Microsoft Sentinel 的服务限制
本文列出了在使用 Microsoft Sentinel 时可能会遇到的最常见服务限制。 有关可能影响你使用的服务或功能(例如 Azure Monitor)的其他限制,请参阅 Azure 订阅和服务限制、配额和约束。
分析规则限制
以下限制适用于 Microsoft Sentinel 中的分析规则。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 已启用规则的数量 | 512 条规则 | 无 |
| 准实时 (NRT) 规则的数目 | 50 个 NRT 规则 | 无 |
| 实体映射 | 每个规则 10 个映射 | 无 |
| 每个警报标识的实体 (在映射实体之间平均划分) |
每个警报 500 个实体 | 无 |
| 实体累计大小限制 | 64 KB | 无 |
| 自定义详细信息 | 每条规则 20 个详细信息 | 无 |
| 自定义详细信息和警报详细信息 组合累计大小限制 |
64 KB | 无 |
| 每个规则的警报数 当事件分组设置为“为每个事件触发警报”时适用 |
150 个警报 | 无 |
| NRT 规则的每个规则的警报数 | 30 个警报 | 无 |
事件限制
以下限制适用于 Microsoft Sentinel 中的事件。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 调查体验可用性 | 距事件上次更新时间 90 天 | 无 |
| 警报数 | 150 个警报 | 无 |
| 自动化规则数 | 512 条规则 | 无 |
| 自动化规则操作数 | 20 个操作 | 无 |
| 自动化规则条件数 | 50 个条件 | 无 |
| 书签数 | 20 个书签 | 无 |
| 自动化规则名称的字符数 | 500 个字符 | 无 |
| 说明的字符数 | 5 千个字符 | 无 |
| 每个注释的字符数 | 3 万个字符 | 无 |
| 每个事件的注释数 | 100 个注释 | 无 |
| 任务数 | 100 个任务 | 无 |
| API 返回的用于列出请求的事件数 | 最多 1000 个事件 | 无 |
基于机器学习的限制
以下限制适用于 Microsoft Sentinel 中基于机器学习的功能,例如可自定义的异常和融合。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 每个异常类型发布的异常数 | 按异常分数排名的前 3000 名 | 无 |
| 单个融合事件中的警报数和/或异常数 | 100 个警报和/或异常 | 无 |
多工作区限制
以下限制适用于 Microsoft Sentinel 中的多个工作区。 当同时在多个工作区中使用 Sentinel 功能时,此处的限制适用。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 事件视图 | 100 个并发显示的工作区 | |
| 日志查询 | 100 个 Sentinel 工作区 | Log Analytics |
| 分析规则 | 每个查询 20 个 Sentinel 工作区 |
笔记本限制
以下限制适用于 Microsoft Sentinel 中的笔记本。 这些限制与笔记本使用的其他服务的依赖项相关。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 每个机器学习工作区的这些资产的总计数:数据集、运行、模型和项目 | 1000 万资产 | Azure 机器学习 |
| 每个区域的总计算群集的默认限制。 限制在训练群集和计算实例之间共享。 就配额用途来说,可以将计算实例视为单节点群集。 | 每个区域 200 个计算群集 | Azure 机器学习 |
| 每个订阅在每个区域中的存储帐户数 | 250 个存储帐户 | Azure 存储 |
| 文件共享的默认最大大小 | 5 TB | Azure 存储 |
| 启用了大型文件共享功能的文件共享的最大大小 | 100 TB | Azure 存储 |
| 单个文件共享的默认最大吞吐量(流入量 + 流出量) | 60 MB/秒 | Azure 存储 |
| 启用了大型文件共享功能的单个文件共享的最大吞吐量(流入量 + 流出量) | 300 MB/秒 | Azure 存储 |
存储库限制
以下限制适用于 Microsoft Sentinel 中的存储库。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 存储库数目 | 5 | Sentinel 工作区 |
| 部署历史记录 | 800 | Azure 资源组 |
威胁情报限制
以下限制适用于 Microsoft Sentinel 中的威胁情报。 此限制与威胁情报使用的 API 的依赖项相关。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 每个使用 Graph 安全性 API 的调用的指示器 | 100 个指示器 | Microsoft Graph 安全性 API |
| CSV 指示器文件导入大小 | 50MB | 无 |
| JSON 指示器文件导入大小 | 250MB | 无 |
用户与实体行为分析 (UEBA) 限制
以下限制适用于 Microsoft Sentinel 中的 UEBA。 对 Microsoft Sentinel 中 UEBA 的限制与另一个服务的依赖项相关。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| IdentityInfo 表的最低保留期配置(以天为单位)。 Log Analytics 中 IdentityInfo 表上存储的所有数据每 14 天刷新一次。 | 14 天 | Log Analytics |
播放列表限制
以下限制适用于 Microsoft Sentinel 中的播放列表。 这些限制与播放列表使用的其他服务的依赖项相关。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 本地文件的上传大小 | 每个文件 3.8 MB | Azure 资源管理器 |
| CSV 文件中的行条目 | 每行 10,240 个字符 | Azure 资源管理器 |
| 单行的总大小 | 10 Kb | Log Analytics |
| Azure 存储中文件的上传大小 | 每个文件 500 MB | Azure 存储 |
| 每个工作区的活动播放列表项的总数。 达到最大计数时,请删除一些现有项以添加新播放列表。 | 1000 万个活动播放列表项 | Log Analytics |
| 每个工作区所有监视列表项的总变化率 | 每月 1% 的变化率 | Log Analytics |
| 每个工作区每次上传的大型播放列表数 | 一个大型播放列表 | Azure Cosmos DB |
| 每个工作区每次删除的大型播放列表数 | 一个大型播放列表 | Azure Cosmos DB |
工作簿限制
Sentinel 的工作簿限制与 Azure Monitor 中的结果限制相同。 有关详细信息,请参阅工作簿结果限制。
工作区管理器限制
以下限制适用于 Microsoft Sentinel 中的工作区管理器。
| 说明 | 限制 | 依赖项 |
|---|---|---|
| 组中已发布操作的数目 已发布操作数 =(成员工作区数)*(内容项数) |
2000 个已发布操作 | 无 |