حدود الخدمة لـ Microsoft Sentinel
تسرد هذه المقالة حدود الخدمة الأكثر شيوعًا التي قد تواجهها أثناء استخدام Microsoft Sentinel. للحصول على حدود أخرى قد تؤثر على الخدمات أو الميزات التي تستخدمها، مثل Azure Monitor، راجع حدود الاشتراك والخدمة في Azure والحصص النسبية والقيود.
حدود قاعدة التحليلات
ينطبق الحد التالي على قواعد التحليلات في Microsoft Sentinel.
| الوصف | الحد | Dependency |
|---|---|---|
| عدد القواعد الممكنة | 512 قاعدة | بلا |
| عدد قواعد الوقت الفعلي تقريبا (NRT) | 50 قاعدة NRT | بلا |
| تعيينات الكيانات | 10 تعيينات لكل قاعدة | بلا |
| الكيانات المحددة لكل تنبيه (مقسم بالتساوي بين الكيانات المعينة) |
500 كيان لكل تنبيه | بلا |
| حد الحجم التراكمي للكيانات | 64 كيلو بايت | بلا |
| تفاصيل مخصصة | 20 تفاصيل لكل قاعدة 50 قيمة لكل تفاصيل حجم تراكمي 2 كيلوبايت |
بلا |
| تفاصيل التنبيه | 50 قيمة لكل حقل تم تجاوزه 5 كيلوبايت لكل حقل للمجموعات Description و256 بايت لكل حقل للحقل AlertName وغير المجموعات |
بلا |
| التنبيهات لكل قاعدة قابل للتطبيق عند تعيين تجميع الأحداث إلى تشغيل تنبيه لكل حدث |
150 تنبيها | بلا |
| التنبيهات لكل قاعدة لقواعد NRT | 30 تنبيها | بلا |
حدود الصيد
تنطبق الحدود التالية على Hunts في Microsoft Sentinel.
| الوصف | الحد | Dependency |
|---|---|---|
| عدد عمليات الصيد | 100 | بلا |
حدود الحوادث
تنطبق الحدود التالية على الحوادث في Microsoft Sentinel.
| الوصف | الحد | Dependency |
|---|---|---|
| توفر تجربة التحقيق | 90 يومًا من آخر وقت تحديث للحدث | بلا |
| فترة الاستبقاء لكيانات الحوادث | 180 أيام | استبقاء قاعدة بيانات الكيانات |
| عدد التنبيهات | 150 تنبيها | بلا |
| عدد قواعد الأتمتة | 512 قاعدة | بلا |
| عدد إجراءات قواعد الأتمتة | 20 إجراءً | بلا |
| عدد شروط قاعدة الأتمتة | 50 شرطًا | بلا |
| عدد الإشارات المرجعية | 20 إشارة مرجعية | بلا |
| عدد الأحرف لاسم قاعدة التنفيذ التلقائي | 500 حرف | بلا |
| عدد الأحرف للوصف | 5000 حرف | بلا |
| عدد الأحرف لكل تعليق | 30,000 حرف | بلا |
| عدد التعليقات لكل حادث | 100 تعليق | بلا |
| عدد المهام | 40 مهمة | بلا |
| عدد الحوادث التي تم إرجاعها بواسطة واجهة برمجة التطبيقات إلى طلب القائمة | 1000 حادث كحد أقصى | بلا |
| عدد الحوادث في اليوم (لكل مساحة عمل) | راجع الشرح بعد الجدول | سعة قاعدة البيانات |
عدد الحوادث في اليوم: لا يوجد حد رسمي وصعب لعدد الحوادث التي يمكن إنشاؤها يوميا. تعتمد السعة الفعلية لمساحة العمل للحوادث على سعة التخزين لقاعدة بيانات الحوادث، لذا فإن حجم الحوادث هو عامل مثل عددها.
ومع ذلك، من المرجح أن يجد SOC الذي يواجه إنشاء أكثر من 3000 حادث جديد في اليوم نفسه غير قادر على الاستمرار، وسيتم الوصول بسرعة إلى سعة قاعدة البيانات. في هذه الحالة، تحتاج SOC إلى العثور على أي قواعد تنشئ أعدادا كبيرة من الحوادث وإصلاحها، للحصول على عدد الحوادث الجديدة اليومية إلى مستويات يمكن التحكم فيها.
الحدود المستندة إلى التعلم الآلي
تنطبق الحدود التالية على الميزات المستندة إلى التعلم الآلي في Microsoft Sentinel مثل حالات الخارج عن المألوف القابلة للتخصيص وFusion.
| الوصف | الحد | Dependency |
|---|---|---|
| عدد حالات الخارج عن المألوف المنشورة لكل نوع من منها | أعلى 3000 مرتبة حسب درجة الخارج عن المألوف | بلا |
| عدد التنبيهات و/أو حالات الخارج عن المألوف في حادث Fusion واحد | 100 تنبيه و/أو حالة خارج عن المألوف | بلا |
حدود مساحة العمل المتعددة
ينطبق الحد التالي على مساحات عمل متعددة في Microsoft Sentinel. يتم تطبيق الحدود هنا عند العمل مع ميزات Sentinel عبر أكثر من مساحة عمل في كل مرة.
| الوصف | الحد | Dependency |
|---|---|---|
| طريقة عرض الحدث | 100 مساحة عمل معروضة بشكل متزامن | |
| الاستعلام عن السجل | 100 مساحة عمل Sentinel | تحليلات السجل |
| قواعد التحليلات | 20 مساحة عمل Sentinel لكل استعلام |
حدود دفتر الملاحظات
تنطبق الحدود التالية على دفاتر الملاحظات في Microsoft Sentinel. ترتبط الحدود بالتبعيات على الخدمات الأخرى التي تستخدمها دفاتر الملاحظات.
| الوصف | الحد | Dependency |
|---|---|---|
| العدد الإجمالي لهذه الأصول لكل مساحة عمل للتعلم الآلي: مجموعات البيانات وعمليات التشغيل والنماذج والبيانات الاصطناعية | 10 ملايين أصل | Azure Machine Learning |
| الحد الافتراضي لإجمالي مجموعات الحوسبة لكل منطقة. تتم مشاركة الحد بين مجموعة تدريب ومثيل حساب. يعتبر مثيل الحساب كتلة عقدة واحدة لأغراض الحصة النسبية. | 200 مجموعة حساب لكل منطقة | Azure Machine Learning |
| حسابات التخزين لكل منطقة لكل اشتراك | 250 حساب تخزين | تخزين Azure |
| الحد الأقصى لحجم مشاركة ملف بشكل افتراضي | 5 تيرابايت | تخزين Azure |
| الحد الأقصى لحجم مشاركة ملف مع تمكين ميزة مشاركة الملفات الكبيرة | 100 تيرابايت | تخزين Azure |
| الحد الأقصى لمعدل النقل (الدخول + الخروج) لمشاركة ملف واحد بشكل افتراضي | 60 ميغابايت/ثانية | تخزين Azure |
| الحد الأقصى لمعدل النقل (الدخول + الخروج) لمشاركة ملف واحد مع تمكين ميزة مشاركة الملفات الكبيرة | 300 ميغابايت/ثانية | تخزين Azure |
حدود المستودعات
تنطبق الحدود التالية على المستودعات في Microsoft Sentinel.
| الوصف | الحد | Dependency |
|---|---|---|
| عدد المستودعات | 5 | مساحة عمل Sentinel |
| تاريخ التوزيع | 800 | مجموعة موارد Azure |
حدود التحليل الذكي للمخاطر
ينطبق الحد التالي على التحليل الذكي للمخاطر في Microsoft Sentinel. يرتبط الحد بالتبعية على واجهة برمجة التطبيقات المستخدمة بواسطة التحليل الذكي للمخاطر.
| الوصف | الحد | Dependency |
|---|---|---|
| مؤشرات لكل استدعاء تستخدم واجهة برمجة تطبيقات أمان Graph | 100 مؤشر | واجهة برمجة تطبيقات أمان Microsoft Graph |
| حجم ملف استيراد مؤشر CSV | 50 ميجابايت | لا شيء |
| حجم ملف استيراد مؤشر JSON | 250 ميجابايت | لا شيء |
حدود واجهة برمجة التطبيقات لمؤشرات تحميل TI
ينطبق الحد التالي على واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر في Microsoft Sentinel.
| الوصف | الحد | Dependency |
|---|---|---|
| مؤشرات لكل طلب | 100 مؤشر | |
| عدد الطلبات في الدقيقة | 100 |
حدود تحليلات سلوك الكيان والمستخدم (UEBA)
ينطبق الحد التالي على UEBA في Microsoft Sentinel. يرتبط حد UEBA في Microsoft Sentinel بالتبعيات على خدمة أخرى.
| الوصف | الحد | Dependency |
|---|---|---|
| أقل تكوين لاستبقاء البيانات بالأيام للجدول IdentityInfo. يتم تحديث جميع البيانات المخزنة على الجدول IdentityInfo في Log Analytics كل 14 يومًا. | 14 يومًا | Log Analytics |
حدود قائمة المشاهدة
تنطبق الحدود التالية على قوائم المشاهدة في Microsoft Sentinel. ترتبط الحدود بالتبعيات على الخدمات الأخرى التي تستخدمها قوائم المشاهدة.
| الوصف | الحد | Dependency |
|---|---|---|
| حجم التحميل للملف المحلي | 3.8 ميغابايت لكل ملف | Azure Resource Manager |
| إدخال السطر في ملف CSV | 10,240 حرفاً لكل سطر | Azure Resource Manager |
| الحجم الإجمالي لصف واحد | 10 كيلوبايت | Log Analytics |
| حجم التحميل للملفات في Azure Storage | 500 ميغابايت لكل ملف | تخزين Azure |
| إجمالي عدد عناصر قائمة المشاهدة النشطة لكل مساحة عمل. عند الوصول إلى الحد الأقصى، احذف بعض العناصر الموجودة لإضافة قائمة مشاهدة جديدة. | 10 ملايين عنصر قائمة مراقبة نشطًا | Log Analytics |
| إجمالي معدل التغيير لجميع عناصر قائمة المشاهدة لكل مساحة عمل | معدل التغيير بنسبة 1٪ شهريا | Log Analytics |
| عدد عمليات تحميل قائمة المشاهدة الكبيرة لكل مساحة عمل في كل مرة | قائمة مشاهدة كبيرة واحدة | Azure Cosmos DB |
| عدد عمليات تحميل قائمة المشاهدة الكبيرة لكل مساحة عمل في كل مرة | قائمة مشاهدة كبيرة واحدة | Azure Cosmos DB |
حدود المصنف
حدود المصنف ل Sentinel هي نفس حدود النتائج الموجودة في Azure Monitor. لمزيد من المعلومات، راجع حدود نتائج المصنفات.
حدود إدارة مساحة العمل
تنطبق الحدود التالية على مدير مساحة العمل في Microsoft Sentinel.
| الوصف | الحد | Dependency |
|---|---|---|
| عدد العمليات المنشورة في مجموعة العمليات المنشورة = (مساحات عمل الأعضاء) * (عناصر المحتوى) |
2000 عملية منشورة | بلا |