M365 Log-Size Calculation for Sentinel

Microsoft Sentinel eignet sich optimal, um die Funktionen von Microsoft Defender XDR und andere Defender Produkte zu erweitern. Dies habe ich bereits im Blog-Eintrag https://www.graber.cloud/microsoft-sentinel-for-microsoft-365-a-must-have/ detaillierter ausgeführt. Doch was verursacht Microsoft Sentinel für Microsoft 365 eigentlich an Kosten? Auf diese Frage gibt es keine klare Antwort zu finden, was auf die Schwierigkeit der Kalkulation der M365 Log-Size für Microsoft Sentinel zurückzuführen ist. Dieser Blog behandelt genau diese Frage. Er soll als Leitfaden für eine Kostenabschätzung dienen und etwas Licht in die dunklen Tiefen der Log-Size und Sentinel Kosten bringen. M365 Log-Size Calculation for Sentinel – ein Leitfaden zur Kostenschätzung.

Log-Size Schätzung

Hinweis:
Die Schätzung ist basierend auf Messungen von Tenants mit M365 E3 + E5 Security Lizenzen. Bei der Verwendung von anderen Lizenzen können ggf. Abweichungen entstehen. Bei der Kalkulation wird von Office Benutzern mit «normaler Nutzung» ausgegangen. Die Kalkulationsvorlage steht frei zur Verfügung, jedoch ist jegliche Haftung ausgeschlossen.

Basierend auf meinen Messungen und Erfahrungen hat sich ergeben, dass ein durchschnittlicher Office-Benutzer ungefähr 6.89 MB pro Tag generiert. Dies zum Zeitpunkt der Erstellung dieses Blog-Eintrages und insofern sämtliche Defender Produkte aktiviert sind. Wie ich bei dieser Messung vorgegangen bin, zeige ich im Folgekapitel Schritt für Schritt auf.

Doch meine Berechnung darf ich noch bereinigen, beinhaltet sie unter anderem Log-Daten, die gratis vom Defender XDR in Microsoft Sentinel übergeben werden. Erfahrungsgemäss können ungefähr 20% der M365 Log-Size für Microsoft Sentinel abgezogen werden (gilt für mich als Faustregel). Das ergibt in diesem Fall also 5.51 MB pro Benutzer und Tag (6.89 x 0.8). Da ich bei Kostenkalkulationen gerne den negativen Case berechne und Freund von Kostendächern bin, behalte ich diese 20% aber gerne als Reserve für Abweichungen vor.

Vorgehen zur Berechnung

Die vorgehende Schätzung ist basierend auf Messungen, die auch selbst durchgeführt werden können, wenn ein entsprechender Tenant mit den aktivierten M365 Defender Produkten und M365 Services zur Verfügung steht. Hier die Schritte, wie ich zur Kalkulation vorgegangen bin. Dafür werte ich die relevanten Logs aus und verwende die letzten 30 Tage, um später einen Tagesdurchschnitt pro Benutzer errechnen zu können.

Auswertung vorhandener M365 Logdaten

1. Als erstes greife ich auf das Microsoft Security Portal https://security.microsoft.com zu und navigiere ins «advanced hunting».
2. Nun öffne ich mein GitHub Repo in einem neuen Tab, in welchem ich die benötigten Queries und ein Excel-File zur Verfügung stelle. Das Excel Lade ich herunter, damit ich es ausfüllen kann.
3. Als nächstes stelle ich auf 30 Tage und führe die verschiedenen KQL-Queries des GitHub Repos im «advanced hunting» des Microsoft Security Portals aus. Ich habe es als praktisch empfunden, dies pro Defender aufzusplitten und separat auszuführen, um eine bessere Übersicht verschaffen zu können.

4. Die jeweiligen Resultate pro Query übertrage ich jetzt in das zuvor heruntergeladene Excel-File und erhalte somit den Durchschnitt pro Benutzer und Tag in MBs (nicht vergessen die Anzahl der lizenzierten Benutzer korrekt zu hinterlegen).

Dies ist das erste Zwischenresultat, das so in den Azure Pricing Calculator übergeben werden kann und somit bereits Aufschluss über den möglichen Preis gibt. Die Messung beinhaltet jedoch auch Logdaten, die gratis nach Sentinel gespielt werden können. Dies betrifft aber nur eine kleine Minorität und handelt sich im Wesentlichen um die Security Alerts und Activity Logs in dieser Auswertung. Zusätzlich sind aber sämtliche Activity Logs von SharePoint, Exchange und Teams ebenfalls gratis (in dieser Auswertung Teil von Defender for Cloud Apps). Eine Auflistung der gratis Logs findet ihr im Blogeintrag Microsoft Sentinel for Microsoft 365 – as must have!
Mittels dieser Übersicht ist nun aber offenkundig, dass Defender for Endpoint mit Abstand den grössten Anteil ausmacht.

M365 Lizenz-Benefit

Das Resultat entspricht dem anfänglich erwähnten Log-Size Einschätzung pro Benutzer. Die Auswertung ist aber noch nicht abschliessend. Denn was oft vergessen geht und nicht beachtet wird ist, dass es weitere Preisvorteile gibt, abhängig davon, welche Lizenzen vorhanden sind. Denn wenn eine passende Lizenz vorhanden ist, so werden 5 MB pro Tag und lizenziertem Benutzer nicht verrechnet. Dies wird vom Excel ebenfalls berücksichtigt.

5. Ich prüfe nun also den Tenant und trage alle relevanten Lizenzen im Excel-File mit der entsprechenden Anzahl ein. Wie schon beschrieben verfügen in meiner Beispielkalkulation alle Benutzer über eine M365 E5 Security Lizenz und trage diese entsprechend ein.

Das Ergebnis unterscheidet sich nun massgeblich und ist entsprechend aufgezeigt. Denn während es zuvor ohne dem Lizenz-Vorteil 6.89 MB pro Tag und Benutzer waren, sind es nun nur noch 1.89 MB pro Tag und Benutzer. Nur dieser Teil stellt Microsoft in Rechnung.

Schlussfolgerung

Microsoft Sentinel ist auf den ersten Blick oft teuer und unberechenbar, was die Kosten angeht. Dies ist für mich auf die Kosten, die abhängig von der generierte Datenmengen ist, zurückzuführen. Doch bei detaillierter Betrachtung des Microsoft 365 Cases ist für mich ersichtlich, dass man die Kosten mindestens als Kostendach gut berechnen kann. Während einige Daten gratis nach Microsoft Sentinel geschrieben werden, existiert zusätzlich noch ein M365 Lizenz-Benefit. Dies insofern die richtigen Lizenzen vorhanden sind. Dieser Lizenz-Benefit ist wesentlich und drückt den Preis um ungefähr 70%! Der von Microsoft gewährte Benefit berücksichtigen Organisationen gemss meinen Erfahrungen in der ersten Betrachtung oft nicht. Das führt oft zu falschen Preiseinschätzungen und somit falschen Schlussfolgerungen.

Wie schon in meinem Blogpost Microsoft Sentinel for Microsoft 365 – as must have! festgehalten. Sentinel ist für Microsoft 365 eine wichtige Ergänzung. Mit diesem Blogbeitrag erhoffe ich mir, aufzuzeigen, dass Organisationen die kostenpflichtigen Log-Daten für Microsoft 365 in Sentinel relativ betrachten müssen. Ich hoffe mit diesem Blog eine Hilfe dazurbieten, wie ein jeder die Log-Daten zuverlässig berechnen kann.