Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die häufigsten Dienstgrenzwerte aufgeführt, die bei der Verwendung von Microsoft Sentinel auftreten können. Weitere Grenzwerte, die sich auf von Ihnen verwendete Dienste oder Features auswirken können, z. B. Azure Monitor, finden Sie unter Azure Grenzwerte für Abonnements und Dienste, Kontingente und Einschränkungen.
Grenzwerte für Analyseregeln
Der folgende Grenzwert gilt für Analyseregeln in Microsoft Sentinel.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Anzahl geplanter Regeln | 512 aktivierte Regeln, insgesamt 1024, einschließlich deaktivierter Regeln. Mit einem dedizierten Cluster – 1024 aktivierte Regeln, insgesamt 2048, einschließlich deaktivierter Regeln. Erfordert eine Anforderung zum Erhöhen des Standardgrenzwerts über ein Supportticket. |
Getrennt von NRT-Regeln gezählt |
| Anzahl von Regeln nahezu in Echtzeit (NRT) | 50 aktivierte Regeln, insgesamt 100, einschließlich deaktivierter Regeln | Getrennt von geplanten Regeln gezählt |
| Entitätszuordnungen | 10 Zuordnungen pro Regel | Keine |
|
Identifizierte Entitäten pro Warnung (Gleichmäßig auf die zugeordneten Entitäten aufgeteilt) |
500 Entitäten pro Warnung | Keine |
| Kumulierte Größenbeschränkung für Entitäten | 64 KB | Keine |
| Benutzerdefinierte Details | 20 Details pro Regel 50 Werte pro Detail 2 KB kumulierte Größe |
Keine |
| Warnungsdetails | 50 Werte pro überschriebenen Feld 5 KB pro Feld für Description - und -Sammlungen256 Bytes pro Feld für AlertName und Nicht-Sammlungen |
Keine |
| Warnungen pro Regel Anwendbar, wenn die Ereignisgruppierung auf Warnung für jedes Ereignis auslösen festgelegt ist. |
150 Warnungen | Keine |
| Warnungen pro Regel für NRT-Regeln | 30 Warnungen | Keine |
Grenzwerte für Die Suche
Die folgenden Grenzwerte gelten für Hunts in Microsoft Sentinel.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Anzahl der Jagden | 100 | Keine |
Incidentgrenzwerte
Die folgenden Grenzwerte gelten für Vorfälle in Microsoft Sentinel.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Verfügbarkeit der Untersuchungserfahrung | 90 Tage ab dem Zeitpunkt der letzten Aktualisierung des Vorfalls | Keine |
| Aufbewahrungszeitraum für Incidententitäten | 180 Tage | Aufbewahrung von Entitätendatenbanken |
| Anzahl von Warnungen | 150 Warnungen | Keine |
| Anzahl von Automatisierungsregeln | 512 Regeln | Keine |
| Anzahl der Automatisierungsregelaktionen | 20 Aktionen | Keine |
| Anzahl der Automatisierungsregelbedingungen | 50 Bedingungen | Keine |
| Anzahl der Lesezeichen | 20 Lesezeichen | Keine |
| Anzahl der Zeichen für den Namen der Automatisierungsregel | 500 Zeichen | Keine |
| Anzahl der Zeichen für die Beschreibung | 5.000 Zeichen | Keine |
| Anzahl der Zeichen pro Kommentar | 30.000 Zeichen | Keine |
| Anzahl der Kommentare pro Incident | 100 Kommentare | Keine |
| Anzahl der Aufgaben | 40 Aufgaben | Keine |
| Anzahl von Incidents, die von der API zum Auflisten der Anforderung zurückgegeben werden | Maximal 1.000 Vorfälle | Keine |
| Anzahl der Incidents pro Tag (pro Arbeitsbereich) | Weitere Informationen finden Sie unter Erläuterung nach der Tabelle. | Datenbankkapazität |
Anzahl der Vorfälle pro Tag: Es gibt keine formale, feste Grenze für die Anzahl von Vorfällen, die pro Tag erstellt werden können. Die tatsächliche Kapazität eines Arbeitsbereichs für Incidents hängt von der Speicherkapazität der Incidentdatenbank ab, sodass die Größe der Incidents ebenso ein Faktor wie ihre Anzahl ist.
Ein SOC, bei dem mehr als 3.000 neue Vorfälle pro Tag entstehen, kann jedoch höchstwahrscheinlich nicht schritthalten, und die Datenbankkapazität wird schnell erreicht sein. In dieser Situation muss das SOC alle Regeln finden und korrigieren, die eine große Anzahl von Vorfällen erzeugen, um die Anzahl der täglichen neuen Vorfälle auf ein verwaltbares Niveau zu bringen.
Grenzwerte für die Fallverwaltung
Die folgenden Grenzwerte gelten für die Fallverwaltung in Microsoft Sentinel.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Fälle pro Mandant | 100.000 Fälle | Keine |
| Anlagen pro Mandant | 500 GB | Keine |
| Verknüpfte Incidents pro Fall | 100 Vorfälle | Keine |
Auf Machine Learning basierende Grenzwerte
Die folgenden Grenzwerte gelten für Machine Learning-basierte Features in Microsoft Sentinel wie anpassbare Anomalien und Fusion.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Anzahl der veröffentlichten Anomalien pro Anomalietyp | Top 3000 nach Anomaliebewertung | Keine |
| Anzahl von Warnungen und/oder Anomalien in einem einzelnen Fusion-Incident | 100 Warnungen und/oder Anomalien | Keine |
Grenzwerte für mehrere Arbeitsbereiche
Der folgende Grenzwert gilt für mehrere Arbeitsbereiche in Microsoft Sentinel. Hier werden Grenzwerte angewendet, wenn sie mit Sentinel Features mehr als nur arbeitsbereichsübergreifend gleichzeitig arbeiten.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Incidentansicht | 100 gleichzeitig angezeigte Arbeitsbereiche | |
| Protokollabfrage | 100 Sentinel Arbeitsbereiche | Log Analytics |
| Analyseregeln | 20 Sentinel Arbeitsbereiche pro Abfrage |
Notebook-Grenzwerte
Die folgenden Grenzwerte gelten für Notebooks in Microsoft Sentinel. Die Grenzwerte beziehen sich auf die Abhängigkeiten von anderen Diensten, die von Notebooks verwendet werden.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Gesamtanzahl dieser Ressourcen pro Machine Learning-Arbeitsbereich: Datasets, Ausführungen, Modelle und Artefakte | 10 Millionen Vermögenswerte | Azure Machine Learning |
| Standardlimit für die Gesamtzahl von Computeclustern pro Region. Der Grenzwert wird von einem Trainingscluster und einem Compute-instance gemeinsam genutzt. Ein Compute-instance wird aus Kontingentgründen als Einzelknotencluster betrachtet. | 200 Computecluster pro Region | Azure Machine Learning |
| Speicherkonten pro Region und Abonnement | 250 Speicherkonten | Azure Storage |
| Maximale Größe einer Dateifreigabe standardmäßig | 5 TB | Azure Storage |
| Maximale Größe einer Dateifreigabe mit aktiviertem Feature für große Dateifreigaben | 100 TB | Azure Storage |
| Maximaler Durchsatz (ein- und ausgehend) für eine einzelne Dateifreigabe standardmäßig | 60 MB/s | Azure Storage |
| Maximaler Durchsatz (ein- und ausgehend) für eine einzelne Dateifreigabe mit aktiviertem Feature für große Dateifreigaben | 300 MB/s | Azure Storage |
Grenzwerte für Repositorys
Die folgenden Grenzwerte gelten für Repositorys in Microsoft Sentinel.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Anzahl der Repositorys | 5 | Sentinel-Arbeitsbereich |
| Bereitstellungsverlauf | 800 | Azure-Ressourcengruppe |
Threat Intelligence-Grenzwerte
Der folgende Grenzwert gilt für Threat Intelligence in Microsoft Sentinel. Der Grenzwert bezieht sich auf die Abhängigkeit von einer API, die von Threat Intelligence verwendet wird.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Indikatoren pro Aufruf, die die Graph-Sicherheits-API verwenden | 100 Indikatoren | Microsoft Graph-Sicherheits-API |
| Importgröße der CSV TI-Objektdatei | 50MB | keine |
| JSON TI-Objektdateiimportgröße | 250 MB | keine |
API-Grenzwerte für TI-Uploads
Der folgende Grenzwert gilt für die Threat Intelligence-Upload-API in Microsoft Sentinel.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| STIX-Objekte pro Anforderung | 100 Objekte | |
| Anforderungen pro Minute | 100 |
UEBA-Grenzwerte (User and Entity Behavior Analytics)
Der folgende Grenzwert gilt für UEBA in Microsoft Sentinel. Der Grenzwert für UEBA in Microsoft Sentinel bezieht sich auf Abhängigkeiten von einem anderen Dienst.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Niedrigste Aufbewahrungskonfiguration in Tagen für die IdentityInfo-Tabelle . Alle in der IdentityInfo-Tabelle in Log Analytics gespeicherten Daten werden alle 14 Tage aktualisiert. | 14 Tage | Log Analytics |
| Gruppen, die im Feld GroupMembership in der IdentityInfo-Tabelle aufgeführt sind (einschließlich Untergruppen) | 500 |
Watchlist-Grenzwerte
Die folgenden Grenzwerte gelten für Watchlists in Microsoft Sentinel. Die Grenzwerte beziehen sich auf die Abhängigkeiten von anderen Diensten, die von Watchlists verwendet werden.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Uploadgrößenlimit für lokale Dateidateien , die diesen Grenzwert überschreiten, werden berücksichtigt. large |
3,8 MB pro Datei | Azure Ressourcen-Manager |
| Zeileneintrag in der CSV-Datei | 10.240 Zeichen pro Zeile | Azure Ressourcen-Manager |
| Gesamtgröße einer einzelnen Zeile | 10 KB | Log Analytics |
| Uploadgröße für große Watchlistdateien in Azure Storage | 500 MB pro Datei | Azure Storage |
| Gesamtanzahl der aktiven Watchlistelemente pro Arbeitsbereich Wenn die maximale Anzahl erreicht ist, löschen Sie einige vorhandene Elemente, um eine neue Watchlist hinzuzufügen. |
10 Millionen aktive Watchlist-Elemente | Log Analytics |
| Gesamtänderungsrate aller Watchlistelemente pro Arbeitsbereich (Erstellungs-, Aktualisierungs- und Löschvorgänge) |
100.000 Änderungen pro Monat (1 % der maximal aktiven Watchlist-Elemente) |
Log Analytics |
Anzahl von large Watchlistuploads pro Arbeitsbereich zu einem ZeitpunktSiehe Uploadgrößenlimit für die Verwendung einer Watchlist large |
Eine large Watchlist |
Azure Cosmos DB |
| Anzahl der gleichzeitigen Löschungen großer Watchlists pro Arbeitsbereich Siehe Uploadgrößenlimit für den Inhalt einer Watchlist large |
Eine large Watchlist |
Azure Cosmos DB |
Arbeitsmappenbeschränkungen
Arbeitsmappengrenzwerte für Sentinel sind die gleichen Ergebnisgrenzwerte wie in Azure Monitor. Weitere Informationen finden Sie unter Grenzwerte für Arbeitsmappenergebnisse.
Einschränkungen des Arbeitsbereichs-Managers
Die folgenden Grenzwerte gelten für Arbeitsbereichs-Manager in Microsoft Sentinel.
| Beschreibung | Grenze | Abhängigkeit |
|---|---|---|
| Anzahl veröffentlichter Vorgänge in einer Gruppe Veröffentlichte Vorgänge = (Mitgliederarbeitsbereiche) * (Inhaltselemente) |
2000 veröffentlichte Vorgänge | Keine |