Limites de serviço para o Microsoft Sentinel
Este artigo lista os limites de serviço mais comuns que você pode encontrar ao usar o Microsoft Sentinel. Para outros limites que podem afetar serviços ou recursos que você usa, como o Azure Monitor, consulte Limites de assinatura e serviço, cotas e restrições do Azure.
Limites de regras do Google Analytics
O limite a seguir se aplica a regras de análise no Microsoft Sentinel.
| Description | Limite | Dependency |
|---|---|---|
| Número de regras habilitadas | 512 regras | Nenhuma |
| Número de regras quase em tempo real (NRT) | 50 regras NRT | Nenhuma |
| Mapeamentos de entidades | 10 mapeamentos por regra | Nenhuma |
| Entidades identificadas por alerta (Dividido igualmente entre as entidades mapeadas) |
500 entidades por alerta | Nenhuma |
| Limite de tamanho cumulativo de entidades | 64 KB | Nenhuma |
| Detalhes personalizados | 20 detalhes por regra 50 valores por detalhe Tamanho cumulativo de 2 KB |
Nenhuma |
| Detalhes do alerta | 50 valores por campo substituído 5 KB por campo para Description e coleções256 bytes por campo para AlertName e não coleções |
Nenhuma |
| Alertas por regra Aplicável quando o agrupamento de eventos está definido como Disparar um alerta para cada evento |
150 alertas | Nenhuma |
| Alertas por regra para regras NRT | 30 alertas | Nenhuma |
Limites de caça
Os limites a seguir se aplicam ao Hunts no Microsoft Sentinel.
| Description | Limite | Dependency |
|---|---|---|
| Número de Caçadas | 100 | Nenhuma |
Limites de incidentes
Os limites a seguir se aplicam a incidentes no Microsoft Sentinel.
| Description | Limite | Dependency |
|---|---|---|
| Disponibilidade da experiência de investigação | 90 dias a partir da hora da última atualização do incidente | Nenhuma |
| Número de indicações | 150 alertas | Nenhuma |
| Número de regras de automação | 512 regras | Nenhuma |
| Número de ações de regra de automação | 20 ações | Nenhuma |
| Número de condições da regra de automação | 50 condições | Nenhuma |
| Número de marcadores | 20 marcadores | Nenhuma |
| Número de caracteres para o nome da regra de automação | 500 caracteres | Nenhuma |
| Número de caracteres para descrição | 5.000 caracteres | Nenhuma |
| Número de caracteres por comentário | 30.000 caracteres | Nenhuma |
| Número de comentários por incidente | 100 Comentários | Nenhuma |
| Número de tarefas | 40 tarefas | Nenhuma |
| Número de incidentes retornados pela API para solicitação de lista | Máximo de 1.000 incidentes | Nenhuma |
| Número de incidentes por dia (por espaço de trabalho) | Ver explicação após a tabela | Capacidade da base de dados |
Número de incidentes por dia: Não há um limite formal e rígido para o número de incidentes que podem ser criados por dia. A capacidade real de incidentes de um espaço de trabalho depende da capacidade de armazenamento do banco de dados de incidentes, portanto, o tamanho dos incidentes é tanto um fator quanto seu número.
No entanto, um SOC que experimenta a criação de mais de 3.000 novos incidentes por dia provavelmente se verá incapaz de acompanhar, e a capacidade do banco de dados será rapidamente atingida. Nessa situação, o SOC precisa encontrar e corrigir quaisquer regras que criem um grande número de incidentes, para levar a contagem de novos incidentes diários a níveis gerenciáveis.
Limites baseados em aprendizado de máquina
Os limites a seguir se aplicam a recursos baseados em aprendizado de máquina no Microsoft Sentinel, como anomalias personalizáveis e Fusion.
| Description | Limite | Dependency |
|---|---|---|
| Número de anomalias publicadas por tipo de anomalia | Top 3000 classificados por pontuação de anomalia | Nenhuma |
| Número de alertas e/ou anomalias num único incidente do Fusion | 100 alertas e/ou anomalias | Nenhuma |
Limites de vários espaços de trabalho
O limite a seguir se aplica a vários espaços de trabalho no Microsoft Sentinel. Os limites aqui são aplicados ao trabalhar com recursos do Sentinel em mais de um espaço de trabalho de cada vez.
| Description | Limite | Dependency |
|---|---|---|
| Visualização de incidente | 100 espaços de trabalho exibidos simultaneamente | |
| Consulta de log | 100 espaços de trabalho Sentinel | Log Analytics |
| Regras de análise | 20 espaços de trabalho do Sentinel por consulta |
Limites do bloco de notas
Os limites a seguir se aplicam a blocos de anotações no Microsoft Sentinel. Os limites estão relacionados com as dependências de outros serviços utilizados pelos notebooks.
| Description | Limite | Dependency |
|---|---|---|
| Contagem total desses ativos por espaço de trabalho de aprendizado de máquina: conjuntos de dados, execuções, modelos e artefatos | 10 milhões de ativos | Azure Machine Learning |
| Limite padrão para o total de clusters de computação por região. O limite é compartilhado entre um cluster de treinamento e uma instância de computação. Uma instância de computação é considerada um cluster de nó único para fins de quota. | 200 clusters de computação por região | Azure Machine Learning |
| Contas de armazenamento por região e por assinatura | 250 contas de armazenamento | Armazenamento do Azure |
| Tamanho máximo de um compartilhamento de arquivos por padrão | 5 TB | Armazenamento do Azure |
| Tamanho máximo de um compartilhamento de arquivos com o recurso de compartilhamento de arquivos grandes habilitado | 100 TB | Armazenamento do Azure |
| Taxa de transferência máxima (entrada + saída) para um único compartilhamento de arquivos por padrão | 60 MB/seg | Armazenamento do Azure |
| Taxa de transferência máxima (entrada + saída) para um único compartilhamento de arquivos com o recurso de compartilhamento de arquivos grandes habilitado | 300 MB/seg | Armazenamento do Azure |
Limites de repositórios
Os limites a seguir se aplicam a repositórios no Microsoft Sentinel.
| Description | Limite | Dependency |
|---|---|---|
| Número de repositórios | 5 | Espaço de trabalho Sentinel |
| Histórico de implementações | 800 | Grupo de Recursos do Azure |
Limites de inteligência de ameaças
O limite a seguir se aplica à inteligência de ameaças no Microsoft Sentinel. O limite está relacionado à dependência de uma API usada por inteligência de ameaças.
| Description | Limite | Dependency |
|---|---|---|
| Indicadores por chamada que usam a API de segurança do Graph | 100 indicadores | API de segurança do Microsoft Graph |
| Tamanho de importação do arquivo indicador CSV | 50 MB | nenhum |
| Tamanho de importação do arquivo indicador JSON | 250 MB | nenhum |
Limites da API de indicadores de upload de TI
O limite a seguir se aplica à API de indicadores de carregamento de inteligência de ameaças no Microsoft Sentinel.
| Description | Limite | Dependency |
|---|---|---|
| Indicadores por pedido | 100 indicadores | |
| Pedidos por minuto | 100 |
Limites da Análise de Comportamento de Usuários e Entidades (UEBA)
O limite a seguir se aplica ao UEBA no Microsoft Sentinel. O limite para UEBA no Microsoft Sentinel está relacionado a dependências em outro serviço.
| Description | Limite | Dependency |
|---|---|---|
| Configuração de retenção mais baixa em dias para a tabela IdentityInfo . Todos os dados armazenados na tabela IdentityInfo no Log Analytics são atualizados a cada 14 dias. | 14 dias | Log Analytics |
Limites da lista de observação
Os limites a seguir se aplicam às listas de observação no Microsoft Sentinel. Os limites estão relacionados com as dependências de outros serviços utilizados pelas listas de observação.
| Description | Limite | Dependency |
|---|---|---|
| Tamanho do upload para o arquivo local | 3,8 MB por ficheiro | Azure Resource Manager |
| Entrada de linha no arquivo CSV | 10.240 caracteres por linha | Azure Resource Manager |
| Tamanho total de uma única linha | 10 Kb | Log Analytics |
| Tamanho de carregamento para arquivos no Armazenamento do Azure | 500 MB por ficheiro | Armazenamento do Azure |
| Número total de itens ativos da lista de observação por espaço de trabalho. Quando a contagem máxima for atingida, exclua alguns itens existentes para adicionar uma nova lista de observação. | 10 milhões de itens ativos da lista de vigilância | Log Analytics |
| Taxa total de alteração de todos os itens da lista de observação por espaço de trabalho | 1% de taxa de variação por mês | Log Analytics |
| Número de carregamentos de listas de observação grandes por espaço de trabalho de cada vez | Uma grande lista de observação | Azure Cosmos DB |
| Número de exclusões de listas de observação grandes por espaço de trabalho de cada vez | Uma grande lista de observação | Azure Cosmos DB |
Limites da pasta de trabalho
Os limites de pasta de trabalho para o Sentinel são os mesmos limites de resultado encontrados no Azure Monitor. Para obter mais informações, consulte Limites de resultados de pastas de trabalho.
Limites do gerenciador de espaços de trabalho
Os limites a seguir se aplicam ao gerenciador de espaços de trabalho no Microsoft Sentinel.
| Description | Limite | Dependency |
|---|---|---|
| Número de operações publicadas num grupo Operações publicadas = (espaços de trabalho de membros) * (itens de conteúdo) |
Operações publicadas em 2000 | Nenhuma |