TCO SIEM SaaS vs on-premise: 200 servere și 10k events/sec, cifre pe 3 ani
Datadog, Splunk Cloud, Sentinel — sau stack open-source on-prem. Pentru un parc de 200 servere care produce 10k events/sec, comparația financiară pe 3 ani cu hidden costs incluse.
TCO SIEM SaaS vs on-premise: 200 servere și 10k events/sec, cifre pe 3 ani
TL;DR
- Pentru un parc de 200 servere cu 10k events/sec sustained și 200 GB/zi log volume, TCO 3 ani diferă semnificativ între opțiunile principale.
- SaaS (Datadog, Splunk Cloud, Microsoft Sentinel): 400.000-700.000 EUR pe 3 ani.
- On-premise stack (Graylog + Wazuh + Prometheus + Suricata + Zeek): 80.000-180.000 EUR pe 3 ani.
- Diferența nu e doar prețul listă — sunt și hidden costs SaaS (egress, retention, premium features) plus risc Schrems II pentru EU customers.
- On-premise cere CapEx initial + 0.5-1 FTE ops; SaaS e pure OpEx dar imprevizibil la renewal.
- Pentru clienți reglementați (NIS2, GDPR sensibil, juridic), on-premise e adesea unică opțiune compatibilă cu compliance.
Decizia SIEM e una dintre cele mai mari achiziții IT pentru un mid-market. Greșirea ei costă 200-400K EUR pe 3 ani și — mai grav — încarcă cu lock-in care e greu de rupt. Acest articol cuantifică TCO real pentru profilul tipic al unui mid-market activ — 200 servere, 10k events/sec, retention 12 luni.
Profilul de comparație
Setup-ul comun pentru cifre:
- 200 servere mixte Linux+Windows.
- 10.000 events/sec sustained, 25.000 peak.
- 200 GB/zi log ingest agregat (apps + sistem + securitate + network).
- Retenție: 12 luni online + 24 luni archive.
- Reglementare: GDPR + posibil NIS2.
- Echipă SecOps: 1-2 persoane cu alte responsabilități.
Adresăm patru opțiuni:
- Datadog Cloud SIEM (SaaS US-headquartered).
- Splunk Cloud (SaaS US-headquartered, acum Cisco).
- Microsoft Sentinel (SaaS pe Azure, EU regions disponibile).
- On-premise stack open-source — Graylog + Wazuh + Prometheus + Suricata + Zeek, ca în AEGIS.
Datadog Cloud SIEM — TCO 3 ani
Datadog folosește două scheme de pricing:
- Logs: pe GB ingerat și retention selectat (15 zile vs 30 vs 90 zile).
- Cloud SIEM: separat, pe analyzed events.
Cifre tipice 2026:
- Log ingest cu 30-day retention: 0.10-0.25 USD/GB.
- Cloud SIEM: 0.40-0.60 USD/million events analyzed.
- Egress din cloud propriu către Datadog: variabil, 0.05-0.10 USD/GB.
Calcul 3 ani:
- Log ingest: 200 GB/zi × 365 × 3 × 0.20 USD = 43.800 USD (cu 30 zile hot retention).
- Cloud SIEM: 10.000 events/sec × 86.400 × 365 × 3 × 0.50 / 1.000.000 = 472.500 USD.
- Egress: ~10K USD/an × 3 = 30.000 USD.
- Personal Datadog admin (part-time): 30K EUR/an × 3 = 90.000 EUR.
Total Datadog 3 ani: ~600.000 EUR (550.000 USD + 90K EUR personal).
Hidden costs adiționale:
- Long-term archive (>90 zile) cere stockare separată cu reactivation cost la search.
- Custom dashboards complexe pot adăuga la billing pe alte produse Datadog.
- Renewal cu inflație 15-25% an la an documentată în industry forums.
Splunk Cloud — TCO 3 ani
Splunk Cloud are pricing per GB ingestion sau per workload. Pentru 200 GB/zi:
Cifre tipice 2026:
- 200 GB/zi ingest: ~12.000-18.000 USD/lună workload pricing.
- Retention 12 luni online: cost adițional ~30-50% peste ingest pricing.
- Egress: similar, 0.05-0.10 USD/GB.
Calcul 3 ani:
- Subscription: 15.000 USD/lună × 36 = 540.000 USD.
- Retention surcharge: ~150.000 USD.
- Egress + premium apps: ~50.000 USD.
- Personal: 50K EUR/an × 3 = 150K EUR.
Total Splunk Cloud 3 ani: ~800.000 EUR (740.000 USD + 150K EUR personal).
Hidden costs:
- Volum-based pricing penalizează creșterea organică.
- Apps premium din Splunkbase au costuri adiționale.
- Migrarea de la Splunk e proiect 6-12 luni dacă vrei să schimbi.
Microsoft Sentinel — TCO 3 ani
Sentinel este SIEM-ul Microsoft pe Azure, cu integrare nativă cu Microsoft 365, Defender, Entra ID. Pricing pe GB ingerat în Log Analytics.
Cifre tipice 2026:
- Log Analytics ingest: ~2.30 USD/GB pentru 100-300 GB/zi tier.
- Sentinel analytics: ~2.00 USD/GB peste ingest.
- Retention >90 zile: ~0.10 USD/GB/lună.
Calcul 3 ani:
- Log ingest: 200 GB/zi × 365 × 3 × 4.30 USD = 941.700 USD.
- Long-term retention (90+ zile): ~50K USD pe 3 ani.
- Personal Sentinel admin: 40K EUR/an × 3 = 120K EUR.
Total Sentinel 3 ani: ~1.020.000 EUR (~990K USD + 120K EUR personal).
Sentinel poate fi mai eficient dacă deja folosiți Microsoft 365 E5 (Defender e inclus, log-uri de Microsoft sunt “gratis” în Sentinel). Pentru un client greenfield e cea mai scumpă opțiune.
Hidden costs:
- Bandwidth Azure egress între regions sau către on-prem.
- Reservation pricing scade costul ~30% dar locks-in pe 1-3 ani.
- Schrems II — chiar și cu EU regions, sub-procesoare US.
On-premise stack open-source — TCO 3 ani
Stack AEGIS — Graylog + OpenSearch + MongoDB + Wazuh + Prometheus + Grafana + Suricata + Zeek + LLM local.
Hardware (CapEx anul 1):
- 5 VM-uri (40 vCPU + 64 GB RAM + 800 GB storage cumulat): ~25K EUR pe infrastructură virtualizare existentă; 50K EUR dacă cumpărați servere noi dedicate.
- 1 GPU enterprise (A100 sau echivalent open) pentru AI triage: 15-25K EUR amortizat 3 ani.
- Server dedicat monitoring traffic (Suricata + Zeek): 8-12K EUR.
- Network tap pentru span: 2-5K EUR.
Software: 0 EUR. Tot stack-ul e open-source (Apache 2.0, AGPL, BSD, SSPL pentru Graylog Open).
Operational (OpEx anual):
- Energie + cooling în DC: 3-5K EUR/an.
- 0.5-1 FTE part-time pentru ops, tuning, on-call: 30-60K EUR/an.
- Suport opțional Graylog Operations: 5-10K EUR/an.
Calcul 3 ani:
- CapEx hardware: 50-90K EUR (amortizat).
- OpEx: 35-75K EUR/an × 3 = 105-225K EUR.
- Setup inițial (consultanță, deployment, tuning): 20-40K EUR an 1.
Total on-premise 3 ani: ~150.000-300.000 EUR.
Cu setup minimalist (echipă internă matură, fără consultanță, hardware existent): poate scădea la 80-150K EUR.
Comparație directă
| Opțiune | TCO 3 ani | Schrems II | Lock-in | Predictibilitate | Effort intern |
|---|---|---|---|---|---|
| Datadog | ~600K EUR | Da, US vendor | Mare | Mediu (renewal +20%/an) | Mic |
| Splunk Cloud | ~800K EUR | Da, US vendor | Mare | Mediu | Mic |
| Sentinel | ~1.020K EUR | Mediu (sub-proc US) | Mare | Mediu | Mic |
| On-premise | ~80-300K EUR | Nu | Mic | Mare | Mediu |
Hidden costs care nu apar în calcul
SaaS — surprize la renewal. După 12-24 luni, vendor-ul cere preț crescut (15-40%). Negocierea consumă timp. Migrarea către alt vendor consumă 6-12 luni. Practic ești captiv.
SaaS — egress egal log volume. Cu 200 GB/zi de log-uri trimise către vendor, ești la 73 TB/an upload. La cloud egress de 0.05-0.10 USD/GB, sunt 4-7K USD/an doar pentru bandwidth.
SaaS — Schrems II disclosure. Pentru clienți EU reglementați (NIS2, financiar, juridic, public sector), folosirea unui SIEM US-headquartered cere DPIA, additional safeguards, sau acceptarea risc legal. Vezi De ce nu Auth0 — Schrems II pentru detalii.
On-premise — capacitate internă. Cere 0.5-1 FTE part-time. Pentru un SMB fără SecOps existent, poate fi un blocant. Outsourcing parțial (managed AEGIS) e o variantă.
On-premise — fereastra de migrare. Setup-ul inițial e 4-12 săptămâni. Pe parcurs, vechi sistem trebuie să ruleze paralel. Cost dual cale lună 2-3.
Decizia per profil
Startup tech, fără compliance strict, capacitate internă mică: SaaS justificat. Datadog optim pentru observability + SIEM combinat. Acceptă cost dacă timpul de la zero la valoare e critic.
Mid-market, parc 100-300 servere, compliance moderată: Decizie mixtă. Pentru segmentul cel mai mare, on-premise produce ROI clar peste 18 luni. Sentinel justificat doar dacă deja sunteți full Microsoft 365 E5.
Mid-market reglementat, NIS2 critical, financiar/juridic: On-premise predominant. SaaS US fail Schrems II. Sentinel cu EU regions e marginal acceptabil dar lock-in mare.
Enterprise mature, threat hunting matur, capacitate internă mare: On-premise pentru date sensibile + SaaS pentru corelare cross-org. Hybrid e fezabil.
Argumente non-financiare
Costul nu e singurul factor. Pentru organizații reglementate, suveranitatea datelor și controlul intern al stack-ului SecOps pot conta mai mult decât diferența de TCO.
Suveranitate. Log-urile rămân fizic în infrastructura clientului. Nicio dependență de geopolitică, de schimbări de termeni la vendor, de outage la furnizor.
Auditabilitate. Open-source = cod sursă deschis. Auditorii pot verifica exact ce face stack-ul. SaaS = black box pe care îl tratezi cu trust.
Adaptabilitate. Reguli custom, parsers custom, integrări exotice. On-premise permite. SaaS permite mai puțin.
Capacitate internă. Echipa câștigă expertize transferabilă. Cu SaaS, expertize e bound de produs.
Articole conexe
- Graylog vs Splunk pentru SMB de 50-500 servere: TCO 3 ani și capcanele de scaling
- SIEM on-premise cu LLM local: AI incident analysis fără să spargi confidențialitatea
- AI incident analysis cu LLM local: pattern de triaj de la 30 minute la 30 secunde
- Implementation NIS2 — checklist operațional pentru entități esențiale și importante
- Pillar AEGIS — SIEM on-premise cu AI local
Pași următori
Pentru un workshop de 4-8 ore cu CFO + CTO pentru calcularea TCO specific organizației dvs., vedeți AEGIS sau scrieți la contact. Calculul detaliat cere date concrete pe volum log, retenție, profil hardware existent.
Articole conexe: Graylog vs Splunk pentru SMB · SIEM on-premise cu LLM local · De ce nu Auth0 — Schrems II.