Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены наиболее распространенные ограничения служб, которые могут возникнуть при использовании Microsoft Sentinel. Сведения о других ограничениях, которые могут повлиять на используемые службы или функции, например Azure Monitor, см. в разделе Azure ограничения подписки и служб, квоты и ограничения.
Ограничения правил аналитики
Следующее ограничение применяется к правилам аналитики в Microsoft Sentinel.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Количество запланированных правил | 512 включенных правил, всего 1024, включая отключенные правила. В выделенном кластере — 1024 включенных правил, 2048 в общей сложности, включая отключенные правила. Требуется запрос на увеличение лимита по умолчанию с помощью запроса в службу поддержки. |
Учитывается отдельно от правил NRT |
| Число правил, близких к реальному времени (NRT) | 50 включенных правил, всего 100, включая отключенные правила | Учитывается отдельно от запланированных правил |
| Сопоставления сущностей | 10 сопоставлений на правило | Нет |
|
Сущности , идентифицированные для каждого оповещения (Делится поровну между сопоставленными сущностями) |
500 сущностей на оповещение | Нет |
| Ограничение на совокупный размер сущностей | 64 КБ | Нет |
| Пользовательские сведения | 20 сведений на правило 50 значений на сведения Совокупный размер 2 КБ |
Нет |
| Сведения об оповещении | 50 значений на переопределенное поле 5 КБ на поле для Description коллекций и256 байт на поле для AlertName и не-коллекций |
Нет |
| Оповещения на правило Применимо, если для группировки событий задано значение Активировать оповещение для каждого события. |
150 оповещений | Нет |
| Оповещения на правило для правил NRT | 30 оповещений | Нет |
Ограничения охоты
К охоте в Microsoft Sentinel применяются следующие ограничения.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Количество охот | 100 | Нет |
Ограничения инцидентов
Следующие ограничения применяются к инцидентам в Microsoft Sentinel.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Доступность возможностей исследования | 90 дней с момента последнего обновления инцидента | Нет |
| Срок хранения для сущностей инцидента | 180 дней | Хранение базы данных сущностей |
| Количество оповещений | 150 оповещений | Нет |
| Количество правил автоматизации | Правила 512 | Нет |
| Количество действий правил автоматизации | 20 действий | Нет |
| Количество условий правила автоматизации | 50 условий | Нет |
| Количество закладок | 20 закладок | Нет |
| Число символов для имени правила автоматизации | 500 символов | Нет |
| Число символов для описания | 5000 символов | Нет |
| Количество символов в комментарии | 30 000 символов | Нет |
| Количество комментариев на инцидент | 100 комментариев | Нет |
| Число задач | 40 задач | Нет |
| Количество инцидентов, возвращаемых API для запроса на перечисление | Не более 1000 инцидентов | Нет |
| Количество инцидентов в день (на рабочую область) | См. описание после таблицы | Емкость базы данных |
Количество инцидентов в день: Не существует формального жесткого ограничения на количество инцидентов, которые могут быть созданы в день. Фактическая емкость рабочей области для инцидентов зависит от емкости хранилища базы данных инцидентов, поэтому размер инцидентов является таким же фактором, как их количество.
Тем не менее, SOC, который испытывает создание более 3000 новых инцидентов в день, скорее всего, окажется не в состоянии испевать, и емкость базы данных будет быстро достигнута. В этой ситуации SOC необходимо найти и исправить любые правила, которые создают большое количество инцидентов, чтобы получить количество ежедневных новых инцидентов до управляемых уровней.
Ограничения для управления обращениями
Следующие ограничения применяются к управлению обращениями в Microsoft Sentinel.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Варианты на клиента | 100 000 случаев | Нет |
| Вложения на клиента | 500 ГБ | Нет |
| Связанные инциденты для каждого обращения | 100 инцидентов | Нет |
Ограничения на основе машинного обучения
Следующие ограничения применяются к функциям на основе машинного обучения в Microsoft Sentinel, таким как настраиваемые аномалии и Fusion.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Число опубликованных аномалий для каждого типа аномалий | Топ 3000, ранжированный по оценке аномалий | Нет |
| Количество оповещений и (или) аномалий в одном инциденте Fusion | 100 оповещений и (или) аномалий | Нет |
Ограничения для нескольких рабочих областей
Следующее ограничение применяется к нескольким рабочим областям в Microsoft Sentinel. Ограничения применяются при работе с Sentinel функциями в нескольких рабочих областях одновременно.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Представление инцидента | 100 одновременно отображаемых рабочих областей | |
| Запрос журнала | 100 Sentinel рабочих областей | Log Analytics |
| Правила аналитики | 20 рабочих областей Sentinel на запрос |
Ограничения записной книжки
Следующие ограничения применяются к записным книжкам в Microsoft Sentinel. Ограничения связаны с зависимостями от других служб, используемых записными книжками.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Общее количество этих ресурсов для рабочей области машинного обучения: наборы данных, запуски, модели и артефакты | 10 миллионов активов | Машинное обучение Azure |
| Ограничение по умолчанию для общего числа вычислительных кластеров на регион. Ограничение совместно используется между обучающий кластер и вычислительным экземпляром. Вычислительный экземпляр считается кластером с одним узлом в целях квоты. | 200 вычислительных кластеров на регион | Машинное обучение Azure |
| Учетные записи хранения для каждого региона на подписку | 250 учетных записей хранения | Хранилище Azure |
| Максимальный размер общей папки по умолчанию | 5 ТБ | Хранилище Azure |
| Максимальный размер общей папки с включенной функцией больших общих папок | 100 ТБ | Хранилище Azure |
| Максимальная пропускная способность (входящий и исходящий трафик) для одного файлового ресурса по умолчанию | 60 МБ/с | Хранилище Azure |
| Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки с включенной функцией большого файлового ресурса | 300 МБ/с | Хранилище Azure |
Ограничения репозиториев
Следующие ограничения применяются к репозиториям в Microsoft Sentinel.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Количество репозиториев | 5 | Рабочая область Sentinel |
| Журнал развертывания | 800 | Группа ресурсов Azure |
Ограничения аналитики угроз
Следующее ограничение применяется к аналитике угроз в Microsoft Sentinel. Ограничение связано с зависимостью от API, используемого аналитикой угроз.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Индикаторы на вызов, использующие API безопасности Graph | 100 индикаторов | API безопасности Microsoft Graph |
| Размер импорта файла объекта CSV TI | 50 МБ | none |
| Размер файла импорта объекта JSON TI | 250 МБ | none |
Ограничения API отправки TI
Следующее ограничение применяется к API отправки аналитики угроз в Microsoft Sentinel.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Объекты STIX на запрос | 100 объектов | |
| Запросы в минуту | 100 |
Ограничения аналитики поведения пользователей и сущностей (UEBA)
Следующее ограничение применяется к UEBA в Microsoft Sentinel. Ограничение для UEBA в Microsoft Sentinel связано с зависимостями от другой службы.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Самая низкая конфигурация хранения в днях для таблицы IdentityInfo . Все данные, хранящиеся в таблице IdentityInfo в Log Analytics, обновляются каждые 14 дней. | 14 дней | Log Analytics |
| Группы, перечисленные в поле GroupMembership таблицы IdentityInfo (включая подгруппы) | 500 |
Ограничения списка отслеживания
Следующие ограничения применяются к спискам просмотра в Microsoft Sentinel. Ограничения связаны с зависимостями от других служб, используемых списками отслеживания.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Ограничение на размер отправки для локальных файлов файлов с превышением этого ограничения считается large |
3,8 МБ на файл | Azure Resource Manager |
| Запись строки в CSV-файле | 10 240 символов на строку | Azure Resource Manager |
| Общий размер одной строки | 10 Кб | Log Analytics |
| Размер отправки больших файлов списка отслеживания в хранилище Azure | 500 МБ на файл | Хранилище Azure |
| Общее количество активных элементов списка отслеживания в рабочей области По достижении максимального числа удалите некоторые существующие элементы, чтобы добавить новый список отслеживания. |
10 миллионов активных элементов списка отслеживания | Log Analytics |
| Общая частота изменения всех элементов списка наблюдения на рабочую область (операции создания, обновления и удаления) |
100 000 изменений в месяц (1% от максимального количества активных элементов списка отслеживания) |
Log Analytics |
Количество отправки large списков отслеживания для каждой рабочей области за разСм. ограничение размера отправки для списка отслеживания large |
Один large список просмотров |
Azure Cosmos DB |
| Количество удалений больших списков отслеживания для каждой рабочей области за раз См. сведения о том, что делает список для просмотра. large |
Один large список просмотров |
Azure Cosmos DB |
Ограничения книг
Ограничения книг для Sentinel — это те же ограничения результатов, что и в Azure Monitor. Дополнительные сведения см. в разделе Ограничения результатов книг.
Ограничения диспетчера рабочих областей
Следующие ограничения применяются к диспетчеру рабочих областей в Microsoft Sentinel.
| Описание | Ограничение | Зависимости |
|---|---|---|
| Количество опубликованных операций в группе Опубликованные операции = (рабочие области-члены) * (элементы содержимого) |
Опубликованные операции 2000 г. | Нет |