Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca i limiti di servizio più comuni che potrebbero verificarsi quando si usa Microsoft Sentinel. Per altri limiti che potrebbero influire sui servizi o sulle funzionalità in uso, ad esempio monitoraggio Azure, vedere Azure limiti, quote e vincoli di sottoscrizione e servizio.
Limiti delle regole di analisi
Il limite seguente si applica alle regole di analisi in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di regole pianificate | 512 regole abilitate , 1024 in totale, incluse le regole disabilitate. Con un cluster dedicato - 1024 regole abilitate , 2048 in totale, incluse le regole disabilitate. Richiede una richiesta per aumentare il limite predefinito tramite un ticket di supporto. |
Conteggiato separatamente dalle regole NRT |
| Numero di regole quasi in tempo reale (NRT) | 50 regole abilitate , 100 in totale, incluse le regole disabilitate | Conteggiato separatamente dalle regole pianificate |
| Mapping di entità | 10 mapping per regola | Nessuno |
|
Entità identificate per ogni avviso (Diviso equamente tra le entità mappate) |
500 entità per avviso | Nessuno |
| Limite delle dimensioni cumulative delle entità | 64 KB | Nessuno |
| Dettagli personalizzati | 20 dettagli per regola 50 valori per ogni dettaglio Dimensioni cumulative di 2 KB |
Nessuno |
| Dettagli avviso | 50 valori per ogni campo sottoposto a override 5 KB per campo per Description le raccolte e256 byte per campo per AlertName e non raccolte |
Nessuno |
| Avvisi per regola Applicabile quando il raggruppamento di eventi è impostato su Trigger an alert for each event (Attiva un avviso per ogni evento) |
150 avvisi | Nessuno |
| Avvisi per regola per le regole NRT | 30 avvisi | Nessuno |
Caccia ai limiti
I limiti seguenti si applicano a Hunts in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di cacce | 100 | Nessuno |
Limiti degli eventi imprevisti
I limiti seguenti si applicano agli eventi imprevisti in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Disponibilità dell'esperienza di analisi | 90 giorni dall'ora dell'ultimo aggiornamento dell'evento imprevisto | Nessuno |
| Periodo di conservazione per le entità evento imprevisto | 180 giorni | Conservazione del database delle entità |
| Numero di avvisi | 150 avvisi | Nessuno |
| Numero di regole di automazione | 512 regole | Nessuno |
| Numero di azioni delle regole di automazione | 20 azioni | Nessuno |
| Numero di condizioni delle regole di automazione | 50 condizioni | Nessuno |
| Numero di segnalibri | 20 segnalibri | Nessuno |
| Numero di caratteri per il nome della regola di automazione | 500 caratteri | Nessuno |
| Numero di caratteri per la descrizione | 5.000 caratteri | Nessuno |
| Numero di caratteri per commento | 30.000 caratteri | Nessuno |
| Numero di commenti per evento imprevisto | 100 commenti | Nessuno |
| Numero di attività | 40 attività | Nessuno |
| Numero di eventi imprevisti restituiti dall'API per elencare la richiesta | Massimo 1.000 eventi imprevisti | Nessuno |
| Numero di eventi imprevisti al giorno (per area di lavoro) | Vedere la spiegazione dopo la tabella | Capacità del database |
Numero di eventi imprevisti al giorno: Non esiste un limite formale e rigido per il numero di eventi imprevisti che possono essere creati al giorno. La capacità effettiva di un'area di lavoro per gli eventi imprevisti dipende dalla capacità di archiviazione del database degli eventi imprevisti, quindi le dimensioni degli eventi imprevisti sono tanto un fattore quanto il relativo numero.
Tuttavia, un SOC che sperimenta la creazione di più di 3.000 nuovi eventi imprevisti al giorno probabilmente non sarà in grado di tenere il passo e la capacità del database verrà raggiunta rapidamente. In questa situazione, il SOC deve trovare e correggere eventuali regole che creano un numero elevato di eventi imprevisti, per ottenere il conteggio dei nuovi eventi imprevisti giornalieri a livelli gestibili.
Limiti di gestione dei casi
I limiti seguenti si applicano alla gestione dei casi in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Casi per tenant | 100.000 casi | Nessuno |
| Allegati per tenant | 500 GB | Nessuno |
| Eventi imprevisti collegati per caso | 100 eventi imprevisti | Nessuno |
Limiti basati su Machine Learning
I limiti seguenti si applicano alle funzionalità basate su Machine Learning in Microsoft Sentinel come anomalie personalizzabili e Fusion.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di anomalie pubblicate per tipo di anomalia | Top 3000 classificato per punteggio anomalie | Nessuno |
| Numero di avvisi e/o anomalie in un singolo evento imprevisto di Fusion | 100 avvisi e/o anomalie | Nessuno |
Limiti di più aree di lavoro
Il limite seguente si applica a più aree di lavoro in Microsoft Sentinel. I limiti qui vengono applicati quando si usano le funzionalità di Sentinel in più aree di lavoro alla volta.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Visualizzazione eventi imprevisti | 100 aree di lavoro visualizzate contemporaneamente | |
| Query di log | 100 aree di lavoro Sentinel | Log Analytics |
| Regole di analisi | 20 aree di lavoro Sentinel per ogni query |
Limiti dei notebook
I limiti seguenti si applicano ai notebook in Microsoft Sentinel. I limiti sono correlati alle dipendenze da altri servizi usati dai notebook.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero totale di questi asset per area di lavoro di Machine Learning: set di dati, esecuzioni, modelli ed artefatti | 10 milioni di asset | Azure Machine Learning |
| Limite predefinito per i cluster di calcolo totali per area. Il limite viene condiviso tra un cluster di training e un'istanza di calcolo. Un'istanza di calcolo viene considerata un cluster a nodo singolo a scopo di quota. | 200 cluster di calcolo per area | Azure Machine Learning |
| Account di archiviazione per area per sottoscrizione | 250 account di archiviazione | Archiviazione di Azure |
| Dimensioni massime di una condivisione file per impostazione predefinita | 5 TB | Archiviazione di Azure |
| Dimensioni massime di una condivisione file con la funzionalità di condivisione file di grandi dimensioni abilitata | 100 TB | Archiviazione di Azure |
| Velocità effettiva massima (in ingresso + uscita) per una singola condivisione file per impostazione predefinita | 60 MB/sec | Archiviazione di Azure |
| Velocità effettiva massima (in ingresso + uscita) per una singola condivisione file con la funzionalità di condivisione file di grandi dimensioni abilitata | 300 MB/sec | Archiviazione di Azure |
Limiti dei repository
I limiti seguenti si applicano ai repository in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di repository | 5 | Area di lavoro Sentinel |
| Cronologia distribuzione | 800 | gruppo di risorse Azure |
Limiti di intelligence sulle minacce
Il limite seguente si applica all'intelligence sulle minacce in Microsoft Sentinel. Il limite è correlato alla dipendenza da un'API usata dall'intelligence sulle minacce.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Indicatori per chiamata che usano l'API di sicurezza Graph | 100 indicatori | API di sicurezza di Microsoft Graph |
| Dimensioni di importazione file di oggetti CSV TI | 50 MB | nessuno |
| Dimensioni di importazione del file oggetto TI JSON | 250 MB | nessuno |
Limiti dell'API di caricamento TI
Il limite seguente si applica all'API di caricamento di Intelligence per le minacce in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Oggetti STIX per richiesta | 100 oggetti | |
| Richieste al minuto | 100 |
Limiti ueba (User and Entity Behavior Analytics)
Il limite seguente si applica a UEBA in Microsoft Sentinel. Il limite per UEBA in Microsoft Sentinel è correlato alle dipendenze da un altro servizio.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Configurazione di conservazione più bassa in giorni per la tabella IdentityInfo . Tutti i dati archiviati nella tabella IdentityInfo in Log Analytics vengono aggiornati ogni 14 giorni. | 14 giorni | Log Analytics |
| Gruppi elencati nel campo GroupMembership nella tabella IdentityInfo (inclusi i sottogruppi) | 500 |
Limiti dell'elenco di controllo
I limiti seguenti si applicano agli elenchi di controllo in Microsoft Sentinel. I limiti sono correlati alle dipendenze da altri servizi usati dagli elenchi di controllo.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Il limite di dimensioni di caricamento per i file locali oltre questo limite viene considerato large |
3,8 MB per file | Azure Resource Manager |
| Voce di riga nel file CSV | 10.240 caratteri per riga | Azure Resource Manager |
| Dimensioni totali di una singola riga | 10 Kb | Log Analytics |
| Dimensioni di caricamento per file watchlist di grandi dimensioni in archiviazione Azure | 500 MB per file | Archiviazione di Azure |
| Numero totale di elementi watchlist attivi per area di lavoro Quando viene raggiunto il numero massimo, eliminare alcuni elementi esistenti per aggiungere una nuova watchlist. |
10 milioni di elementi watchlist attivi | Log Analytics |
| Frequenza totale di modifica di tutti gli elementi dell'elenco di controllo per ogni area di lavoro (operazioni di creazione, aggiornamento ed eliminazione) |
100.000 modifiche al mese (1% del numero massimo di elementi della watchlist attiva) |
Log Analytics |
Numero di caricamenti watchlist large per ogni area di lavoro alla voltaVedere il limite di dimensioni di caricamento per ciò che rende una watchlist large |
Una large watchlist |
Azure Cosmos DB |
| Numero di eliminazioni di watchlist di grandi dimensioni per ogni area di lavoro alla volta Vedere il limite di dimensioni di caricamento per ciò che rende una watchlist large |
Una large watchlist |
Azure Cosmos DB |
Limiti della cartella di lavoro
I limiti della cartella di lavoro per Sentinel sono gli stessi limiti di risultato rilevati in monitoraggio Azure. Per altre informazioni, vedere Limiti dei risultati delle cartelle di lavoro.
Limiti di Gestione aree di lavoro
I limiti seguenti si applicano a Gestione aree di lavoro in Microsoft Sentinel.
| Descrizione | Limite | Dipendenza |
|---|---|---|
| Numero di operazioni pubblicate in un gruppo Operazioni pubblicate = (aree di lavoro membro) * (elementi di contenuto) |
Operazioni pubblicate nel 2000 | Nessuno |