本文列出了在使用 Microsoft Sentinel 时可能会遇到的最常见服务限制。 有关可能影响你使用的服务或功能(例如 Azure Monitor)的其他限制,请参阅 Azure 订阅和服务限制、配额和约束。
以下限制适用于 Microsoft Sentinel 中的分析规则。
| Description | Limit | Dependency |
|---|---|---|
| Number of scheduled rules | 512 enabled rules, 1024 in total, including disabled rules. With a dedicated cluster - 1024 enabled rules, 2048 in total, including disabled rules. Requires a request to increase the default limit through a support ticket. |
与 NRT 规则分开计数 |
| 准实时 (NRT) 规则数 | 50 enabled rules, 100 in total, including disabled rules | 与计划规则分开计数 |
| Entity mappings | 每个规则 10 个映射 | None |
|
Entities identified per alert (在映射实体之间平均划分) |
每个警报 500 个实体 | None |
| Entities cumulative size limit | 64 KB | None |
| Custom details | 每条规则 20 个详细信息 每个详细信息 50 个值 2 KB 累积大小 |
None |
| Alert details | 每个替代字段 50 个值 针对 Description 和集合,每个字段 5 KB针对 AlertName 和非集合,每个字段 256 字节 |
None |
| 每个规则的警报数 Applicable when Event grouping is set to Trigger an alert for each event |
150 alerts | None |
| NRT 规则的每个规则的警报数 | 30 alerts | None |
以下限制适用于 Microsoft Sentinel 中的事件。
| Description | Limit | Dependency |
|---|---|---|
| 调查体验可用性 | 距事件上次更新时间 90 天 | None |
| 事件实体的保留期 | 180 days | 实体数据库保留 |
| 警报数 | 150 alerts | None |
| 自动化规则数 | 512 rules | None |
| 自动化规则操作数 | 20 actions | None |
| 自动化规则条件数 | 50 conditions | None |
| 书签数 | 20 bookmarks | None |
| 自动化规则名称的字符数 | 500 characters | None |
| 说明的字符数 | 5,000 characters | None |
| 每个注释的字符数 | 30,000 characters | None |
| 每个事件的注释数 | 100 comments | None |
| 任务数 | 40 tasks | None |
| Number of incidents returned by API to list request | 最多 1,000 个事件 | None |
| 每天(每个工作区)的事件数 | 请参阅表后面的说明 | Database capacity |
每天的事件数:对每天可以创建的事件数没有正式的硬性限制。 工作区的实际事件容量取决于事件数据库的存储容量,因此事件的大小与其数量一样重要。
However, a SOC that experiences the creation of more than around 3,000 new incidents per day will most likely find itself unable to keep up, and the database capacity will quickly be reached. 在这种情况下,SOC 需要查找并修复创建大量事件的所有规则,以便将每日新事件的数量减少到可管理的水平。
以下限制适用于 Microsoft Sentinel 中基于机器学习的功能,例如可自定义的异常和融合。
| Description | Limit | Dependency |
|---|---|---|
| 每个异常类型发布的异常数 | 按异常分数排名的前 3000 名 | None |
| 单个融合事件中的警报数和/或异常数 | 100 个警报和/或异常 | None |
以下限制适用于 Microsoft Sentinel 中的多个工作区。 当同时在多个工作区中使用 Sentinel 功能时,此处的限制适用。
| Description | Limit | Dependency |
|---|---|---|
| Incident view | 100 个并发显示的工作区 | |
| Log query | 100 个 Sentinel 工作区 | Log Analytics |
| Analytics rules | 每个查询 20 个 Sentinel 工作区 |
以下限制适用于 Microsoft Sentinel 中的笔记本。 这些限制与笔记本使用的其他服务的依赖项相关。
| Description | Limit | Dependency |
|---|---|---|
| 每个机器学习工作区的这些资产的总计数:数据集、运行、模型和项目 | 1000 万资产 | Azure 机器学习 |
| 每个区域的总计算群集的默认限制。 限制在训练群集和计算实例之间共享。 就配额用途来说,可以将计算实例视为单节点群集。 | 每个区域 200 个计算群集 | Azure 机器学习 |
| 每个订阅在每个区域中的存储帐户数 | 250 个存储帐户 | Azure 存储 |
| 文件共享的默认最大大小 | 5 TB | Azure 存储 |
| 启用了大型文件共享功能的文件共享的最大大小 | 100 TB | Azure 存储 |
| 单个文件共享的默认最大吞吐量(流入量 + 流出量) | 60 MB/sec | Azure 存储 |
| 启用了大型文件共享功能的单个文件共享的最大吞吐量(流入量 + 流出量) | 300 MB/sec | Azure 存储 |
以下限制适用于 Microsoft Sentinel 中的存储库。
| Description | Limit | Dependency |
|---|---|---|
| 存储库数目 | 5 | Sentinel Workspace |
| Deployment history | 800 | Azure 资源组 |
以下限制适用于 Microsoft Sentinel 中的威胁情报。 此限制与威胁情报使用的 API 的依赖项相关。
| Description | Limit | Dependency |
|---|---|---|
| 每个使用 Graph 安全性 API 的调用的指示器 | 100 indicators | Microsoft Graph 安全性 API |
| CSV TI 对象文件导入大小 | 50MB | none |
| JSON TI 对象文件导入大小 | 250MB | none |
以下限制适用于 Microsoft Sentinel 中的 UEBA。 对 Microsoft Sentinel 中 UEBA 的限制与另一个服务的依赖项相关。
| Description | Limit | Dependency |
|---|---|---|
| Lowest retention configuration in days for the IdentityInfo table. Log Analytics 中 IdentityInfo 表上存储的所有数据每 14 天刷新一次。 | 14 days | Log Analytics |
以下限制适用于 Microsoft Sentinel 中的播放列表。 这些限制与播放列表使用的其他服务的依赖项相关。
| Description | Limit | Dependency |
|---|---|---|
| 将本地文件文件的 上传大小限制视为超出此限制 large |
每个文件 3.8 MB | Azure Resource Manager |
| CSV 文件中的行条目 | 每行 10,240 个字符 | Azure Resource Manager |
| 单行的总大小 | 10 Kb | Log Analytics |
| 在 Azure 存储中上传大型监视列表文件的大小 | 每个文件 500 MB | Azure 存储 |
| 达到最大计数时,每个工作区 的活动监视列表项总数,请删除一些现有项以添加新的监视列表。 |
1000 万个活动播放列表项 | Log Analytics |
| 每个工作区 的所有监视列表项的总更改率(创建、更新和删除作) |
每月 100,000 个更改(最大活动监视列表项的 1%) |
Log Analytics |
large每个工作区一次上传的监视列表数查看监视列表的上传大小限制 large |
一个 large 监视列表 |
Azure Cosmos DB |
| 每个工作区一次 删除大型监视列表的数量,请参阅上传大小限制,了解创建监视列表的原因 large |
一个 large 监视列表 |
Azure Cosmos DB |
Sentinel 的工作簿限制与 Azure Monitor 中的结果限制相同。 有关详细信息,请参阅工作簿结果限制。
以下限制适用于 Microsoft Sentinel 中的工作区管理器。
| Description | Limit | Dependency |
|---|---|---|
| 组中已发布操作的数目 Published operations = (member workspaces) * (content items) |
2000 个已发布操作 | None |