Tjänstbegränsningar för Microsoft Sentinel
I den här artikeln visas de vanligaste tjänstbegränsningarna som du kan stöta på när du använder Microsoft Sentinel. Andra begränsningar som kan påverka tjänster eller funktioner som du använder, till exempel Azure Monitor, finns i Azure-prenumerations - och tjänstgränser, kvoter och begränsningar.
Begränsningar för analysregler
Följande gräns gäller för analysregler i Microsoft Sentinel.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Antal aktiverade regler | 512 regler | Ingen |
| Antal nrt-regler (near-real-time) | 50 NRT-regler | Ingen |
| Entitetsmappningar | 10 mappningar per regel | Ingen |
| Entiteter identifierade per avisering (Delas lika mellan de mappade entiteterna) |
500 entiteter per avisering | Ingen |
| Kumulativ storleksgräns för entiteter | 64 KB | Ingen |
| Anpassad information | 20 detaljer per regel 50 värden per detalj Kumulativ storlek på 2 KB |
Ingen |
| Aviseringsinformation | 50 värden per åsidosatt fält 5 KB per fält för Description och samlingar256 byte per fält för AlertName och icke-samlingar |
Ingen |
| Aviseringar per regel Tillämpligt när händelsegruppering är inställt på Utlösa en avisering för varje händelse |
150 aviseringar | Ingen |
| Aviseringar per regel för NRT-regler | 30 aviseringar | Ingen |
Hunts-gränser
Följande begränsningar gäller för jakter i Microsoft Sentinel.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Antal jakter | 100 | Ingen |
Incidentgränser
Följande begränsningar gäller för incidenter i Microsoft Sentinel.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Tillgänglighet för undersökningsupplevelse | 90 dagar från incidentens senaste uppdateringstid | Ingen |
| Kvarhållningsperiod för incidententiteter | 180 dagar | Kvarhållning av entiteter i databasen |
| Antal aviseringar | 150 aviseringar | Ingen |
| Antal automatiseringsregler | 512 regler | Ingen |
| Antal automatiseringsregler | 20 åtgärder | Ingen |
| Antal villkor för automatiseringsregler | 50 villkor | Ingen |
| Antal bokmärken | 20 bokmärken | Ingen |
| Antal tecken för automationsregelnamn | 500 tecken | Ingen |
| Antal tecken för beskrivning | 5 000 tecken | Ingen |
| Antal tecken per kommentar | 30 000 tecken | Ingen |
| Antal kommentarer per incident | 100 kommentarer | Ingen |
| Antal uppgifter | 40 uppgifter | Ingen |
| Antal incidenter som returneras av API:et för att lista begäran | Maximalt 1 000 incidenter | Ingen |
| Antal incidenter per dag (per arbetsyta) | Se förklaring efter tabell | Databaskapacitet |
Antal incidenter per dag: Det finns ingen formell, hård gräns för antalet incidenter som kan skapas per dag. En arbetsytas faktiska kapacitet för incidenter beror på lagringskapaciteten för incidentdatabasen, så storleken på incidenterna är lika mycket en faktor som deras antal.
Men en SOC som upplever skapandet av mer än cirka 3 000 nya incidenter per dag kommer sannolikt inte att kunna hänga med, och databaskapaciteten kommer snabbt att nås. I den här situationen måste SOC hitta och åtgärda eventuella regler som skapar ett stort antal incidenter för att få antalet dagliga nya incidenter till hanterbara nivåer.
Maskininlärningsbaserade gränser
Följande begränsningar gäller för maskininlärningsbaserade funktioner i Microsoft Sentinel, till exempel anpassningsbara avvikelser och Fusion.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Antal avvikelser som publicerats per avvikelsetyp | Topp 3 000 rangordnade efter avvikelsepoäng | Ingen |
| Antal aviseringar och/eller avvikelser i en enda Fusion-incident | 100 aviseringar och/eller avvikelser | Ingen |
Gränser för flera arbetsytor
Följande gräns gäller för flera arbetsytor i Microsoft Sentinel. Gränser här tillämpas när du arbetar med Sentinel-funktioner i mer än arbetsyta i taget.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Incidentvy | 100 arbetsytor som visas samtidigt | |
| Loggfråga | 100 Sentinel-arbetsytor | Log Analytics |
| Analysregler | 20 Sentinel-arbetsytor per fråga |
Begränsningar för notebook-filer
Följande begränsningar gäller för notebook-filer i Microsoft Sentinel. Gränserna är relaterade till beroenden för andra tjänster som används av notebook-filer.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Totalt antal tillgångar per maskininlärningsarbetsyta: datauppsättningar, körningar, modeller och artefakter | 10 miljoner tillgångar | Azure Machine Learning |
| Standardgräns för totalt antal beräkningskluster per region. Gränsen delas mellan ett träningskluster och en beräkningsinstans. En beräkningsinstans anses vara ett kluster med en nod i kvotsyfte. | 200 beräkningskluster per region | Azure Machine Learning |
| Lagringskonton per region per prenumeration | 250 lagringskonton | Azure Storage |
| Maximal storlek på en filresurs som standard | 5 TB | Azure Storage |
| Maximal storlek på en filresurs med funktionen stor filresurs aktiverad | 100 TB | Azure Storage |
| Maximalt dataflöde (ingress + utgående) för en enskild filresurs som standard | 60 MB/sek. | Azure Storage |
| Maximalt dataflöde (ingress + utgående) för en enskild filresurs med funktionen stor filresurs aktiverad | 300 MB/s | Azure Storage |
Begränsningar för lagringsplatser
Följande begränsningar gäller för lagringsplatser i Microsoft Sentinel.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Antal lagringsplatser | 5 | Sentinel-arbetsyta |
| Distributionshistorik | 800 | Azure-resursgrupp |
Hotinformationsgränser
Följande gräns gäller för hotinformation i Microsoft Sentinel. Gränsen är relaterad till beroendet av ett API som används av hotinformation.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Indikatorer per anrop som använder Graph Security API | 100 indikatorer | Säkerhets-API för Microsoft Graph |
| CsV-indikatorfilimportstorlek | 50 MB | inget |
| Importstorlek för JSON-indikatorfil | 250 MB | inget |
API-gränser för TI-uppladdningsindikatorer
Följande gräns gäller för API:et för uppladdning av hotinformation i Microsoft Sentinel.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Indikatorer per begäran | 100 indikatorer | |
| Antal begäranden per minut | 100 |
Användar- och entitetsbeteendeanalysgränser (UEBA)
Följande gräns gäller för UEBA i Microsoft Sentinel. Gränsen för UEBA i Microsoft Sentinel är relaterad till beroenden för en annan tjänst.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Lägsta kvarhållningskonfiguration på dagar för tabellen IdentityInfo . Alla data som lagras i tabellen IdentityInfo i Log Analytics uppdateras var 14:e dag. | 14 dagar | Log Analytics |
Gränser för visningslista
Följande begränsningar gäller för bevakningslistor i Microsoft Sentinel. Gränserna är relaterade till beroenden för andra tjänster som används av bevakningslistor.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Uppladdningsstorlek för lokal fil | 3,8 MB per fil | Azure Resource Manager |
| Radpost i CSV-filen | 10 240 tecken per rad | Azure Resource Manager |
| Total storlek på en enskild rad | 10 kB | Log Analytics |
| Uppladdningsstorlek för filer i Azure Storage | 500 MB per fil | Azure Storage |
| Totalt antal aktiva visningslistobjekt per arbetsyta. När det maximala antalet har nåtts tar du bort några befintliga objekt för att lägga till en ny visningslista. | 10 miljoner aktiva visningslisteobjekt | Log Analytics |
| Total ändringsfrekvens för alla visningslisteobjekt per arbetsyta | 1 % ändringsfrekvens per månad | Log Analytics |
| Antal stora uppladdningar av visningslistor per arbetsyta i taget | En stor visningslista | Azure Cosmos DB |
| Antal stora bevakningslista borttagningar per arbetsyta i taget | En stor visningslista | Azure Cosmos DB |
Arbetsboksgränser
Arbetsboksgränser för Sentinel är samma resultatgränser som finns i Azure Monitor. Mer information finns i Resultatgränser för arbetsböcker.
Gränser för arbetsytehanterare
Följande begränsningar gäller för arbetsytehanteraren i Microsoft Sentinel.
| beskrivning | Gräns | Dependency |
|---|---|---|
| Antal publicerade åtgärder i en grupp Publicerade åtgärder = (medlemsarbetsytor) * (innehållsobjekt) |
Publicerade åtgärder 2000 | Ingen |