Servicelimieten voor Microsoft Sentinel
In dit artikel worden de meest voorkomende servicelimieten vermeld die kunnen optreden wanneer u Microsoft Sentinel gebruikt. Zie azure-abonnements- en servicelimieten, quota en beperkingen voor andere limieten die van invloed kunnen zijn op services of functies die u gebruikt, zoals Azure Monitor.
Limieten voor analyseregels
De volgende limiet is van toepassing op analyseregels in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Aantal ingeschakelde regels | 512 regels | Geen |
| Aantal regels voor bijna realtime (NRT) | 50 NRT-regels | Geen |
| Entiteitstoewijzingen | 10 toewijzingen per regel | Geen |
| Entiteiten geïdentificeerd per waarschuwing (Verdeeld over de toegewezen entiteiten) |
500 entiteiten per waarschuwing | Geen |
| Limiet voor cumulatieve grootte van entiteiten | 64 kB | Geen |
| Aangepaste details | 20 details per regel 50 waarden per detail Cumulatieve grootte van 2 kB |
Geen |
| Waarschuwingsdetails | 50 waarden per overschreven veld 5 KB per veld voor Description en verzamelingen256 bytes per veld voor AlertName en niet-verzamelingen |
Geen |
| Waarschuwingen per regel Van toepassing wanneer gebeurtenisgroepering is ingesteld op Een waarschuwing activeren voor elke gebeurtenis |
150 waarschuwingen | Geen |
| Waarschuwingen per regel voor NRT-regels | 30 waarschuwingen | Geen |
Jachtlimieten
De volgende limieten zijn van toepassing op Hunts in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Aantal jachten | 100 | Geen |
Incidentlimieten
De volgende limieten gelden voor incidenten in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Beschikbaarheid van onderzoekservaring | 90 dagen na het incident de laatste updatetijd | Geen |
| Aantal waarschuwingen | 150 waarschuwingen | Geen |
| Aantal automatiseringsregels | 512 regels | Geen |
| Aantal automatiseringsregelacties | 20 acties | Geen |
| Aantal voorwaarden voor automatiseringsregels | 50 voorwaarden | Geen |
| Aantal bladwijzers | 20 bladwijzers | Geen |
| Aantal tekens voor naam van automatiseringsregel | 500 tekens | Geen |
| Aantal tekens voor beschrijving | 5000 tekens | Geen |
| Aantal tekens per opmerking | 30.000 tekens | Geen |
| Aantal opmerkingen per incident | 100 opmerkingen | Geen |
| Aantal taken | 40 taken | Geen |
| Aantal incidenten dat door de API wordt geretourneerd om een aanvraag weer te geven | Maximaal 1000 incidenten | Geen |
| Aantal incidenten per dag (per werkruimte) | Zie uitleg na tabel | Databasecapaciteit |
Aantal incidenten per dag: er is geen formele, vaste limiet voor het aantal incidenten dat per dag kan worden gemaakt. De werkelijke capaciteit van een werkruimte voor incidenten is afhankelijk van de opslagcapaciteit van de incidentdatabase, dus de grootte van de incidenten is net zoveel als hun aantal.
Een SOC die echter meer dan ongeveer 3000 nieuwe incidenten per dag maakt, zal waarschijnlijk niet in staat zijn om bij te blijven en de databasecapaciteit zal snel worden bereikt. In deze situatie moet de SOC alle regels vinden en oplossen die grote aantallen incidenten maken, om het aantal dagelijkse nieuwe incidenten op beheersbare niveaus te krijgen.
Limieten op basis van machine learning
De volgende limieten zijn van toepassing op machine learning-functies in Microsoft Sentinel, zoals aanpasbare afwijkingen en Fusion.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Aantal afwijkingen gepubliceerd per anomalietype | Top 3000 gerangschikt op anomaliescore | Geen |
| Aantal waarschuwingen en/of afwijkingen in één Fusion-incident | 100 waarschuwingen en/of afwijkingen | Geen |
Limieten voor meerdere werkruimten
De volgende limiet geldt voor meerdere werkruimten in Microsoft Sentinel. Hier worden limieten toegepast wanneer u met Sentinel-functies werkt in meer dan werkruimte tegelijk.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Incidentweergave | 100 gelijktijdig weergegeven werkruimten | |
| Logboekquery | 100 Sentinel-werkruimten | Log Analytics |
| Analyseregels | 20 Sentinel-werkruimten per query |
Notebooklimieten
De volgende limieten gelden voor notebooks in Microsoft Sentinel. De limieten zijn gerelateerd aan de afhankelijkheden van andere services die door notebooks worden gebruikt.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Totaal aantal van deze assets per machine learning-werkruimte: gegevenssets, uitvoeringen, modellen en artefacten | 10 miljoen activa | Azure Machine Learning |
| Standaardlimiet voor het totale aantal rekenclusters per regio. Limiet wordt gedeeld tussen een trainingscluster en een rekenproces. Een rekenproces wordt beschouwd als een cluster met één knooppunt voor quotumdoeleinden. | 200 rekenclusters per regio | Azure Machine Learning |
| Opslagaccounts per regio per abonnement | 250 opslagaccounts | Azure Storage |
| Maximale grootte van een bestandsshare standaard | 5 TB | Azure Storage |
| Maximale grootte van een bestandsshare waarvoor de functie voor grote bestandsshares is ingeschakeld | 100 TB | Azure Storage |
| Maximale doorvoer (inkomend en uitgaand verkeer) voor één bestandsshare standaard | 60 MB/sec | Azure Storage |
| Maximale doorvoer (inkomend en uitgaand verkeer) voor één bestandsshare waarvoor de functie voor grote bestandsshares is ingeschakeld | 300 MB per seconde | Azure Storage |
Limieten voor opslagplaatsen
De volgende limieten gelden voor opslagplaatsen in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Aantal opslagplaatsen | 5 | Sentinel-werkruimte |
| Implementatiegeschiedenis | 800 | Azure-resourcegroep |
Limieten voor bedreigingsinformatie
De volgende limiet is van toepassing op bedreigingsinformatie in Microsoft Sentinel. De limiet is gerelateerd aan de afhankelijkheid van een API die wordt gebruikt door bedreigingsinformatie.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Indicatoren per aanroep die gebruikmaken van Graph Security API | 100 indicatoren | Microsoft Graph-beveiligings-API |
| Importgrootte van CSV-indicatorbestand | 50 MB | Geen |
| Importgrootte van JSON-indicatorbestand | 250 MB | Geen |
API-limieten voor TI-uploadindicatoren
De volgende limiet is van toepassing op de API voor uploadindicatoren voor bedreigingsinformatie in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Indicatoren per aanvraag | 100 indicatoren | |
| Aanvragen per minuut | 100 |
UEBA-limieten (User and Entity Behavior Analytics)
De volgende limiet is van toepassing op UEBA in Microsoft Sentinel. De limiet voor UEBA in Microsoft Sentinel is gerelateerd aan afhankelijkheden van een andere service.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Laagste bewaarconfiguratie in dagen voor de tabel IdentityInfo . Alle gegevens die zijn opgeslagen in de tabel IdentityInfo in Log Analytics, worden elke 14 dagen vernieuwd. | 14 dagen | Log Analytics |
Limieten voor volglijsten
De volgende limieten gelden voor volglijsten in Microsoft Sentinel. De limieten zijn gerelateerd aan de afhankelijkheden van andere services die worden gebruikt door volglijsten.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Uploadgrootte voor lokaal bestand | 3,8 MB per bestand | Azure Resource Manager |
| Regelvermelding in het CSV-bestand | 10.240 tekens per regel | Azure Resource Manager |
| Totale grootte van één rij | 10 kB | Log Analytics |
| Uploadgrootte voor bestanden in Azure Storage | 500 MB per bestand | Azure Storage |
| Totaal aantal actieve watchlist-items per werkruimte. Wanneer het maximumaantal is bereikt, verwijdert u enkele bestaande items om een nieuwe volglijst toe te voegen. | 10 miljoen actieve watchlist-items | Log Analytics |
| Totale wijzigingssnelheid van alle watchlist-items per werkruimte | 1% wijzigingspercentage per maand | Log Analytics |
| Aantal grote watchlist-uploads per werkruimte tegelijk | Eén grote volglijst | Azure Cosmos DB |
| Aantal grote verwijderingen op de volglijst per werkruimte tegelijk | Eén grote volglijst | Azure Cosmos DB |
Werkmaplimieten
Werkmaplimieten voor Sentinel zijn dezelfde resultaatlimieten die in Azure Monitor zijn gevonden. Zie Resultaatlimieten voor Werkmappen voor meer informatie.
Limieten voor werkruimtebeheer
De volgende limieten gelden voor werkruimtebeheer in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Dependency |
|---|---|---|
| Aantal gepubliceerde bewerkingen in een groep Gepubliceerde bewerkingen = (lidwerkruimten) * (inhoudsitems) |
2000 gepubliceerde bewerkingen | Geen |