Release: Sentinel IngestIQ - Kostenloser Ingest Calculator für Microsoft Sentinel

Thu, 16 Apr 2026 00:00:00 GMT

Es ist soweit: Der Sentinel IngestIQ Calculator ist ab sofort verfügbar - kostenlos und ohne Registrierung.

In meinem letzten Artikel habe ich beschrieben, warum die Kostenberechnung für Microsoft Sentinel mittlerweile fast unmöglich ist. Mehrere Optimierungsebenen, dutzende voneinander abhängige Variablen, und ein Pricing-Modell, das sich gefühlt alle paar Monate ändert. Das alles in einem Excel-Sheet abzubilden ist bestenfalls mühsam - und meistens fehlerhaft.

IngestIQ löst genau dieses Problem.

Was das Tool kann

Der Calculator bildet den vollständigen Sentinel-Kostenoptimierungspfad ab - von der Brutto-Berechnung bis zur finalen monatlichen Rechnung:

Step 1 - Environment Parameters

Gib deine Infrastruktur ein: User, Server (Windows, Linux, DCs), Firewalls, DNS-Server, Proxies, Netzwerkgeräte. Das Tool berechnet das erwartete tägliche Ingestion-Volumen pro Kategorie - dazu herangezogen wird eine Mischung aus Erfahrungen der diversen Sentinel Implementierungs- und Migrationsprojekte, welche ich persönlich begleiten durfte, sowie Schätzungen in diversen renommierten Quellen (z.B. CIS, Microsoft, etc.).

Step 2 - Free Data Sources

Automatischer Abzug der kostenlosen Quellen: Azure Activity Logs, Office 365 Audit Logs und Security Alerts. Das sind je nach Umgebung 10-30% des Gesamtvolumens.

Step 3 - M365 E5 Security Benefit

Aktivierbar per Toggle: 5 MB/User/Tag Data Grant für Entra Sign-In Logs, Audit Logs, MDCA und Purview. Zeigt die exakte Ersparnis in € pro Tag und Monat.

Step 4 - Defender for Servers P2

Kompletter ROI-Calculator: 500 MB/Server/Tag Benefit vs. €10/Server/Monat Upgrade-Kosten. Das Tool empfiehlt die optimale Anzahl an P2-Lizenzen und zeigt ob sich das Upgrade wirtschaftlich lohnt.

Step 5 - Auxiliary Logs / Data Lake

Per-Source Konfiguration mit Slider: Welche Log-Quellen sollen in den Data Lake (€0,40/GB) statt in den Analytics Tier (€4,80/GB)? DNS, Proxy, Firewall, NAC, Non-Interactive Sign-Ins - jeweils mit konfigurierbarem Split-Ratio.

Step 6 - Commitment Tiers & Pre-Purchase

Commitment Tier Auswahl mit automatischer Empfehlung basierend auf dem tatsächlichen Analytics-Volumen. Plus Pre-Purchase Plan Kalkulation mit 12-Monats-Projektion.

Bonus: Commercial Cost Overview

Professionelle Kostenaufstellung mit allen Positionen (Analytics Tier, Data Lake, MDC P2 Lizenzen, Pre-Purchase CUs) - inklusive 12-Monats-Projektion als Chart. Ideal für Angebote und Architekturentscheidungen.

Warum kostenlos?

Ich bin der Meinung, dass gute Security-Tools für alle zugänglich sein sollten - nicht nur für Unternehmen mit großen Budgets. Sentinel ist ein mächtiges SIEM, aber die Komplexität der Kostenberechnung hält viele davon ab, die vorhandenen Optimierungsmöglichkeiten zu nutzen. IngestIQ soll diese Hürde abbauen.

Das Tool entstand aus der Praxis: Ich habe ursprünglich mit diversen Listen, Excel Files und viel mühsamer Kleinarbeit meine Sizings für meine Kunden bei base-IT erstellt und irgendwann entschieden, dess es für die große Community etwas besseres als das geben sollte. Daraus ist nun dieser Calculator entstanden, der hoffentlich vielen bei der Einschätzung von Sentinel Kosten helfen wird.

PDF Export

Das Commercial Proposal lässt sich als gut strukturiert aufbereitetes PDF exportieren - perfekt für:

Angebote und Kalkulationen
Architektur-Dokumentation
Management-Präsentationen
Budget-Planungen

Jetzt ausprobieren

👉 Sentinel IngestIQ öffnen →

Feedback, Feature Requests oder Bug Reports? Schreib mir auf LinkedIn oder per E-Mail.

Sentinel Kosten Berechnung - Warum das Sizing mittlerweile Rocket Science gleicht...

Sun, 12 Apr 2026 00:00:00 GMT

Ich beschäftige mich seit Jahren mit Microsoft Sentinel - als Lead Architect Security bei base-IT setze ich die Microsoft SIEM & SOAR Lösung regelmäßig bei Kunden ein. Und wenn ich eines gelernt habe, dann das: Die Kostenberechnung für Sentinel ist mittlerweile der komplexeste Part des gesamten Deployments.

Das klingt übertrieben? Ist es leider nicht. Wir reden hier nicht mehr von einem simplen GB × Preis-Modell (also ja - im Prinzip schon aber...). Wir reden von einem System mit ineinander verschachtelten Optimierungsebenen, bei dem ein falscher Dreh an der einen Stellschraube die andere invalidieren kann.

Ich kenne kaum jemanden, der seine Sentinel-Kosten wirklich bis ins Detail versteht. Die meisten nehmen den Pay-As-You-Go Preis und hoffen, dass es schon passen wird. Hier in diesem Artikel soll dieses "Geheimnis" gelöst werden. Falls Du trotz allem Hilfe benötigst, bitte zögere nicht weiter und melde dich bei mir.

Das Grundproblem: Zu viele Variablen

Wenn mich jemand fragt: "Was kostet uns Sentinel?", ist meine ehrliche Antwort: Es kommt drauf an. Und zwar auf deutlich mehr Faktoren als man vermuten würde...

Die offensichtlichen Variablen

Anzahl der User - bestimmt Sign-In Logs, Entra Audit Logs, Collaboration-Daten, Business Applikationen und vieles mehr
Anzahl der Server - Windows Event Logs, Security Event Logs, Syslog, Performance Counter
Netzwerkgeräte - Firewalls, Switches, Access Points, NAC
DNS/DHCP-Infrastruktur - oft der volumenmäßig größte Log-Producer überhaupt aber trotz allem eine sehr interessante Log Source
Proxy/SWG - Web-Traffic-Logs können schnell mehrere GB/Tag pro 1.000 User generieren und bieten vergleichsweise wenig Mehrwert

Die weniger offensichtlichen Variablen

Lizenzierung - Ist M365 E5 oder E5 Defender Suite im Einsatz? Das aktiviert einen von vielen Microsoft Ingest Benefits.
Microsoft Defender for Cloud - Ist Plan 2 für Server aktiv? Auch das hat direkte Auswirkungen auf die Ingestion-Kosten.
Log-Verbosity - Ein Domain Controller produziert signifikant mehr Event Logs als ein Standard-Server.
Non-Interactive Sign-Ins - Token Refreshes und Silent SSO machen typischerweise das 3-10-fache des interaktiven Sign-In-Volumens aus.
Tageszeit - Ja, auch das spielt eine Rolle. Die Log-Verteilung über 24 Stunden ist nicht gleichmäßig und am Wochenende sieht's natürlich nochmal anders aus

Die möglichen Ebenen der Kostenoptimierung

Was die Sache wirklich komplex macht: Es gibt nicht einen Preis. Es gibt mehrere Benefits und Optimierungsmöglichkeiten, die aufeinander aufbauen. Jede Stufe reduziert die Kosten - aber nur wenn man sie kennt und richtig einsetzt.

Schritt 1: Brutto-Volumen berechnen

Der erste Schritt ist noch vergleichsweise einfach: Man muss das tägliche Brutto-Ingestion-Volumen pro Kategorie schätzen. Also wieviel GB/Tag die einzelnen Quellen produzieren werden.

Klingt trivial, ist es aber nicht. Denn wer hat schon Ahnung, wieviel Daten die eigene Infrastruktur tatsächlich produziert. Und Microsofts eigene Schätzungen sind... optimistisch formuliert: selten akkurat (oder nicht existent).

Meine Erfahrungswerte aus diversen Projekten:

Log-Kategorie	Typischer Treiber	Größenordnung
Sign-In Logs	pro User/Tag	15-50 MB (interaktiv + non-interaktiv)
Control Plane (Entra Audit)	pro User/Tag	3-8 MB
Windows Event Logs	pro Server/Tag	200-500 MB (DC: 500-2000 MB)
Firewall	pro FW/Tag	stark variierend, 500 MB - 50 GB
DNS	pro DNS-Server/Tag	1-20 GB
Proxy/SWG	pro 1.000 User/Tag	2-10 GB

DNS & DHCP-Logs sind der Klassiker: Kaum jemand rechnet damit, dass ein einzelner DNS/DHCP-Server mehrere GB pro Tag produzieren kann. Das sind oft die teuersten „Überraschungen" in der ersten Monatsrechnung. Gleiches gilt natürlich für Firewall Logs.

Schritt 2: Kostenlose Datenquellen abziehen

Was viele nicht wissen: Einige Datenquellen sind in Sentinel komplett kostenlos. Das steht zwar in der Microsoft Dokumentation, wird aber in Sizings erstaunlich oft vergessen.

Folgende Quellen kosten nichts:

Azure Activity Logs (AzureActivity Tabelle) - sämtliche Control Plane Aktivitäten der Azure-Subscriptions
Office 365 Audit Logs (OfficeActivity Tabelle) - SharePoint, Exchange, Teams Aktivitäten
Security Alerts (SecurityAlert Tabelle) - Alerts aus Defender XDR, Defender for Cloud, Defender for Identity, MDE, MDCA, MDO

Das sind je nach Umgebung schnell 15-30% des Gesamtvolumens, die einfach wegfallen. Bei einem Kunden mit primär Cloud-Workloads und M365 kann das sogar noch mehr sein.

Schritt 3: Der M365 E5 Security Benefit

Und hier wird es richtig interessant. Kunden mit Microsoft 365 E5 oder E5 Defender Suite Add-on erhalten einen Data Grant von 5 MB pro User pro Tag für bestimmte Sentinel-Datenquellen.

Das klingt wenig - ist es aber nicht. Bei 1.000 Usern sind das 5 GB/Tag, die von folgenden Quellen abgezogen werden:

Entra ID Sign-In und Audit Logs
Microsoft Defender for Cloud Apps (MDCA)
Microsoft Purview Information Protection
M365 Advanced Hunting Daten (Defender XDR)

Bei einem Pay-As-You-Go Preis von €4,80/GB (EU West Region) sind das €24/Tag oder €720/Monat Ersparnis - nur durch den E5-Benefit. Bei 5.000 Usern reden wir von €3.600/Monat.

Schritt 4: Defender for Servers P2 Benefit

Wer Microsoft Defender for Cloud Plan 2 aktiviert hat, bekommt zusätzlich einen Ingestion Benefit von 500 MB pro Server pro Tag.

Dieser Benefit gilt für spezifische Security-Tabellen:

SecurityEvent / WindowsEvent
SecurityAlert / SecurityBaseline
WindowsFirewall / ProtectionStatus
Update / UpdateSummary

Wichtig: Das Upgrade von Defender for Cloud P1 auf P2 kostet ca. €10/Server/Monat. Ob sich das rechnet, hängt direkt davon ab, wieviel eligible Daten die Server tatsächlich produzieren.

Die Rechnung sieht vereinfacht so aus:

Ein Windows Server produziert typischerweise 200-500 MB/Tag an eligible Events (DCs natürlich mehr)
Der Benefit deckt 500 MB/Tag ab → das meiste ist abgedeckt
Die Ersparnis bei €4,80/GB: ca. €1-2,40/Server/Tag = €30-72/Server/Monat
Abzüglich der €10/Monat Upgradekosten: Netto €20-62/Server/Monat Ersparnis

Bei 50 Windows Servern kann das eine Ersparnis von €1.000-3.000/Monat bedeuten. Das ist signifikant.

Schritt 5: Auxiliary Logs / Data Lake Tier

Das ist - meiner Meinung nach - eins der besten Features, die Microsoft 2026 eingeführt hat und das Pricing-Modell nochmal deutlich komplexer gemacht hat.

Die Idee: Nicht alle Logs brauchen Real-Time Detection im Analytics Tier. Manche Log-Quellen haben ein extrem hohes Volumen, sind aber primär für Threat Hunting und Forensik relevant - nicht für Echtzeit-Alerting.

Für genau diese Daten gibt es den Data Lake Tier (früher "Auxiliary Logs") mit einem drastisch reduzierten Preis von ca. €0,40/GB (die Kalkulation davon wäre nochmal einen eigenen Blogartikel wert...) statt €4,80/GB im Analytics Tier.

Typische Kandidaten für den Data Lake Tier:

Log-Quelle	Warum Data Lake?
DNS/DHCP Logs	Extrem hohes Volumen, selten für Real-Time Detection benötigt
Proxy/SWG Logs	Summary/Block-Events in Analytics, der Rest in den Data Lake
Firewall Allow-Traffic	Deny/Threat-Logs in Analytics, Allow-Traffic in den Data Lake
NAC/Switch Logs	Auth-Failures in Analytics, Port-Events in den Data Lake
Non-Interactive Sign-Ins	Token Refreshes brauchen selten Real-Time Detection

Der Trick dabei: Man teilt den Traffic einer Quelle auf - z.B. im Verhältnis 1:6 für DNS (1 Teil Analytics, 6 Teile Data Lake). Damit behält man die Detection-Fähigkeit für kritische Events, spart aber massiv bei den High-Volume-Daten.

Rechenbeispiel:

Ein DNS-Server produziert 3 GB/Tag
Alles im Analytics Tier: 3 × €4,80 = €14,40/Tag
Split 1:6 → 0,5 GB Analytics + 3 GB Data Lake: (0,5 × €4,80) + (3 × €0,40) = €3,60/Tag
Ersparnis: 75% für diese eine Quelle

Microsoft selbst empfiehlt den Data Lake Tier explizit für „lower fidelity or secondary security data" - siehe die offizielle Dokumentation.

Schritt 6: Commitment Tiers & Pre-Purchase Plans

Wer nach Schritt 1-5 sein tatsächliches Analytics-Tier-Volumen kennt, kann mit Commitment Tiers zusätzlich sparen. Statt Pay-As-You-Go bucht man ein festes Tagesvolumen und bekommt dafür einen Mengenrabatt.

Die Tiers starten bei 50 GB/Tag (Achtung - voraussichtlich nur mehr temporär verfügbar) und bieten je nach Volumen Rabatte bis über 50% gegenüber PAYG. Der Haken: Man zahlt das Commitment auch wenn man weniger verbraucht. Deshalb ist es kritisch, das Volumen nach den Optimierungsschritten 2-5 zu kennen, bevor man sich committet.

Zusätzlich gibt es seit 2024 Pre-Purchase Plans: Man kauft vorab Sentinel Commit Units (CUs) mit einem sehr guten Rabatt (abhängig von Azure Region - aber teilweise bis zu 20-30%) und verrechnet sie über 12 Monate. Diese CUs gelten allerdings nur für den Analytics Tier - Data Lake Tier wird hiermit nicht abgedeckt.

Warum ein Excel-Sheet nicht mehr reicht

Wenn man sich diese Möglichkeiten ansieht, wird klar: Die Berechnung ist ein mehrdimensionales Optimierungsproblem.

Die Schritte sind nicht unabhängig voneinander. Sowohl der E5-Benefit als auch der MDC P2-Benefit reduzieren das Volumen, das in den Data Lake verschoben werden kann. Die Logquellen, welche Sinn für den Ingest in das Data Lake Tier zu machen, zu identifizieren und wieviele Kosten dies verursachen würde, ist schwierig. Und das finale Analytics-Volumen bestimmt, welcher Commitment Tier und Pre-Purchase Plan sinnvoll ist.

Wenn man dann noch berücksichtigt, dass:

Jede Log-Kategorie ihren eigenen Volumenfaktor hat
Free Sources und der E5 Benefit nur bestimmte Tabellen betreffen
MDC P2 nur Windows-basierte (keine Syslog) Events abdeckt
Der Data Lake Split pro Quelle (und sogar noch granularer) konfigurierbar ist
Commitment Tiers ein Minimum haben, das man auch bei Unterschreitung zahlt

...dann hat man ein System mit dutzenden voneinander abhängigen Variablen. Das ist mit einem einfachen Spreadsheet kaum noch sauber abbildbar - und schon gar nicht intuitiv für jemanden, der das zum ersten Mal macht.

Fazit: Es braucht ein besseres Tool

Die Realität ist: Die meisten Sizing-Gespräche, die ich führe, laufen nach dem gleichen Muster ab. Man schätzt grob, nimmt den PAYG-Preis, und wundert sich dann über die erste Rechnung. Oder man optimiert an einer Stelle, übersieht aber eine andere - und zahlt am Ende mehr als nötig.

Was fehlt, ist ein Tool, das alle diese Variablen zusammenbringt. Das die Abhängigkeiten versteht. Das zeigt, welche Optimierung sich bei genau dieser Umgebung lohnt und welche nicht. Und das die Ergebnisse so aufbereitet, dass man sie direkt in ein Angebot oder eine Architekturentscheidung übernehmen kann.

Sneak Peek: Genau an so einem Tool arbeite ich gerade. Ein Sentinel Ingest Calculator, der alle Benefits & Optimierungsmöglichkeitenabbildet - von der Brutto-Berechnung über Free Sources, E5, MDC P2 und Data Lake bis hin zu Commitment Tiers und Pre-Purchase Plans. Inklusive ROI-Berechnung für MDC P2, Waterfall-Visualisierung und PDF-Export eines "Commercial Proposals".

Das Tool wird demnächst kostenfrei veröffentlicht - stay tuned. 🚀

Log-Quellen konfigurieren: Kategorien, Multiplikatoren und Tagesvolumen auf einen Blick

Waterfall-Visualisierung: Kostenreduktion Schritt für Schritt über alle Benefit-Stufen

Ergebnis: Finale Kostenübersicht mit Commitment Tiers und Gesamtersparnis

Die wichtigsten Quellen zum Nachlesen

Für alle, die tiefer einsteigen wollen, hier die Microsoft-Dokumentation, die ich als essentiell erachte:

Plan costs and understand Microsoft Sentinel pricing and billing - der Startpunkt für alles
Reduce costs for Microsoft Sentinel - Commitment Tiers, Data Lake, Pre-Purchase
Free data sources - welche Tabellen kostenlos sind
Defender for Servers P2 Ingestion Benefit - der 500 MB/Server/Tag Benefit
Switch to simplified pricing tiers - seit Juli 2023 das neue Unified Pricing
Pre-Purchase Plans - CU-basierte Vorab-Rabatte
Data tiers and retention - Analytics vs. Data Lake vs. Archive

Hast du Fragen zur Sentinel-Kostenberechnung oder zu den Optimierungsmöglichkeiten? Schreib mir auf LinkedIn oder per E-Mail.

whennotif.io