Ограничения службы для Microsoft Sentinel
В этом разделе перечислены наиболее распространенные ограничения службы, которые могут возникнуть при использовании Microsoft Sentinel. Другие ограничения, которые могут повлиять на используемые службы или функции, такие как Azure Monitor, см . в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.
Ограничения правил аналитики
К правилам аналитики в Microsoft Sentinel применяется следующее ограничение.
| Description | Лимит | Зависимость |
|---|---|---|
| Количество включенных правил | 512 правил | нет |
| Количество правил почти в режиме реального времени (NRT) | 50 правил NRT | нет |
| Сопоставления сущностей | 10 сопоставлений на правило | нет |
| Сущности , идентифицированные на оповещение (Разделено одинаково между сопоставленными сущностями) |
500 сущностей на оповещение | нет |
| Совокупное ограничение размера сущностей | 64 КБ | нет |
| Пользовательские сведения | 20 сведений о правиле | нет |
| Пользовательские сведения и сведения о оповещении совокупный предел размера |
64 КБ | нет |
| Оповещения для каждого правила Применимо, если для группирования событий задано значение "Активировать оповещение" для каждого события. |
150 оповещений | нет |
| Оповещения для правил NRT | 30 оповещений | нет |
Ограничения инцидентов
К инцидентам в Microsoft Sentinel применяются следующие ограничения.
| Description | Лимит | Зависимость |
|---|---|---|
| Доступность нового интерфейса анализа | 90 дней с момента последнего обновления инцидента | нет |
| Количество предупреждений | 150 оповещений | нет |
| Количество правил автоматизации | 512 правил | нет |
| Количество действий для правила автоматизации | 20 действий | нет |
| Количество условий для правила автоматизации | 50 условий | нет |
| Количество закладок | 20 закладок | нет |
| Число символов для имени правила автоматизации | 500 символов | нет |
| Число символов для описания | 5K символов | нет |
| Количество символов на комментарий | 30K символов | нет |
| Количество комментариев на инцидент | 100 комментариев | нет |
| Количество задач | 100 задач | нет |
| Количество инцидентов, возвращаемых API для получения запроса на список | Максимальное число инцидентов в 1000 | нет |
Ограничения на основе машинного обучения
К функциям на основе машинного обучения в Microsoft Sentinel, таким как настраиваемые аномалии и Fusion, применяются следующие ограничения.
| Description | Лимит | Зависимость |
|---|---|---|
| Число опубликованных аномалий на тип аномалий | Первые 3000, ранжированные по оценке аномалии | нет |
| Количество оповещений и (или) аномалий в одном инциденте Fusion | 100 оповещений и (или) аномалий | нет |
Ограничения нескольких рабочих областей
Следующее ограничение применяется к нескольким рабочим областям в Microsoft Sentinel. Ограничения применяются при работе с функциями Sentinel в течение нескольких рабочих областей за раз.
| Description | Лимит | Зависимость |
|---|---|---|
| Представление инцидента | 100 одновременно отображаемых рабочих областей | |
| Запрос журнала | 100 рабочих областей Sentinel | Служба Log Analytics |
| Правила аналитики | 20 рабочих областей Sentinel для каждого запроса |
Ограничения записных книжек
К записным книжкам в Microsoft Sentinel применяются следующие ограничения. Эти ограничения связаны с зависимостями от других служб, используемых записными книжками.
| Description | Лимит | Зависимость |
|---|---|---|
| Общее число следующих ресурсов на рабочую область машинного обучения: наборы данных, запуски, модели и артефакты | 10 млн ресурсов | Машинное обучение Azure |
| Ограничение по умолчанию для общего числа вычислительных кластеров в каждом регионе. Это ограничение распределяется между кластерами обучения и вычислительными экземплярами. В контексте квот вычислительным экземпляром считается кластер с одним узлом. | 200 вычислительных кластеров на регион | Машинное обучение Azure |
| Учетные записи хранения на подписку в каждом регионе | 250 учетных записей хранения | Хранилище Azure |
| Максимальный размер общей папки по умолчанию | 5 ТБ | Хранилище Azure |
| Максимальный размер общей папки с включенной функцией больших общих папок | 100 ТБ | Хранилище Azure |
| Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки по умолчанию | 60 МБ/с | Хранилище Azure |
| Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки с включенной функцией больших общих папок | 300 МБ/с | Хранилище Azure |
Ограничения репозиториев
К репозиториям в Microsoft Sentinel применяются приведенные ниже ограничения.
| Description | Лимит | Зависимость |
|---|---|---|
| Число репозиториев | 5 | Рабочая область Sentinel |
| Журнал развертывания | 800 | Группа ресурсов Azure |
Ограничения аналитики угроз
К аналитике угроз в Microsoft Sentinel применяется следующее ограничение. Это ограничение связано с зависимостью от API-интерфейсам, используемого аналитикой угроз.
| Description | Лимит | Зависимость |
|---|---|---|
| Индикаторы для каждого вызова, использующего API безопасности Graph | 100 индикаторов | API безопасности Microsoft Graph |
| Размер импорта CSV-файла индикатора | 50 МБ | ничего |
| Размер импорта JSON-файла индикатора | 250 МБ | ничего |
Ограничения API отправки индикаторов TI
Следующее ограничение применяется к API индикаторов отправки аналитики угроз в Microsoft Sentinel.
| Description | Лимит | Зависимость |
|---|---|---|
| Индикаторы на запрос | 100 индикаторов | |
| Число запросов в минуту | 100 |
Ограничения аналитики поведения пользователей и сущностей (UEBA)
К UEBA в Microsoft Sentinel применяется следующее ограничение. Ограничение для UEBA в Microsoft Sentinel связано с зависимостями от другой службы.
| Description | Лимит | Зависимость |
|---|---|---|
| Самая низкая конфигурация хранения в днях для таблицы IdentityInfo. Все данные, хранящиеся в таблице IdentityInfo в Log Analytics, обновляются каждые 14 дней. | 14 дней | Служба Log Analytics |
Ограничения списка отслеживания
К спискам отслеживания в Microsoft Sentinel применяются следующие ограничения. Эти ограничения связаны с зависимостями от других служб, используемых списками отслеживания.
| Description | Лимит | Зависимость |
|---|---|---|
| Размер отправляемого локального файла | 3,8 МБ на файл | Azure Resource Manager |
| Запись строки в CSV-файле | 10 240 символов на строку | Azure Resource Manager |
| Общий размер одной строки | 10 Кб | Служба Log Analytics |
| Размер отправляемых файлов в службе хранилища Azure | 500 МБ на файл | Хранилище Azure |
| Общее число активных элементов списка отслеживания на рабочую область. При достижении максимального числа удалите несколько имеющихся элементов, чтобы добавить новый список отслеживания. | 10 млн активных элементов списка отслеживания | Служба Log Analytics |
| Общая скорость изменения всех элементов списка наблюдения на рабочую область | 1 % изменений в месяц | Служба Log Analytics |
| Количество отправок большого списка отслеживания на рабочую область за раз | Один большой список отслеживания | Azure Cosmos DB |
| Количество удалений большого списка отслеживания на рабочую область за раз | Один большой список отслеживания | Azure Cosmos DB |
Ограничения книги
Ограничения книги для Sentinel являются одинаковыми ограничениями результатов, найденными в Azure Monitor. Дополнительные сведения см. в разделе "Ограничения результатов книг".
Ограничения диспетчера рабочих областей
Следующие ограничения применяются к диспетчеру рабочих областей в Microsoft Sentinel.
| Description | Лимит | Зависимость |
|---|---|---|
| Количество опубликованных операций в группе Опубликованные операции = (рабочие области членов) * (элементы содержимого) |
Опубликованные операции 2000 | нет |