Dienstgrenzwerte für Microsoft Sentinel

In diesem Artikel sind die häufigsten Dienstgrenzwerte aufgeführt, denen Sie bei Verwendung von Microsoft Sentinel unter Umständen begegnen. Weitere Grenzwerte, die sich auf von Ihnen verwendete Dienste oder Features auswirken, wie z. B. Azure Monitor, finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

Grenzwerte für Analyseregeln

Der folgende Grenzwert gilt für Analyseregeln in Microsoft Sentinel:

BESCHREIBUNG Begrenzung Abhängigkeit
Anzahl der aktivierten Regeln 512 Regeln Keine
Anzahl von Quasi-Echtzeit-Regeln (Near-Real-Time, NRT) 50 NRT-Regeln Keine
Entitätszuordnungen 10 Zuordnungen pro Regel Keine
Pro Warnung identifizierte Entitäten
(Gleichmäßig auf die zugeordneten Entitäten aufgeteilt)
500 Entitäten pro Warnung Keine
Kumulatives Größenlimit für Entitäten 64 KB Keine
Benutzerdefinierte Details 20 Details pro Regel
50 Werte pro Detail
2 KB kumulierte Größe
Keine
Warnungsdetails 50 Werte pro überschriebenes Feld
5 KB pro Feld für Description und Sammlungen
256 Byte pro Feld für AlertName und Nichtsammlungen
Keine
Warnungen pro Regel
Gilt, wenn die Ereignisgruppierung auf Warnung für jedes Ereignis auslösen festgelegt ist.
150 Warnungen Keine
Warnungen pro Regel für NRT-Regeln 30 Warnungen Keine

Grenzwerte für Suchen

Die folgenden Grenzwerte gelten für Suchen in Microsoft Sentinel.

Beschreibung Begrenzung Abhängigkeit
Anzahl von Suchen 100 Keine

Grenzwerte für Vorfälle

Die folgenden Grenzwerte gelten für Vorfälle in Microsoft Sentinel:

BESCHREIBUNG Begrenzung Abhängigkeit
Verfügbarkeit der Untersuchungsoberfläche 90 Tage nach der letzten Aktualisierung von Vorfällen Keine
Aufbewahrungszeitraum für Incidententitäten 180 Tage Aufbewahrung von Entitätsdatenbanken
Anzahl der Warnungen 150 Warnungen Keine
Anzahl von Automatisierungsregeln 512 Regeln Keine
Anzahl von Automatisierungsregelaktionen 20 Aktionen Keine
Anzahl von Automatisierungsregelbedingungen 50 Bedingungen Keine
Anzahl der Lesezeichen 20 Lesezeichen Keine
Anzahl der Zeichen für den Namen der Automatisierungsregel 500 Zeichen Keine
Anzahl der Zeichen für die Beschreibung 5\.000 Zeichen Keine
Anzahl der Zeichen pro Kommentar 30,000 Zeichen Keine
Anzahl der Kommentare pro Vorfall 100 Kommentare Keine
Anzahl von Aufgaben 40 Vorgänge Keine
Anzahl von Incidents, die von der API auf die Anforderung list zurückgegeben werden Maximal 1,000 Vorfälle Keine
Anzahl der Vorfälle pro Tag (pro Arbeitsbereich) Siehe Erläuterung nach Tabelle Datenbankkapazität

Anzahl der Vorfälle pro Tag: Es gibt kein formelles, hartes Limit für die Anzahl der Vorfälle, die pro Tag erstellt werden können. Die tatsächliche Kapazität eines Arbeitsbereichs für Vorfälle hängt von der Speicherkapazität der Vorfalldatenbank ab, sodass die Größe der Vorfälle so viel wie ihre Anzahl ist.

Ein SOC, der die Erstellung von mehr als um die 3.000 neuen Vorfällen pro Tag erlebt, wird höchstwahrscheinlich nicht in der Lage sein, mit der Situation Schritt zu halten, und die Datenbankkapazität wird schnell erschöpft sein. In dieser Situation muss die SOC alle Regeln finden und beheben, die eine große Anzahl von Vorfällen erstellen, um die Anzahl der täglichen neuen Vorfälle auf verwaltbare Ebenen zu erhalten.

Auf maschinellem Lernen basierende Grenzwerte

Die folgenden Grenzwerte gelten für auf maschinellem Lernen basierende Funktionen in Microsoft Sentinel wie anpassbare Anomalien und Fusion.

BESCHREIBUNG Begrenzung Abhängigkeit
Anzahl der Anomalien, die pro Anomalietyp veröffentlicht wurden Erste 3.000, sortiert nach Anomaliebewertung Keine
Anzahl der Warnungen und/oder Anomalien in einem einzelnen Fusion-Vorfall 100 Warnungen und/oder Anomalien Keine

Grenzwerte für mehrere Arbeitsbereiche

Der folgende Grenzwert gilt für mehrere Arbeitsbereiche in Microsoft Sentinel. Hier werden Grenzwerte angewendet, wenn Sie mit Sentinel-Features in mehreren Arbeitsbereichen gleichzeitig arbeiten.

BESCHREIBUNG Begrenzung Abhängigkeit
Vorfallansicht 100 gleichzeitig angezeigte Arbeitsbereiche
Protokollabfrage 100 Sentinel-Arbeitsbereiche Log Analytics
Analyseregeln 20 Sentinel-Arbeitsbereiche pro Abfrage

Grenzwerte für Notebooks

Die folgenden Grenzwerte gelten für Notebooks in Microsoft Sentinel. Die Grenzwerte beziehen sich auf die Abhängigkeiten von anderen Diensten, die von Notebooks verwendet werden.

BESCHREIBUNG Begrenzung Abhängigkeit
Gesamtanzahl dieser Ressourcen pro Arbeitsbereich für maschinelles Lernen: Datasets, Ausführungen, Modelle und Artefakte 10 Millionen Ressourcen Azure Machine Learning
Standardgrenzwert für die Gesamtcomputecluster pro Region. Der Grenzwert wird zwischen einem Trainingscluster und einer Compute-Instanz geteilt. Eine Compute-Instanz wird in Bezug auf Kontingente als Cluster mit nur einem Knoten angesehen. 200 Computecluster pro Region Azure Machine Learning
Speicherkonten pro Region und Abonnement 250 Speicherkonten Azure Storage
Standardmäßige maximale Größe einer Dateifreigabe 5 TB Azure Storage
Maximale Größe einer Dateifreigabe mit aktiviertem Feature für große Dateifreigaben 100 TB Azure Storage
Standardmäßiger maximaler Durchsatz (Eingehend + Ausgehend) für eine einzelne Dateifreigabe 60 MB/s Azure Storage
Maximaler Durchsatz (Eingehend + Ausgehend) für eine einzelne Dateifreigabe mit aktiviertem Feature für große Dateifreigaben 300 MB/s Azure Storage

Grenzwerte für Repositorys

Die folgenden Grenzwerte gelten für Repositorys in Microsoft Sentinel:

BESCHREIBUNG Begrenzung Abhängigkeit
Anzahl von Repositorys 5 Sentinel-Arbeitsbereich
Bereitstellungsverlauf 800 Azure-Ressourcengruppe

Threat Intelligence-Grenzwerte

Der folgende Grenzwert gilt für Threat Intelligence in Microsoft Sentinel. Der Grenzwert bezieht sich auf die Abhängigkeit von einer API, die von Threat Intelligence verwendet wird.

BESCHREIBUNG Begrenzung Abhängigkeit
Indikatoren pro Aufruf, die die Graph-Sicherheits-API verwenden 100 Indikatoren Microsoft Graph-Sicherheits-API
Importgröße der CSV-Indikatordatei 50 MB none
Importgröße der JSON-Indikatordatei 250 MB Keine

Grenzwerte für die Uploadindikatoren-API der TI

Der folgende Grenzwert gilt für die Uploadindikatoren-API der Threat Intelligence in Microsoft Sentinel.

BESCHREIBUNG Begrenzung Abhängigkeit
Indikatoren pro Anforderung 100 Indikatoren
Anforderungen pro Minute 100

UEBA-Grenzwerte (User and Entity Behavior Analytics, Verhaltensanalysen für Benutzer und Entitäten)

Der folgende Grenzwert gilt für UEBA in Microsoft Sentinel. Der Grenzwert für UEBA in Microsoft Sentinel hängt von den Abhängigkeiten von einem anderen Dienst ab.

BESCHREIBUNG Begrenzung Abhängigkeit
Niedrigste Aufbewahrungskonfiguration in Tagen für die IdentityInfo-Tabelle. Alle Daten, die in der IdentityInfo-Tabelle in Log Analytics gespeichert sind, werden alle 14 Tage aktualisiert. 14 Tage Log Analytics

Grenzwerte für Watchlists

Die folgenden Grenzwerte gelten für Watchlists in Microsoft Sentinel. Die Grenzwerte beziehen sich auf die Abhängigkeiten von anderen Diensten, die von Watchlists verwendet werden.

BESCHREIBUNG Begrenzung Abhängigkeit
Uploadgröße für lokale Datei 3,8 MB pro Datei Azure Resource Manager
Zeileneintrag in der CSV-Datei 10.240 Zeichen pro Zeile Azure Resource Manager
Gesamtgröße einer einzelnen Zeile 10 KB Log Analytics
Uploadgröße für Dateien in Azure Storage 500 MB pro Datei Azure Storage
Gesamtanzahl der aktiven Watchlistelemente pro Arbeitsbereich. Wenn die maximale Anzahl erreicht ist, löschen Sie einige vorhandene Elemente, um eine neue Watchlist hinzuzufügen. 10 Millionen aktive Watchlistelemente Log Analytics
Gesamtänderungsrate aller Watchlistelemente pro Arbeitsbereich Änderungsrate von 1 % pro Monat Log Analytics
Anzahl der Uploads großer Watchlists pro Arbeitsbereich zu einem bestimmten Zeitpunkt Eine große Watchlist Azure Cosmos DB
Anzahl der Löschvorgänge für große Watchlists pro Arbeitsbereich zu einem bestimmten Zeitpunkt Eine große Watchlist Azure Cosmos DB

Arbeitsmappengrenzwerte

Arbeitsmappengrenzwerte für Sentinel sind dieselben Ergebnisgrenzwerte wie in Azure Monitor. Weitere Informationen finden Sie unter Grenzwerte für Arbeitsmappenergebnisse.

Grenzwerte für Arbeitsbereichs-Manager

Die folgenden Grenzwerte gelten für Arbeitsbereichs-Manager in Microsoft Sentinel.

Beschreibung Begrenzung Abhängigkeit
Anzahl der veröffentlichten Vorgänge in einer Gruppe
Veröffentlichte Vorgänge = (Mitgliedsarbeitsbereiche) * (Inhaltselemente)
2000 veröffentlichte Vorgänge None

Nächste Schritte