Partilhar via


Limites de serviço para o Microsoft Sentinel

Este artigo lista os limites de serviço mais comuns que você pode encontrar ao usar o Microsoft Sentinel. Para outros limites que podem afetar serviços ou recursos que você usa, como o Azure Monitor, consulte Limites de assinatura e serviço, cotas e restrições do Azure.

Limites de regras do Google Analytics

O limite a seguir se aplica a regras de análise no Microsoft Sentinel.

Description Limite Dependency
Número de regras habilitadas 512 regras Nenhuma
Número de regras quase em tempo real (NRT) 50 regras NRT Nenhuma
Mapeamentos de entidades 10 mapeamentos por regra Nenhuma
Entidades identificadas por alerta
(Dividido igualmente entre as entidades mapeadas)
500 entidades por alerta Nenhuma
Limite de tamanho cumulativo de entidades 64 KB Nenhuma
Detalhes personalizados 20 detalhes por regra
50 valores por detalhe
Tamanho cumulativo de 2 KB
Nenhuma
Detalhes do alerta 50 valores por campo substituído
5 KB por campo para Description e coleções
256 bytes por campo para AlertName e não coleções
Nenhuma
Alertas por regra
Aplicável quando o agrupamento de eventos está definido como Disparar um alerta para cada evento
150 alertas Nenhuma
Alertas por regra para regras NRT 30 alertas Nenhuma

Limites de caça

Os limites a seguir se aplicam ao Hunts no Microsoft Sentinel.

Description Limite Dependency
Número de Caçadas 100 Nenhuma

Limites de incidentes

Os limites a seguir se aplicam a incidentes no Microsoft Sentinel.

Description Limite Dependency
Disponibilidade da experiência de investigação 90 dias a partir da hora da última atualização do incidente Nenhuma
Período de retenção para entidades incidentes 180 dias Retenção de banco de dados de entidades
Número de indicações 150 alertas Nenhuma
Número de regras de automação 512 regras Nenhuma
Número de ações de regra de automação 20 ações Nenhuma
Número de condições da regra de automação 50 condições Nenhuma
Número de marcadores 20 marcadores Nenhuma
Número de caracteres para o nome da regra de automação 500 caracteres Nenhuma
Número de caracteres para descrição 5.000 caracteres Nenhuma
Número de caracteres por comentário 30.000 caracteres Nenhuma
Número de comentários por incidente 100 Comentários Nenhuma
Número de tarefas 40 tarefas Nenhuma
Número de incidentes retornados pela API para solicitação de lista Máximo de 1.000 incidentes Nenhuma
Número de incidentes por dia (por espaço de trabalho) Ver explicação após a tabela Capacidade da base de dados

Número de incidentes por dia: Não há um limite formal e rígido para o número de incidentes que podem ser criados por dia. A capacidade real de incidentes de um espaço de trabalho depende da capacidade de armazenamento do banco de dados de incidentes, portanto, o tamanho dos incidentes é tanto um fator quanto seu número.

No entanto, um SOC que experimenta a criação de mais de 3.000 novos incidentes por dia provavelmente se verá incapaz de acompanhar, e a capacidade do banco de dados será rapidamente atingida. Nessa situação, o SOC precisa encontrar e corrigir quaisquer regras que criem um grande número de incidentes, para levar a contagem de novos incidentes diários a níveis gerenciáveis.

Limites baseados em aprendizado de máquina

Os limites a seguir se aplicam a recursos baseados em aprendizado de máquina no Microsoft Sentinel, como anomalias personalizáveis e Fusion.

Description Limite Dependency
Número de anomalias publicadas por tipo de anomalia Top 3000 classificados por pontuação de anomalia Nenhuma
Número de alertas e/ou anomalias num único incidente do Fusion 100 alertas e/ou anomalias Nenhuma

Limites de vários espaços de trabalho

O limite a seguir se aplica a vários espaços de trabalho no Microsoft Sentinel. Os limites aqui são aplicados ao trabalhar com recursos do Sentinel em mais de um espaço de trabalho de cada vez.

Description Limite Dependency
Visualização de incidente 100 espaços de trabalho exibidos simultaneamente
Consulta de log 100 espaços de trabalho Sentinel Log Analytics
Regras de análise 20 espaços de trabalho do Sentinel por consulta

Limites do bloco de notas

Os limites a seguir se aplicam a blocos de anotações no Microsoft Sentinel. Os limites estão relacionados com as dependências de outros serviços utilizados pelos notebooks.

Description Limite Dependency
Contagem total desses ativos por espaço de trabalho de aprendizado de máquina: conjuntos de dados, execuções, modelos e artefatos 10 milhões de ativos Azure Machine Learning
Limite padrão para o total de clusters de computação por região. O limite é compartilhado entre um cluster de treinamento e uma instância de computação. Uma instância de computação é considerada um cluster de nó único para fins de quota. 200 clusters de computação por região Azure Machine Learning
Contas de armazenamento por região e por assinatura 250 contas de armazenamento Armazenamento do Azure
Tamanho máximo de um compartilhamento de arquivos por padrão 5 TB Armazenamento do Azure
Tamanho máximo de um compartilhamento de arquivos com o recurso de compartilhamento de arquivos grandes habilitado 100 TB Armazenamento do Azure
Taxa de transferência máxima (entrada + saída) para um único compartilhamento de arquivos por padrão 60 MB/seg Armazenamento do Azure
Taxa de transferência máxima (entrada + saída) para um único compartilhamento de arquivos com o recurso de compartilhamento de arquivos grandes habilitado 300 MB/seg Armazenamento do Azure

Limites de repositórios

Os limites a seguir se aplicam a repositórios no Microsoft Sentinel.

Description Limite Dependency
Número de repositórios 5 Espaço de trabalho Sentinel
Histórico de implementações 800 Grupo de recursos do Azure

Limites de inteligência de ameaças

O limite a seguir se aplica à inteligência de ameaças no Microsoft Sentinel. O limite está relacionado à dependência de uma API usada por inteligência de ameaças.

Description Limite Dependency
Indicadores por chamada que usam a API de segurança do Graph 100 indicadores API de segurança do Microsoft Graph
Tamanho de importação do arquivo indicador CSV 50 MB nenhum
Tamanho de importação do arquivo indicador JSON 250 MB nenhum

Limites da API de indicadores de upload de TI

O limite a seguir se aplica à API de indicadores de carregamento de inteligência de ameaças no Microsoft Sentinel.

Description Limite Dependency
Indicadores por pedido 100 indicadores
Pedidos por minuto 100

Limites da Análise de Comportamento de Usuários e Entidades (UEBA)

O limite a seguir se aplica ao UEBA no Microsoft Sentinel. O limite para UEBA no Microsoft Sentinel está relacionado a dependências em outro serviço.

Description Limite Dependency
Configuração de retenção mais baixa em dias para a tabela IdentityInfo . Todos os dados armazenados na tabela IdentityInfo no Log Analytics são atualizados a cada 14 dias. 14 dias Log Analytics

Limites da lista de observação

Os limites a seguir se aplicam às listas de observação no Microsoft Sentinel. Os limites estão relacionados com as dependências de outros serviços utilizados pelas listas de observação.

Description Limite Dependency
Tamanho do upload para o arquivo local 3,8 MB por ficheiro Azure Resource Manager
Entrada de linha no arquivo CSV 10.240 caracteres por linha Azure Resource Manager
Tamanho total de uma única linha 10 Kb Log Analytics
Tamanho de carregamento para arquivos no Armazenamento do Azure 500 MB por ficheiro Armazenamento do Azure
Número total de itens ativos da lista de observação por espaço de trabalho. Quando a contagem máxima for atingida, exclua alguns itens existentes para adicionar uma nova lista de observação. 10 milhões de itens ativos da lista de vigilância Log Analytics
Taxa total de alteração de todos os itens da lista de observação por espaço de trabalho 1% de taxa de variação por mês Log Analytics
Número de carregamentos de listas de observação grandes por espaço de trabalho de cada vez Uma grande lista de observação Azure Cosmos DB
Número de exclusões de listas de observação grandes por espaço de trabalho de cada vez Uma grande lista de observação Azure Cosmos DB

Limites da pasta de trabalho

Os limites de pasta de trabalho para o Sentinel são os mesmos limites de resultado encontrados no Azure Monitor. Para obter mais informações, consulte Limites de resultados de pastas de trabalho.

Limites do gerenciador de espaços de trabalho

Os limites a seguir se aplicam ao gerenciador de espaços de trabalho no Microsoft Sentinel.

Description Limite Dependency
Número de operações publicadas num grupo
Operações publicadas = (espaços de trabalho de membros) * (itens de conteúdo)
Operações publicadas em 2000 Nenhuma

Próximos passos