Ограничения службы для Microsoft Sentinel
В этом разделе перечислены наиболее распространенные ограничения службы, которые могут возникнуть при использовании Microsoft Sentinel. Другие ограничения, которые могут повлиять на используемые службы или функции, такие как Azure Monitor, см . в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.
Ограничения правил аналитики
К правилам аналитики в Microsoft Sentinel применяется следующее ограничение.
| Description | Лимит | Dependency |
|---|---|---|
| Количество включенных правил | 512 правил | нет |
| Количество правил почти в режиме реального времени (NRT) | 50 правил NRT | нет |
| Сопоставления сущностей | 10 сопоставлений на правило | нет |
| Сущности , идентифицированные на оповещение (Разделено одинаково между сопоставленными сущностями) |
500 сущностей на оповещение | нет |
| Совокупное ограничение размера сущностей | 64 КБ | нет |
| Пользовательские сведения | 20 сведений о правиле 50 значений на детали Совокупный размер 2 КБ |
нет |
| Сведения об оповещении | 50 значений для переопределенного поля 5 КБ на поле для Description и коллекций256 байт на поле для AlertName и не коллекций |
нет |
| Оповещения для каждого правила Применимо, если для группирования событий задано значение "Активировать оповещение" для каждого события. |
150 оповещений | нет |
| Оповещения для правил NRT | 30 оповещений | нет |
Охота на ограничения
Следующие ограничения применяются к Хант в Microsoft Sentinel.
| Description | Лимит | Dependency |
|---|---|---|
| Количество охот | 100 | нет |
Ограничения инцидентов
К инцидентам в Microsoft Sentinel применяются следующие ограничения.
| Description | Лимит | Dependency |
|---|---|---|
| Доступность нового интерфейса анализа | 90 дней с момента последнего обновления инцидента | нет |
| Срок хранения для сущностей инцидентов | 180 дней | Хранение базы данных сущностей |
| Количество предупреждений | 150 оповещений | нет |
| Количество правил автоматизации | 512 правил | нет |
| Количество действий для правила автоматизации | 20 действий | нет |
| Количество условий для правила автоматизации | 50 условий | нет |
| Количество закладок | 20 закладок | нет |
| Число символов для имени правила автоматизации | 500 символов | нет |
| Число символов для описания | 5000 символов | нет |
| Количество символов на комментарий | 30 000 символов | нет |
| Количество комментариев на инцидент | 100 комментариев | нет |
| Количество задач | 40 задач | нет |
| Количество инцидентов, возвращаемых API для получения запроса на список | Максимум 1000 инцидентов | нет |
| Количество инцидентов в день (на рабочую область) | См. объяснение после таблицы | Емкость базы данных |
Количество инцидентов в день: нет официального, жесткого ограничения на количество инцидентов, которые можно создать в день. Фактическая емкость рабочей области для инцидентов зависит от емкости хранилища базы данных инцидентов, поэтому размер инцидентов является таким же фактором, как их число.
Тем не менее, SOC, который испытывает создание более чем 3000 новых инцидентов в день, скорее всего, не сможет поддерживаться, и емкость базы данных будет быстро достигнута. В этой ситуации SOC должен найти и исправить все правила, которые создают большое количество инцидентов, чтобы получить количество ежедневных новых инцидентов для управляемых уровней.
Ограничения на основе машинного обучения
К функциям на основе машинного обучения в Microsoft Sentinel, таким как настраиваемые аномалии и Fusion, применяются следующие ограничения.
| Description | Лимит | Dependency |
|---|---|---|
| Число опубликованных аномалий на тип аномалий | Первые 3000, ранжированные по оценке аномалии | нет |
| Количество оповещений и (или) аномалий в одном инциденте Fusion | 100 оповещений и (или) аномалий | нет |
Ограничения нескольких рабочих областей
Следующее ограничение применяется к нескольким рабочим областям в Microsoft Sentinel. Ограничения применяются при работе с функциями Sentinel в течение нескольких рабочих областей за раз.
| Description | Лимит | Dependency |
|---|---|---|
| Представление инцидента | 100 одновременно отображаемых рабочих областей | |
| Запрос журнала | 100 рабочих областей Sentinel | Служба Log Analytics |
| Правила аналитики | 20 рабочих областей Sentinel для каждого запроса |
Ограничения записных книжек
К записным книжкам в Microsoft Sentinel применяются следующие ограничения. Эти ограничения связаны с зависимостями от других служб, используемых записными книжками.
| Description | Лимит | Dependency |
|---|---|---|
| Общее число следующих ресурсов на рабочую область машинного обучения: наборы данных, запуски, модели и артефакты | 10 млн ресурсов | Машинное обучение Azure |
| Ограничение по умолчанию для общего числа вычислительных кластеров в каждом регионе. Это ограничение распределяется между кластерами обучения и вычислительными экземплярами. В контексте квот вычислительным экземпляром считается кластер с одним узлом. | 200 вычислительных кластеров на регион | Машинное обучение Azure |
| Учетные записи хранения на подписку в каждом регионе | 250 учетных записей хранения | Хранилище Azure |
| Максимальный размер общей папки по умолчанию | 5 ТБ | Хранилище Azure |
| Максимальный размер общей папки с включенной функцией больших общих папок | 100 ТБ | Хранилище Azure |
| Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки по умолчанию | 60 МБ/с | Хранилище Azure |
| Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки с включенной функцией больших общих папок | 300 МБ/с | Хранилище Azure |
Ограничения репозиториев
К репозиториям в Microsoft Sentinel применяются приведенные ниже ограничения.
| Description | Лимит | Dependency |
|---|---|---|
| Число репозиториев | 5 | Рабочая область Sentinel |
| Журнал развертывания | 800 | Группа ресурсов Azure |
Ограничения аналитики угроз
К аналитике угроз в Microsoft Sentinel применяется следующее ограничение. Это ограничение связано с зависимостью от API-интерфейсам, используемого аналитикой угроз.
| Description | Лимит | Dependency |
|---|---|---|
| Индикаторы для каждого вызова, использующего API безопасности Graph | 100 индикаторов | API безопасности Microsoft Graph |
| Размер импорта CSV-файла индикатора | 50 МБ | ничего |
| Размер импорта JSON-файла индикатора | 250 МБ | ничего |
Ограничения API отправки индикаторов TI
Следующее ограничение применяется к API индикаторов отправки аналитики угроз в Microsoft Sentinel.
| Description | Лимит | Dependency |
|---|---|---|
| Индикаторы на запрос | 100 индикаторов | |
| Число запросов в минуту | 100 |
Ограничения аналитики поведения пользователей и сущностей (UEBA)
К UEBA в Microsoft Sentinel применяется следующее ограничение. Ограничение для UEBA в Microsoft Sentinel связано с зависимостями от другой службы.
| Description | Лимит | Dependency |
|---|---|---|
| Самая низкая конфигурация хранения в днях для таблицы IdentityInfo. Все данные, хранящиеся в таблице IdentityInfo в Log Analytics, обновляются каждые 14 дней. | 14 дней | Служба Log Analytics |
Ограничения списка отслеживания
К спискам отслеживания в Microsoft Sentinel применяются следующие ограничения. Эти ограничения связаны с зависимостями от других служб, используемых списками отслеживания.
| Description | Лимит | Dependency |
|---|---|---|
| Размер отправляемого локального файла | 3,8 МБ на файл | Azure Resource Manager |
| Запись строки в CSV-файле | 10 240 символов на строку | Azure Resource Manager |
| Общий размер одной строки | 10 Кб | Служба Log Analytics |
| Размер отправляемых файлов в службе хранилища Azure | 500 МБ на файл | Хранилище Azure |
| Общее число активных элементов списка отслеживания на рабочую область. При достижении максимального числа удалите несколько имеющихся элементов, чтобы добавить новый список отслеживания. | 10 млн активных элементов списка отслеживания | Служба Log Analytics |
| Общая скорость изменения всех элементов списка наблюдения на рабочую область | 1 % изменений в месяц | Служба Log Analytics |
| Количество отправок большого списка отслеживания на рабочую область за раз | Один большой список отслеживания | Azure Cosmos DB |
| Количество удалений большого списка отслеживания на рабочую область за раз | Один большой список отслеживания | Azure Cosmos DB |
Ограничения книги
Ограничения книги для Sentinel являются одинаковыми ограничениями результатов, найденными в Azure Monitor. Дополнительные сведения см. в разделе "Ограничения результатов книг".
Ограничения диспетчера рабочих областей
Следующие ограничения применяются к диспетчеру рабочих областей в Microsoft Sentinel.
| Description | Лимит | Dependency |
|---|---|---|
| Количество опубликованных операций в группе Опубликованные операции = (рабочие области членов) * (элементы содержимого) |
Опубликованные операции 2000 | нет |