다음 서비스 매개 변수 및 제한은 Microsoft Sentinel 데이터 레이크 서비스에 적용됩니다.
테이블, 데이터 관리 및 수집에 대한 서비스 매개 변수 및 제한
중요합니다
조직에서 데이터 암호화에 CMK(Customer-Managed 키)를 사용하는 경우 CMK가 Microsoft Sentinel 데이터 레이크에 저장된 데이터에 대해 완전히 지원되지 않는다는 점에 유의하세요. 사용자 지정 테이블 또는 변환된 데이터와 같이 데이터 레이크에 수집된 모든 데이터는 Microsoft 관리형 키를 사용하여 암호화됩니다. Microsoft Sentinel 데이터 레이크에 온보딩하는 것은 조직의 암호화 정책 또는 데이터 보호 표준과 완전히 일치하지 않을 수 있습니다.
다음 표에서는 테이블 관리, 데이터 수집 및 보존과 관련된 Microsoft Sentinel 데이터 레이크 서비스에 대한 서비스 매개 변수 및 제한을 나열합니다. 이러한 제한에는 Azure Resource Graph 데이터, Microsoft 365 데이터 및 데이터 미러링이 포함되지만 이에 국한되지 않습니다.
| Category | Parameter/limit |
|---|---|
| 테넌트당 작업 영역 | 20개의 작업 영역 |
| 데이터 수집 엔드포인트에 대한 분당 데이터 수집 | 50GB |
| LALog Analytics 작업 영역의 기본 수집 볼륨 속도 임계값 | 압축되지 않은 6GB/분 |
| 데이터 수집 엔드포인트에 대한 분당 수집 요청 | 15,000 |
| Lake 보존(자산 데이터) | 12년 |
| 호수 유지 (보조) | 12년 |
| 필드 값의 최대 크기(Log Analytics) | 32KB(제한을 초과하여 잘림) |
| 온보딩 중 테이블 설정 대기 시간 | 90~120분 |
| 새 테이블 설정 대기 시간 | 90~120분 |
| 계층 대기 시간 간에 데이터 전환 | 90~120분 |
VS Code Notebook에 대한 서비스 매개 변수 및 제한
다음 섹션에서는 VS Code Notebook을 사용할 때 Microsoft Sentinel 데이터 레이크에 대한 서비스 매개 변수 및 제한을 나열합니다.
| Category | Parameter/limit |
|---|---|
| 분석 계층의 사용자 지정 테이블 | 분석 계층의 사용자 지정 테이블은 Notebook에서 삭제할 수 없습니다. Log Analytics를 사용하여 이러한 테이블을 삭제합니다. 자세한 내용은 Azure Monitor 로그에서 테이블 및 열 추가 또는 삭제를 참조하세요. |
| 게이트웨이 웹 소켓 시간 제한 | 2시간 |
| 대화형 쿼리 시간 제한 | 2시간 |
| 대화형 세션 비활성 시간 제한 | 20분 |
| Language | Python |
| Notebook 작업 시간 제한 | 8시간 |
| 최대 동시 Notebook 작업 | 3, 후속 작업이 큐에 대기됨 |
| 대화형 쿼리에서 최대 동시 사용자 수 | 큰 풀에서 8-10 |
| 세션 시작 시간 | Spark 컴퓨팅 세션을 시작하는 데 약 5-6분이 걸립니다. VS Code Notebook 아래쪽에서 세션의 상태를 볼 수 있습니다. |
| 지원되는 라이브러리 | 추상화된 함수에 대한 Azure Synapse 라이브러리 3.4 및 Microsoft Sentinel 공급자 라이브러리만 데이터 레이크 쿼리에 지원됩니다. Pip 설치 또는 사용자 지정 라이브러리는 지원되지 않습니다. |
| 레코드를 표시하는 VS Code UX 제한 | 100,000개 행 |
레이크 계층의 KQL 쿼리에 대한 서비스 매개 변수 및 제한
다음 서비스 매개 변수 제한 사항은 Microsoft Sentinel 데이터 레이크에서 쿼리를 작성할 때 적용됩니다.
| Category | Parameter/limit |
|---|---|
| 동시 대화형 쿼리 | 분당 45개 |
| 결과 데이터 쿼리 | 64MB |
| 쿼리 결과 행 | 500,000개 행 |
| 쿼리 범위 | 여러 작업 영역 |
| 쿼리 제한 시간 | 8분 |
| 쿼리 가능한 시간 범위 | 데이터 보존에 따라 최대 12년 |
KQL 작업에 대한 서비스 매개 변수 및 제한
다음 표에서는 Microsoft Sentinel 데이터 레이크의 KQL 작업에 대한 서비스 매개 변수 및 제한을 나열합니다.
| Category | Parameter/limit |
|---|---|
| 테넌트당 동시 작업 실행 | 3 |
| 작업 쿼리 실행 시간 제한 | 1시간 |
| 테넌트당 작업(활성화된 작업) | 100 |
| 작업당 출력 테이블 수 | 1 |
| 쿼리 범위 | 여러 작업 영역 |
| 쿼리 시간 범위 | 최대 12년 |