Compartir vía


Límites de servicio para Microsoft Sentinel

En este artículo se enumeran los límites de servicio más comunes que puede encontrar al usar Microsoft Sentinel. Para conocer otros límites que podrían afectar a los servicios o las características que use, como Azure Monitor, consulte Límites, cuotas y restricciones de suscripción y servicios de Azure.

Límites de reglas de análisis

El límite siguiente se aplica a las reglas de análisis de Microsoft Sentinel.

Descripción Límite Dependencia
Número de reglas habilitadas 512 reglas Ninguno
Número de reglas casi en tiempo real (NRT) 50 reglas de NRT None
Asignaciones de entidades 10 asignaciones por regla Ninguno
Entidades identificadas por alerta
(Dividido igualmente entre las entidades asignadas)
500 entidades por alerta Ninguno
Límite de tamaño acumulado de entidades 64 KB None
Detalles personalizados 20 detalles por regla
50 valores por detalle
Tamaño acumulado de 2 KB
None
Detalles de alerta 50 valores por campo reemplazado
5 KB por campo para Description y colecciones
256 KB por campo para AlertName y no colecciones
None
Alertas por regla
Aplicable cuando la Agrupación de eventos está establecida en Desencadenar una alerta para cada evento
150 alertas Ninguno
Alertas por regla para reglas NRT 30 alertas None

Límites de búsqueda

Los límites siguientes se aplican a búsquedas de Microsoft Sentinel.

Descripción Límite Dependencia
Número de búsquedas 100 None

Límites de incidentes

Los límites siguientes se aplican a incidentes de Microsoft Sentinel.

Descripción Límite Dependencia
Disponibilidad de la experiencia de investigación 90 días a partir de la hora de la última actualización del incidente Ninguno
Período de retención para entidades de incidentes 180 días Retención de bases de datos de entidades
Número de alertas 150 alertas Ninguno
Número de reglas de automatización 512 reglas Ninguno
Número de acciones de regla de automatización 20 acciones Ninguno
Número de condiciones de regla de automatización 50 condiciones Ninguno
Número de marcadores 20 marcadores Ninguno
Número de caracteres para el nombre de la regla de automatización 500 caracteres Ninguno
Número de caracteres para la descripción 5000 caracteres None
Número de caracteres por comentario 30 000 caracteres None
Número de comentarios por incidente 100 comentarios Ninguno
Número de tareas 40 tareas None
Número de incidentes devueltos por la API para la solicitud de enumeración Máximo de 1 000 incidentes None
Número de incidentes por día (por área de trabajo) Ver explicación después de la tabla Funcionalidad de base de datos

Número de incidentes por día: no hay un límite formal y estricto en el número de incidentes que se pueden crear al día. La capacidad real de un área de trabajo para incidentes depende de la capacidad de almacenamiento de la base de datos de incidentes, por lo que el tamaño de los incidentes es un factor tan importante como su número.

Sin embargo, un SOC que experimente la creación de más de alrededor de 3 000 nuevos incidentes al día, lo más probable es que se vea incapaz de seguir el ritmo y que la capacidad de la base de datos se alcance rápidamente. En esta situación, el SOC debe buscar y corregir cualquier regla que cree un gran número de incidentes, para obtener el recuento de nuevos incidentes diarios para niveles manejables.

Límites basados en aprendizaje automático

Los límites siguientes se aplican a las características basadas en aprendizaje automático de Microsoft Sentinel, como anomalías personalizables y Fusion.

Descripción Límite Dependencia
Número de anomalías publicadas por tipo de anomalía 3000 anomalías principales clasificadas por puntuación Ninguno
Número de alertas o anomalías en un único incidente de Fusion 100 alertas o anomalías Ninguno

Límites de varias áreas de trabajo

El límite siguiente se aplica a varias áreas de trabajo de Microsoft Sentinel. Estos límites se aplican al trabajar con características de Sentinel en más de un área de trabajo a la vez.

Descripción Límite Dependencia
Vista de incidentes Se muestran 100 áreas de trabajo simultáneamente
Consulta de registro Se muestran 100 áreas de trabajo de Sentinel Log Analytics
Reglas de análisis Se muestran 20 áreas de trabajo de Sentinel por consulta

Límites del cuaderno

Los límites siguientes se aplican a los cuadernos de Microsoft Sentinel. Los límites están relacionados con las dependencias de otros servicios que usan los cuadernos.

Descripción Límite Dependencia
Recuento total de estos recursos por área de trabajo de aprendizaje automático: conjuntos de datos, ejecuciones, modelos y artefactos 10 millones de recursos Azure Machine Learning
Límite predeterminado para el total de clústeres de proceso por región. Se comparten entre un clúster de entrenamiento y una instancia de proceso. Una instancia de proceso se considera un clúster de un solo nodo para los fines de la cuota. 200 clústeres de proceso por región Azure Machine Learning
Cuentas de almacenamiento por región por suscripción 250 cuentas de almacenamiento Azure Storage
Tamaño máximo de un recurso compartido de archivos de manera predeterminada 5 TB Azure Storage
Tamaño máximo de un recurso compartido de archivos con la característica de recurso compartido de archivos grande habilitada 100 TB Azure Storage
Rendimiento máximo (entrada y salida) para un único recurso compartido de archivos de manera predeterminada 60 MB/s Azure Storage
Rendimiento máximo (entrada y salida) para un único recurso compartido de archivos con la característica de recurso compartido de archivos grande habilitada 300 MB/s Azure Storage

Límites de repositorios

Los límites siguientes se aplican a los repositorios de Microsoft Sentinel.

Descripción Límite Dependencia
Número de repositorios 5 Área de trabajo de Sentinel
Historial de implementación 800 Grupo de recursos de Azure

Límites de inteligencia sobre amenazas

El límite siguiente se aplica a la inteligencia sobre amenazas de Microsoft Sentinel. El límite está relacionado con la dependencia de una API usada por la inteligencia sobre amenazas.

Descripción Límite Dependencia
Indicadores por llamada que usan la API de seguridad de Graph 100 indicadores API de seguridad de Microsoft Graph
Tamaño de importación del archivo de indicador CSV 50 MB None
Tamaño de importación del archivo de indicador JSON 250 MB ninguno

Límites de la API de los indicadores de carga de TI

El siguiente límite se aplica a la API de indicadores de carga de inteligencia sobre amenazas en Microsoft Sentinel.

Descripción Límite Dependencia
Indicadores por solicitud 100 indicadores
Solicitudes por minuto 100

Límites del análisis del comportamiento de usuarios y entidades (UEBA)

El límite siguiente se aplica a UEBA de Microsoft Sentinel. El límite de UEBA de Microsoft Sentinel está relacionado con las dependencias de otro servicio.

Descripción Límite Dependencia
Configuración de retención más baja en días para la tabla IdentityInfo. Todos los datos almacenados en la tabla IdentityInfo de Log Analytics se actualizan cada 14 días. 14 días Log Analytics

Límites de la lista de reproducción

Los límites siguientes se aplican a las listas de reproducción de Microsoft Sentinel. Los límites están relacionados con las dependencias de otros servicios que usan las listas de reproducción.

Descripción Límite Dependencia
Carga del tamaño del archivo local 3,8 MB por archivo Azure Resource Manager
Entrada de línea en el archivo CSV 10 240 caracteres por línea Azure Resource Manager
Tamaño total de una sola fila 10 KB Log Analytics
Carga del tamaño de los archivos en Azure Storage 500 MB por archivo Azure Storage
Número total de elementos de lista de reproducción activos por área de trabajo. Cuando se alcanza el recuento máximo, elimine algunos elementos existentes para agregar una nueva lista de reproducción. 10 millones de elementos de lista de reproducción activos Log Analytics
Tasa total de cambio de todos los elementos de lista de reproducción por área de trabajo Tasa de cambio del 1 % al mes Log Analytics
Número de cargas de listas de reproducción grandes por área de trabajo a la vez Una lista de reproducción grande Azure Cosmos DB
Número de eliminaciones de listas de reproducción grandes por área de trabajo a la vez Una lista de reproducción grande Azure Cosmos DB

Límites de libro

Los límites de libro para Sentinel son los mismos límites de resultados que se encuentran en Azure Monitor. Para obtener más información, consulte Límites de los resultados de los libros.

Límites del administrador del área de trabajo

Los siguientes límites se aplican al administrador de área de trabajo en Microsoft Sentinel.

Descripción Límite Dependencia
Número de operaciones publicadas en un grupo
Operaciones publicadas = (áreas de trabajo miembro) * (elementos de contenido)
2 000 Operaciones publicadas Ninguno

Pasos siguientes