Partage via


Limites de service pour Microsoft Sentinel

Cet article répertorie les limites de service les plus courantes que vous pouvez rencontrer lorsque vous utilisez Microsoft Sentinel. Pour connaître les autres limites susceptibles d’avoir un impact sur les services ou les fonctionnalités que vous utilisez, comme Azure Monitor, consultez Limites de service, quotas et contraintes des abonnements Azure.

Limites des règles analytiques

Les limites suivantes s’appliquent aux règles analytiques dans Microsoft Sentinel.

Description Limite Dépendance
Nombre de règles activées 512 règles None
Nombre de règles de quasi-temps réel (NRT) 50 règles NRT None
Mappages d’entités 10 mappages par règle None
Entités identifiées par alerte
(répartis de manière égale entre les entités mappées)
500 entités par alerte None
Limite de taille cumulative des entités 64 Ko None
Détails personnalisés 20 détails par règle
50 valeurs par détail
Taille cumulative de 2 Ko
Aucune
Détails de l’alerte 50 valeurs par champ remplacé
5 Ko par champ pour Description et les collections
256 octets par champ pour AlertName et les non-collections
Aucune
Alertes par règle
Applicable lorsque le Regroupement d’événements est défini sur Déclencher une alerte pour chaque événement
150 alertes Aucune
Alertes par règle pour les règles NRT 30 alertes Aucun

Limites de repérages

Les limites suivantes s’appliquent aux Repérages dans Microsoft Sentinel.

Description Limite Dépendance
Nombre de repérages 100 Aucun

Limites des incidents

Les limites suivantes s’appliquent aux incidents dans Microsoft Sentinel.

Description Limite Dépendance
Disponibilité de l’expérience d’investigation 90 jours à partir de l’heure de la dernière mise à jour de l’incident Aucune
Période de rétention pour les entités d’incident 180 jours Rétention de base de données d’entités
Nombre d’alertes 150 alertes None
Nombre de règles d’automatisation 512 règles None
Nombre d’actions de règle d’automatisation 20 actions None
Nombre de conditions de règle d’automatisation 50 conditions None
Nombre de signets 20 signets Aucune
Nombre de caractères pour le nom de la règle d’automatisation 500 caractères Aucune
Nombre de caractères pour la description 5 000 caractères Aucun
Nombre de caractères par commentaire 30 000 caractères Aucun
Nombre de commentaires par incident 100 commentaires None
Nombre de tâches 40 tâches Aucune
Nombre d’incidents retournés par l’API pour la demande list 1 000 incidents au maximum Aucun
Nombre d’incidents par jour (par espace de travail) Voir l’explication après la table Une capacité de base de données

Nombre d’incidents par jour : il n’existe pas de limite formelle et stricte sur le nombre d’incidents pouvant être créés par jour. La capacité réelle d’un espace de travail pour les incidents dépend de la capacité de stockage de la base de données d’incident, afin que la taille des incidents soit autant un facteur que leur nombre.

Cependant, un centre des opérations de sécurité (SOC) qui connaît la création de plus de 3 000 nouveaux incidents par jour environ se retrouvera probablement incapable de suivre, et la capacité de base de données sera rapidement atteinte. Dans ce cas, le SOC doit rechercher et corriger toutes les règles qui créent un grand nombre d’incidents, afin de situer le nombre quotidien de nouveaux incidents à des niveaux gérables.

Limites de l’apprentissage automatique

Les limites suivantes s’appliquent aux fonctionnalités basées sur l’apprentissage automatique dans Microsoft Sentinel, comme les anomalies personnalisables et la fusion.

Description Limite Dépendance
Nombre d’anomalies publiées par type d’anomalie 3 000 premières classées par score d’anomalie None
Nombre d’alertes et/ou d’anomalies dans un seul incident de fusion 100 alertes et/ou anomalies None

Limites relatives à l’utilisation de plusieurs espaces de travail

Les limites suivantes s’appliquent aux espaces de travail Microsoft Sentinel. Ces limites s’appliquent lorsque vous utilisez les fonctionnalités Sentinel dans plusieurs espaces de travail à la fois.

Description Limite Dépendance
Afficher les incidents 100 espaces de travail affichés simultanément
Requête de journal 100 espaces de travail Sentinel Log Analytics
Règles analytiques 20 espaces de travail Sentinel par requête

Limites des notebooks

Les limites suivantes s’appliquent aux notebooks dans Microsoft Sentinel. Les limites sont liées aux dépendances vis-à-vis d’autres services utilisés par les notebooks.

Description Limite Dépendance
Nombre total de ces ressources par espace de travail Machine Learning : jeux de données, exécutions, modèles et artefacts 10 millions de ressources Azure Machine Learning
Limite par défaut du nombre total de clusters de calcul par région. Cette limite est partagée entre un cluster d’entraînement et une instance de calcul. Une instance de calcul est considérée comme un cluster à nœud unique à des fins de quota. 200 clusters de cluster de calcul par région Azure Machine Learning
Comptes de stockage par région et par abonnement 250 comptes de stockage Stockage Azure
Taille maximale d’un partage de fichiers par défaut 5 To Stockage Azure
Taille maximale d’un partage de fichiers avec une fonctionnalité de partage de fichiers volumineux activée 100 To Stockage Azure
Débit maximal (entrée + sortie) d’un partage de fichiers unique par défaut 60 Mo/s Stockage Azure
Débit maximal (entrée + sortie) pour un partage de fichiers unique avec une fonctionnalité de partage de fichiers volumineux activée 300 Mo/sec Stockage Azure

Limites applicables aux référentiels

Les limites suivantes s’appliquent aux référentiels dans Microsoft Sentinel.

Description Limite Dépendance
Nombre de référentiels 5 Espace de travail Sentinel
Historique de déploiement 800 Groupe de ressources Azure

Limites du renseignement sur les menaces

La limite suivante s’applique au renseignement sur les menaces dans Microsoft Sentinel. La limite est liée à la dépendance vis-à-vis d’une API utilisée par le renseignement sur les menaces.

Description Limite Dépendance
Indicateurs par appel qui utilisent l’API de sécurité Graph 100 indicateurs API de sécurité Microsoft Graph
Taille d’importation du fichier d’indicateur CSV 50 Mo aucun
Taille d’importation du fichier d’indicateur JSON 250 Mo aucun

Limites de l’API des indicateurs de chargement de TI

La limite suivante s’applique à l’API des indicateurs de chargement de la veille des menaces dans Microsoft Sentinel.

Description Limite Dépendance
Indicateurs par requête 100 indicateurs
Requêtes par minute 100

Limites de l’analytique du comportement des utilisateurs et des entités (UEBA)

La limite suivante s’applique à UEBA dans Microsoft Sentinel. La limite pour UEBA dans Microsoft Sentinel est liée à des dépendances vis-à-vis d’un autre service.

Description Limite Dépendance
Configuration de la rétention la plus faible en jours pour la table IdentityInfo. Toutes les données stockées dans la table IdentityInfo dans Log Analytics sont actualisées tous les 14 jours. 14 jours Log Analytics

Limites des watchlists

Les limites suivantes s’appliquent aux watchlists dans Microsoft Sentinel. Les limites sont liées aux dépendances vis-à-vis d’autres services utilisés par les watchlists.

Description Limite Dépendance
Taille de chargement d’un fichier local 3,8 Mo par fichier Azure Resource Manager
Entrée de ligne dans le fichier CSV 10 240 caractères par ligne Azure Resource Manager
Taille totale d’une unique ligne 10 ko Log Analytics
Taille de chargement des fichiers dans Stockage Azure 500 Mo par fichier Stockage Azure
Nombre total d’éléments de watchlist actifs par espace de travail. Quand le nombre maximal est atteint, supprimez des éléments existants pour ajouter une nouvelle watchlist. 10 millions d’éléments de watchlist actifs Log Analytics
Taux total de variation de tous les éléments de watchlist par espace de travail Taux de variation de 1 % par mois Log Analytics
Nombre de chargements simultanés de watchlists volumineuses par espace de travail Une seule watchlist volumineuse Azure Cosmos DB
Nombre de suppressions simultanées de watchlists volumineuses par espace de travail Une seule watchlist volumineuse Azure Cosmos DB

Limites des workbooks

Les limites de classeur pour Sentinel sont les mêmes que celles d’Azure Monitor. Pour plus d’informations, consultez Limites de résultats des classeurs.

Limites du gestionnaire d’espaces de travail

Les limites suivantes s’appliquent aux gestionnaire d’espace de travail dans Microsoft Sentinel.

Description Limite Dépendance
Nombre d’opérations publiées dans un groupe
Opérations publiées = (espaces de travail membres) * (éléments de contenu)
2000 opérations publiées Aucune

Étapes suivantes