Microsoft Sentinel için hizmet sınırları
Bu makalede, Microsoft Sentinel kullanırken karşılaşabileceğiniz en yaygın hizmet sınırları listelenir. Azure İzleyici gibi kullandığınız hizmetleri veya özellikleri etkileyebilecek diğer sınırlar için bkz . Azure aboneliği ve hizmet sınırları, kotalar ve kısıtlamalar.
Analiz kuralı sınırları
Aşağıdaki sınır, Microsoft Sentinel'deki analiz kuralları için geçerlidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Etkin kural sayısı | 512 kuralları | Hiçbiri |
| Gerçek zamanlıya yakın (NRT) kural sayısı | 50 NRT kuralı | Hiçbiri |
| Varlık eşlemeleri | Kural başına 10 eşleme | Hiçbiri |
| Uyarı başına tanımlanan varlıklar (Eşlenen varlıklar arasında eşit olarak bölünür) |
Uyarı başına 500 varlık | Hiçbiri |
| Varlıklar kümülatif boyut sınırı | 64 KB | Hiçbiri |
| Özel ayrıntılar | Kural başına 20 ayrıntı Ayrıntı başına 50 değer 2 KB kümülatif boyut |
Hiçbiri |
| Uyarı ayrıntıları | Geçersiz kılınan alan başına 50 değer ve koleksiyonları için Description alan başına 5 KBKoleksiyonlar ve olmayanlar için AlertName alan başına 256 bayt |
Hiçbiri |
| Kural başına uyarı sayısı Olay gruplandırma, Her olay için uyarı tetikle olarak ayarlandığında geçerlidir |
150 uyarı | Hiçbiri |
| NRT kuralları için kural başına uyarılar | 30 uyarı | Hiçbiri |
Sınırları avlar
Aşağıdaki sınırlar Microsoft Sentinel'deki Hunt'lar için geçerlidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Av Sayısı | 100 | Hiçbiri |
Olay sınırları
Aşağıdaki sınırlar Microsoft Sentinel'deki olaylar için geçerlidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Araştırma deneyimi kullanılabilirliği | Olayın son güncelleştirme saatinden 90 gün sonra | Hiçbiri |
| Olay varlıkları için bekletme süresi | 180 gün | Varlıklar veritabanı saklama |
| Uyarı sayısı | 150 uyarı | Hiçbiri |
| Otomasyon kuralları sayısı | 512 kuralları | Hiçbiri |
| Otomasyon kuralı eylemlerinin sayısı | 20 eylem | Hiçbiri |
| Otomasyon kuralı koşulları sayısı | 50 koşul | Hiçbiri |
| Yer işareti sayısı | 20 yer işareti | Hiçbiri |
| Otomasyon kuralı adı için karakter sayısı | 500 karakter | Hiçbiri |
| Açıklama için karakter sayısı | 5.000 karakter | Hiçbiri |
| Açıklama başına karakter sayısı | 30.000 karakter | Hiçbiri |
| Olay başına açıklama sayısı | 100 yorum | Hiçbiri |
| Görev sayısı | 40 görev | Hiçbiri |
| API tarafından isteği listelemek için döndürülen olay sayısı | En fazla 1.000 olay | Hiçbiri |
| Günlük olay sayısı (çalışma alanı başına) | Tablodan sonraki açıklamaya bakın | Veritabanı kapasitesi |
Günlük olay sayısı: Günlük oluşturulabilecek olay sayısı üzerinde resmi ve sabit bir sınır yoktur. Bir çalışma alanının olaylar için gerçek kapasitesi, olay veritabanının depolama kapasitesine bağlıdır, bu nedenle olayların boyutu, sayıları kadar bir faktördür.
Ancak, günde yaklaşık 3.000'den fazla yeni olay oluşturulmasını deneyimleyen bir SOC büyük olasılıkla kendini ayak uyduramayacak ve veritabanı kapasitesine hızla ulaşılacaktır. Bu durumda, günlük yeni olayların sayısını yönetilebilir düzeylere getirmek için SOC'nin çok sayıda olay oluşturan kuralları bulması ve düzeltmesi gerekir.
Makine öğrenmesi tabanlı sınırlar
Microsoft Sentinel'de özelleştirilebilir anomaliler ve Fusion gibi makine öğrenmesi tabanlı özellikler için aşağıdaki sınırlar geçerlidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Anomali türü başına yayımlanan anomali sayısı | Anomali puanına göre sıralanan ilk 3000 | Hiçbiri |
| Tek bir Fusion olayında uyarı ve/veya anomali sayısı | 100 uyarı ve/veya anomali | Hiçbiri |
Çoklu çalışma alanı sınırları
Aşağıdaki sınır, Microsoft Sentinel'deki birden çok çalışma alanı için geçerlidir. Buradaki sınırlar, Sentinel özellikleriyle çalışma alanında aynı anda birden fazla çalışma alanında çalışırken uygulanır.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Olay görünümü | Eşzamanlı olarak görüntülenen 100 çalışma alanı | |
| Günlük sorgusu | 100 Sentinel çalışma alanı | Log Analytics |
| Analiz kuralları | Sorgu başına 20 Sentinel çalışma alanı |
Not defteri sınırları
Aşağıdaki sınırlar Microsoft Sentinel'deki not defterleri için geçerlidir. Sınırlar, not defterleri tarafından kullanılan diğer hizmetlerdeki bağımlılıklarla ilgilidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Makine öğrenmesi çalışma alanı başına bu varlıkların toplam sayısı: veri kümeleri, çalıştırmalar, modeller ve yapıtlar | 10 milyon varlık | Azure Machine Learning |
| Bölge başına toplam işlem kümeleri için varsayılan sınır. Sınır, eğitim kümesiyle işlem örneği arasında paylaşılır. İşlem örneği, kota amaçları doğrultusunda tek düğümlü bir küme olarak kabul edilir. | Bölge başına 200 işlem kümesi | Azure Machine Learning |
| Abonelik başına bölge başına depolama hesapları | 250 depolama hesabı | Azure Depolama |
| Varsayılan olarak bir dosya paylaşımının en büyük boyutu | 5 TB | Azure Depolama |
| Büyük dosya paylaşımı özelliği etkin bir dosya paylaşımının en büyük boyutu | 100 TB | Azure Depolama |
| Varsayılan olarak tek bir dosya paylaşımı için en yüksek aktarım hızı (giriş + çıkış) | 60 MB/sn | Azure Depolama |
| Büyük dosya paylaşımı özelliği etkinleştirilmiş tek bir dosya paylaşımı için en yüksek aktarım hızı (giriş + çıkış) | 300 MB/sn | Azure Depolama |
Depo sınırları
Aşağıdaki sınırlar Microsoft Sentinel'deki depolar için geçerlidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Depo sayısı | 5 | Sentinel Çalışma Alanı |
| Dağıtım geçmişi | 800 | Azure Kaynak Grubu |
Tehdit bilgileri sınırları
Aşağıdaki sınır, Microsoft Sentinel'deki tehdit bilgileri için geçerlidir. Sınır, tehdit bilgileri tarafından kullanılan bir API'ye bağımlılıkla ilgilidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Graph güvenlik API'si kullanan çağrı başına göstergeler | 100 gösterge | Microsoft Graph güvenlik API'si |
| CSV gösterge dosyası içeri aktarma boyutu | 50 MB | yok |
| JSON gösterge dosyası içeri aktarma boyutu | 250 MB | yok |
TI karşıya yükleme göstergeleri API sınırları
Aşağıdaki sınır, Microsoft Sentinel'deki tehdit bilgileri karşıya yükleme göstergeleri API'sine uygulanır.
| Açıklama | Sınır | Dependency |
|---|---|---|
| İstek başına gösterge sayısı | 100 gösterge | |
| Dakika başına istek sayısı | 100 |
Kullanıcı ve Varlık Davranış Analizi (UEBA) sınırları
Aşağıdaki sınır, Microsoft Sentinel'deki UEBA için geçerlidir. Microsoft Sentinel'de UEBA sınırı, başka bir hizmetteki bağımlılıklarla ilgilidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| IdentityInfo tablosu için gün olarak en düşük bekletme yapılandırması. Log Analytics'teki IdentityInfo tablosunda depolanan tüm veriler 14 günde bir yenilenir. | 14 gün | Log Analytics |
İzleme listesi sınırları
Aşağıdaki sınırlar Microsoft Sentinel'deki izleme listeleri için geçerlidir. Sınırlar, izleme listeleri tarafından kullanılan diğer hizmetlerdeki bağımlılıklarla ilgilidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Yerel dosya için karşıya yükleme boyutu | Dosya başına 3,8 MB | Azure Resource Manager |
| CSV dosyasında satır girişi | Satır başına 10.240 karakter | Azure Resource Manager |
| Tek bir satırın toplam boyutu | 10 Kb | Log Analytics |
| Azure Depolama'daki dosyalar için karşıya yükleme boyutu | Dosya başına 500 MB | Azure Depolama |
| Çalışma alanı başına etkin izleme listesi öğelerinin toplam sayısı. Maksimum sayıya ulaşıldığında, yeni bir izleme listesi eklemek için var olan bazı öğeleri silin. | 10 milyon etkin izleme listesi öğesi | Log Analytics |
| Çalışma alanı başına tüm izleme listesi öğelerinin toplam değişiklik oranı | Aylık %1 değişiklik oranı | Log Analytics |
| Bir kerede çalışma alanı başına karşıya yüklenen büyük izleme listesi sayısı | Bir büyük izleme listesi | Azure Cosmos DB |
| Bir kerede çalışma alanı başına büyük izleme listesi silme sayısı | Bir büyük izleme listesi | Azure Cosmos DB |
Çalışma kitabı sınırları
Sentinel için çalışma kitabı sınırları, Azure İzleyici'de bulunan sonuç sınırlarıyla aynıdır. Daha fazla bilgi için bkz . Çalışma kitapları sonuç sınırları.
Çalışma alanı yöneticisi sınırları
Aşağıdaki sınırlar Microsoft Sentinel'deki çalışma alanı yöneticisi için geçerlidir.
| Açıklama | Sınır | Dependency |
|---|---|---|
| Gruptaki yayımlanan işlemlerin sayısı Yayımlanan işlemler = (üye çalışma alanları) * (içerik öğeleri) |
2000 yayımlanan işlemler | Hiçbiri |