Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены наиболее распространенные ограничения служб, которые могут возникнуть при использовании Microsoft Sentinel. Другие ограничения, которые могут повлиять на используемые службы или функции, такие как Azure Monitor, см. в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.
Ограничения правил аналитики
Следующее ограничение применяется к правилам аналитики в Microsoft Sentinel.
| Описание | Лимит | Зависимость |
|---|---|---|
| Количество запланированных правил | 512 включенных правил, 1024 в общей сложности, включая отключенные правила. В выделенном кластере — правила с поддержкой 1024, 2048 в общей сложности, включая отключенные правила. Требуется запрос, чтобы увеличить ограничение по умолчанию через запрос в службу поддержки. |
Подсчитывается отдельно от правил NRT |
| Количество правил почти в режиме реального времени (NRT) | 50 включенных правил, 100 в общей сложности, включая отключенные правила | Подсчитывается отдельно от запланированных правил |
| Сопоставления сущностей | 10 сопоставлений на правило | Отсутствует |
|
Сущности , идентифицированные на оповещение (Разделено одинаково между сопоставленными сущностями) |
500 сущностей на оповещение | Отсутствует |
| Совокупное ограничение размера сущностей | 64 КБ | Отсутствует |
| пользовательских сведений | 20 сведений о правиле 50 значений на детали Совокупный размер 2 КБ |
Отсутствует |
| сведения о оповещении | 50 значений для переопределенного поля 5 КБ на поле для Description и коллекций256 байт на поле для AlertName и не коллекций |
Отсутствует |
| Оповещения для каждого правила Применимо, если для группирования событийзадано значение "Активировать оповещение" для каждого события. |
150 оповещений | Отсутствует |
| Оповещения для правил NRT | 30 оповещений | Отсутствует |
Охота на ограничения
Следующие ограничения применяются к Хант в Microsoft Sentinel.
| Описание | Лимит | Зависимость |
|---|---|---|
| Количество охот | 100 | Отсутствует |
Ограничения инцидентов
Следующие ограничения применяются к инцидентам в Microsoft Sentinel.
| Описание | Лимит | Зависимость |
|---|---|---|
| Доступность возможностей исследования | 90 дней с момента последнего обновления инцидента | Отсутствует |
| Срок хранения для сущностей инцидентов | 180 дней | Хранение базы данных сущностей |
| Количество предупреждений | 150 оповещений | Отсутствует |
| Количество правил автоматизации | 512 правил | Отсутствует |
| Количество действий правила автоматизации | 20 действий | Отсутствует |
| Количество условий правила автоматизации | 50 условий | Отсутствует |
| Количество закладок | 20 закладок | Отсутствует |
| Число символов для имени правила автоматизации | 500 символов | Отсутствует |
| Число символов для описания | 5000 символов | Отсутствует |
| Количество символов на комментарий | 30 000 символов | Отсутствует |
| Количество комментариев на инцидент | 100 комментариев | Отсутствует |
| Количество задач | 40 задач | Отсутствует |
| Количество инцидентов, возвращаемых API для получения запроса на список | Максимум 1000 инцидентов | Отсутствует |
| Количество инцидентов в день (на рабочую область) | См. объяснение после таблицы | Емкость базы данных |
Количество инцидентов в день: Нет официального, жесткого ограничения на количество инцидентов, которые могут быть созданы в день. Фактическая емкость рабочей области для инцидентов зависит от емкости хранилища базы данных инцидентов, поэтому размер инцидентов является таким же фактором, как их число.
Тем не менее, SOC, который испытывает создание более чем 3000 новых инцидентов в день, скорее всего, не сможет поддерживаться, и емкость базы данных будет быстро достигнута. В этой ситуации SOC должен найти и исправить все правила, которые создают большое количество инцидентов, чтобы получить количество ежедневных новых инцидентов для управляемых уровней.
Ограничения для управления делами
Следующие ограничения применяются к управлению делами в Microsoft Sentinel.
| Описание | Лимит | Зависимость |
|---|---|---|
| Варианты для каждого клиента | 100 000 случаев | Отсутствует |
| Вложения для каждого клиента | 500 ГБ | Отсутствует |
| Связанные инциденты в каждом случае | 100 инцидентов | Отсутствует |
| Срок хранения регистра | 180 дней | Отсутствует |
Ограничения на основе машинного обучения
Следующие ограничения применяются к функциям на основе машинного обучения в Microsoft Sentinel, таких как настраиваемые аномалии и Fusion.
| Описание | Лимит | Зависимость |
|---|---|---|
| Число аномалий, опубликованных на тип аномалий | Топ 3000 ранжированных по оценке аномалий | Отсутствует |
| Количество оповещений и /или аномалий в одном инциденте Fusion | 100 оповещений и /или аномалий | Отсутствует |
Ограничения нескольких рабочих областей
Следующее ограничение применяется к нескольким рабочим областям в Microsoft Sentinel. Ограничения применяются при работе с функциями Sentinel в течение нескольких рабочих областей за раз.
| Описание | Лимит | Зависимость |
|---|---|---|
| Представление инцидента | 100 одновременно отображаемых рабочих областей | |
| Запрос журнала | 100 рабочих областей Sentinel | Log Analytics |
| Правила аналитики | 20 рабочих областей Sentinel для каждого запроса |
Ограничения записной книжки
Следующие ограничения применяются к записным книжкам в Microsoft Sentinel. Ограничения связаны с зависимостями других служб, используемых записными книжками.
| Описание | Лимит | Зависимость |
|---|---|---|
| Общее количество этих ресурсов на рабочую область машинного обучения: наборы данных, запуски, модели и артефакты | 10 миллионов активов | Машинное обучение Azure |
| Ограничение по умолчанию для общих вычислительных кластеров в каждом регионе. Ограничение совместно используется между обучающий кластер и вычислительным экземпляром. В контексте квот вычислительным экземпляром считается кластер с одним узлом. | 200 вычислительных кластеров в каждом регионе | Машинное обучение Azure |
| Учетные записи хранения для каждого региона на подписку | 250 учетных записей хранения | Служба хранилища Azure |
| Максимальный размер общей папки по умолчанию | 5 ТБ | Служба хранилища Azure |
| Максимальный размер общей папки с включенным компонентом больших файловых ресурсов | 100 ТБ | Служба хранилища Azure |
| Максимальная пропускная способность (входящий и исходящий трафик) для одной общей общей папки по умолчанию | 60 МБ/с | Служба хранилища Azure |
| Максимальная пропускная способность (входящий и исходящий трафик) для одной общей папки с включенной функцией больших файловых ресурсов | 300 МБ/с | Служба хранилища Azure |
Ограничения репозиториев
Следующие ограничения применяются к репозиториям в Microsoft Sentinel.
| Описание | Лимит | Зависимость |
|---|---|---|
| Количество репозиториев | 5 | Рабочая область Sentinel |
| История развертывания | восемьсот | Группа ресурсов Azure |
Ограничения аналитики угроз
Следующее ограничение применяется к аналитике угроз в Microsoft Sentinel. Ограничение связано с зависимостью от API, используемого аналитикой угроз.
| Описание | Лимит | Зависимость |
|---|---|---|
| Индикаторы для каждого вызова, использующего API безопасности Graph | 100 индикаторов | API безопасности Microsoft Graph |
| Размер импорта файла объекта CSV TI | 50 МБ | никакой |
| Размер импорта файла объекта JSON TI | 250 МБ | никакой |
Ограничения API отправки TI
Следующее ограничение применяется к API отправки аналитики угроз в Microsoft Sentinel.
| Описание | Лимит | Зависимость |
|---|---|---|
| Объекты STIX на запрос | 100 объектов | |
| Число запросов в минуту | 100 |
Ограничения аналитики поведения пользователей и сущностей (UEBA)
Следующее ограничение применяется к UEBA в Microsoft Sentinel. Ограничение для UEBA в Microsoft Sentinel связано с зависимостями другой службы.
| Описание | Лимит | Зависимость |
|---|---|---|
| Наименьшая конфигурация хранения в днях для таблицы IdentityInfo . Все данные, хранящиеся в таблице IdentityInfo в Log Analytics, обновляются каждые 14 дней. | 14 дней | Аналитика логов |
| Группы, перечисленные в поле GroupMembership в таблице IdentityInfo (включая подгруппы) | 500 |
Ограничения списка наблюдения
Следующие ограничения применяются к спискам наблюдения в Microsoft Sentinel. Ограничения связаны с зависимостями других служб, используемых списками наблюдения.
| Описание | Лимит | Зависимость |
|---|---|---|
| Ограничение размера отправки для локальных файлов по этому ограничению считается large |
3,8 МБ на файл | Azure Resource Manager |
| Запись строки в CSV-файле | 10 240 символов на строку | Azure Resource Manager |
| Общий размер одной строки | 10 Кб | Аналитика логов |
| Размер отправки больших файлов списка наблюдения в службе хранилища Azure | 500 МБ на файл | Служба хранилища Azure |
| Общее количество активных элементов списка наблюдения на рабочую область при достижении максимального количества, удалите некоторые существующие элементы, чтобы добавить новый список наблюдения. |
10 миллионов активных элементов списка наблюдения | Аналитика логов |
| Общая скорость изменения всех элементов списка наблюдения на рабочую область (создание, обновление и удаление операций) |
100 000 изменений в месяц (1% максимум активных элементов списка наблюдения) |
Аналитика логов |
large Количество отправки списка наблюдения за рабочей областьюза разом см. ограничение размера отправки для того, что делает список наблюдения large |
Один large список наблюдения |
Azure Cosmos DB (облачная база данных) |
| Количество удалений большого списка наблюдения за рабочей областью за разом см. в разделе об ограничении размера отправки для того, что делает список наблюдения large |
Один large список наблюдения |
Azure Cosmos DB (облачная база данных) |
Ограничения книги
Ограничения книги для Sentinel являются одинаковыми ограничениями результатов, найденными в Azure Monitor. Дополнительные сведения см. в разделе "Ограничения результатов книг".
Ограничения диспетчера рабочих областей
Следующие ограничения применяются к диспетчеру рабочих областей в Microsoft Sentinel.
| Описание | Лимит | Зависимость |
|---|---|---|
| Количество опубликованных операций в группе Опубликованные операции = (рабочие области членов) * (элементы содержимого) |
Опубликованные операции 2000 | Отсутствует |