Dienstgrenzwerte für Microsoft Sentinel
In diesem Artikel sind die häufigsten Dienstgrenzwerte aufgeführt, denen Sie bei Verwendung von Microsoft Sentinel unter Umständen begegnen. Weitere Grenzwerte, die sich auf von Ihnen verwendete Dienste oder Features auswirken, wie z. B. Azure Monitor, finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.
Grenzwerte für Analyseregeln
Der folgende Grenzwert gilt für Analyseregeln in Microsoft Sentinel:
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Anzahl der aktivierten Regeln | 512 Regeln | Keine |
| Anzahl von Quasi-Echtzeit-Regeln (Near-Real-Time, NRT) | 50 NRT-Regeln | Keine |
| Entitätszuordnungen | 10 Zuordnungen pro Regel | Keine |
| Pro Warnung identifizierte Entitäten (Gleichmäßig auf die zugeordneten Entitäten aufgeteilt) |
500 Entitäten pro Warnung | Keine |
| Kumulatives Größenlimit für Entitäten | 64 KB | Keine |
| Benutzerdefinierte Details | 20 Details pro Regel 50 Werte pro Detail 2 KB kumulierte Größe |
Keine |
| Warnungsdetails | 50 Werte pro überschriebenes Feld 5 KB pro Feld für Description und Sammlungen256 Byte pro Feld für AlertName und Nichtsammlungen |
Keine |
| Warnungen pro Regel Gilt, wenn die Ereignisgruppierung auf Warnung für jedes Ereignis auslösen festgelegt ist. |
150 Warnungen | Keine |
| Warnungen pro Regel für NRT-Regeln | 30 Warnungen | Keine |
Grenzwerte für Suchen
Die folgenden Grenzwerte gelten für Suchen in Microsoft Sentinel.
| Beschreibung | Begrenzung | Abhängigkeit |
|---|---|---|
| Anzahl von Suchen | 100 | Keine |
Grenzwerte für Vorfälle
Die folgenden Grenzwerte gelten für Vorfälle in Microsoft Sentinel:
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Verfügbarkeit der Untersuchungsoberfläche | 90 Tage nach der letzten Aktualisierung von Vorfällen | Keine |
| Anzahl der Warnungen | 150 Warnungen | Keine |
| Anzahl von Automatisierungsregeln | 512 Regeln | Keine |
| Anzahl von Automatisierungsregelaktionen | 20 Aktionen | Keine |
| Anzahl von Automatisierungsregelbedingungen | 50 Bedingungen | Keine |
| Anzahl der Lesezeichen | 20 Lesezeichen | Keine |
| Anzahl der Zeichen für den Namen der Automatisierungsregel | 500 Zeichen | Keine |
| Anzahl der Zeichen für die Beschreibung | 5\.000 Zeichen | Keine |
| Anzahl der Zeichen pro Kommentar | 30,000 Zeichen | Keine |
| Anzahl der Kommentare pro Vorfall | 100 Kommentare | Keine |
| Anzahl von Aufgaben | 40 Vorgänge | Keine |
| Anzahl von Incidents, die von der API auf die Anforderung list zurückgegeben werden | Maximal 1,000 Vorfälle | Keine |
| Anzahl der Vorfälle pro Tag (pro Arbeitsbereich) | Siehe Erläuterung nach Tabelle | Datenbankkapazität |
Anzahl der Vorfälle pro Tag: Es gibt kein formelles, hartes Limit für die Anzahl der Vorfälle, die pro Tag erstellt werden können. Die tatsächliche Kapazität eines Arbeitsbereichs für Vorfälle hängt von der Speicherkapazität der Vorfalldatenbank ab, sodass die Größe der Vorfälle so viel wie ihre Anzahl ist.
Ein SOC, der die Erstellung von mehr als um die 3.000 neuen Vorfällen pro Tag erlebt, wird höchstwahrscheinlich nicht in der Lage sein, mit der Situation Schritt zu halten, und die Datenbankkapazität wird schnell erschöpft sein. In dieser Situation muss die SOC alle Regeln finden und beheben, die eine große Anzahl von Vorfällen erstellen, um die Anzahl der täglichen neuen Vorfälle auf verwaltbare Ebenen zu erhalten.
Auf maschinellem Lernen basierende Grenzwerte
Die folgenden Grenzwerte gelten für auf maschinellem Lernen basierende Funktionen in Microsoft Sentinel wie anpassbare Anomalien und Fusion.
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Anzahl der Anomalien, die pro Anomalietyp veröffentlicht wurden | Erste 3.000, sortiert nach Anomaliebewertung | Keine |
| Anzahl der Warnungen und/oder Anomalien in einem einzelnen Fusion-Vorfall | 100 Warnungen und/oder Anomalien | Keine |
Grenzwerte für mehrere Arbeitsbereiche
Der folgende Grenzwert gilt für mehrere Arbeitsbereiche in Microsoft Sentinel. Hier werden Grenzwerte angewendet, wenn Sie mit Sentinel-Features in mehreren Arbeitsbereichen gleichzeitig arbeiten.
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Vorfallansicht | 100 gleichzeitig angezeigte Arbeitsbereiche | |
| Protokollabfrage | 100 Sentinel-Arbeitsbereiche | Log Analytics |
| Analyseregeln | 20 Sentinel-Arbeitsbereiche pro Abfrage |
Grenzwerte für Notebooks
Die folgenden Grenzwerte gelten für Notebooks in Microsoft Sentinel. Die Grenzwerte beziehen sich auf die Abhängigkeiten von anderen Diensten, die von Notebooks verwendet werden.
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Gesamtanzahl dieser Ressourcen pro Arbeitsbereich für maschinelles Lernen: Datasets, Ausführungen, Modelle und Artefakte | 10 Millionen Ressourcen | Azure Machine Learning |
| Standardgrenzwert für die Gesamtcomputecluster pro Region. Der Grenzwert wird zwischen einem Trainingscluster und einer Compute-Instanz geteilt. Eine Compute-Instanz wird in Bezug auf Kontingente als Cluster mit nur einem Knoten angesehen. | 200 Computecluster pro Region | Azure Machine Learning |
| Speicherkonten pro Region und Abonnement | 250 Speicherkonten | Azure Storage |
| Standardmäßige maximale Größe einer Dateifreigabe | 5 TB | Azure Storage |
| Maximale Größe einer Dateifreigabe mit aktiviertem Feature für große Dateifreigaben | 100 TB | Azure Storage |
| Standardmäßiger maximaler Durchsatz (Eingehend + Ausgehend) für eine einzelne Dateifreigabe | 60 MB/s | Azure Storage |
| Maximaler Durchsatz (Eingehend + Ausgehend) für eine einzelne Dateifreigabe mit aktiviertem Feature für große Dateifreigaben | 300 MB/s | Azure Storage |
Grenzwerte für Repositorys
Die folgenden Grenzwerte gelten für Repositorys in Microsoft Sentinel:
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Anzahl von Repositorys | 5 | Sentinel-Arbeitsbereich |
| Bereitstellungsverlauf | 800 | Azure-Ressourcengruppe |
Threat Intelligence-Grenzwerte
Der folgende Grenzwert gilt für Threat Intelligence in Microsoft Sentinel. Der Grenzwert bezieht sich auf die Abhängigkeit von einer API, die von Threat Intelligence verwendet wird.
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Indikatoren pro Aufruf, die die Graph-Sicherheits-API verwenden | 100 Indikatoren | Microsoft Graph-Sicherheits-API |
| Importgröße der CSV-Indikatordatei | 50 MB | none |
| Importgröße der JSON-Indikatordatei | 250 MB | Keine |
Grenzwerte für die Uploadindikatoren-API der TI
Der folgende Grenzwert gilt für die Uploadindikatoren-API der Threat Intelligence in Microsoft Sentinel.
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Indikatoren pro Anforderung | 100 Indikatoren | |
| Anforderungen pro Minute | 100 |
UEBA-Grenzwerte (User and Entity Behavior Analytics, Verhaltensanalysen für Benutzer und Entitäten)
Der folgende Grenzwert gilt für UEBA in Microsoft Sentinel. Der Grenzwert für UEBA in Microsoft Sentinel hängt von den Abhängigkeiten von einem anderen Dienst ab.
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Niedrigste Aufbewahrungskonfiguration in Tagen für die IdentityInfo-Tabelle. Alle Daten, die in der IdentityInfo-Tabelle in Log Analytics gespeichert sind, werden alle 14 Tage aktualisiert. | 14 Tage | Log Analytics |
Grenzwerte für Watchlists
Die folgenden Grenzwerte gelten für Watchlists in Microsoft Sentinel. Die Grenzwerte beziehen sich auf die Abhängigkeiten von anderen Diensten, die von Watchlists verwendet werden.
| BESCHREIBUNG | Begrenzung | Abhängigkeit |
|---|---|---|
| Uploadgröße für lokale Datei | 3,8 MB pro Datei | Azure Resource Manager |
| Zeileneintrag in der CSV-Datei | 10.240 Zeichen pro Zeile | Azure Resource Manager |
| Gesamtgröße einer einzelnen Zeile | 10 KB | Log Analytics |
| Uploadgröße für Dateien in Azure Storage | 500 MB pro Datei | Azure Storage |
| Gesamtanzahl der aktiven Watchlistelemente pro Arbeitsbereich. Wenn die maximale Anzahl erreicht ist, löschen Sie einige vorhandene Elemente, um eine neue Watchlist hinzuzufügen. | 10 Millionen aktive Watchlistelemente | Log Analytics |
| Gesamtänderungsrate aller Watchlistelemente pro Arbeitsbereich | Änderungsrate von 1 % pro Monat | Log Analytics |
| Anzahl der Uploads großer Watchlists pro Arbeitsbereich zu einem bestimmten Zeitpunkt | Eine große Watchlist | Azure Cosmos DB |
| Anzahl der Löschvorgänge für große Watchlists pro Arbeitsbereich zu einem bestimmten Zeitpunkt | Eine große Watchlist | Azure Cosmos DB |
Arbeitsmappengrenzwerte
Arbeitsmappengrenzwerte für Sentinel sind dieselben Ergebnisgrenzwerte wie in Azure Monitor. Weitere Informationen finden Sie unter Grenzwerte für Arbeitsmappenergebnisse.
Grenzwerte für Arbeitsbereichs-Manager
Die folgenden Grenzwerte gelten für Arbeitsbereichs-Manager in Microsoft Sentinel.
| Beschreibung | Begrenzung | Abhängigkeit |
|---|---|---|
| Anzahl der veröffentlichten Vorgänge in einer Gruppe Veröffentlichte Vorgänge = (Mitgliedsarbeitsbereiche) * (Inhaltselemente) |
2000 veröffentlichte Vorgänge | None |