次の方法で共有


Microsoft Sentinel のサービス制限

この記事では、Microsoft Sentinel を使用するときに最もよく直面するサービスの制限を一覧表示します。 Azure Monitor のような使用するサービスや機能に影響を与える可能性があるその他の制限については、「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。

分析ルールの制限

Microsoft Sentinel の分析ルールには、次の制限が適用されます。

説明 制限 依存関係
"有効になっている" ルールの数 512 個のルール なし
ほぼリアルタイム (NRT) のルールの数 50 個の NRT ルール なし
エンティティ マッピング ルールあたり 10 個のマッピング なし
アラートごとに識別されるエンティティ
(マップされたエンティティ間で均等に分割)
アラートあたり 500 エンティティ なし
エンティティの累積サイズ制限 64 KB なし
カスタム詳細 ルールごとに 20 個の詳細
詳細あたり 50 個の値
2 KB の累積サイズ
なし
アラートの詳細 オーバーライドされたフィールドあたり 50 個の値
Description とコレクションのフィールドあたり 5 KB
AlertName と非コレクションのフィールドあたり 256 バイト
なし
ルールあたりのアラート数
[イベントのグループ化][各イベントに対するアラートをトリガーする] に設定されている場合に適用される
150 アラート なし
NRT ルールのルールあたりのアラート数 30 アラート なし

追求の制限

Microsoft Sentinel の追求には、次の制限が適用されます。

説明 制限 依存関係
追求の数 100 なし

インシデントの制限

Microsoft Sentinel のインシデントには、次の制限が適用されます。

説明 制限 依存関係
調査エクスペリエンスの可用性 インシデントの最終更新時刻から 90 日間 なし
アラートの数 150 アラート なし
自動化ルールの数 512 個のルール なし
自動化ルール アクションの数 20 個のアクション なし
自動化ルール条件の数 50 個の条件 なし
ブックマークの数 20 ブックマーク なし
オートメーション ルール名の文字数 500 文字 なし
説明の文字数 5,000 文字 なし
コメントあたりの文字数 30,000 文字 なし
インシデントあたりのコメント数 100 個のコメント なし
タスクの数 40 タスク なし
要求を 一覧表示 するために API が返すインシデントの数 インシデント数は最大 1,000 件 なし
1 日あたりのインシデント数 (ワークスペースあたり) 表の後の説明を参照してください データベース容量

1 日あたりのインシデント数: 1 日に作成できるインシデントの数に正式なハード制限はありません。 インシデント用のワークスペースの実際の容量は、インシデント データベースのストレージ容量によって異なるため、インシデントのサイズが、数と同様に制限の要因になります。

ただし、1 日あたりの新しいインシデントの作成が約 3,000 件を超える SOC では、ほとんどの場合、SOC 自体がそれに対応できず、データベースの容量にすぐに達します。 このような状況では、SOC は、多数のインシデントを作成する規則性を見つけ、それに対処するように修正し、毎日の新しいインシデントの数を管理可能なレベルに抑える必要があります。

機械学習ベースの制限

Microsoft Sentinel の機械学習ベースの機能 (カスタマイズ可能な異常検知や Fusion など) には、次の制限が適用されます。

説明 制限 依存関係
異常の種類あたりの公開される異常の数 異常スコアでランク付けされた上位 3,000 個 なし
1 件の Fusion インシデントにおけるアラートまたは異常の数 100 個のアラートまたは異常 なし

複数のワークスペースの制限

Microsoft Sentinel の複数のワークスペースには次の制限が適用されます。 ここでの制限は、一度に複数のワークスペースにわたって Sentinel 機能を使用する場合に適用されます。

説明 制限 依存関係
インシデント ビュー 100 個の同時表示ワークスペース
Log query 100 個の Sentinel ワークスペース Log Analytics
分析ルール クエリあたり 20 個の Sentinel ワークスペース

ノートブックの制限

Microsoft Sentinel のノートブックには、次の制限が適用されます。 これらの制限は、ノートブックで使用される他のサービスとの依存関係に関連します。

説明 制限 依存関係
機械学習ワークスペースあたりのアセット (データセット、実行、モデル、成果物) の総数 1,000 万個のアセット Azure Machine Learning
リージョンあたりのコンピューティング クラスターの総数に対する既定の制限。 制限は、トレーニング クラスターとコンピューティング インスタンスの間で共有されます。 コンピューティング インスタンスは、クォータ目的で単一のノード クラスターと見なされます。 リージョンあたり 200 個のコンピューティング クラスター Azure Machine Learning
サブスクリプションあたりのリージョンごとのストレージ アカウント数 250 個のストレージ アカウント Azure Storage
ファイル共有の既定の最大サイズ 5 TB Azure Storage
大きなファイル共有機能が有効になっているファイル共有の最大サイズ 100 TB Azure Storage
1 つのファイル共有の既定の最大スループット (イングレス + エグレス) 60 MB/秒 Azure Storage
大きなファイル共有機能が有効になっている 1 つのファイル共有の最大スループット (イングレス + エグレス) 300 MB/秒 Azure Storage

リポジトリの制限

Microsoft Sentinel のリポジトリには、次の制限が適用されます。

説明 制限 依存関係
リポジトリの数 5 Sentinel ワークスペース
デプロイ履歴 800 Azure リソース グループ

脅威インテリジェンスの制限

Microsoft Sentinel の脅威インテリジェンスには、次の制限が適用されます。 この制限は、脅威インテリジェンスで使用される API との依存関係に関連します。

説明 制限 依存関係
呼び出しあたりの Graph Security API を使用するインジケーター数 100 個のインジケーター Microsoft Graph Security API
CSV インジケーター ファイルのインポート サイズ 50 MB なし
JSON インジケーター ファイルのインポート サイズ 250 MB なし

TI Upload Indicators API の制限

Microsoft Sentinel の脅威インテリジェンス Upload Indicators API には、次の制限が適用されます。

説明 制限 依存関係
要求ごとのインジケーター 100 個のインジケーター
1 分あたりの要求数 100

ユーザーとエンティティの行動分析 (UEBA) の制限

Microsoft Sentinel の UEBA には、次の制限が適用されます。 Microsoft Sentinel の UEBA の制限は、別のサービスとの依存関係に関連します。

説明 制限 依存関係
IdentityInfo テーブルの最低リテンション期間の構成 (日数)。 Log Analytics の IdentityInfo テーブルに格納されているデータは、すべて 14 日ごとに更新されます。 14 日 Log Analytics

ウォッチリストの制限

Microsoft Sentinel のウォッチリストには、次の制限が適用されます。 これらの制限は、ウォッチリストで使用される他のサービスとの依存関係に関連します。

説明 制限 依存関係
ローカル ファイルのアップロード サイズ ファイルあたり 3.8 MB Azure Resource Manager
CSV ファイルの行エントリ 1 行あたり 10,240 文字 Azure Resource Manager
1 行の合計サイズ 10 Kb Log Analytics
Azure Storage 内のファイルのアップロード サイズ ファイルあたり 500 MB Azure Storage
ワークスペースあたりのアクティブなウォッチリスト項目の総数。 最大数に達したら、既存の項目をいくつか削除して新しいウォッチリストを追加できるようにします。 1,000 万個のアクティブなウォッチリスト項目 Log Analytics
ワークスペースあたりのすべてのウォッチリスト項目の合計の変化率 1 か月あたり 1% の変化率 Log Analytics
ワークスペースあたりの一度にアップロードされる大きなウォッチリストの数 1 個の大きなウォッチリスト Azure Cosmos DB
ワークスペースあたりの一度に削除される大きなウォッチリストの数 1 個の大きなウォッチリスト Azure Cosmos DB

ブックの制限

Sentinel のブックの制限は、Azure Monitor で確認したものと同じ結果の制限です。 詳細については、「ブックの結果の制限」を参照してください。

ワークスペース マネージャーの制限

Microsoft Sentinel 内のワークスペース マネージャーには、次の制限が適用されます。

説明 制限 依存関係
グループ内の発行された操作数
"発行された操作数" = ("メンバー ワークスペース数") * ("コンテンツ項目数")
2000 個の発行された操作 なし

次のステップ