Limites de service pour Microsoft Sentinel
Cet article répertorie les limites de service les plus courantes que vous pouvez rencontrer lorsque vous utilisez Microsoft Sentinel. Pour connaître les autres limites susceptibles d’avoir un impact sur les services ou les fonctionnalités que vous utilisez, comme Azure Monitor, consultez Limites de service, quotas et contraintes des abonnements Azure.
Limites des règles analytiques
Les limites suivantes s’appliquent aux règles analytiques dans Microsoft Sentinel.
| Description | Limite | Dépendance |
|---|---|---|
| Nombre de règles activées | 512 règles | None |
| Nombre de règles de quasi-temps réel (NRT) | 50 règles NRT | None |
| Mappages d’entités | 10 mappages par règle | None |
| Entités identifiées par alerte (répartis de manière égale entre les entités mappées) |
500 entités par alerte | None |
| Limite de taille cumulative des entités | 64 Ko | None |
| Détails personnalisés | 20 détails par règle 50 valeurs par détail Taille cumulative de 2 Ko |
Aucune |
| Détails de l’alerte | 50 valeurs par champ remplacé 5 Ko par champ pour Description et les collections256 octets par champ pour AlertName et les non-collections |
Aucune |
| Alertes par règle Applicable lorsque le Regroupement d’événements est défini sur Déclencher une alerte pour chaque événement |
150 alertes | Aucune |
| Alertes par règle pour les règles NRT | 30 alertes | Aucun |
Limites de repérages
Les limites suivantes s’appliquent aux Repérages dans Microsoft Sentinel.
| Description | Limite | Dépendance |
|---|---|---|
| Nombre de repérages | 100 | Aucun |
Limites des incidents
Les limites suivantes s’appliquent aux incidents dans Microsoft Sentinel.
| Description | Limite | Dépendance |
|---|---|---|
| Disponibilité de l’expérience d’investigation | 90 jours à partir de l’heure de la dernière mise à jour de l’incident | None |
| Nombre d’alertes | 150 alertes | None |
| Nombre de règles d’automatisation | 512 règles | None |
| Nombre d’actions de règle d’automatisation | 20 actions | None |
| Nombre de conditions de règle d’automatisation | 50 conditions | None |
| Nombre de signets | 20 signets | Aucune |
| Nombre de caractères pour le nom de la règle d’automatisation | 500 caractères | Aucune |
| Nombre de caractères pour la description | 5 000 caractères | Aucun |
| Nombre de caractères par commentaire | 30 000 caractères | Aucun |
| Nombre de commentaires par incident | 100 commentaires | None |
| Nombre de tâches | 40 tâches | Aucune |
| Nombre d’incidents retournés par l’API pour la demande list | 1 000 incidents au maximum | Aucun |
| Nombre d’incidents par jour (par espace de travail) | Voir l’explication après la table | Une capacité de base de données |
Nombre d’incidents par jour : il n’existe pas de limite formelle et stricte sur le nombre d’incidents pouvant être créés par jour. La capacité réelle d’un espace de travail pour les incidents dépend de la capacité de stockage de la base de données d’incident, afin que la taille des incidents soit autant un facteur que leur nombre.
Cependant, un centre des opérations de sécurité (SOC) qui connaît la création de plus de 3 000 nouveaux incidents par jour environ se retrouvera probablement incapable de suivre, et la capacité de base de données sera rapidement atteinte. Dans ce cas, le SOC doit rechercher et corriger toutes les règles qui créent un grand nombre d’incidents, afin de situer le nombre quotidien de nouveaux incidents à des niveaux gérables.
Limites de l’apprentissage automatique
Les limites suivantes s’appliquent aux fonctionnalités basées sur l’apprentissage automatique dans Microsoft Sentinel, comme les anomalies personnalisables et la fusion.
| Description | Limite | Dépendance |
|---|---|---|
| Nombre d’anomalies publiées par type d’anomalie | 3 000 premières classées par score d’anomalie | None |
| Nombre d’alertes et/ou d’anomalies dans un seul incident de fusion | 100 alertes et/ou anomalies | None |
Limites relatives à l’utilisation de plusieurs espaces de travail
Les limites suivantes s’appliquent aux espaces de travail Microsoft Sentinel. Ces limites s’appliquent lorsque vous utilisez les fonctionnalités Sentinel dans plusieurs espaces de travail à la fois.
| Description | Limite | Dépendance |
|---|---|---|
| Afficher les incidents | 100 espaces de travail affichés simultanément | |
| Requête de journal | 100 espaces de travail Sentinel | Log Analytics |
| Règles analytiques | 20 espaces de travail Sentinel par requête |
Limites des notebooks
Les limites suivantes s’appliquent aux notebooks dans Microsoft Sentinel. Les limites sont liées aux dépendances vis-à-vis d’autres services utilisés par les notebooks.
| Description | Limite | Dépendance |
|---|---|---|
| Nombre total de ces ressources par espace de travail Machine Learning : jeux de données, exécutions, modèles et artefacts | 10 millions de ressources | Azure Machine Learning |
| Limite par défaut du nombre total de clusters de calcul par région. Cette limite est partagée entre un cluster d’entraînement et une instance de calcul. Une instance de calcul est considérée comme un cluster à nœud unique à des fins de quota. | 200 clusters de cluster de calcul par région | Azure Machine Learning |
| Comptes de stockage par région et par abonnement | 250 comptes de stockage | Stockage Azure |
| Taille maximale d’un partage de fichiers par défaut | 5 To | Stockage Azure |
| Taille maximale d’un partage de fichiers avec une fonctionnalité de partage de fichiers volumineux activée | 100 To | Stockage Azure |
| Débit maximal (entrée + sortie) d’un partage de fichiers unique par défaut | 60 Mo/s | Stockage Azure |
| Débit maximal (entrée + sortie) pour un partage de fichiers unique avec une fonctionnalité de partage de fichiers volumineux activée | 300 Mo/sec | Stockage Azure |
Limites applicables aux référentiels
Les limites suivantes s’appliquent aux référentiels dans Microsoft Sentinel.
| Description | Limite | Dépendance |
|---|---|---|
| Nombre de référentiels | 5 | Espace de travail Sentinel |
| Historique de déploiement | 800 | Groupe de ressources Azure |
Limites du renseignement sur les menaces
La limite suivante s’applique au renseignement sur les menaces dans Microsoft Sentinel. La limite est liée à la dépendance vis-à-vis d’une API utilisée par le renseignement sur les menaces.
| Description | Limite | Dépendance |
|---|---|---|
| Indicateurs par appel qui utilisent l’API de sécurité Graph | 100 indicateurs | API de sécurité Microsoft Graph |
| Taille d’importation du fichier d’indicateur CSV | 50 Mo | aucun |
| Taille d’importation du fichier d’indicateur JSON | 250 Mo | aucun |
Limites de l’API des indicateurs de chargement de TI
La limite suivante s’applique à l’API des indicateurs de chargement de la veille des menaces dans Microsoft Sentinel.
| Description | Limite | Dépendance |
|---|---|---|
| Indicateurs par requête | 100 indicateurs | |
| Requêtes par minute | 100 |
Limites de l’analytique du comportement des utilisateurs et des entités (UEBA)
La limite suivante s’applique à UEBA dans Microsoft Sentinel. La limite pour UEBA dans Microsoft Sentinel est liée à des dépendances vis-à-vis d’un autre service.
| Description | Limite | Dépendance |
|---|---|---|
| Configuration de la rétention la plus faible en jours pour la table IdentityInfo. Toutes les données stockées dans la table IdentityInfo dans Log Analytics sont actualisées tous les 14 jours. | 14 jours | Log Analytics |
Limites des watchlists
Les limites suivantes s’appliquent aux watchlists dans Microsoft Sentinel. Les limites sont liées aux dépendances vis-à-vis d’autres services utilisés par les watchlists.
| Description | Limite | Dépendance |
|---|---|---|
| Taille de chargement d’un fichier local | 3,8 Mo par fichier | Azure Resource Manager |
| Entrée de ligne dans le fichier CSV | 10 240 caractères par ligne | Azure Resource Manager |
| Taille totale d’une unique ligne | 10 ko | Log Analytics |
| Taille de chargement des fichiers dans Stockage Azure | 500 Mo par fichier | Stockage Azure |
| Nombre total d’éléments de watchlist actifs par espace de travail. Quand le nombre maximal est atteint, supprimez des éléments existants pour ajouter une nouvelle watchlist. | 10 millions d’éléments de watchlist actifs | Log Analytics |
| Taux total de variation de tous les éléments de watchlist par espace de travail | Taux de variation de 1 % par mois | Log Analytics |
| Nombre de chargements simultanés de watchlists volumineuses par espace de travail | Une seule watchlist volumineuse | Azure Cosmos DB |
| Nombre de suppressions simultanées de watchlists volumineuses par espace de travail | Une seule watchlist volumineuse | Azure Cosmos DB |
Limites des workbooks
Les limites de classeur pour Sentinel sont les mêmes que celles d’Azure Monitor. Pour plus d’informations, consultez Limites de résultats des classeurs.
Limites du gestionnaire d’espaces de travail
Les limites suivantes s’appliquent aux gestionnaire d’espace de travail dans Microsoft Sentinel.
| Description | Limite | Dépendance |
|---|---|---|
| Nombre d’opérations publiées dans un groupe Opérations publiées = (espaces de travail membres) * (éléments de contenu) |
2000 opérations publiées | Aucune |