Límites de servicio para Microsoft Sentinel
En este artículo se enumeran los límites de servicio más comunes que puede encontrar al usar Microsoft Sentinel. Para conocer otros límites que podrían afectar a los servicios o las características que use, como Azure Monitor, consulte Límites, cuotas y restricciones de suscripción y servicios de Azure.
Límites de reglas de análisis
El límite siguiente se aplica a las reglas de análisis de Microsoft Sentinel.
| Descripción | Límite | Dependencia |
|---|---|---|
| Número de reglas habilitadas | 512 reglas | Ninguno |
| Número de reglas casi en tiempo real (NRT) | 50 reglas de NRT | None |
| Asignaciones de entidades | 10 asignaciones por regla | Ninguno |
| Entidades identificadas por alerta (Dividido igualmente entre las entidades asignadas) |
500 entidades por alerta | Ninguno |
| Límite de tamaño acumulado de entidades | 64 KB | None |
| Detalles personalizados | 20 detalles por regla 50 valores por detalle Tamaño acumulado de 2 KB |
None |
| Detalles de alerta | 50 valores por campo reemplazado 5 KB por campo para Description y colecciones256 KB por campo para AlertName y no colecciones |
None |
| Alertas por regla Aplicable cuando la Agrupación de eventos está establecida en Desencadenar una alerta para cada evento |
150 alertas | Ninguno |
| Alertas por regla para reglas NRT | 30 alertas | None |
Límites de búsqueda
Los límites siguientes se aplican a búsquedas de Microsoft Sentinel.
| Descripción | Límite | Dependencia |
|---|---|---|
| Número de búsquedas | 100 | None |
Límites de incidentes
Los límites siguientes se aplican a incidentes de Microsoft Sentinel.
| Descripción | Límite | Dependencia |
|---|---|---|
| Disponibilidad de la experiencia de investigación | 90 días a partir de la hora de la última actualización del incidente | Ninguno |
| Período de retención para entidades de incidentes | 180 días | Retención de bases de datos de entidades |
| Número de alertas | 150 alertas | Ninguno |
| Número de reglas de automatización | 512 reglas | Ninguno |
| Número de acciones de regla de automatización | 20 acciones | Ninguno |
| Número de condiciones de regla de automatización | 50 condiciones | Ninguno |
| Número de marcadores | 20 marcadores | Ninguno |
| Número de caracteres para el nombre de la regla de automatización | 500 caracteres | Ninguno |
| Número de caracteres para la descripción | 5000 caracteres | None |
| Número de caracteres por comentario | 30 000 caracteres | None |
| Número de comentarios por incidente | 100 comentarios | Ninguno |
| Número de tareas | 40 tareas | None |
| Número de incidentes devueltos por la API para la solicitud de enumeración | Máximo de 1 000 incidentes | None |
| Número de incidentes por día (por área de trabajo) | Ver explicación después de la tabla | Funcionalidad de base de datos |
Número de incidentes por día: no hay un límite formal y estricto en el número de incidentes que se pueden crear al día. La capacidad real de un área de trabajo para incidentes depende de la capacidad de almacenamiento de la base de datos de incidentes, por lo que el tamaño de los incidentes es un factor tan importante como su número.
Sin embargo, un SOC que experimente la creación de más de alrededor de 3 000 nuevos incidentes al día, lo más probable es que se vea incapaz de seguir el ritmo y que la capacidad de la base de datos se alcance rápidamente. En esta situación, el SOC debe buscar y corregir cualquier regla que cree un gran número de incidentes, para obtener el recuento de nuevos incidentes diarios para niveles manejables.
Límites basados en aprendizaje automático
Los límites siguientes se aplican a las características basadas en aprendizaje automático de Microsoft Sentinel, como anomalías personalizables y Fusion.
| Descripción | Límite | Dependencia |
|---|---|---|
| Número de anomalías publicadas por tipo de anomalía | 3000 anomalías principales clasificadas por puntuación | Ninguno |
| Número de alertas o anomalías en un único incidente de Fusion | 100 alertas o anomalías | Ninguno |
Límites de varias áreas de trabajo
El límite siguiente se aplica a varias áreas de trabajo de Microsoft Sentinel. Estos límites se aplican al trabajar con características de Sentinel en más de un área de trabajo a la vez.
| Descripción | Límite | Dependencia |
|---|---|---|
| Vista de incidentes | Se muestran 100 áreas de trabajo simultáneamente | |
| Consulta de registro | Se muestran 100 áreas de trabajo de Sentinel | Log Analytics |
| Reglas de análisis | Se muestran 20 áreas de trabajo de Sentinel por consulta |
Límites del cuaderno
Los límites siguientes se aplican a los cuadernos de Microsoft Sentinel. Los límites están relacionados con las dependencias de otros servicios que usan los cuadernos.
| Descripción | Límite | Dependencia |
|---|---|---|
| Recuento total de estos recursos por área de trabajo de aprendizaje automático: conjuntos de datos, ejecuciones, modelos y artefactos | 10 millones de recursos | Azure Machine Learning |
| Límite predeterminado para el total de clústeres de proceso por región. Se comparten entre un clúster de entrenamiento y una instancia de proceso. Una instancia de proceso se considera un clúster de un solo nodo para los fines de la cuota. | 200 clústeres de proceso por región | Azure Machine Learning |
| Cuentas de almacenamiento por región por suscripción | 250 cuentas de almacenamiento | Azure Storage |
| Tamaño máximo de un recurso compartido de archivos de manera predeterminada | 5 TB | Azure Storage |
| Tamaño máximo de un recurso compartido de archivos con la característica de recurso compartido de archivos grande habilitada | 100 TB | Azure Storage |
| Rendimiento máximo (entrada y salida) para un único recurso compartido de archivos de manera predeterminada | 60 MB/s | Azure Storage |
| Rendimiento máximo (entrada y salida) para un único recurso compartido de archivos con la característica de recurso compartido de archivos grande habilitada | 300 MB/s | Azure Storage |
Límites de repositorios
Los límites siguientes se aplican a los repositorios de Microsoft Sentinel.
| Descripción | Límite | Dependencia |
|---|---|---|
| Número de repositorios | 5 | Área de trabajo de Sentinel |
| Historial de implementación | 800 | Grupo de recursos de Azure |
Límites de inteligencia sobre amenazas
El límite siguiente se aplica a la inteligencia sobre amenazas de Microsoft Sentinel. El límite está relacionado con la dependencia de una API usada por la inteligencia sobre amenazas.
| Descripción | Límite | Dependencia |
|---|---|---|
| Indicadores por llamada que usan la API de seguridad de Graph | 100 indicadores | API de seguridad de Microsoft Graph |
| Tamaño de importación del archivo de indicador CSV | 50 MB | None |
| Tamaño de importación del archivo de indicador JSON | 250 MB | ninguno |
Límites de la API de los indicadores de carga de TI
El siguiente límite se aplica a la API de indicadores de carga de inteligencia sobre amenazas en Microsoft Sentinel.
| Descripción | Límite | Dependencia |
|---|---|---|
| Indicadores por solicitud | 100 indicadores | |
| Solicitudes por minuto | 100 |
Límites del análisis del comportamiento de usuarios y entidades (UEBA)
El límite siguiente se aplica a UEBA de Microsoft Sentinel. El límite de UEBA de Microsoft Sentinel está relacionado con las dependencias de otro servicio.
| Descripción | Límite | Dependencia |
|---|---|---|
| Configuración de retención más baja en días para la tabla IdentityInfo. Todos los datos almacenados en la tabla IdentityInfo de Log Analytics se actualizan cada 14 días. | 14 días | Log Analytics |
Límites de la lista de reproducción
Los límites siguientes se aplican a las listas de reproducción de Microsoft Sentinel. Los límites están relacionados con las dependencias de otros servicios que usan las listas de reproducción.
| Descripción | Límite | Dependencia |
|---|---|---|
| Carga del tamaño del archivo local | 3,8 MB por archivo | Azure Resource Manager |
| Entrada de línea en el archivo CSV | 10 240 caracteres por línea | Azure Resource Manager |
| Tamaño total de una sola fila | 10 KB | Log Analytics |
| Carga del tamaño de los archivos en Azure Storage | 500 MB por archivo | Azure Storage |
| Número total de elementos de lista de reproducción activos por área de trabajo. Cuando se alcanza el recuento máximo, elimine algunos elementos existentes para agregar una nueva lista de reproducción. | 10 millones de elementos de lista de reproducción activos | Log Analytics |
| Tasa total de cambio de todos los elementos de lista de reproducción por área de trabajo | Tasa de cambio del 1 % al mes | Log Analytics |
| Número de cargas de listas de reproducción grandes por área de trabajo a la vez | Una lista de reproducción grande | Azure Cosmos DB |
| Número de eliminaciones de listas de reproducción grandes por área de trabajo a la vez | Una lista de reproducción grande | Azure Cosmos DB |
Límites de libro
Los límites de libro para Sentinel son los mismos límites de resultados que se encuentran en Azure Monitor. Para obtener más información, consulte Límites de los resultados de los libros.
Límites del administrador del área de trabajo
Los siguientes límites se aplican al administrador de área de trabajo en Microsoft Sentinel.
| Descripción | Límite | Dependencia |
|---|---|---|
| Número de operaciones publicadas en un grupo Operaciones publicadas = (áreas de trabajo miembro) * (elementos de contenido) |
2 000 Operaciones publicadas | Ninguno |