡機能へのエントリ ポイントと、使用状況レポートと設定への直接リンクを確認して、最も関連性の高いコスト管理アクションに移動できます。
- 使用状況レポート - 時間の経過に伴う機能によって使用状況を視覚化します。 現在請求されている機能の項目にあります。
- コスト管理 - Azure portal の [コスト管理と請求] ブレードが表示され、コストの追跡と予算の作成に役立ちます。 Azure portal で Cost Management + Billing を使用する方法の詳細については、「 コスト分析の使用を開始する」を参照してください。
- コスト予測 - Azure portal の [ Cost Management + Billing]\(コスト管理と課金 \) ブレードに予測レポートが表示されます。 予測機能の使用方法の詳細については、「予測 コストの表示」を参照してください。
- Microsoft Sentinel の設定 - Microsoft Sentinel 設定が開き、データ レイク用に選択されたサブスクリプションやリソース グループなど、関連する課金情報が表示されます。
使用状況レポート
使用状況レポートでいずれかの機能をクリックすると、 使用状況レポートに、その機能の課金対象使用量の傾向線が表示されます。 過去 90 日間のデータが表示されます。 フィルターを使用して、既定の 1 か月の時間枠を調整できます。 カードには、フィルター処理された期間の合計使用量が表示されます。 十分な履歴データが使用可能な場合は、前の期間と比較した傾向の変化が表示されます。
Microsoft Sentinel での Azure 前払いの使用
Microsoft Sentinel の料金は、Azure 前払いのクレジットで支払うことができます。 Azure 前払いクレジットを使用して、Microsoft 以外の組織の製品やサービス、または Azure Marketplace の製品に対して支払うことはできません。
次のステップ
- Microsoft Sentinel のコストを削減する
- Microsoft Cost Management を使用してクラウドへの投資を最適化する方法について説明します。
- コスト分析を使用したコストの管理の詳細について説明します。
- 予期しないコストを防ぐ方法について説明します。
- Cost Management のガイド付き学習コースを受講します。
- Log Analytics データ量の削減に関するその他のヒントについては、「 Azure Monitor のベスト プラクティス - コスト管理」を参照してください。