이 문서에는 Microsoft Sentinel을 사용할 때 발생할 수 있는 가장 일반적인 서비스 제한이 나열되어 있습니다. Azure Monitor와 같이 사용하는 서비스 또는 기능에 영향을 줄 수 있는 다른 제한은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.
분석 규칙 제한
다음 제한은 Microsoft Sentinel의 분석 규칙에 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 예약된 규칙 수 |
사용 가능한 규칙 512개, 비활성화된 규칙을 포함하여 총 1024개. 전용 클러스터 사용 - 1024 사용 규칙, 비활성화된 규칙을 포함하여 총 2048개. 지원 티켓을 통해 기본 제한을 늘리려면 요청이 필요합니다. |
NRT 규칙과 별도로 계산됩니다. |
| NRT(근 실시간) 규칙 수 | 사용 가능한 규칙 50개, 비활성화된 규칙을 포함하여 총 100개 | 예약된 규칙과 별도로 계산됩니다. |
| 엔터티 매핑 | 규칙당 10개의 매핑 | 없음 |
| 경고당 식별된 엔터티 (매핑된 엔터티 간에 균등하게 분할) |
경고당 500개 엔터티 | 없음 |
| 엔터티 누적 크기 제한 | 64KB | 없음 |
| 사용자 지정 세부 정보 | 규칙당 20개 세부 정보 세부 정보당 50개 값 누적 크기 2KB |
없음 |
| 경고 세부 정보 | 재정의된 필드당 50개 값Description 및 컬렉션의 경우 필드당 5KBAlertName 및 비컬렉션의 경우 필드당 256바이트 |
없음 |
| 규칙당 경고 수 이벤트 그룹화가 각 이벤트에 대해 경고 트리거로 설정된 경우 적용할 수 있음 |
150개 경고 | 없음 |
| NRT 규칙에 대한 규칙당 경고 수 | 30개 경고 | 없음 |
Hunts 한도
다음 제한은 Microsoft Sentinel의 Hunts에 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| Hunts 수 | 100 | 없음 |
인시던트 제한
다음 제한은 Microsoft Sentinel의 인시던트에 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 조사 환경 가용성 | 인시던트 마지막 업데이트 시간으로부터 90일 | 없음 |
| 인시던트 엔터티에 대한 보존 기간 | 180일 | 엔터티 데이터베이스 보존 |
| 경고 수 | 150개 경고 | 없음 |
| 자동화 규칙 수 | 규칙 512개 | 없음 |
| 자동화 규칙 작업 수 | 작업 20개 | 없음 |
| 자동화 규칙 조건 수 | 조건 50개 | 없음 |
| 책갈피 수 | 20개 책갈피 | 없음 |
| 자동화 규칙 이름의 문자 수 | 500자 | 없음 |
| 설명의 문자 수 | 5,000자 | 없음 |
| 설명당 문자 수 | 30,000자 | 없음 |
| 인시던트당 설명 수 | 설명 100개 | 없음 |
| 태스크 수 | 40개 작업 | 없음 |
| API가 요청을 나열하기 위해 반환한 인시던트 수 | 최대 인시던트 1,000건 | 없음 |
| 일별 인시던트 수(작업 영역당) | 표 뒤의 설명 참조 | 데이터베이스 용량 |
일별 인시던트 수: 하루에 생성될 수 있는 인시던트 수에는 공식적이거나 엄격한 제한이 없습니다. 작업 영역의 인시던트에 대한 실제 용량은 인시던트 데이터베이스의 스토리지 용량에 따라 달라지므로 인시던트의 규모는 인시던트 수만큼 중요한 요소입니다.
그러나 하루에 약 3,000건 이상의 새로운 인시던트가 생성되는 SOC는 이를 따라잡지 못하고 데이터베이스 용량에 빠르게 도달할 가능성이 높습니다. 이 경우 SOC는 매일 새 인시던트 수를 관리 가능한 수준으로 가져오기 위해 많은 수의 인시던트 생성 규칙을 찾아 수정해야 합니다.
사례 관리 제한
다음 제한은 Microsoft Sentinel의 사례 관리에 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 테넌트당 사례 | 100,000건 | 없음 |
| 테넌트당 첨부 파일 | 500GB | 없음 |
| 사례당 연결된 인시던트 | 100건의 인시던트 | 없음 |
| 사례 보존 기간 | 180일 | 없음 |
기계 학습 기반 제한
다음 제한은 사용자 지정 가능한 변칙 및 Fusion과 같은 Microsoft Sentinel의 기계 학습 기반 기능에 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 변칙 유형별로 게시되는 변칙 수 | 변칙 점수로 순위가 매겨진 상위 3000개 | 없음 |
| 단일 Fusion 인시던트의 경고 및/또는 변칙 수 | 경고 및/또는 변칙 100개 | 없음 |
다중 작업 영역 한도
다음 제한은 Microsoft Sentinel의 여러 가지 작업 영역에 적용됩니다. 여기서 제한은 한 번에 하나의 작업 영역 이상에서 Sentinel 기능을 사용할 때 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 인시던트 보기 | 동시에 표시되는 100개의 작업 영역 | |
| 로그 쿼리 | 100개의 Sentinel 작업 영역 | Log Analytics |
| Analytics 규칙 | 쿼리당 Sentinel 작업 영역 20개 |
Notebook 제한
다음 제한은 Microsoft Sentinel의 Notebook에 적용됩니다. 이 제한은 Notebook에서 사용하는 다른 서비스에 대한 종속성과 관련이 있습니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 기계 학습 작업 영역당 다음 자산의 총 수: 데이터 세트, 실행, 모델 및 아티팩트 | 자산 1000만 개 | Azure Machine Learning (애저 머신 러닝) |
| 지역당 총 컴퓨팅 클러스터의 기본 제한입니다. 제한은 학습 클러스터와 컴퓨팅 인스턴스 사이에 공유됩니다. 컴퓨팅 인스턴스는 할당량 목적의 단일 노드 클러스터로 간주됩니다. | 지역당 컴퓨팅 클러스터 200개 | Azure Machine Learning (애저 머신 러닝) |
| 구독당 지역별 스토리지 계정 | 스토리지 계정 250개 | Azure Storage |
| 파일 공유의 기본 최대 크기 | 5TB | Azure Storage |
| 대용량 파일 공유 기능을 사용하는 파일 공유의 최대 크기 | 100TB | Azure Storage |
| 단일 파일 공유의 기본적인 최대 처리량(수신 + 송신) | 60MB/초 | Azure Storage |
| 대용량 파일 공유 기능을 사용하는 단일 파일 공유의 최대 처리량(수신 + 송신) | 300MB/초 | Azure Storage |
리포지토리 제한
다음 제한은 Microsoft Sentinel의 리포지토리에 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 리포지토리 수 | 5 | Sentinel 작업 영역 |
| 배포 기록 | 800 | Azure 리소스 그룹 |
위협 인텔리전스 제한
다음 제한은 Microsoft Sentinel의 위협 인텔리전스에 적용됩니다. 이 제한은 위협 인텔리전스에서 사용하는 API에 대한 종속성과 관련이 있습니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| Graph 보안 API를 사용하는 호출당 지표 | 지표 100개 | Microsoft Graph 보안 API |
| CSV TI 개체 파일 가져오기 크기 | 50MB | 없음 |
| JSON TI 개체 파일 가져오기 크기 | 250메가바이트 | 없음 |
TI 업로드 API 제한
다음 제한은 Microsoft Sentinel의 위협 인텔리전스 업로드 API에 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 요청당 STIX 개체 | 100 개체 | |
| 분당 요청 | 100 |
UEBA(사용자 및 엔터티 동작 분석) 제한
다음 제한은 Microsoft Sentinel의 UEBA에 적용됩니다. Microsoft Sentinel의 UEBA 제한은 다른 서비스에 대한 종속성과 관련이 있습니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| IdentityInfo 테이블의 가장 낮은 보존 구성 기간(일)입니다. Log Analytics의 IdentityInfo 테이블에 저장된 모든 데이터는 14일마다 새로 고침됩니다. | 14일 | 로그 분석 |
| IdentityInfo 테이블의 GroupMembership 필드에 나열된 그룹(하위 그룹 포함) | 500 |
관심 목록 제한
다음 제한은 Microsoft Sentinel의 관심 목록에 적용됩니다. 이 제한은 관심 목록에서 사용하는 다른 서비스에 대한 종속성과 관련이 있습니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 이 제한을 초과하여 로컬 파일 파일 의 업로드 크기 제한이 고려됩니다. large |
파일당 3.8MB | Azure 리소스 관리자 |
| CSV 파일의 줄 항목 | 줄당 문자 10,240개 | Azure 리소스 관리자 |
| 단일 행의 총 크기 | 10Kb | 로그 분석 |
| Azure Storage에서 큰 관심 목록 파일의 업로드 크기 | 파일당 500MB | Azure Storage |
| 작업 영역 당 총 활성 관심 목록 항목 수 최대 개수에 도달하면 일부 기존 항목을 삭제하여 새 관심 목록을 추가합니다. |
활성 관심 목록 항목 1000만 개 | 로그 분석 |
| 작업 영역 당 모든 관심 목록 항목의 총 변경률(만들기, 업데이트 및 삭제 작업) |
매월 100,000개 변경(최대 활성 관심 목록 항목의 1%) |
로그 분석 |
large 한 번에작업 영역당 관심 목록 업로드 수: 관심 목록을 만드는 항목에 대한 업로드 크기 제한 보기 large |
관심 목록 1개 large |
Azure Cosmos DB (애저 코스모스 DB) |
| 한 번에 작업 영역당 큰 관심 목록 삭제 횟수: 관심 목록을 만드는 항목에 대한 업로드 크기 제한 보기 large |
관심 목록 1개 large |
Azure Cosmos DB (애저 코스모스 DB) |
통합 문서 제한
Sentinel에 대한 통합 문서 제한은 Azure Monitor에 있는 것과 동일한 결과 제한입니다. 자세한 내용은 통합 문서 결과 제한을 참조하세요.
작업 영역 관리자 제한
Microsoft Sentinel의 작업 영역 관리자에는 다음 제한이 적용됩니다.
| 설명 | 제한 | 의존성 |
|---|---|---|
| 그룹의 게시된 작업 수 게시된 작업 = (구성원 작업 영역) * (콘텐츠 항목) |
게시된 작업 2000개 | 없음 |