Limity usług dla usługi Microsoft Sentinel
W tym artykule wymieniono najbardziej typowe limity usług, które mogą wystąpić podczas korzystania z usługi Microsoft Sentinel. Aby uzyskać inne limity, które mogą mieć wpływ na używane usługi lub funkcje, takie jak Azure Monitor, zobacz Limity, limity przydziału i ograniczenia subskrypcji i usług platformy Azure.
Limity reguł analizy
Następujący limit dotyczy reguł analizy w usłudze Microsoft Sentinel.
| opis | Limit | Dependency |
|---|---|---|
| Liczba reguł z włączoną liczbą | 512 reguł | Brak |
| Liczba reguł niemal w czasie rzeczywistym (NRT) | 50 reguł NRT | Brak |
| Mapowania jednostek | 10 mapowań na regułę | Brak |
| Jednostki zidentyfikowane na alert (Podzielone równomiernie między zamapowane jednostki) |
500 jednostek na alert | Brak |
| Limit rozmiaru skumulowanego jednostek | 64 KB | Brak |
| Szczegóły niestandardowe | 20 szczegółów na regułę | Brak |
| Szczegóły niestandardowe i szczegóły alertu łączny limit rozmiaru skumulowanego |
64 KB | Brak |
| Alerty na regułę Ma zastosowanie w przypadku ustawienia grupowania zdarzeń na wyzwalanie alertu dla każdego zdarzenia |
150 alertów | Brak |
| Alerty na regułę dla reguł NRT | 30 alertów | Brak |
Limity polowań
Następujące limity dotyczą polowań w usłudze Microsoft Sentinel.
| opis | Limit | Dependency |
|---|---|---|
| Liczba polowań | 100 | Brak |
Limity zdarzeń
Następujące limity dotyczą zdarzeń w usłudze Microsoft Sentinel.
| opis | Limit | Dependency |
|---|---|---|
| Dostępność środowiska badania | 90 dni od czasu ostatniej aktualizacji zdarzenia | Brak |
| Liczba alertów | 150 alertów | Brak |
| Liczba reguł automatyzacji | 512 reguł | Brak |
| Liczba akcji reguły automatyzacji | 20 akcji | Brak |
| Liczba warunków reguły automatyzacji | 50 warunków | Brak |
| Liczba zakładek | 20 zakładek | Brak |
| Liczba znaków nazwy reguły automatyzacji | 500 znaków | Brak |
| Liczba znaków opisu | 5000 znaków | Brak |
| Liczba znaków na komentarz | 30 000 znaków | Brak |
| Liczba komentarzy na zdarzenie | 100 komentarzy | Brak |
| Liczba zadań | 100 zadań | Brak |
| Liczba zdarzeń zwracanych przez interfejs API w celu wyświetlenia listy żądań | Maksymalna liczba zdarzeń: 1000 | Brak |
| Liczba zdarzeń dziennie (na obszar roboczy) | Zobacz wyjaśnienie po tabeli | Pojemność danych |
Liczba zdarzeń dziennie: nie ma formalnego, twardego limitu liczby zdarzeń, które można utworzyć dziennie. Rzeczywista pojemność obszaru roboczego dla zdarzeń zależy od pojemności magazynu bazy danych zdarzeń, więc rozmiar zdarzeń jest tak duży, jak ich liczba.
Jednak SOC, który doświadcza tworzenia ponad 3000 nowych zdarzeń dziennie, najprawdopodobniej nie będzie w stanie nadążyć, a pojemność bazy danych zostanie szybko osiągnięta. W takiej sytuacji SOC musi znaleźć i naprawić wszystkie reguły, które tworzą dużą liczbę zdarzeń, aby uzyskać liczbę codziennych nowych zdarzeń w celu zarządzania poziomami.
Limity oparte na uczeniu maszynowym
Poniższe limity dotyczą funkcji opartych na uczeniu maszynowym w usłudze Microsoft Sentinel, takich jak dostosowywalne anomalie i fusion.
| opis | Limit | Dependency |
|---|---|---|
| Liczba opublikowanych anomalii na typ anomalii | 3000 najlepszych sklasyfikowanych według wyniku anomalii | Brak |
| Liczba alertów i/lub anomalii w pojedynczym zdarzeniu fusion | 100 alertów i/lub anomalii | Brak |
Limity wielu obszarów roboczych
Następujący limit dotyczy wielu obszarów roboczych w usłudze Microsoft Sentinel. Limity są stosowane podczas pracy z funkcjami usługi Sentinel w więcej niż w danym momencie w obszarze roboczym.
| opis | Limit | Dependency |
|---|---|---|
| Widok zdarzenia | 100 wyświetlanych współbieżnie obszarów roboczych | |
| Zapytanie dziennika | 100 obszarów roboczych usługi Sentinel | Log Analytics |
| Reguły analizy | 20 obszarów roboczych usługi Sentinel na zapytanie |
Limity notesów
Następujące limity dotyczą notesów w usłudze Microsoft Sentinel. Limity są powiązane z zależnościami od innych usług używanych przez notesy.
| opis | Limit | Dependency |
|---|---|---|
| Łączna liczba tych zasobów na obszar roboczy uczenia maszynowego: zestawy danych, uruchomienia, modele i artefakty | 10 milionów aktywów | Azure Machine Learning |
| Domyślny limit dla łącznych klastrów obliczeniowych na region. Limit jest współużytkowany między klastrem trenowania a wystąpieniem obliczeniowym. Wystąpienie obliczeniowe jest uznawane za klaster z jednym węzłem na potrzeby limitu przydziału. | 200 klastrów obliczeniowych na region | Azure Machine Learning |
| Konta magazynu na region na subskrypcję | 250 kont magazynu | Azure Storage |
| Maksymalny rozmiar udziału plików domyślnie | 5 TB | Azure Storage |
| Maksymalny rozmiar udziału plików z włączoną funkcją dużego udziału plików | 100 TB | Azure Storage |
| Maksymalna przepływność (ruch przychodzący i wychodzący) dla pojedynczego udziału plików domyślnie | 60 MB/s | Azure Storage |
| Maksymalna przepływność (ruch przychodzący i wychodzący) dla pojedynczego udziału plików z włączoną funkcją dużego udziału plików | 300 MB/s | Azure Storage |
Limity repozytoriów
Następujące limity dotyczą repozytoriów w usłudze Microsoft Sentinel.
| opis | Limit | Dependency |
|---|---|---|
| Liczba repozytoriów | 5 | Obszar roboczy usługi Sentinel |
| Historia wdrożenia | 800 | Grupa zasobów platformy Azure |
Limity analizy zagrożeń
Poniższy limit dotyczy analizy zagrożeń w usłudze Microsoft Sentinel. Limit jest związany z zależnością od interfejsu API używanego przez analizę zagrożeń.
| opis | Limit | Dependency |
|---|---|---|
| Wskaźniki na wywołanie korzystające z interfejsu API zabezpieczeń programu Graph | 100 wskaźników | Interfejs API zabezpieczeń programu Microsoft Graph |
| Rozmiar importu pliku wskaźnika CSV | 50 MB | Brak |
| Rozmiar importu pliku wskaźnika JSON | 250 MB | Brak |
Limity interfejsu API przekazywania wskaźników TI
Następujący limit dotyczy interfejsu API wskaźników przekazywania analizy zagrożeń w usłudze Microsoft Sentinel.
| opis | Limit | Dependency |
|---|---|---|
| Wskaźniki na żądanie | 100 wskaźników | |
| Żądania na minutę | 100 |
Limity analizy zachowań użytkowników i jednostek (UEBA)
Następujący limit dotyczy analizy UEBA w usłudze Microsoft Sentinel. Limit dla analizy UEBA w usłudze Microsoft Sentinel jest związany z zależnościami od innej usługi.
| opis | Limit | Dependency |
|---|---|---|
| Najniższa konfiguracja przechowywania w dniach dla tabeli IdentityInfo . Wszystkie dane przechowywane w tabeli IdentityInfo w usłudze Log Analytics są odświeżane co 14 dni. | 14 dni | Log Analytics |
Limity listy obserwowanych
Następujące limity dotyczą list obserwowanych w usłudze Microsoft Sentinel. Limity są powiązane z zależnościami od innych usług używanych przez listy obserwowanych.
| opis | Limit | Dependency |
|---|---|---|
| Rozmiar przekazywania dla pliku lokalnego | 3,8 MB na plik | Azure Resource Manager |
| Wpis wiersza w pliku CSV | 10 240 znaków na wiersz | Azure Resource Manager |
| Całkowity rozmiar pojedynczego wiersza | 10 Kb | Log Analytics |
| Rozmiar przekazywania plików w usłudze Azure Storage | 500 MB na plik | Azure Storage |
| Łączna liczba aktywnych elementów listy obserwowanych na obszar roboczy. Po osiągnięciu maksymalnej liczby usuń niektóre istniejące elementy, aby dodać nową listę do obejrzenia. | 10 milionów aktywnych elementów listy obserwowanych | Log Analytics |
| Łączna liczba zmian wszystkich elementów listy obserwowanych na obszar roboczy | 1% współczynnika zmian miesięcznie | Log Analytics |
| Liczba przekazywanych dużych list obserwowanych na obszar roboczy w danym momencie | Jedna duża lista obserwowanych | Azure Cosmos DB |
| Liczba dużych usunięć listy obserwowanych na obszar roboczy w danym momencie | Jedna duża lista obserwowanych | Azure Cosmos DB |
Limity skoroszytu
Limity skoroszytów dla usługi Sentinel są tymi samymi limitami wyników występującymi w usłudze Azure Monitor. Aby uzyskać więcej informacji, zobacz Limity wyników skoroszytów.
Limity menedżera obszarów roboczych
Następujące limity dotyczą menedżera obszarów roboczych w usłudze Microsoft Sentinel.
| opis | Limit | Dependency |
|---|---|---|
| Liczba opublikowanych operacji w grupie Opublikowane operacje = (obszary robocze elementów członkowskich) * (elementy zawartości) |
2000 opublikowanych operacji | Brak |