A Microsoft Sentinel szolgáltatáskorlátai
Ez a cikk a Microsoft Sentinel használata során előforduló leggyakoribb szolgáltatási korlátokat sorolja fel. Az Egyéb korlátozások, amelyek hatással lehetnek az Ön által használt szolgáltatásokra vagy szolgáltatásokra, például az Azure Monitorra, tekintse meg az Azure előfizetési és szolgáltatási korlátait, kvótáit és korlátozásait.
Elemzési szabály korlátai
Az alábbi korlátozás a Microsoft Sentinel elemzési szabályaira vonatkozik.
| Leírás | Korlát | Dependency |
|---|---|---|
| Engedélyezett szabályok száma | 512 szabály | Egyik sem |
| Közel valós idejű (NRT) szabályok száma | 50 NRT-szabály | Egyik sem |
| Entitásleképezések | Szabályonként 10 leképezés | Egyik sem |
| Riasztásonként azonosított entitások (Egyenlően elosztva a megfeleltetett entitások között) |
Riasztásonként 500 entitás | Egyik sem |
| Entitások összesített méretkorlátja | 64 KB | Egyik sem |
| Egyéni adatok | Szabályonként 20 részlet 50 érték részletenként 2 KB kumulatív méret |
Egyik sem |
| Riasztás részletei | Felülírott mezőnként 50 érték 5 KB mezőnként Description és gyűjteményenként256 bájt/mező a gyűjtemények és a nem gyűjtemények esetében AlertName |
Egyik sem |
| Riasztások szabályonként Akkor alkalmazható, ha az eseménycsoportozás úgy van beállítva, hogy minden eseményhez riasztást aktiváljon |
150 riasztás | Egyik sem |
| Riasztások szabályonként az NRT-szabályokhoz | 30 riasztás | Egyik sem |
Vadászati korlátok
A Következő korlátozások a Microsoft Sentinelben található Huntsra vonatkoznak.
| Leírás | Korlát | Dependency |
|---|---|---|
| A vadászatok száma | 100 | Egyik sem |
Incidenskorlátok
A Microsoft Sentinelben történt incidensekre az alábbi korlátozások vonatkoznak.
| Leírás | Korlát | Dependency |
|---|---|---|
| A vizsgálati élmény rendelkezésre állása | Az incidens utolsó frissítési időpontjától számított 90 nap | Egyik sem |
| Incidensentitások megőrzési időtartama | 180 nap | Entitások adatbázis-megőrzése |
| Riasztások száma | 150 riasztás | Egyik sem |
| Automatizálási szabályok száma | 512 szabály | Egyik sem |
| Automatizálási szabályműveletek száma | 20 művelet | Egyik sem |
| Automatizálási szabályfeltételek száma | 50 feltétel | Egyik sem |
| Könyvjelzők száma | 20 könyvjelző | Egyik sem |
| Az automatizálási szabály nevének karaktereinek száma | 500 karakter | Egyik sem |
| A leíráshoz tartozó karakterek száma | 5000 karakter | Egyik sem |
| Karakterek száma megjegyzésenként | 30 000 karakter | Egyik sem |
| Megjegyzések száma incidensenként | 100 megjegyzés | Egyik sem |
| Tevékenységek száma | 40 feladat | Egyik sem |
| Az API által a kérelem listázásához visszaadott incidensek száma | Legfeljebb 1000 incidens | Egyik sem |
| Incidensek száma naponta (munkaterületenként) | Magyarázat a táblázat után | Adatbázis-kapacitás |
Incidensek száma naponta: A naponta létrehozható incidensek számának nincs formális, szigorú korlátja. A munkaterület incidensekhez való tényleges kapacitása az incidens-adatbázis tárolási kapacitásától függ, ezért az incidensek mérete ugyanolyan tényező, mint a számuk.
Egy olyan SOC azonban, amely naponta több mint 3000 új incidens létrehozását tapasztalja, valószínűleg nem tudja tartani a lépést, és az adatbázis-kapacitás gyorsan el lesz érve. Ebben az esetben az SOC-nek meg kell találnia és ki kell javítania minden olyan szabályt, amely nagy számú incidenst hoz létre, hogy a napi új incidensek száma kezelhető szintekre jusson.
Gépi tanuláson alapuló korlátok
A következő korlátozások a Microsoft Sentinel gépi tanuláson alapuló funkcióira vonatkoznak, például a testre szabható anomáliákra és a Fusionre.
| Leírás | Korlát | Dependency |
|---|---|---|
| Anomáliatípusonként közzétett anomáliák száma | Az első 3000 rangsorolt anomália pontszám | Egyik sem |
| Riasztások és/vagy rendellenességek száma egyetlen fúziós incidensben | 100 riasztás és/vagy rendellenesség | Egyik sem |
Több munkaterületre vonatkozó korlátok
A következő korlátozás a Microsoft Sentinel több munkaterületére vonatkozik. Az itt található korlátozások akkor érvényesek, ha a Sentinel-funkciókkal egyszerre több munkaterületen dolgozik, mint a munkaterületen.
| Leírás | Korlát | Dependency |
|---|---|---|
| Incidens nézet | 100 egyidejűleg megjelenített munkaterület | |
| Napló lekérdezés | 100 Sentinel-munkaterület | Naplóelemzés |
| Elemzési szabályok | 20 Sentinel-munkaterület lekérdezésenként |
Jegyzetfüzetkorlátok
A Microsoft Sentinelben lévő jegyzetfüzetekre az alábbi korlátozások vonatkoznak. A korlátok a jegyzetfüzetek által használt egyéb szolgáltatások függőségeihez kapcsolódnak.
| Leírás | Korlát | Dependency |
|---|---|---|
| Ezen eszközök teljes száma gépi tanulási munkaterületenként: adathalmazok, futtatások, modellek és összetevők | 10 millió eszköz | Azure Machine Learning |
| Az összes számítási fürt alapértelmezett korlátja régiónként. A korlát meg van osztva egy betanítási fürt és egy számítási példány között. Egy számítási példány kvóta szempontjából egycsomópontos fürtnek minősül. | Régiónként 200 számítási fürt | Azure Machine Learning |
| Tárfiókok régiónként előfizetésenként | 250 tárfiók | Azure Storage |
| Fájlmegosztás maximális mérete alapértelmezés szerint | 5 TB | Azure Storage |
| Nagy fájlmegosztási funkcióval rendelkező fájlmegosztás maximális mérete engedélyezve | 100 TB | Azure Storage |
| Egyetlen fájlmegosztás maximális átviteli sebessége (bejövő és kimenő forgalom) alapértelmezés szerint | 60 MB/s | Azure Storage |
| Maximális átviteli sebesség (bejövő forgalom + kimenő forgalom) egyetlen fájlmegosztáshoz, amelyen engedélyezve van a nagy fájlmegosztási funkció | 300 MB/s | Azure Storage |
Adattárak korlátai
Az alábbi korlátozások a Microsoft Sentinel adattáraira vonatkoznak.
| Leírás | Korlát | Dependency |
|---|---|---|
| Adattárak száma | 5 | Sentinel-munkaterület |
| Üzembe helyezési előzmények | 800 | Azure-erőforráscsoport |
Fenyegetésintelligencia-korlátok
A következő korlátozás a Microsoft Sentinel fenyegetésfelderítésére vonatkozik. A korlát a fenyegetésintelligencia által használt API-k függőségéhez kapcsolódik.
| Leírás | Korlát | Dependency |
|---|---|---|
| A Graph security API-t használó hívásonkénti mutatók | 100 mutató | Microsoft Graph biztonsági API |
| CSV-mutató fájlimportálási mérete | 50MB | Nincs |
| JSON-mutató fájlimportálási mérete | 250MB | Nincs |
TI-feltöltési mutatók API-korlátai
A következő korlátozás a Microsoft Sentinel fenyegetésintelligencia-feltöltési mutatóinak API-jára vonatkozik.
| Leírás | Korlát | Dependency |
|---|---|---|
| Jelzők kérésenként | 100 mutató | |
| Kérelem/perc | 100 |
Felhasználói és entitás viselkedéselemzési (UEBA) korlátai
A következő korlátozás a Microsoft Sentinel UEBA-ra vonatkozik. A Microsoft Sentinel UEBA-korlátja egy másik szolgáltatás függőségeihez kapcsolódik.
| Leírás | Korlát | Dependency |
|---|---|---|
| Az IdentityInfo tábla minimális adatmegőrzési konfigurációja napokban. A Log Analytics IdentityInfo táblájában tárolt összes adat 14 naponta frissül. | 14 nap | Log Analytics |
Figyelőlista korlátai
A Microsoft Sentinel figyelőlistáira az alábbi korlátozások vonatkoznak. A korlátok a figyelőlisták által használt egyéb szolgáltatások függőségeihez kapcsolódnak.
| Leírás | Korlát | Dependency |
|---|---|---|
| Helyi fájl feltöltési mérete | Fájlonként 3,8 MB | Azure Resource Manager |
| Sorbejegyzés a CSV-fájlban | Soronként 10 240 karakter | Azure Resource Manager |
| Egyetlen sor teljes mérete | 10 Kb | Log Analytics |
| Fájlok feltöltési mérete az Azure Storage-ban | Fájlonként 500 MB | Azure Storage |
| Aktív figyelőlistaelemek teljes száma munkaterületenként. A maximális szám elérésekor töröljön néhány meglévő elemet egy új figyelőlista hozzáadásához. | 10 millió aktív figyelőlistaelem | Log Analytics |
| Az összes figyelőlistaelem módosítási aránya munkaterületenként | Havi 1%-os változási arány | Log Analytics |
| Nagy figyelőlista-feltöltések száma munkaterületenként | Egy nagy figyelőlista | Azure Cosmos DB |
| Munkaterületenkénti nagy figyelőlista-törlések száma egyszerre | Egy nagy figyelőlista | Azure Cosmos DB |
Munkafüzetkorlátok
A Sentinel munkafüzetkorlátai ugyanazok az eredménykorlátok, amelyeket az Azure Monitor tartalmaz. További információ: Munkafüzetek eredménykorlátjai.
Munkaterület-kezelő korlátai
A Microsoft Sentinel munkaterület-kezelőjére az alábbi korlátozások vonatkoznak.
| Leírás | Korlát | Dependency |
|---|---|---|
| Egy csoportban közzétett műveletek száma Közzétett műveletek = (tag-munkaterületek) * (tartalomelemek) |
2000 közzétett műveletek | Egyik sem |