Limites de serviço para o Microsoft Sentinel
Este artigo lista os limites de serviço mais comuns que você pode encontrar ao usar o Microsoft Sentinel. Para ver outros limites que podem afetar os serviços ou recursos que você usa, como o Azure Monitor, consulte a assinatura do Azure e os limites de serviço, cotas e restrições.
Limites da regra de análise
O limite a seguir se aplica às regras de análise do Microsoft Sentinel.
| Descrição | Limite | Dependência |
|---|---|---|
| Número de regras habilitadas | 512 regras | Nenhum |
| Número de regras NRT (quase em tempo real) | 50 regras NRT | Nenhum |
| Mapeamentos de entidade | 10 mapeamentos por regra | Nenhum |
| Entidades identificadas por alerta (Dividido igualmente entre as entidades mapeadas) |
500 entidades por alerta | Nenhum |
| Limite de tamanho cumulativo de Entidades | 64 KB | Nenhum |
| Detalhes personalizados | 20 detalhes por regra 50 valores por detalhe Tamanho cumulativo de 2 KB |
Nenhum |
| Detalhes do alerta | 50 valores por campo substituído 5 KB por campo para Description e coleções256 bytes por campo para AlertName e não coleções |
Nenhum |
| Alertas por regra Aplicável quando o agrupamento de eventos é definido como Disparar um alerta para cada evento |
150 alertas | Nenhum |
| Alertas por regra para regras NRT | 30 alertas | Nenhum |
Limites de buscas
Os limites a seguir se aplicam a incidentes do Microsoft Sentinel.
| Descrição | Limite | Dependência |
|---|---|---|
| Número de Caçadas | 100 | Nenhum |
Limites de incidentes
Os limites a seguir se aplicam a incidentes do Microsoft Sentinel.
| Descrição | Limite | Dependência |
|---|---|---|
| Disponibilidade da experiência de investigação | 90 dias desde a última atualização do incidente | Nenhum |
| Período de retenção para entidades incidentes | 180 dias | Retenção de banco de dados de entidades |
| Número de alertas | 150 alertas | Nenhum |
| Número de regras de automação | 512 regras | Nenhum |
| Número de regras de automação | 20 ações | Nenhum |
| Número de condições de regra de automação | 50 condições | Nenhum |
| Número de indicadores | 20 indicadores | Nenhum |
| Número de caracteres para o nome da regra de automação | 500 caracteres | Nenhum |
| Número de caracteres para descrição | 5\.000 caracteres | Nenhum |
| Número de caracteres por comentário | 30.000 caracteres | Nenhum |
| Número de comentários por incidente | 100 comentários | Nenhum |
| Número de tarefas | 40 tarefas | Nenhum |
| Número de incidentes retornados pela API para listar a solicitação | Máximo de 1.000 incidentes | Nenhum |
| Número de incidentes por dia (por espaço de trabalho) | Confira a explicação após a tabela | Capacidade do banco de dados |
Número de incidentes por dia: não há um limite formal e rígido no número de incidentes que podem ser criados por dia. A capacidade real de um espaço de trabalho para incidentes depende da capacidade de armazenamento do banco de dados de incidentes, portanto, o tamanho dos incidentes é um fator tão importante quanto seu número.
Porém, um SOC que experimenta a criação de mais de cerca de 3.000 novos incidentes por dia provavelmente não conseguirá acompanhar, e a capacidade do banco de dados será rapidamente alcançada. Nessa situação, o SOC precisa encontrar e corrigir todas as regras que criam um grande número de incidentes, para que a contagem de novos incidentes diários chegue a níveis gerenciáveis.
Limites baseados em machine learning
Os limites a seguir se aplicam a recursos baseados em machine learning do Microsoft Sentinel, como anomalias personalizáveis e Fusion.
| Descrição | Limite | Dependência |
|---|---|---|
| Número de anomalias publicadas por tipo de anomalia | Primeiros 3000 na classificação por pontuação de anomalias | Nenhum |
| Número de alertas e/ou anomalias em apenas um incidente do Fusion | 100 alertas e/ou anomalias | Nenhum |
Limites de vários workspaces
O limite a seguir se aplica a vários workspaces no Microsoft Sentinel. Os limites aqui são aplicados ao trabalhar com os recursos do Sentinel em mais de um workspace por vez.
| Descrição | Limite | Dependência |
|---|---|---|
| Exibição de incidente | 100 workspaces exibidos simultaneamente | |
| Consulta de log | 100 workspaces do Sentinel | Log Analytics |
| Regras de análise | 20 workspaces do Sentinel por consulta |
Limites do Notebook
Os limites a seguir se aplicam a notebooks do Microsoft Sentinel. Os limites estão relacionados às dependências de outros serviços usados pelos notebooks.
| Descrição | Limite | Dependência |
|---|---|---|
| Contagem total desses ativos por workspace de machine learning: conjuntos de dados, execuções, modelos e artefatos | 10 milhões de ativos | Azure Machine Learning |
| Limite padrão para o total de clusters de cálculo por região. O limite é compartilhado entre clusters de treinamento e instâncias de computação. Para fins de cota, a instância de computação é considerada como um cluster de nó único. | 200 clusters de cálculo por região | Azure Machine Learning |
| Contas de armazenamento por região e assinatura | 250 contas de armazenamento | Armazenamento do Azure |
| Tamanho máximo do compartilhamento de arquivo por padrão | 5 TB | Armazenamento do Azure |
| Tamanho máximo do compartilhamento de arquivo com o recurso de compartilhamento de arquivo grande habilitado | 100 TB | Armazenamento do Azure |
| Taxa de transferência (entrada + saída) máxima para cada compartilhamento de arquivo por padrão | 60 MB/s | Armazenamento do Azure |
| Taxa de transferência (entrada + saída) máxima para cada compartilhamento de arquivo com o recurso de compartilhamento de arquivo grande habilitado | 300 MB/s | Armazenamento do Azure |
Limites de repositórios
Os limites a seguir se aplicam aos repositórios no Microsoft Sentinel.
| Descrição | Limite | Dependência |
|---|---|---|
| Número de repositórios | 5 | Workspace do Microsoft Sentinel |
| Histórico de implantações | 800 | Grupo de recursos do Azure |
Limites da inteligência contra ameaças
O limite a seguir se aplica à inteligência contra ameaças do Microsoft Sentinel. O limite está relacionado à dependência de uma API usada pela inteligência contra ameaças.
| Descrição | Limite | Dependência |
|---|---|---|
| Indicadores por chamada que usam a API de segurança do Graph | 100 indicadores | API de segurança do Microsoft Graph |
| Tamanho de importação de arquivo do indicador CSV | 50 MB | nenhum |
| Tamanho da importação de arquivo do indicador JSON | 250 MB | nenhum |
Limites da API de indicadores de upload de TI
O limite a seguir se aplica à API de indicadores de upload da inteligência contra ameaças do Microsoft Sentinel.
| Descrição | Limite | Dependência |
|---|---|---|
| Indicadores por solicitação | 100 indicadores | |
| Solicitações por minuto | 100 |
Limites de UEBA (Análise do Comportamento de Usuários e de Entidades)
O limite a seguir se aplica ao UEBA do Microsoft Sentinel. O limite de UEBA no Microsoft Sentinel está relacionado às dependências de outro serviço.
| Descrição | Limite | Dependência |
|---|---|---|
| Configuração de retenção mais baixa em dias para a tabela IdentityInfo. Todos os dados armazenados na tabela IdentityInfo do Log Analytics são atualizados a cada 14 dias. | 14 dias | Log Analytics |
Limites da watchlist
Os limites a seguir se aplicam às watchlists do Microsoft Sentinel. Os limites estão relacionados às dependências de outros serviços usados pelas watchlists.
| Descrição | Limite | Dependência |
|---|---|---|
| Tamanho de upload de arquivos locais | 3,8 MB por arquivo | Azure Resource Manager |
| Entrada de linha no arquivo CSV | 10.240 caracteres por linha | Azure Resource Manager |
| Tamanho total de uma única linha | 10 KB | Log Analytics |
| Tamanho de upload para arquivos no Armazenamento do Azure | 500 MB por arquivo | Armazenamento do Azure |
| Número total de itens ativos na watchlist por workspace. Quando a contagem máxima for atingida, exclua alguns itens existentes para adicionar uma nova watchlist. | 10 milhões de itens ativos na watchlist | Log Analytics |
| Taxa total de alteração de todos os itens de watchlist por workspace | Taxa de 1% de alteração por mês | Log Analytics |
| Número de uploads de watchlists grandes por workspace por vez | Uma watchlist grande | Azure Cosmos DB |
| Número de exclusões de watchlists grandes por workspace por vez | Uma watchlist grande | Azure Cosmos DB |
Limites da pasta de trabalho
Os limites de pasta de trabalho do Sentinel são os mesmos limites de resultado encontrados no Azure Monitor. Para obter mais informações, consulte Limites de resultados de pastas de trabalho.
Limites do gerenciador do workspace
Os limites a seguir se aplicam ao gerenciador de espaço de trabalho no Microsoft Sentinel.
| Descrição | Limite | Dependência |
|---|---|---|
| Número de operações publicadas em um grupo Operações publicadas = (espaços de trabalho membros) * (itens de conteúdo) |
2000 operações publicadas | Nenhum |