Microsoft Sentinel のサービス制限
この記事では、Microsoft Sentinel を使用するときに最もよく直面するサービスの制限を一覧表示します。 Azure Monitor のような使用するサービスや機能に影響を与える可能性があるその他の制限については、「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。
分析ルールの制限
Microsoft Sentinel の分析ルールには、次の制限が適用されます。
説明 | 制限 | 依存関係 |
---|---|---|
"有効になっている" ルールの数 | 512 個のルール | なし |
ほぼリアルタイム (NRT) のルールの数 | 50 個の NRT ルール | なし |
エンティティ マッピング | ルールあたり 10 個のマッピング | なし |
アラートごとに識別されるエンティティ (マップされたエンティティ間で均等に分割) |
アラートあたり 500 エンティティ | なし |
エンティティの累積サイズ制限 | 64 KB | なし |
カスタム詳細 | ルールごとに 20 個の詳細 詳細あたり 50 個の値 2 KB の累積サイズ |
なし |
アラートの詳細 | オーバーライドされたフィールドあたり 50 個の値Description とコレクションのフィールドあたり 5 KBAlertName と非コレクションのフィールドあたり 256 バイト |
なし |
ルールあたりのアラート数 [イベントのグループ化] が [各イベントに対するアラートをトリガーする] に設定されている場合に適用される |
150 アラート | なし |
NRT ルールのルールあたりのアラート数 | 30 アラート | なし |
追求の制限
Microsoft Sentinel の追求には、次の制限が適用されます。
説明 | 制限 | 依存関係 |
---|---|---|
追求の数 | 100 | なし |
インシデントの制限
Microsoft Sentinel のインシデントには、次の制限が適用されます。
説明 | 制限 | 依存関係 |
---|---|---|
調査エクスペリエンスの可用性 | インシデントの最終更新時刻から 90 日間 | なし |
インシデント エンティティの保持期間 | 180 日 | エンティティ データベースの保持 |
アラートの数 | 150 アラート | なし |
自動化ルールの数 | 512 個のルール | なし |
自動化ルール アクションの数 | 20 個のアクション | なし |
自動化ルール条件の数 | 50 個の条件 | なし |
ブックマークの数 | 20 ブックマーク | なし |
オートメーション ルール名の文字数 | 500 文字 | なし |
説明の文字数 | 5,000 文字 | なし |
コメントあたりの文字数 | 30,000 文字 | なし |
インシデントあたりのコメント数 | 100 個のコメント | なし |
タスクの数 | 40 タスク | なし |
要求を 一覧表示 するために API が返すインシデントの数 | インシデント数は最大 1,000 件 | なし |
1 日あたりのインシデント数 (ワークスペースあたり) | 表の後の説明を参照してください | データベース容量 |
1 日あたりのインシデント数: 1 日に作成できるインシデントの数に正式なハード制限はありません。 インシデント用のワークスペースの実際の容量は、インシデント データベースのストレージ容量によって異なるため、インシデントのサイズが、数と同様に制限の要因になります。
ただし、1 日あたりの新しいインシデントの作成が約 3,000 件を超える SOC では、ほとんどの場合、SOC 自体がそれに対応できず、データベースの容量にすぐに達します。 このような状況では、SOC は、多数のインシデントを作成する規則性を見つけ、それに対処するように修正し、毎日の新しいインシデントの数を管理可能なレベルに抑える必要があります。
機械学習ベースの制限
Microsoft Sentinel の機械学習ベースの機能 (カスタマイズ可能な異常検知や Fusion など) には、次の制限が適用されます。
説明 | 制限 | 依存関係 |
---|---|---|
異常の種類あたりの公開される異常の数 | 異常スコアでランク付けされた上位 3,000 個 | なし |
1 件の Fusion インシデントにおけるアラートまたは異常の数 | 100 個のアラートまたは異常 | なし |
複数のワークスペースの制限
Microsoft Sentinel の複数のワークスペースには次の制限が適用されます。 ここでの制限は、一度に複数のワークスペースにわたって Sentinel 機能を使用する場合に適用されます。
説明 | 制限 | 依存関係 |
---|---|---|
インシデント ビュー | 100 個の同時表示ワークスペース | |
Log query | 100 個の Sentinel ワークスペース | Log Analytics |
分析ルール | クエリあたり 20 個の Sentinel ワークスペース |
ノートブックの制限
Microsoft Sentinel のノートブックには、次の制限が適用されます。 これらの制限は、ノートブックで使用される他のサービスとの依存関係に関連します。
説明 | 制限 | 依存関係 |
---|---|---|
機械学習ワークスペースあたりのアセット (データセット、実行、モデル、成果物) の総数 | 1,000 万個のアセット | Azure Machine Learning |
リージョンあたりのコンピューティング クラスターの総数に対する既定の制限。 制限は、トレーニング クラスターとコンピューティング インスタンスの間で共有されます。 コンピューティング インスタンスは、クォータ目的で単一のノード クラスターと見なされます。 | リージョンあたり 200 個のコンピューティング クラスター | Azure Machine Learning |
サブスクリプションあたりのリージョンごとのストレージ アカウント数 | 250 個のストレージ アカウント | Azure Storage |
ファイル共有の既定の最大サイズ | 5 TB | Azure Storage |
大きなファイル共有機能が有効になっているファイル共有の最大サイズ | 100 TB | Azure Storage |
1 つのファイル共有の既定の最大スループット (イングレス + エグレス) | 60 MB/秒 | Azure Storage |
大きなファイル共有機能が有効になっている 1 つのファイル共有の最大スループット (イングレス + エグレス) | 300 MB/秒 | Azure Storage |
リポジトリの制限
Microsoft Sentinel のリポジトリには、次の制限が適用されます。
説明 | 制限 | 依存関係 |
---|---|---|
リポジトリの数 | 5 | Sentinel ワークスペース |
デプロイ履歴 | 800 | Azure リソース グループ |
脅威インテリジェンスの制限
Microsoft Sentinel の脅威インテリジェンスには、次の制限が適用されます。 この制限は、脅威インテリジェンスで使用される API との依存関係に関連します。
説明 | 制限 | 依存関係 |
---|---|---|
呼び出しあたりの Graph Security API を使用するインジケーター数 | 100 個のインジケーター | Microsoft Graph Security API |
CSV インジケーター ファイルのインポート サイズ | 50 MB | なし |
JSON インジケーター ファイルのインポート サイズ | 250 MB | なし |
TI Upload Indicators API の制限
Microsoft Sentinel の脅威インテリジェンス Upload Indicators API には、次の制限が適用されます。
説明 | 制限 | 依存関係 |
---|---|---|
要求ごとのインジケーター | 100 個のインジケーター | |
1 分あたりの要求数 | 100 |
ユーザーとエンティティの行動分析 (UEBA) の制限
Microsoft Sentinel の UEBA には、次の制限が適用されます。 Microsoft Sentinel の UEBA の制限は、別のサービスとの依存関係に関連します。
説明 | 制限 | 依存関係 |
---|---|---|
IdentityInfo テーブルの最低リテンション期間の構成 (日数)。 Log Analytics の IdentityInfo テーブルに格納されているデータは、すべて 14 日ごとに更新されます。 | 14 日 | Log Analytics |
ウォッチリストの制限
Microsoft Sentinel のウォッチリストには、次の制限が適用されます。 これらの制限は、ウォッチリストで使用される他のサービスとの依存関係に関連します。
説明 | 制限 | 依存関係 |
---|---|---|
ローカル ファイルのアップロード サイズ | ファイルあたり 3.8 MB | Azure Resource Manager |
CSV ファイルの行エントリ | 1 行あたり 10,240 文字 | Azure Resource Manager |
1 行の合計サイズ | 10 Kb | Log Analytics |
Azure Storage 内のファイルのアップロード サイズ | ファイルあたり 500 MB | Azure Storage |
ワークスペースあたりのアクティブなウォッチリスト項目の総数。 最大数に達したら、既存の項目をいくつか削除して新しいウォッチリストを追加できるようにします。 | 1,000 万個のアクティブなウォッチリスト項目 | Log Analytics |
ワークスペースあたりのすべてのウォッチリスト項目の合計の変化率 | 1 か月あたり 1% の変化率 | Log Analytics |
ワークスペースあたりの一度にアップロードされる大きなウォッチリストの数 | 1 個の大きなウォッチリスト | Azure Cosmos DB |
ワークスペースあたりの一度に削除される大きなウォッチリストの数 | 1 個の大きなウォッチリスト | Azure Cosmos DB |
ブックの制限
Sentinel のブックの制限は、Azure Monitor で確認したものと同じ結果の制限です。 詳細については、「ブックの結果の制限」を参照してください。
ワークスペース マネージャーの制限
Microsoft Sentinel 内のワークスペース マネージャーには、次の制限が適用されます。
説明 | 制限 | 依存関係 |
---|---|---|
グループ内の発行された操作数 "発行された操作数" = ("メンバー ワークスペース数") * ("コンテンツ項目数") |
2000 個の発行された操作 | なし |