Omezení služeb pro Microsoft Sentinel
Tento článek obsahuje seznam nejběžnějších limitů služeb, se kterými se můžete setkat při používání služby Microsoft Sentinel. Další omezení, která můžou mít vliv na služby nebo funkce, které používáte, jako je Azure Monitor, najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.
Limity analytických pravidel
Následující limit platí pro analytická pravidla v Microsoft Sentinelu.
| Popis | Limit | Dependency |
|---|---|---|
| Počet povolených pravidel | 512 pravidel | Nic |
| Počet pravidel téměř v reálném čase (NRT) | 50 pravidel NRT | Nic |
| Mapování entit | 10 mapování na pravidlo | Nic |
| Entity identifikované na výstrahu (Rovnoměrně rozdělené mezi mapované entity) |
500 entit na výstrahu | Nic |
| Limit kumulativní velikosti entit | 64 kB | Nic |
| Vlastní podrobnosti | 20 podrobností na pravidlo 50 hodnot na podrobnosti Kumulativní velikost 2 kB |
Nic |
| Podrobnosti o upozornění | 50 hodnot na přepsané pole 5 kB na pole a Description kolekce256 bajtů na pole AlertName a nesbídky |
Nic |
| Upozornění na pravidlo Použitelné při nastavení seskupení událostí na aktivaci výstrahy pro každou událost |
150 upozornění | Nic |
| Upozornění na pravidlo pro pravidla NRT | 30 upozornění | Nic |
Omezení pro lovy
Následující omezení platí pro vyhledávání v Microsoft Sentinelu.
| Popis | Limit | Dependency |
|---|---|---|
| Počet lovů | 100 | Nic |
Limity incidentů
Následující omezení platí pro incidenty v Microsoft Sentinelu.
| Popis | Limit | Dependency |
|---|---|---|
| Dostupnost prostředí pro šetření | 90 dnů od poslední aktualizace incidentu | Nic |
| Doba uchovávání pro entity incidentů | 180 dní | Uchovávání databází entit |
| Počet upozornění | 150 upozornění | Nic |
| Počet pravidel automatizace | 512 pravidel | Nic |
| Počet akcí pravidel automatizace | 20 akcí | Nic |
| Počet podmínek pravidla automatizace | 50 podmínek | Nic |
| Počet záložek | 20 záložek | Nic |
| Počet znaků pro název pravidla automatizace | 500 znaků | Nic |
| Počet znaků pro popis | 5 000 znaků | Nic |
| Počet znaků na komentář | 30 000 znaků | Nic |
| Počet komentářů na incident | 100 komentářů | Nic |
| Počet úkolů | 40 úkolů | Nic |
| Počet incidentů vrácených rozhraním API k zobrazení seznamu požadavků | Maximálně 1 000 incidentů | Nic |
| Počet incidentů za den (na pracovní prostor) | Zobrazit vysvětlení za tabulkou | Kapacity databáze |
Počet incidentů za den: Neexistuje formální, pevný limit počtu incidentů, které je možné vytvořit za den. Skutečná kapacita pracovního prostoru pro incidenty závisí na kapacitě úložiště databáze incidentů, takže velikost incidentů je stejně velká jako jejich počet.
SoC, který se však setká s vytvářením více než 3 000 nových incidentů za den, pravděpodobně zjistí, že nedokáže udržet krok a kapacita databáze se rychle dosáhne. V takové situaci musí SOC najít a opravit všechna pravidla, která vytvářejí velký počet incidentů, aby získal počet denních nových incidentů na spravovatelné úrovně.
Limity založené na strojovém učení
Následující omezení platí pro funkce založené na strojovém učení v Microsoft Sentinelu, jako jsou přizpůsobitelné anomálie a fusion.
| Popis | Limit | Dependency |
|---|---|---|
| Počet publikovaných anomálií na typ anomálií | Prvních 3000 seřazených podle skóre anomálií | Nic |
| Počet výstrah nebo anomálií v jednom incidentu fúzní syntézy | 100 upozornění nebo anomálií | Nic |
Omezení více pracovních prostorů
Následující limit platí pro více pracovních prostorů v Microsoft Sentinelu. Omezení se tady použijí při práci s funkcemi služby Sentinel ve více než pracovním prostoru najednou.
| Popis | Limit | Dependency |
|---|---|---|
| Zobrazení incidentu | 100 současně zobrazených pracovních prostorů | |
| Dotaz protokolu | 100 pracovních prostorů sentinelu | Log Analytics |
| Analytická pravidla | 20 pracovních prostorů Služby Sentinel na dotaz |
Omezení poznámkového bloku
Následující omezení platí pro poznámkové bloky v Microsoft Sentinelu. Omezení se vztahují k závislostem na jiných službách používaných poznámkovými bloky.
| Popis | Limit | Dependency |
|---|---|---|
| Celkový počet těchto prostředků na pracovní prostor strojového učení: datové sady, spuštění, modely a artefakty | 10 milionů aktiv | Azure Machine Learning |
| Výchozí limit pro celkové výpočetní clustery v jednotlivých oblastech Limit se sdílí mezi trénovacím clusterem a výpočetní instancí. Výpočetní instance se považuje za cluster s jedním uzlem pro účely kvóty. | 200 výpočetních clusterů na oblast | Azure Machine Learning |
| Účty úložiště na oblast na předplatné | 250 účtů úložiště | Azure Storage |
| Maximální velikost sdílené složky ve výchozím nastavení | 5 TB | Azure Storage |
| Maximální velikost sdílené složky s povolenou funkcí velkých sdílených složek | 100 TB | Azure Storage |
| Maximální propustnost (příchozí a výchozí přenos dat) pro jednu sdílenou složku ve výchozím nastavení | 60 MB/s | Azure Storage |
| Maximální propustnost (příchozí přenos a výchozí přenos dat) pro jednu sdílenou složku s povolenou funkcí velké sdílené složky | 300 MB/s | Azure Storage |
Omezení úložišť
Následující omezení platí pro úložiště v Microsoft Sentinelu.
| Popis | Limit | Dependency |
|---|---|---|
| Počet úložišť | 5 | Pracovní prostor služby Sentinel |
| Historie nasazení | 800 | Skupina prostředků Azure |
Omezení analýzy hrozeb
Následující limit platí pro analýzu hrozeb v Microsoft Sentinelu. Limit souvisí s závislostí na rozhraní API používaném inteligencí hrozeb.
| Popis | Limit | Dependency |
|---|---|---|
| Indikátory na volání používající rozhraní Graph Security API | 100 indikátorů | Microsoft Graph security API |
| Velikost importu souboru indikátoru CSV | 50 MB | Žádná |
| Velikost importu souboru indikátoru JSON | 250 MB | Žádná |
Limity rozhraní API pro nahrání indikátorů TI
Následující limit platí pro rozhraní API indikátorů analýzy hrozeb v Microsoft Sentinelu.
| Popis | Limit | Dependency |
|---|---|---|
| Indikátory na žádost | 100 indikátorů | |
| Žádosti za minutu | 100 |
Limity analýzy chování uživatelů a entit (UEBA)
Následující omezení platí pro UEBA v Microsoft Sentinelu. Omezení UEBA v Microsoft Sentinelu souvisí se závislostmi na jiné službě.
| Popis | Limit | Dependency |
|---|---|---|
| Nejnižší konfigurace uchovávání informací ve dnech pro tabulku IdentityInfo Všechna data uložená v tabulce IdentityInfo v Log Analytics se aktualizují každých 14 dnů. | 14 dní | Log Analytics |
Omezení seznamu ke zhlédnutí
Následující omezení platí pro seznamy ke zhlédnutí v Microsoft Sentinelu. Omezení souvisí se závislostmi na jiných službách používaných seznamy ke zhlédnutí.
| Popis | Limit | Dependency |
|---|---|---|
| Velikost nahrávání pro místní soubor | 3,8 MB na soubor | Azure Resource Manager |
| Položka řádku v souboru CSV | 10 240 znaků na řádek | Azure Resource Manager |
| Celková velikost jednoho řádku | 10 kB | Log Analytics |
| Velikost nahrávání souborů ve službě Azure Storage | 500 MB na soubor | Azure Storage |
| Celkový počet aktivníchpoložekch Po dosažení maximálního počtu odstraňte některé existující položky a přidejte nový seznam ke zhlédnutí. | 10 milionů aktivních položek seznamu ke zhlédnutí | Log Analytics |
| Celková míra změny všech položek seznamu ke zhlédnutí na pracovní prostor | 1% míra změn za měsíc | Log Analytics |
| Počet velkých nahrání seznamu ke zhlédnutí na pracovní prostor najednou | Jeden velký seznam ke zhlédnutí | Azure Cosmos DB |
| Počet velkých odstranění seznamu ke zhlédnutí na pracovní prostor najednou | Jeden velký seznam ke zhlédnutí | Azure Cosmos DB |
Omezení sešitu
Limity sešitů pro Sentinel jsou stejné limity výsledků, které najdete ve službě Azure Monitor. Další informace najdete v tématu Omezení výsledků sešitů.
Limity správce pracovních prostorů
Následující omezení platí pro správce pracovních prostorů v Microsoft Sentinelu.
| Popis | Limit | Dependency |
|---|---|---|
| Počet publikovaných operací ve skupině Publikované operace = (členské pracovní prostory) * (položky obsahu) |
Publikované operace 2000 | Nic |