Batas layanan untuk Microsoft Sentinel
Artikel ini mendaftarkan batas layanan paling umum yang mungkin Anda temui saat menggunakan Microsoft Sentinel. Untuk batas lain yang mungkin memengaruhi layanan atau fitur yang Anda gunakan, seperti Azure Monitor, lihat Batas, kuota, dan batasan langganan dan layanan Azure.
Batas aturan analitik
Batas berikut berlaku untuk aturan analitik di Microsoft Sentinel.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Jumlah aturan yang diaktifkan | 512 aturan | Tidak |
| Jumlah aturan hampir real-time (NRT) | 50 aturan NRT | Tidak |
| Pemetaan entitas | 10 pemetaan per aturan | Tidak |
| Entitas yang diidentifikasi per pemberitahuan (Dibagi rata di antara entitas yang dipetakan) |
500 entitas per pemberitahuan | Tidak |
| Batas ukuran kumulatif entitas | 64 KB | Tidak |
| Detail kustom | 20 detail per aturan 50 nilai per detail Ukuran kumulatif 2 KB |
Tidak |
| Detail peringatan | 50 nilai per bidang yang ditimpa 5 KB per bidang untuk Description koleksi dan256 byte per bidang untuk AlertName dan non-koleksi |
Tidak |
| Pemberitahuan per aturan Berlaku saat Pengelompokan peristiwa diatur ke Memicu pemberitahuan untuk setiap peristiwa |
150 pemberitahuan | Tidak |
| Pemberitahuan per aturan untuk aturan NRT | 30 pemberitahuan | Tidak |
Batas perburuan
Batas berikut berlaku untuk Perburuan di Microsoft Azure Sentinel.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Jumlah Perburuan | 100 | Tidak |
Batas insiden
Batas berikut berlaku untuk insiden di Microsoft Sentinel.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Ketersediaan pengalaman investigasi | 90 hari sejak waktu pembaruan terakhir insiden | Tidak |
| Periode retensi untuk entitas insiden | 180 hari | Retensi database entitas |
| Jumlah peringatan | 150 pemberitahuan | Tidak |
| Jumlah aturan otomatisasi | 512 aturan | Tidak |
| Jumlah tindakan aturan automasi | 20 tindakan | Tidak |
| Jumlah ketentuan aturan automasi | 50 kondisi | Tidak |
| Jumlah marka buku | 20 bookmark | Tidak |
| Jumlah karakter untuk nama aturan otomatisasi | 500 karakter | Tidak |
| Jumlah karakter untuk deskripsi | 5.000 karakter | Tidak |
| Jumlah karakter per komentar | 30.000 karakter | Tidak |
| Jumlah komentar per insiden | 100 komentar | Tidak |
| Jumlah tugas | 40 tugas | Tidak |
| Jumlah insiden yang dikembalikan oleh API untuk mencantumkan permintaan | Maksimum 1.000 insiden | Tidak |
| Jumlah insiden per hari (per ruang kerja) | Lihat penjelasan setelah tabel | Kapasitas database |
Jumlah insiden per hari: Tidak ada batas formal dan keras pada jumlah insiden yang dapat dibuat per hari. Kapasitas aktual ruang kerja untuk insiden tergantung pada kapasitas penyimpanan database insiden, sehingga ukuran insiden adalah faktor sebanyak jumlahnya.
Namun, SOC yang mengalami pembuatan lebih dari sekitar 3.000 insiden baru per hari kemungkinan besar akan menemukan dirinya tidak dapat mengikuti, dan kapasitas database akan dengan cepat tercapai. Dalam situasi ini, SOC perlu menemukan dan memperbaiki aturan apa pun yang menciptakan sejumlah besar insiden, untuk mendapatkan hitungan insiden baru harian ke tingkat yang dapat dikelola.
Batas berbasis pembelajaran mesin
Batas berikut berlaku untuk fitur berbasis pembelajaran mesin di Microsoft Sentinel seperti Fusion dan anomali yang dapat disesuaikan.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Jumlah anomali yang diterbitkan per jenis anomali | 3000 teratas yang diperingkat berdasarkan skor anomali | Tidak |
| Jumlah peringatan dan/atau anomali dalam satu insiden Fusion | 100 peringatan dan/atau anomali | Tidak |
Batas multi ruang kerja
Batas berikut berlaku untuk beberapa ruang kerja di Microsoft Azure Sentinel. Batas di sini diterapkan saat bekerja dengan fitur Sentinel di lebih dari ruang kerja sekaligus.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Tampilan insiden | 100 ruang kerja yang ditampilkan secara bersamaan | |
| Kueri log | 100 ruang kerja Sentinel | Analitik Log |
| Aturan analitik | 20 ruang kerja Sentinel per kueri |
Batas buku catatan
Batas berikut berlaku untuk buku catatan di Microsoft Sentinel. Batas ini terkait dengan dependensi pada layanan lain yang digunakan oleh buku catatan.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Jumlah total aset ini per ruang kerja pembelajaran mesin: himpunan data, eksekusi, model, dan artefak | 10 juta aset | Pembelajaran Mesin Azure |
| Batas default untuk total kluster komputasi per wilayah. Kluster Ini dibagikan antara kluster pelatihan dan instans komputasi. Instans komputasi dianggap sebagai kluster simpul tunggal untuk tujuan kuota. | 200 kluster komputasi per wilayah | Pembelajaran Mesin Azure |
| Akun penyimpanan per wilayah per langganan | 250 akun penyimpanan | Azure Storage |
| Ukuran maksimum berbagi file secara default | 5 TB | Azure Storage |
| Ukuran maksimum berbagi file dengan fitur berbagi file besar diaktifkan | 100 TB | Azure Storage |
| Throughput maksimum (masuk + keluar) untuk satu berbagi file secara default | 60 MB/detik | Azure Storage |
| Throughput maksimum (masuk + keluar) untuk satu berbagi file dengan fitur berbagi file besar diaktifkan | 300 MB/detik | Azure Storage |
Batas untuk repositori
Batas berikut ini berlaku untuk repositori pada Microsoft Sentinel.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Jumlah untuk repositori | 5 | Ruang Kerja Sentinel |
| Riwayat penyebaran | 800 | Grup sumber daya Azure |
Batas inteligensi ancaman
Batas berikut berlaku untuk inteligensi ancaman di Microsoft Sentinel. Batas ini terkait dengan dependensi pada API yang digunakan oleh inteligensi ancaman.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Indikator per panggilan yang menggunakan API keamanan Graph | 100 Indikator | API keamanan Microsoft Graph |
| Ukuran impor file indikator CSV | 50MB | tidak ada |
| Ukuran impor file indikator JSON | 250MB | tidak ada |
Batas API indikator unggahan TI
Batas berikut berlaku untuk API indikator pengunggahan inteligensi ancaman di Microsoft Azure Sentinel.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Indikator per permintaan | 100 Indikator | |
| Permintaan per menit | 100 |
Batas Analitik Perilaku Pengguna dan Entitas (UEBA)
Batas berikut berlaku untuk UEBA di Microsoft Sentinel. Batas untuk UEBA di Microsoft Sentinel terkait dengan dependensi pada layanan lain.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Konfigurasi retensi terendah dalam hari untuk tabel IdentityInfo. Semua data yang disimpan di tabel IdentityInfo di Log Analytics di-refresh setiap 14 hari. | 14 hari | Analitik Log |
Batas daftar tonton
Batas berikut berlaku untuk daftar tonton di Microsoft Sentinel. Batas ini terkait dengan dependensi pada layanan lain yang digunakan oleh daftar tonton.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Ukuran pengunggahan untuk file lokal | 3,8 MB per file | Azure Resource Manager |
| Entri baris dalam file CSV | 10.240 karakter per baris | Azure Resource Manager |
| Ukuran total satu baris | 10 Kb | Analitik Log |
| Ukuran pengunggahan untuk file dalam Azure Storage | 500 MB per file | Azure Storage |
| Jumlah total item daftar tonton aktif per ruang kerja. Jika jumlah maksimum tercapai, hapus beberapa item yang ada untuk menambahkan daftar tonton baru. | 10 juta item daftar tonton aktif | Analitik Log |
| Tingkat total perubahan semua item daftar tonton per ruang kerja | Tingkat perubahan 1% per bulan | Analitik Log |
| Jumlah pengunggahan daftar tonton besar per ruang kerja sekaligus | Satu daftar tonton besar | Azure Cosmos DB |
| Jumlah penghapusan daftar tonton besar per ruang kerja sekaligus | Satu daftar tonton besar | Azure Cosmos DB |
Batas buku kerja
Batas buku kerja untuk Sentinel adalah batas hasil yang sama yang ditemukan di Azure Monitor. Untuk informasi selengkapnya, lihat Batas hasil buku kerja.
Batas manajer ruang kerja
Batas berikut berlaku untuk manajer ruang kerja di Microsoft Azure Sentinel.
| Deskripsi | Batas | Dependensi |
|---|---|---|
| Jumlah operasi yang diterbitkan dalam grup Operasi yang diterbitkan = (ruang kerja anggota) * (item konten) |
2000 operasi yang diterbitkan | Tidak |