Microsoft Sentinel verursacht unerwartet höhere Kosten

Cedric Gebistorf 18. November 2025

Blogbeitrag anhören

0:00 / 0:00

In Kürze

Am 2. April 2025 kündigte Microsoft an, die Sentinel Threat-Intelligence-Daten in neue Tabellen mit geändertem Format zu überführen. Was zunächst wie eine technische Verbesserung klang, führte jedoch zu erheblichen Konsequenzen. Mit dem neuen System wurden mehr als dreimal so viele Daten in Sentinel eingespeist und entsprechend verrechnet - ohne Information oder Zustimmung der Kunden.

Unser SOC-Team erkannte die Unstimmigkeiten frühzeitig und eröffnete umgehend einen Support-Fall bei Microsoft. Im Verlauf gestand Microsoft den Fehler ein und es wurde eine Filtermöglichkeit für die Datenimplementierung bereitgestellt. Diese reduziert zwar die Kosten, schränkt jedoch gleichzeitig die Vollständigkeit und Nützlichkeit der Daten ein. Ein offizielles Statement von Microsoft liegt bislang nicht vor.

Tags: News IT Sicherheit SOC Security Operations Center SOC Schutz

Hintergrund

Mit der Ankündigung vom 2. April 2025 informierte Microsoft über den Übergang von der Azure Sentinel Tabelle ThreatIntelligenceIndicators hin zu den neuen Tabellen ThreatIntelObjects und ThreatIntelIndicators. Dieser Übergang würde im Mai 2025 starten und ab August 2025 würden Daten ausschliesslich in diesen neuen Tabellen gespeichert werden. Gleichzeitig erfolgte eine Umstellung auf das standardisierte STIX-Format, das eine effizientere Datenhandhabung und erweiterte Funktionalitäten ermöglichen soll.

Konsequenzen

Offiziell bedeutete die Umstellung lediglich, dass Anpassungen an den eigens entwickelten Analytics Regeln in Azure Sentinel erforderlich wurden. Nicht kommuniziert wurde jedoch, dass dadurch mehr als das Dreifache an Datenvolumen entstand (siehe Abbildung 1). Dies führte unmittelbar zu deutlich höheren Rechnungen.

Vergleich der Menge an Daten in der alten Tabelle (rot) und der neuen Tabellen (blau).

Reaktion unseres SOC und Microsoft

Unser SOC stellte die Auffälligkeiten am 6. Mai fest, also weniger als eine Woche nach der Einführung der neuen Tabelle und noch vor Erhalt der ersten erhöhten Rechnung. Grundlage dafür waren eigene Überwachungsregeln, welche im Rahmen unseres «Leuchter IT Cyber Security Active Detection» Services bei unseren Kunden im Einsatz sind. Diese Services überwachen unter anderem die Datenmengen, welche ins Sentinel eingespeist werden, und alarmieren unser SOC, sollten Kundenspezifische Schwellwerte überschritten werden.

Daraufhin wurde ein Support-Fall bei Microsoft eröffnet. Dort wurde Seitens Microsoft bestätigt, dass sie sich dem Problem bewusst sind. Dennoch blieb ein öffentliches Statement aus, und die erhöhten Datenvolumina wurden weiterhin allen Kunden in Rechnung gestellt.

Am 21. Juli, über zwei Monate später, veröffentlichte Microsoft eine Lösung: In Sentinel können seither sogenannte Transformations für diese Tabelle erstellt werden, mit denen die eingespeisten Daten gefiltert werden können (siehe Abbildung).

Ausschnitt: Neue Option von Microsoft, mit welcher die eingespeisten Daten gefiltert werden können

Abbildung 1: Vergleich der Menge an Daten in der alten Tabelle (rot) und der neuen Tabellen (blau).

Diese Lösung senkt zwar die Kosten, reduziert jedoch gleichzeitig die Datenbasis und damit den Nutzen.

Fazit

Microsoft hat ohne vorherige Kundeninformation und ohne Opt-Out-Möglichkeit das Datenvolumen bei allen Kunden erhöht, was zu zusätzlichen Kosten führt. Da bislang kein offizielles Statement veröffentlicht wurde, werden die meisten Microsoft-Kunden von dieser Änderung nichts erfahren und im Stillen erhöhte Rechnungen erhalten. Das Leuchter SOC-Team analysiert derzeit, wie die Transformation der Sentinel-Tabellen angepasst werden kann, um das Datenvolumen wieder auf das ursprüngliche Niveau zu reduzieren, ohne die Sicherheit zu beeinträchtigen.

Die unerwarteten Mehrkosten von rund 15 CHF pro Instanz und Monat werfen Fragen zur Transparenz solcher Serviceanpassungen auf. Allein für Leuchter-Kunden summieren sich die monatlichen Mehrkosten auf mehreren Hundert Franken. Hochgerechnet auf alle Sentinel-Kunden weltweit dürfte dies zu erheblichen zusätzlichen Einnahmen für Microsoft führen.