Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de meest voorkomende servicelimieten vermeld die kunnen optreden wanneer u Microsoft Sentinel gebruikt. Zie azure-abonnements- en servicelimieten, quota en beperkingen voor andere limieten die van invloed kunnen zijn op services of functies die u gebruikt, zoals Azure Monitor.
Limieten voor analyseregels
De volgende limiet is van toepassing op analyseregels in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Aantal geplande regels | 512 ingeschakelde regels, 1024 in totaal, inclusief uitgeschakelde regels. Met een toegewezen cluster - 1024 regels , in totaal 2048, inclusief uitgeschakelde regels. Vereist een aanvraag om de standaardlimiet te verhogen via een ondersteuningsticket. |
Apart geteld van NRT-regels |
| Aantal regels voor bijna-realtime (NRT) | 50 ingeschakelde regels, 100 in totaal, inclusief uitgeschakelde regels | In aanvulling op de geplande regels apart geteld |
| Entiteitstoewijzingen | 10 koppelingen per regel | Geen |
|
Entiteiten geïdentificeerd per waarschuwing (Verdeeld over de in kaart gebrachte entiteiten) |
500 entiteiten per waarschuwing | Geen |
| Limiet voor cumulatieve grootte van entiteiten | 64 kB | Geen |
| Aangepaste details | 20 details per regel 50 waarden per detail Cumulatieve grootte van 2 kB |
Geen |
| Waarschuwingsdetails | 50 waarden per overschreven veld 5 KB per veld voor Description en verzamelingen256 bytes per veld voor AlertName en niet-verzamelingen |
Geen |
| Waarschuwingen per regel Van toepassing wanneer gebeurtenisgroepering is ingesteld op Een waarschuwing activeren voor elke gebeurtenis |
150 waarschuwingen | Geen |
| Waarschuwingen per regel voor NRT-regels | 30 waarschuwingen | Geen |
Jachtlimieten
De volgende limieten zijn van toepassing op Hunts in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Aantal jachtpartijen | 100 | Geen |
Incidentlimieten
De volgende limieten gelden voor incidenten in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Beschikbaarheid van onderzoekservaring | 90 dagen na het incident de laatste updatetijd | Geen |
| Bewaarperiode voor incidententiteiten | 180 dagen | Retentie van entiteitendatabase |
| Aantal waarschuwingen | 150 waarschuwingen | Geen |
| Aantal automatiseringsregels | 512 regels | Geen |
| Aantal automatiseringsregelacties | 20 acties | Geen |
| Aantal voorwaarden voor automatiseringsregels | 50 voorwaarden | Geen |
| Aantal bladwijzers | 20 bladwijzers | Geen |
| Aantal tekens voor naam van automatiseringsregel | 500 tekens | Geen |
| Aantal tekens voor beschrijving | 5000 tekens | Geen |
| Aantal tekens per opmerking | 30.000 tekens | Geen |
| Aantal opmerkingen per incident | 100 opmerkingen | Geen |
| Aantal taken | 40 taken | Geen |
| Aantal incidenten dat door de API wordt geretourneerd naar een lijst-aanvraag | Maximaal 1000 incidenten | Geen |
| Aantal incidenten per dag (per werkruimte) | Zie uitleg na tabel | Databasecapaciteit |
Aantal incidenten per dag: er is geen formele, vaste limiet voor het aantal incidenten dat per dag kan worden gemaakt. De werkelijke capaciteit van een werkruimte voor incidenten is afhankelijk van de opslagcapaciteit van de incidentdatabase, dus de grootte van de incidenten is net zoveel als hun aantal.
Een SOC die echter meer dan ongeveer 3000 nieuwe incidenten per dag maakt, zal waarschijnlijk niet in staat zijn om bij te blijven en de databasecapaciteit zal snel worden bereikt. In deze situatie moet de SOC alle regels vinden en oplossen die grote aantallen incidenten maken, om het aantal dagelijkse nieuwe incidenten op beheersbare niveaus te krijgen.
Limieten voor casebeheer
De volgende limieten zijn van toepassing op casebeheer in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Cases per tenant | 100.000 gevallen | Geen |
| Bijlagen per tenant | 500 GB | Geen |
| Gekoppelde incidenten per geval | 100 incidenten | Geen |
| Bewaarperiode voor case | 180 dagen | Geen |
Limieten op basis van machine learning
De volgende limieten zijn van toepassing op machine learning-functies in Microsoft Sentinel, zoals aanpasbare afwijkingen en Fusion.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Aantal afwijkingen gepubliceerd per anomalietype | Top 3000 gerangschikt op anomalie-score | Geen |
| Aantal waarschuwingen en/of afwijkingen in één Fusion-incident | 100 waarschuwingen en/of afwijkingen | Geen |
Limieten voor meerdere werkruimten
De volgende limiet geldt voor meerdere werkruimten in Microsoft Sentinel. Hier worden limieten toegepast wanneer u met Sentinel-functies werkt in meer dan werkruimte tegelijk.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Incidentweergave | 100 gelijktijdig weergegeven werkruimten | |
| Logquery | 100 Sentinel-werkruimten | Log Analytics |
| Analyseregels | 20 Sentinel-werkruimten per query |
Notebooklimieten
De volgende limieten gelden voor notebooks in Microsoft Sentinel. De limieten zijn gerelateerd aan de afhankelijkheden van andere services die door notebooks worden gebruikt.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Totaal aantal van deze assets per machine learning-werkruimte: datasets, uitvoeringen, modellen en artefacten | 10 miljoen activa | Azure Machine Learning |
| Standaardlimiet voor het totale aantal rekenclusters per regio. Limiet wordt gedeeld tussen een trainingscluster en een rekenproces. Een rekenproces wordt beschouwd als een cluster met één knooppunt voor quotumdoeleinden. | 200 rekenclusters per regio | Azure Machine Learning |
| Opslagaccounts per regio per abonnement | 250 opslagaccounts | Azure-opslag |
| Maximale grootte van een bestandsshare standaard | 5 TB (terabyte) | Azure-opslag |
| Maximale grootte van een bestandsshare waarvoor de functie voor grote bestandsshares is ingeschakeld | 100 TB | Azure-opslag |
| Maximale doorvoer (inkomend en uitgaand verkeer) voor één bestandsshare bij standaard | 60 MB per seconde | Azure-opslag |
| Maximale doorvoer (inkomend en uitgaand verkeer) voor één bestandsshare waarvoor de functie voor grote bestandsshares is ingeschakeld | 300 MB per seconde | Azure-opslag |
Limieten voor opslagplaatsen
De volgende limieten gelden voor opslagplaatsen in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Aantal opslagplaatsen | 5 | Sentinel-werkruimte |
| Implementatiegeschiedenis | Achthonderd | Azure-resourcegroep |
Limieten voor bedreigingsinformatie
De volgende limiet is van toepassing op bedreigingsinformatie in Microsoft Sentinel. De limiet is gerelateerd aan de afhankelijkheid van een API die wordt gebruikt door bedreigingsinformatie.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Indicatoren per aanroep die gebruikmaken van Graph Security API | 100 indicatoren | Microsoft Graph-beveiligings-API |
| Importgrootte van CSV TI-objectbestand | 50 MB | Geen |
| Importgrootte van JSON TI-objectbestand | 250 MB | Geen |
LIMIETEN VOOR TI-upload-API
De volgende limiet is van toepassing op de API voor het uploaden van bedreigingsinformatie in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| STIX-objecten per aanvraag | 100 objecten | |
| Aanvragen per minuut | 100 |
UEBA-limieten (User and Entity Behavior Analytics)
De volgende limiet is van toepassing op UEBA in Microsoft Sentinel. De limiet voor UEBA in Microsoft Sentinel is gerelateerd aan afhankelijkheden van een andere service.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Laagste bewaarconfiguratie in dagen voor de tabel IdentityInfo . Alle gegevens die zijn opgeslagen in de tabel IdentityInfo in Log Analytics, worden elke 14 dagen vernieuwd. | 14 dagen | Logboekanalyse |
| Groepen die worden vermeld in het veld GroupMembership in de tabel IdentityInfo (inclusief subgroepen) | 500 |
Volglijstlimieten
De volgende limieten gelden voor volglijsten in Microsoft Sentinel. De limieten zijn gerelateerd aan de afhankelijkheden van andere services die worden gebruikt door volglijsten.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| De maximale uploadgrootte voor lokale bestanden bestanden die boven deze limiet vallen, worden beschouwd als large |
3,8 MB per bestand | Azure Resource Manager |
| Regelvermelding in het CSV-bestand | 10.240 tekens per regel | Azure Resource Manager |
| Totale grootte van één rij | 10 kB | Logboekanalyse |
| Uploadgrootte voor grote watchlist-bestanden in Azure Storage | 500 MB per bestand | Azure-opslag |
| Totaal aantal actieve watchlist-items per werkruimte Wanneer het maximumaantal is bereikt, verwijdert u enkele bestaande items om een nieuwe volglijst toe te voegen. |
10 miljoen actieve watchlist-items | Logboekanalyse |
| Totale snelheid van wijziging van alle watchlistitems per werkruimte (creëren, bijwerken en verwijderen) |
100.000 wijzigingen per maand (1% van maximaal actieve watchlist-items) |
Logboekanalyse |
Aantal van large watchlist-uploads per werkruimte tegelijkRaadpleeg de limiet voor de uploadgrootte voor wat een volglijst maakt large |
Een large volglijst |
Azure Cosmos DB |
| Aantal grote verwijderingen van de watchlist per werkruimte op hetzelfde moment Raadpleeg de uploadgrootte limiet om te zien wat een watchlist groot maakt large |
Een large volglijst |
Azure Cosmos DB |
Werkmaplimieten
Werkmaplimieten voor Sentinel zijn dezelfde resultaatlimieten die in Azure Monitor zijn gevonden. Zie Resultaatlimieten voor Werkmappen voor meer informatie.
Limieten voor werkruimtebeheer
De volgende limieten gelden voor werkruimtebeheer in Microsoft Sentinel.
| Beschrijving | Grenswaarde | Afhankelijkheid |
|---|---|---|
| Aantal gepubliceerde bewerkingen in een groep Gepubliceerde bewerkingen = (lidwerkruimten) * (inhoudselementen) |
2000 gepubliceerde operaties | Geen |