Limiti del servizio per Microsoft Sentinel
Questo articolo elenca i limiti di servizio più comuni che possono verificarsi durante l'uso di Microsoft Sentinel. Per altri limiti che potrebbero influire sui servizi o sulle funzionalità usati, ad esempio Monitoraggio di Azure, vedere Sottoscrizione di Azure e limiti, quote e vincoli del servizio.
Limiti delle regole di analisi
Il limite seguente si applica alle regole di analisi in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di regole abilitate | 512 regole | None |
| Numero di regole NRT (Near Real Time) | 50 regole NRT | None |
| Mapping di entità | 10 mapping per regola | None |
| Entità identificate per avviso (Diviso equamente tra le entità mappate) |
500 entità per avviso | None |
| Limite delle dimensioni cumulative delle entità | 64 kB | None |
| Dettagli personalizzati | 20 dettagli per regola 50 valori per dettaglio Dimensioni cumulative di 2 KB |
None |
| Dettagli dell'avviso | 50 valori per campo sottoposto a override 5 KB per campo per Description e raccolte256 byte per campo per AlertName e non raccolte |
None |
| Avvisi per regola Applicabile quando il raggruppamento di eventi è impostato su Attiva un avviso per ogni evento |
150 avvisi | None |
| Avvisi per regola per le regole NRT | 30 avvisi | None |
Limiti di ricerca
I limiti seguenti si applicano alle ricerche in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di ricerche | 100 | None |
Limiti degli eventi imprevisti
I limiti seguenti si applicano agli eventi imprevisti in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Disponibilità dell'esperienza di indagine | 90 giorni dall'ora dell'ultimo aggiornamento dell'evento imprevisto | None |
| Periodo di conservazione per le entità degli eventi imprevisti | 180 giorni | Conservazione del database delle entità |
| Numero di avvisi | 150 avvisi | None |
| Numero di regole di automazione | 512 regole | None |
| Numero di azioni delle regole di automazione | 20 azioni | None |
| Numero di condizioni delle regole di automazione | 50 condizioni | None |
| Numero di segnalibri | 20 segnalibri | None |
| Numero di caratteri per il nome della regola di automazione | 500 caratteri | None |
| Numero di caratteri per la descrizione | 5.000 caratteri | None |
| Numero di caratteri per commento | 30.000 caratteri | None |
| Numero di commenti per evento imprevisto | 100 commenti | None |
| Numero di attività | 40 attività | None |
| Numero di eventi imprevisti restituiti dall'API la richiesta dell'elenco | Massimo 1.000 eventi imprevisti | None |
| Numero di eventi imprevisti al giorno (per area di lavoro) | Vedere la spiegazione dopo la tabella | Capacità database |
Numero di eventi imprevisti al giorno: non esiste un limite formale e rigido per il numero di eventi imprevisti che possono essere creati al giorno. La capacità effettiva di un'area di lavoro per gli eventi imprevisti dipende dalla capacità di archiviazione del database degli eventi imprevisti, quindi le dimensioni degli eventi imprevisti rappresentano un fattore importante quanto il loro numero.
Tuttavia, un SOC che sperimenta la creazione di più di circa 3.000 nuovi eventi imprevisti al giorno probabilmente non sarà in grado di rimanere al passo e la capacità del database verrà raggiunta rapidamente. In questa situazione, il SOC deve trovare e correggere eventuali regole che creano un numero elevato di eventi imprevisti, per ottenere il conteggio dei nuovi eventi imprevisti giornalieri per gestire i livelli.
Limiti basati su Machine Learning
I limiti seguenti si applicano alle funzionalità basate su Machine Learning in Microsoft Sentinel, ad esempio anomalie personalizzabili e Fusion.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di anomalie pubblicate per tipo di anomalie | Top 3000 classificati in base al punteggio di anomalia | None |
| Numero di avvisi e/o anomalie in un singolo evento imprevisto Fusion | 100 avvisi e/o anomalie | None |
Limiti per più aree di lavoro
Il limite seguente si applica a più aree di lavoro in Microsoft Sentinel. I limiti qui vengono applicati quando si lavora con le funzionalità di Sentinel in più aree di lavoro alla volta.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Visualizzazione degli eventi imprevisti | 100 aree di lavoro visualizzate contemporaneamente | |
| Query di log | 100 aree di lavoro di Sentinel | Log Analytics |
| Regole di analisi | 20 aree di lavoro di Sentinel per query |
Limiti dei notebook
I limiti seguenti si applicano ai notebook in Microsoft Sentinel. I limiti sono correlati alle dipendenze da altri servizi usati dai notebook.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Conteggio totale di questi asset per ogni area di lavoro di Machine Learning: set di dati, esecuzioni, modelli e artefatti | 10 milioni di asset | Azure Machine Learning |
| Limite predefinito per i cluster di calcolo totali per area. Il limite viene condiviso tra un cluster di training e un'istanza di calcolo. Un'istanza di ambiente di calcolo viene considerata un cluster a nodo singolo ai fini della quota. | 200 cluster di calcolo per area | Azure Machine Learning |
| Account di archiviazione per area per sottoscrizione | 250 account di archiviazione | Archiviazione di Azure |
| Dimensioni massime di una condivisione file per impostazione predefinita | 5 TB | Archiviazione di Azure |
| Dimensioni massime di una condivisione file con funzionalità di condivisione file di grandi dimensioni abilitata | 100 TB | Archiviazione di Azure |
| Velocità effettiva massima (in ingresso e uscita) per una singola condivisione file per impostazione predefinita | 60 MB/sec | Archiviazione di Azure |
| Velocità effettiva massima (in ingresso e uscita) per una singola condivisione file con funzionalità di condivisione file di grandi dimensioni abilitata | 300 MB/sec | Archiviazione di Azure |
Limiti dei repository
I limiti seguenti si applicano ai repository in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di repository | 5 | Area di lavoro Sentinel |
| Cronologia di distribuzione | 800 | Gruppo di risorse di Azure |
Limiti di Intelligence sulle minacce
Il limite seguente si applica all'intelligence sulle minacce in Microsoft Sentinel. Il limite è correlato alla dipendenza da un'API usata dall'intelligence sulle minacce.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Indicatori per chiamata che usano l'API di sicurezza Graph | 100 indicatori | API Microsoft Graph Security |
| Dimensioni importazione file indicatore CSV | 50 MB | Nessuno |
| Dimensioni importazione file indicatore JSON | 250 MB | Nessuno |
Limiti dell'API degli indicatori di caricamento TI
Il limite seguente si applica all'API degli indicatori di caricamento di Intelligence sulle minacce in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Indicatori per richiesta | 100 indicatori | |
| Richieste al minuto | 100 |
Limiti dell'analisi del comportamento di utenti ed entità (UEBA)
Il limite seguente si applica a UEBA in Microsoft Sentinel. Il limite per UEBA in Microsoft Sentinel è correlato alle dipendenze da un altro servizio.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Configurazione di conservazione minima in giorni per la tabella IdentityInfo. Tutti i dati archiviati nella tabella IdentityInfo in Log Analytics vengono aggiornati ogni 14 giorni. | 14 giorni | Log Analytics |
Limiti dell'elenco di controllo
I limiti seguenti si applicano agli elenchi di controllo in Microsoft Sentinel. I limiti sono correlati alle dipendenze da altri servizi usati dalle watchlist.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Dimensioni di caricamento per il file locale | 3,8 MB per file | Azure Resource Manager |
| Voce di riga nel file CSV | 10.240 caratteri per riga | Azure Resource Manager |
| Dimensioni totali di una singola riga | 10 Kb | Log Analytics |
| Dimensioni di caricamento per i file in Archiviazione di Azure | 500 MB per file | Archiviazione di Azure |
| Numero totale di elementi watchlist attivi per area di lavoro. Quando viene raggiunto il numero massimo, eliminare alcuni elementi esistenti per aggiungere un nuovo watchlist. | 10 milioni di elementi watchlist attivi | Log Analytics |
| Frequenza totale di modifica di tutti gli elementi watchlist per area di lavoro | Tasso di variazione dell'1% al mese | Log Analytics |
| Numero di caricamenti watchlist di grandi dimensioni per area di lavoro alla volta | Un elenco di watchlist di grandi dimensioni | Azure Cosmos DB |
| Numero di eliminazioni watchlist di grandi dimensioni per area di lavoro alla volta | Un elenco di watchlist di grandi dimensioni | Azure Cosmos DB |
Limiti delle cartelle di lavoro
I limiti delle cartelle di lavoro per Sentinel sono gli stessi limiti dei risultati rilevati in Monitoraggio di Azure. Per altre informazioni, vedere Limiti dei risultati delle cartelle di lavoro.
Limiti relativi alla Gestione aree di lavoro
I limiti seguenti si applicano alla Gestione dell'area di lavoro in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di operazioni pubblicate in un gruppo Operazioni pubblicate = (aree di lavoro membro) * (elementi di contenuto) |
2000 operazioni pubblicate | None |