Limiti del servizio per Microsoft Sentinel
Questo articolo elenca i limiti di servizio più comuni che possono verificarsi durante l'uso di Microsoft Sentinel. Per altri limiti che potrebbero influire sui servizi o sulle funzionalità usati, ad esempio Monitoraggio di Azure, vedere Sottoscrizione di Azure e limiti, quote e vincoli del servizio.
Limiti delle regole di analisi
Il limite seguente si applica alle regole di analisi in Microsoft Sentinel.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Numero di regole abilitate | 512 regole | None |
| Numero di regole NRT (Near Real Time) | 50 regole NRT | None |
| Mapping di entità | 10 mapping per regola | None |
| Entità identificate per avviso (Diviso equamente tra le entità mappate) |
500 entità per avviso | None |
| Limite delle dimensioni cumulative delle entità | 64 kB | None |
| Dettagli personalizzati | 20 dettagli per regola | None |
| Dettagli personalizzati e dettagli dell'avviso limite di dimensioni cumulative combinate |
64 kB | None |
| Avvisi per regola Applicabile quando il raggruppamento di eventi è impostato su Attiva un avviso per ogni evento |
150 avvisi | None |
| Avvisi per regola per le regole NRT | 30 avvisi | None |
Limiti degli eventi imprevisti
I limiti seguenti si applicano agli eventi imprevisti in Microsoft Sentinel.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Disponibilità dell'esperienza di indagine | 90 giorni dall'ora dell'ultimo aggiornamento dell'evento imprevisto | None |
| Numero di avvisi | 150 avvisi | None |
| Numero di regole di automazione | 512 regole | None |
| Numero di azioni delle regole di automazione | 20 azioni | None |
| Numero di condizioni delle regole di automazione | 50 condizioni | None |
| Numero di segnalibri | 20 segnalibri | None |
| Numero di caratteri per il nome della regola di automazione | 500 caratteri | None |
| Numero di caratteri per la descrizione | 5.000 caratteri | None |
| Numero di caratteri per commento | 30.000 caratteri | None |
| Numero di commenti per evento imprevisto | 100 commenti | None |
| Numero di attività | 100 attività | None |
| Numero di eventi imprevisti restituiti dall'API per elencare la richiesta | Massimo 1000 eventi imprevisti | None |
Limiti basati su Machine Learning
I limiti seguenti si applicano alle funzionalità basate su Machine Learning in Microsoft Sentinel, ad esempio anomalie personalizzabili e Fusion.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Numero di anomalie pubblicate per tipo di anomalie | Top 3000 classificati in base al punteggio di anomalia | None |
| Numero di avvisi e/o anomalie in un singolo evento imprevisto Fusion | 100 avvisi e/o anomalie | None |
Limiti per più aree di lavoro
Il limite seguente si applica a più aree di lavoro in Microsoft Sentinel. I limiti qui vengono applicati quando si lavora con le funzionalità di Sentinel in più rispetto all'area di lavoro alla volta.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Visualizzazione degli eventi imprevisti | 100 aree di lavoro visualizzate contemporaneamente | |
| Query di log | 100 aree di lavoro di Sentinel | Log Analytics |
| Regole di analisi | 20 aree di lavoro di Sentinel per query |
Limiti dei notebook
I limiti seguenti si applicano ai notebook in Microsoft Sentinel. I limiti sono correlati alle dipendenze da altri servizi usati dai notebook.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Conteggio totale di questi asset per ogni area di lavoro di Machine Learning: set di dati, esecuzioni, modelli e artefatti | 10 milioni di asset | Azure Machine Learning |
| Limite predefinito per i cluster di calcolo totali per area. Il limite viene condiviso tra un cluster di training e un'istanza di calcolo. Un'istanza di calcolo viene considerata un cluster a nodo singolo a scopo di quota. | 200 cluster di calcolo per area | Azure Machine Learning |
| Account di archiviazione per area per sottoscrizione | 250 account di archiviazione | Archiviazione di Azure |
| Dimensioni massime di una condivisione file per impostazione predefinita | 5 TB | Archiviazione di Azure |
| Dimensioni massime di una condivisione file con funzionalità di condivisione file di grandi dimensioni abilitata | 100 TB | Archiviazione di Azure |
| Velocità effettiva massima (in ingresso e uscita) per una singola condivisione file per impostazione predefinita | 60 MB/sec | Archiviazione di Azure |
| Velocità effettiva massima (in ingresso e uscita) per una singola condivisione file con funzionalità di condivisione file di grandi dimensioni abilitata | 300 MB/sec | Archiviazione di Azure |
Limiti dei repository
I limiti seguenti si applicano ai repository in Microsoft Sentinel.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Numero di repository | 5 | Area di lavoro sentinel |
| Cronologia di distribuzione | 800 | Gruppo di risorse di Azure |
Limiti di Intelligence per le minacce
Il limite seguente si applica all'intelligence sulle minacce in Microsoft Sentinel. Il limite è correlato alla dipendenza da un'API usata dall'intelligence per le minacce.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Indicatori per chiamata che usano l'API di sicurezza graph | 100 indicatori | API di sicurezza di Microsoft Graph |
| Dimensioni importazione file indicatore CSV | 50 MB | Nessuno |
| Dimensioni importazione file indicatore JSON | 250 MB | Nessuno |
Limiti dell'API degli indicatori di caricamento ti
Il limite seguente si applica all'API degli indicatori di caricamento di Intelligence per le minacce in Microsoft Sentinel.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Indicatori per richiesta | 100 indicatori | |
| Richieste al minuto | 100 |
Limiti di User and Entity Behavior Analytics (UEBA)
Il limite seguente si applica a UEBA in Microsoft Sentinel. Il limite per UEBA in Microsoft Sentinel è correlato alle dipendenze da un altro servizio.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Configurazione di conservazione minima in giorni per la tabella IdentityInfo . Tutti i dati archiviati nella tabella IdentityInfo in Log Analytics vengono aggiornati ogni 14 giorni. | 14 giorni | Log Analytics |
Limiti dell'elenco di controllo
I limiti seguenti si applicano agli elenchi di controllo in Microsoft Sentinel. I limiti sono correlati alle dipendenze da altri servizi usati dagli watchlist.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Dimensioni di caricamento per il file locale | 3,8 MB per file | Azure Resource Manager |
| Voce di riga nel file CSV | 10.240 caratteri per riga | Azure Resource Manager |
| Dimensioni totali di una singola riga | 10 Kb | Log Analytics |
| Dimensioni di caricamento per i file in Archiviazione di Azure | 500 MB per file | Archiviazione di Azure |
| Numero totale di elementi watchlist attivi per area di lavoro. Quando viene raggiunto il numero massimo, eliminare alcuni elementi esistenti per aggiungere un nuovo watchlist. | 10 milioni di elementi watchlist attivi | Log Analytics |
| Frequenza totale di modifica di tutti gli elementi watchlist per area di lavoro | Tasso di variazione del 1% al mese | Log Analytics |
| Numero di caricamenti watchlist di grandi dimensioni per area di lavoro alla volta | Un elenco di watchlist di grandi dimensioni | Azure Cosmos DB |
| Numero di eliminazioni watchlist di grandi dimensioni per area di lavoro alla volta | Un elenco di watchlist di grandi dimensioni | Azure Cosmos DB |
Limiti della cartella di lavoro
I limiti delle cartelle di lavoro per Sentinel sono gli stessi limiti dei risultati rilevati in Monitoraggio di Azure. Per altre informazioni, vedere Limiti dei risultati delle cartelle di lavoro.
Limiti relativi ai manager dell'area di lavoro
I limiti seguenti si applicano al responsabile dell'area di lavoro in Microsoft Sentinel.
| Descrizione | Limit | Dipendenza |
|---|---|---|
| Numero di operazioni pubblicate in un gruppo Operazioni pubblicate = (aree di lavoro membro) * (elementi di contenuto) |
2000 operazioni pubblicate | None |