Limity usług dla usługi Microsoft Sentinel
W tym artykule wymieniono najbardziej typowe limity usług, które mogą wystąpić podczas korzystania z usługi Microsoft Sentinel. Aby uzyskać inne limity, które mogą mieć wpływ na używane usługi lub funkcje, takie jak Azure Monitor, zobacz Limity, limity przydziału i ograniczenia subskrypcji i usług platformy Azure.
Limity reguł analizy
Następujący limit dotyczy reguł analizy w usłudze Microsoft Sentinel.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Liczba reguł z włączoną liczbą | 512 reguł | Brak |
| Liczba reguł niemal w czasie rzeczywistym (NRT) | 50 reguł NRT | Brak |
| Mapowania jednostek | 10 mapowań na regułę | Brak |
| Jednostki zidentyfikowane na alert (Podzielone równomiernie między zamapowane jednostki) |
500 jednostek na alert | Brak |
| Limit rozmiaru skumulowanego jednostek | 64 KB | Brak |
| Szczegóły niestandardowe | 20 szczegółów na regułę | Brak |
| Szczegóły niestandardowe i szczegóły alertu łączny limit rozmiaru skumulowanego |
64 KB | Brak |
| Alerty na regułę Ma zastosowanie w przypadku ustawienia grupowania zdarzeń na wyzwalanie alertu dla każdego zdarzenia |
150 alertów | Brak |
| Alerty na regułę dla reguł NRT | 30 alertów | Brak |
Limity zdarzeń
Następujące limity dotyczą zdarzeń w usłudze Microsoft Sentinel.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Dostępność środowiska badania | 90 dni od czasu ostatniej aktualizacji zdarzenia | Brak |
| Liczba alertów | 150 alertów | Brak |
| Liczba reguł automatyzacji | 512 reguł | Brak |
| Liczba akcji reguły automatyzacji | 20 akcji | Brak |
| Liczba warunków reguły automatyzacji | 50 warunków | Brak |
| Liczba zakładek | 20 zakładek | Brak |
| Liczba znaków nazwy reguły automatyzacji | 500 znaków | Brak |
| Liczba znaków opisu | 5K znaków | Brak |
| Liczba znaków na komentarz | 30 tys. znaków | Brak |
| Liczba komentarzy na zdarzenie | 100 komentarzy | Brak |
| Liczba zadań | 100 zadań | Brak |
| Liczba zdarzeń zwracanych przez interfejs API w celu wyświetlenia listy żądań | Maksymalnie 1000 zdarzeń | Brak |
Limity oparte na uczeniu maszynowym
Poniższe limity dotyczą funkcji opartych na uczeniu maszynowym w usłudze Microsoft Sentinel, takich jak dostosowywalne anomalie i fusion.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Liczba opublikowanych anomalii na typ anomalii | 3000 najlepszych sklasyfikowanych według wyniku anomalii | Brak |
| Liczba alertów i/lub anomalii w pojedynczym zdarzeniu fusion | 100 alertów i/lub anomalii | Brak |
Limity wielu obszarów roboczych
Następujący limit dotyczy wielu obszarów roboczych w usłudze Microsoft Sentinel. Limity są stosowane podczas pracy z funkcjami usługi Sentinel w więcej niż w danym momencie w obszarze roboczym.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Widok zdarzenia | 100 wyświetlanych współbieżnie obszarów roboczych | |
| Zapytanie dziennika | 100 obszarów roboczych usługi Sentinel | Log Analytics |
| Reguły analizy | 20 obszarów roboczych usługi Sentinel na zapytanie |
Limity notesów
Następujące limity dotyczą notesów w usłudze Microsoft Sentinel. Limity są powiązane z zależnościami od innych usług używanych przez notesy.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Łączna liczba tych zasobów na obszar roboczy uczenia maszynowego: zestawy danych, uruchomienia, modele i artefakty | 10 milionów aktywów | Uczenie maszynowe Azure |
| Domyślny limit dla łącznych klastrów obliczeniowych na region. Limit jest współużytkowany między klastrem trenowania a wystąpieniem obliczeniowym. Wystąpienie obliczeniowe jest uznawane za klaster z jednym węzłem na potrzeby przydziału. | 200 klastrów obliczeniowych na region | Uczenie maszynowe Azure |
| Konta magazynu na region na subskrypcję | 250 kont magazynu | Azure Storage |
| Maksymalny rozmiar udziału plików domyślnie | 5 TB | Azure Storage |
| Maksymalny rozmiar udziału plików z włączoną funkcją dużego udziału plików | 100 TB | Azure Storage |
| Maksymalna przepływność (ruch przychodzący i wychodzący) dla pojedynczego udziału plików domyślnie | 60 MB/s | Azure Storage |
| Maksymalna przepływność (ruch przychodzący i wychodzący) dla pojedynczego udziału plików z włączoną funkcją dużego udziału plików | 300 MB/s | Azure Storage |
Limity repozytoriów
Następujące limity dotyczą repozytoriów w usłudze Microsoft Sentinel.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Liczba repozytoriów | 5 | Obszar roboczy usługi Sentinel |
| Historia wdrożenia | 800 | Grupa zasobów platformy Azure |
Limity analizy zagrożeń
Poniższy limit dotyczy analizy zagrożeń w usłudze Microsoft Sentinel. Limit jest związany z zależnością od interfejsu API używanego przez analizę zagrożeń.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Wskaźniki na wywołanie korzystające z interfejsu API zabezpieczeń programu Graph | 100 wskaźników | Interfejs API zabezpieczeń programu Microsoft Graph |
| Rozmiar importu pliku wskaźnika CSV | 50 MB | Brak |
| Rozmiar importu pliku wskaźnika JSON | 250 MB | Brak |
Limity interfejsu API przekazywania wskaźników TI
Następujący limit dotyczy interfejsu API wskaźników przekazywania analizy zagrożeń w usłudze Microsoft Sentinel.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Wskaźniki na żądanie | 100 wskaźników | |
| Żądania na minutę | 100 |
Limity analizy zachowań użytkowników i jednostek (UEBA)
Następujący limit dotyczy analizy UEBA w usłudze Microsoft Sentinel. Limit dla analizy UEBA w usłudze Microsoft Sentinel jest związany z zależnościami od innej usługi.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Najniższa konfiguracja przechowywania w dniach dla tabeli IdentityInfo . Wszystkie dane przechowywane w tabeli IdentityInfo w usłudze Log Analytics są odświeżane co 14 dni. | 14 dni | Log Analytics |
Limity listy obserwowanych
Następujące limity dotyczą list obserwowanych w usłudze Microsoft Sentinel. Limity są powiązane z zależnościami od innych usług używanych przez listy obserwowanych.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Rozmiar przekazywania dla pliku lokalnego | 3,8 MB na plik | Menedżer zasobów Azure |
| Wpis wiersza w pliku CSV | 10 240 znaków na wiersz | Menedżer zasobów Azure |
| Całkowity rozmiar pojedynczego wiersza | 10 Kb | Log Analytics |
| Rozmiar przekazywania plików w usłudze Azure Storage | 500 MB na plik | Azure Storage |
| Łączna liczba aktywnych elementów listy obserwowanych na obszar roboczy. Po osiągnięciu maksymalnej liczby usuń niektóre istniejące elementy, aby dodać nową listę do obejrzenia. | 10 milionów aktywnych elementów listy obserwowanych | Log Analytics |
| Łączna liczba zmian wszystkich elementów listy obserwowanych na obszar roboczy | 1% współczynnika zmian miesięcznie | Log Analytics |
| Liczba przekazywanych dużych list obserwowanych na obszar roboczy w danym momencie | Jedna duża lista obserwowanych | Azure Cosmos DB |
| Liczba dużych usunięć listy obserwowanych na obszar roboczy w danym momencie | Jedna duża lista obserwowanych | Azure Cosmos DB |
Limity skoroszytu
Limity skoroszytów dla usługi Sentinel są tymi samymi limitami wyników występującymi w usłudze Azure Monitor. Aby uzyskać więcej informacji, zobacz Limity wyników skoroszytów.
Limity menedżera obszarów roboczych
Następujące limity dotyczą menedżera obszarów roboczych w usłudze Microsoft Sentinel.
| opis | Ograniczenie | Zależność |
|---|---|---|
| Liczba opublikowanych operacji w grupie Opublikowane operacje = (obszary robocze elementów członkowskich) * (elementy zawartości) |
2000 opublikowanych operacji | Brak |