Ограничения службы для Microsoft Sentinel
В этом разделе перечислены наиболее распространенные ограничения службы, которые могут возникнуть при использовании Microsoft Sentinel. Другие ограничения, которые могут повлиять на используемые службы или функции, такие как Azure Monitor, см . в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.
Ограничения правил аналитики
К правилам аналитики в Microsoft Sentinel применяется следующее ограничение.
Description | Лимит | Зависимость |
---|---|---|
Количество включенных правил | 512 правил | нет |
Количество правил почти в режиме реального времени (NRT) | 50 правил NRT | нет |
Сопоставления сущностей | 10 сопоставлений на правило | нет |
Сущности , идентифицированные на оповещение (Разделено одинаково между сопоставленными сущностями) |
500 сущностей на оповещение | нет |
Совокупное ограничение размера сущностей | 64 КБ | нет |
Пользовательские сведения | 20 сведений о правиле | нет |
Пользовательские сведения и сведения о оповещении совокупный предел размера |
64 КБ | нет |
Оповещения для каждого правила Применимо, если для группирования событий задано значение "Активировать оповещение" для каждого события. |
150 оповещений | нет |
Оповещения для правил NRT | 30 оповещений | нет |
Ограничения инцидентов
К инцидентам в Microsoft Sentinel применяются следующие ограничения.
Description | Лимит | Зависимость |
---|---|---|
Доступность нового интерфейса анализа | 90 дней с момента последнего обновления инцидента | нет |
Количество предупреждений | 150 оповещений | нет |
Количество правил автоматизации | 512 правил | нет |
Количество действий для правила автоматизации | 20 действий | нет |
Количество условий для правила автоматизации | 50 условий | нет |
Количество закладок | 20 закладок | нет |
Число символов для имени правила автоматизации | 500 символов | нет |
Число символов для описания | 5K символов | нет |
Количество символов на комментарий | 30K символов | нет |
Количество комментариев на инцидент | 100 комментариев | нет |
Количество задач | 100 задач | нет |
Количество инцидентов, возвращаемых API для получения запроса на список | Максимальное число инцидентов в 1000 | нет |
Ограничения на основе машинного обучения
К функциям на основе машинного обучения в Microsoft Sentinel, таким как настраиваемые аномалии и Fusion, применяются следующие ограничения.
Description | Лимит | Зависимость |
---|---|---|
Число опубликованных аномалий на тип аномалий | Первые 3000, ранжированные по оценке аномалии | нет |
Количество оповещений и (или) аномалий в одном инциденте Fusion | 100 оповещений и (или) аномалий | нет |
Ограничения нескольких рабочих областей
Следующее ограничение применяется к нескольким рабочим областям в Microsoft Sentinel. Ограничения применяются при работе с функциями Sentinel в течение нескольких рабочих областей за раз.
Description | Лимит | Зависимость |
---|---|---|
Представление инцидента | 100 одновременно отображаемых рабочих областей | |
Запрос журнала | 100 рабочих областей Sentinel | Служба Log Analytics |
Правила аналитики | 20 рабочих областей Sentinel для каждого запроса |
Ограничения записных книжек
К записным книжкам в Microsoft Sentinel применяются следующие ограничения. Эти ограничения связаны с зависимостями от других служб, используемых записными книжками.
Description | Лимит | Зависимость |
---|---|---|
Общее число следующих ресурсов на рабочую область машинного обучения: наборы данных, запуски, модели и артефакты | 10 млн ресурсов | Машинное обучение Azure |
Ограничение по умолчанию для общего числа вычислительных кластеров в каждом регионе. Это ограничение распределяется между кластерами обучения и вычислительными экземплярами. В контексте квот вычислительным экземпляром считается кластер с одним узлом. | 200 вычислительных кластеров на регион | Машинное обучение Azure |
Учетные записи хранения на подписку в каждом регионе | 250 учетных записей хранения | Хранилище Azure |
Максимальный размер общей папки по умолчанию | 5 ТБ | Хранилище Azure |
Максимальный размер общей папки с включенной функцией больших общих папок | 100 ТБ | Хранилище Azure |
Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки по умолчанию | 60 МБ/с | Хранилище Azure |
Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки с включенной функцией больших общих папок | 300 МБ/с | Хранилище Azure |
Ограничения репозиториев
К репозиториям в Microsoft Sentinel применяются приведенные ниже ограничения.
Description | Лимит | Зависимость |
---|---|---|
Число репозиториев | 5 | Рабочая область Sentinel |
Журнал развертывания | 800 | Группа ресурсов Azure |
Ограничения аналитики угроз
К аналитике угроз в Microsoft Sentinel применяется следующее ограничение. Это ограничение связано с зависимостью от API-интерфейсам, используемого аналитикой угроз.
Description | Лимит | Зависимость |
---|---|---|
Индикаторы для каждого вызова, использующего API безопасности Graph | 100 индикаторов | API безопасности Microsoft Graph |
Размер импорта CSV-файла индикатора | 50 МБ | ничего |
Размер импорта JSON-файла индикатора | 250 МБ | ничего |
Ограничения API отправки индикаторов TI
Следующее ограничение применяется к API индикаторов отправки аналитики угроз в Microsoft Sentinel.
Description | Лимит | Зависимость |
---|---|---|
Индикаторы на запрос | 100 индикаторов | |
Число запросов в минуту | 100 |
Ограничения аналитики поведения пользователей и сущностей (UEBA)
К UEBA в Microsoft Sentinel применяется следующее ограничение. Ограничение для UEBA в Microsoft Sentinel связано с зависимостями от другой службы.
Description | Лимит | Зависимость |
---|---|---|
Самая низкая конфигурация хранения в днях для таблицы IdentityInfo. Все данные, хранящиеся в таблице IdentityInfo в Log Analytics, обновляются каждые 14 дней. | 14 дней | Служба Log Analytics |
Ограничения списка отслеживания
К спискам отслеживания в Microsoft Sentinel применяются следующие ограничения. Эти ограничения связаны с зависимостями от других служб, используемых списками отслеживания.
Description | Лимит | Зависимость |
---|---|---|
Размер отправляемого локального файла | 3,8 МБ на файл | Azure Resource Manager |
Запись строки в CSV-файле | 10 240 символов на строку | Azure Resource Manager |
Общий размер одной строки | 10 Кб | Служба Log Analytics |
Размер отправляемых файлов в службе хранилища Azure | 500 МБ на файл | Хранилище Azure |
Общее число активных элементов списка отслеживания на рабочую область. При достижении максимального числа удалите несколько имеющихся элементов, чтобы добавить новый список отслеживания. | 10 млн активных элементов списка отслеживания | Служба Log Analytics |
Общая скорость изменения всех элементов списка наблюдения на рабочую область | 1 % изменений в месяц | Служба Log Analytics |
Количество отправок большого списка отслеживания на рабочую область за раз | Один большой список отслеживания | Azure Cosmos DB |
Количество удалений большого списка отслеживания на рабочую область за раз | Один большой список отслеживания | Azure Cosmos DB |
Ограничения книги
Ограничения книги для Sentinel являются одинаковыми ограничениями результатов, найденными в Azure Monitor. Дополнительные сведения см. в разделе "Ограничения результатов книг".
Ограничения диспетчера рабочих областей
Следующие ограничения применяются к диспетчеру рабочих областей в Microsoft Sentinel.
Description | Лимит | Зависимость |
---|---|---|
Количество опубликованных операций в группе Опубликованные операции = (рабочие области членов) * (элементы содержимого) |
Опубликованные операции 2000 | нет |