Bagikan melalui


Batas layanan untuk Microsoft Sentinel

Artikel ini mendaftarkan batas layanan paling umum yang mungkin Anda temui saat menggunakan Microsoft Sentinel. Untuk batas lain yang mungkin memengaruhi layanan atau fitur yang Anda gunakan, seperti Azure Monitor, lihat Batas, kuota, dan batasan langganan dan layanan Azure.

Batas aturan analitik

Batas berikut berlaku untuk aturan analitik di Microsoft Sentinel.

Deskripsi Batas Dependensi
Jumlah aturan yang diaktifkan 512 aturan Tidak
Jumlah aturan hampir real-time (NRT) 50 aturan NRT Tidak
Pemetaan entitas 10 pemetaan per aturan Tidak
Entitas yang diidentifikasi per pemberitahuan
(Dibagi rata di antara entitas yang dipetakan)
500 entitas per pemberitahuan Tidak
Batas ukuran kumulatif entitas 64 KB Tidak
Detail kustom 20 detail per aturan
50 nilai per detail
Ukuran kumulatif 2 KB
Tidak
Detail peringatan 50 nilai per bidang yang ditimpa
5 KB per bidang untuk Description koleksi dan
256 byte per bidang untuk AlertName dan non-koleksi
Tidak
Pemberitahuan per aturan
Berlaku saat Pengelompokan peristiwa diatur ke Memicu pemberitahuan untuk setiap peristiwa
150 pemberitahuan Tidak
Pemberitahuan per aturan untuk aturan NRT 30 pemberitahuan Tidak

Batas perburuan

Batas berikut berlaku untuk Perburuan di Microsoft Azure Sentinel.

Deskripsi Batas Dependensi
Jumlah Perburuan 100 Tidak

Batas insiden

Batas berikut berlaku untuk insiden di Microsoft Sentinel.

Deskripsi Batas Dependensi
Ketersediaan pengalaman investigasi 90 hari sejak waktu pembaruan terakhir insiden Tidak
Jumlah peringatan 150 pemberitahuan Tidak
Jumlah aturan otomatisasi 512 aturan Tidak
Jumlah tindakan aturan automasi 20 tindakan Tidak
Jumlah ketentuan aturan automasi 50 kondisi Tidak
Jumlah marka buku 20 bookmark Tidak
Jumlah karakter untuk nama aturan otomatisasi 500 karakter Tidak
Jumlah karakter untuk deskripsi 5.000 karakter Tidak
Jumlah karakter per komentar 30.000 karakter Tidak
Jumlah komentar per insiden 100 komentar Tidak
Jumlah tugas 100 tugas Tidak
Jumlah insiden yang dikembalikan oleh API untuk mencantumkan permintaan Maksimum 1.000 insiden Tidak
Jumlah insiden per hari (per ruang kerja) Lihat penjelasan setelah tabel Kapasitas database

Jumlah insiden per hari: Tidak ada batas formal dan keras pada jumlah insiden yang dapat dibuat per hari. Kapasitas aktual ruang kerja untuk insiden tergantung pada kapasitas penyimpanan database insiden, sehingga ukuran insiden adalah faktor sebanyak jumlahnya.

Namun, SOC yang mengalami pembuatan lebih dari sekitar 3.000 insiden baru per hari kemungkinan besar akan menemukan dirinya tidak dapat mengikuti, dan kapasitas database akan dengan cepat tercapai. Dalam situasi ini, SOC perlu menemukan dan memperbaiki aturan apa pun yang menciptakan sejumlah besar insiden, untuk mendapatkan hitungan insiden baru harian ke tingkat yang dapat dikelola.

Batas berbasis pembelajaran mesin

Batas berikut berlaku untuk fitur berbasis pembelajaran mesin di Microsoft Sentinel seperti Fusion dan anomali yang dapat disesuaikan.

Deskripsi Batas Dependensi
Jumlah anomali yang diterbitkan per jenis anomali 3000 teratas yang diperingkat berdasarkan skor anomali Tidak
Jumlah peringatan dan/atau anomali dalam satu insiden Fusion 100 peringatan dan/atau anomali Tidak

Batas multi ruang kerja

Batas berikut berlaku untuk beberapa ruang kerja di Microsoft Azure Sentinel. Batas di sini diterapkan saat bekerja dengan fitur Sentinel di lebih dari ruang kerja sekaligus.

Deskripsi Batas Dependensi
Tampilan insiden 100 ruang kerja yang ditampilkan secara bersamaan
Kueri log 100 ruang kerja Sentinel Log Analytics
Aturan analitik 20 ruang kerja Sentinel per kueri

Batas buku catatan

Batas berikut berlaku untuk buku catatan di Microsoft Sentinel. Batas ini terkait dengan dependensi pada layanan lain yang digunakan oleh buku catatan.

Deskripsi Batas Dependensi
Jumlah total aset ini per ruang kerja pembelajaran mesin: himpunan data, eksekusi, model, dan artefak 10 juta aset Pembelajaran Mesin Azure
Batas default untuk total kluster komputasi per wilayah. Kluster Ini dibagikan antara kluster pelatihan dan instans komputasi. Instans komputasi dianggap sebagai kluster simpul tunggal untuk tujuan kuota. 200 kluster komputasi per wilayah Pembelajaran Mesin Azure
Akun penyimpanan per wilayah per langganan 250 akun penyimpanan Azure Storage
Ukuran maksimum berbagi file secara default 5 TB Azure Storage
Ukuran maksimum berbagi file dengan fitur berbagi file besar diaktifkan 100 TB Azure Storage
Throughput maksimum (masuk + keluar) untuk satu berbagi file secara default 60 MB/detik Azure Storage
Throughput maksimum (masuk + keluar) untuk satu berbagi file dengan fitur berbagi file besar diaktifkan 300 MB/detik Azure Storage

Batas untuk repositori

Batas berikut ini berlaku untuk repositori pada Microsoft Sentinel.

Deskripsi Batas Dependensi
Jumlah untuk repositori 5 Ruang Kerja Sentinel
Riwayat penyebaran 800 Grup sumber daya Azure

Batas inteligensi ancaman

Batas berikut berlaku untuk inteligensi ancaman di Microsoft Sentinel. Batas ini terkait dengan dependensi pada API yang digunakan oleh inteligensi ancaman.

Deskripsi Batas Dependensi
Indikator per panggilan yang menggunakan API keamanan Graph 100 Indikator API keamanan Microsoft Graph
Ukuran impor file indikator CSV 50MB tidak ada
Ukuran impor file indikator JSON 250MB tidak ada

Batas API indikator unggahan TI

Batas berikut berlaku untuk API indikator pengunggahan inteligensi ancaman di Microsoft Azure Sentinel.

Deskripsi Batas Dependensi
Indikator per permintaan 100 Indikator
Permintaan per menit 100

Batas Analitik Perilaku Pengguna dan Entitas (UEBA)

Batas berikut berlaku untuk UEBA di Microsoft Sentinel. Batas untuk UEBA di Microsoft Sentinel terkait dengan dependensi pada layanan lain.

Deskripsi Batas Dependensi
Konfigurasi retensi terendah dalam hari untuk tabel IdentityInfo. Semua data yang disimpan di tabel IdentityInfo di Log Analytics di-refresh setiap 14 hari. 14 hari Log Analytics

Batas daftar tonton

Batas berikut berlaku untuk daftar tonton di Microsoft Sentinel. Batas ini terkait dengan dependensi pada layanan lain yang digunakan oleh daftar tonton.

Deskripsi Batas Dependensi
Ukuran pengunggahan untuk file lokal 3,8 MB per file Azure Resource Manager
Entri baris dalam file CSV 10.240 karakter per baris Azure Resource Manager
Ukuran total satu baris 10 Kb Log Analytics
Ukuran pengunggahan untuk file dalam Azure Storage 500 MB per file Azure Storage
Jumlah total item daftar tonton aktif per ruang kerja. Jika jumlah maksimum tercapai, hapus beberapa item yang ada untuk menambahkan daftar tonton baru. 10 juta item daftar tonton aktif Log Analytics
Tingkat total perubahan semua item daftar tonton per ruang kerja Tingkat perubahan 1% per bulan Log Analytics
Jumlah pengunggahan daftar tonton besar per ruang kerja sekaligus Satu daftar tonton besar Azure Cosmos DB
Jumlah penghapusan daftar tonton besar per ruang kerja sekaligus Satu daftar tonton besar Azure Cosmos DB

Batas buku kerja

Batas buku kerja untuk Sentinel adalah batas hasil yang sama yang ditemukan di Azure Monitor. Untuk informasi selengkapnya, lihat Batas hasil buku kerja.

Batas manajer ruang kerja

Batas berikut berlaku untuk manajer ruang kerja di Microsoft Azure Sentinel.

Deskripsi Batas Dependensi
Jumlah operasi yang diterbitkan dalam grup
Operasi yang diterbitkan = (ruang kerja anggota) * (item konten)
2000 operasi yang diterbitkan Tidak

Langkah berikutnya