Ограничения служб для Microsoft Sentinel

В этой статье перечислены наиболее распространенные ограничения служб, которые могут возникнуть при использовании Microsoft Sentinel. Сведения о других ограничениях, которые могут повлиять на используемые службы или функции, например Azure Monitor, см. в разделе Azure ограничения подписки и служб, квоты и ограничения.

Ограничения правил аналитики

Следующее ограничение применяется к правилам аналитики в Microsoft Sentinel.

Описание Ограничение Зависимости
Количество запланированных правил 512 включенных правил, всего 1024, включая отключенные правила.
В выделенном кластере — 1024 включенных правил, 2048 в общей сложности, включая отключенные правила. Требуется запрос на увеличение лимита по умолчанию с помощью запроса в службу поддержки.
Учитывается отдельно от правил NRT
Число правил, близких к реальному времени (NRT) 50 включенных правил, всего 100, включая отключенные правила Учитывается отдельно от запланированных правил
Сопоставления сущностей 10 сопоставлений на правило Нет
Сущности , идентифицированные для каждого оповещения
(Делится поровну между сопоставленными сущностями)
500 сущностей на оповещение Нет
Ограничение на совокупный размер сущностей 64 КБ Нет
Пользовательские сведения 20 сведений на правило
50 значений на сведения
Совокупный размер 2 КБ
Нет
Сведения об оповещении 50 значений на переопределенное поле
5 КБ на поле для Description коллекций и
256 байт на поле для AlertName и не-коллекций
Нет
Оповещения на правило
Применимо, если для группировки событий задано значение Активировать оповещение для каждого события.
150 оповещений Нет
Оповещения на правило для правил NRT 30 оповещений Нет

Ограничения охоты

К охоте в Microsoft Sentinel применяются следующие ограничения.

Описание Ограничение Зависимости
Количество охот 100 Нет

Ограничения инцидентов

Следующие ограничения применяются к инцидентам в Microsoft Sentinel.

Описание Ограничение Зависимости
Доступность возможностей исследования 90 дней с момента последнего обновления инцидента Нет
Срок хранения для сущностей инцидента 180 дней Хранение базы данных сущностей
Количество оповещений 150 оповещений Нет
Количество правил автоматизации Правила 512 Нет
Количество действий правил автоматизации 20 действий Нет
Количество условий правила автоматизации 50 условий Нет
Количество закладок 20 закладок Нет
Число символов для имени правила автоматизации 500 символов Нет
Число символов для описания 5000 символов Нет
Количество символов в комментарии 30 000 символов Нет
Количество комментариев на инцидент 100 комментариев Нет
Число задач 40 задач Нет
Количество инцидентов, возвращаемых API для запроса на перечисление Не более 1000 инцидентов Нет
Количество инцидентов в день (на рабочую область) См. описание после таблицы Емкость базы данных

Количество инцидентов в день: Не существует формального жесткого ограничения на количество инцидентов, которые могут быть созданы в день. Фактическая емкость рабочей области для инцидентов зависит от емкости хранилища базы данных инцидентов, поэтому размер инцидентов является таким же фактором, как их количество.

Тем не менее, SOC, который испытывает создание более 3000 новых инцидентов в день, скорее всего, окажется не в состоянии испевать, и емкость базы данных будет быстро достигнута. В этой ситуации SOC необходимо найти и исправить любые правила, которые создают большое количество инцидентов, чтобы получить количество ежедневных новых инцидентов до управляемых уровней.

Ограничения для управления обращениями

Следующие ограничения применяются к управлению обращениями в Microsoft Sentinel.

Описание Ограничение Зависимости
Варианты на клиента 100 000 случаев Нет
Вложения на клиента 500 ГБ Нет
Связанные инциденты для каждого обращения 100 инцидентов Нет

Ограничения на основе машинного обучения

Следующие ограничения применяются к функциям на основе машинного обучения в Microsoft Sentinel, таким как настраиваемые аномалии и Fusion.

Описание Ограничение Зависимости
Число опубликованных аномалий для каждого типа аномалий Топ 3000, ранжированный по оценке аномалий Нет
Количество оповещений и (или) аномалий в одном инциденте Fusion 100 оповещений и (или) аномалий Нет

Ограничения для нескольких рабочих областей

Следующее ограничение применяется к нескольким рабочим областям в Microsoft Sentinel. Ограничения применяются при работе с Sentinel функциями в нескольких рабочих областях одновременно.

Описание Ограничение Зависимости
Представление инцидента 100 одновременно отображаемых рабочих областей
Запрос журнала 100 Sentinel рабочих областей Log Analytics
Правила аналитики 20 рабочих областей Sentinel на запрос

Ограничения записной книжки

Следующие ограничения применяются к записным книжкам в Microsoft Sentinel. Ограничения связаны с зависимостями от других служб, используемых записными книжками.

Описание Ограничение Зависимости
Общее количество этих ресурсов для рабочей области машинного обучения: наборы данных, запуски, модели и артефакты 10 миллионов активов Машинное обучение Azure
Ограничение по умолчанию для общего числа вычислительных кластеров на регион. Ограничение совместно используется между обучающий кластер и вычислительным экземпляром. Вычислительный экземпляр считается кластером с одним узлом в целях квоты. 200 вычислительных кластеров на регион Машинное обучение Azure
Учетные записи хранения для каждого региона на подписку 250 учетных записей хранения Хранилище Azure
Максимальный размер общей папки по умолчанию 5 ТБ Хранилище Azure
Максимальный размер общей папки с включенной функцией больших общих папок 100 ТБ Хранилище Azure
Максимальная пропускная способность (входящий и исходящий трафик) для одного файлового ресурса по умолчанию 60 МБ/с Хранилище Azure
Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки с включенной функцией большого файлового ресурса 300 МБ/с Хранилище Azure

Ограничения репозиториев

Следующие ограничения применяются к репозиториям в Microsoft Sentinel.

Описание Ограничение Зависимости
Количество репозиториев 5 Рабочая область Sentinel
Журнал развертывания 800 Группа ресурсов Azure

Ограничения аналитики угроз

Следующее ограничение применяется к аналитике угроз в Microsoft Sentinel. Ограничение связано с зависимостью от API, используемого аналитикой угроз.

Описание Ограничение Зависимости
Индикаторы на вызов, использующие API безопасности Graph 100 индикаторов API безопасности Microsoft Graph
Размер импорта файла объекта CSV TI 50 МБ none
Размер файла импорта объекта JSON TI 250 МБ none

Ограничения API отправки TI

Следующее ограничение применяется к API отправки аналитики угроз в Microsoft Sentinel.

Описание Ограничение Зависимости
Объекты STIX на запрос 100 объектов
Запросы в минуту 100

Ограничения аналитики поведения пользователей и сущностей (UEBA)

Следующее ограничение применяется к UEBA в Microsoft Sentinel. Ограничение для UEBA в Microsoft Sentinel связано с зависимостями от другой службы.

Описание Ограничение Зависимости
Самая низкая конфигурация хранения в днях для таблицы IdentityInfo . Все данные, хранящиеся в таблице IdentityInfo в Log Analytics, обновляются каждые 14 дней. 14 дней Log Analytics
Группы, перечисленные в поле GroupMembership таблицы IdentityInfo (включая подгруппы) 500

Ограничения списка отслеживания

Следующие ограничения применяются к спискам просмотра в Microsoft Sentinel. Ограничения связаны с зависимостями от других служб, используемых списками отслеживания.

Описание Ограничение Зависимости
Ограничение на размер отправки для локальных файлов файлов
с превышением этого ограничения считается large
3,8 МБ на файл Azure Resource Manager
Запись строки в CSV-файле 10 240 символов на строку Azure Resource Manager
Общий размер одной строки 10 Кб Log Analytics
Размер отправки больших файлов списка отслеживания в хранилище Azure 500 МБ на файл Хранилище Azure
Общее количество активных элементов списка отслеживания в рабочей области
По достижении максимального числа удалите некоторые существующие элементы, чтобы добавить новый список отслеживания.
10 миллионов активных элементов списка отслеживания Log Analytics
Общая частота изменения всех элементов списка наблюдения на рабочую область
(операции создания, обновления и удаления)
100 000 изменений в месяц
(1% от максимального количества активных элементов списка отслеживания)
Log Analytics
Количество отправки large списков отслеживания для каждой рабочей области за раз
См. ограничение размера отправки для списка отслеживания large
Один large список просмотров Azure Cosmos DB
Количество удалений больших списков отслеживания для каждой рабочей области за раз
См. сведения о том, что делает список для просмотра. large
Один large список просмотров Azure Cosmos DB

Ограничения книг

Ограничения книг для Sentinel — это те же ограничения результатов, что и в Azure Monitor. Дополнительные сведения см. в разделе Ограничения результатов книг.

Ограничения диспетчера рабочих областей

Следующие ограничения применяются к диспетчеру рабочих областей в Microsoft Sentinel.

Описание Ограничение Зависимости
Количество опубликованных операций в группе
Опубликованные операции = (рабочие области-члены) * (элементы содержимого)
Опубликованные операции 2000 г. Нет

Дальнейшие действия