你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 的服务限制

本文列出了在使用 Microsoft Sentinel 时可能会遇到的最常见服务限制。 有关可能影响你使用的服务或功能(例如 Azure Monitor)的其他限制,请参阅 Azure 订阅和服务限制、配额和约束

分析规则限制

以下限制适用于 Microsoft Sentinel 中的分析规则。

说明 限制 依赖项
已启用规则的数量 512 条规则
准实时 (NRT) 规则的数目 50 个 NRT 规则
实体映射 每个规则 10 个映射
每个警报标识的实体
(在映射实体之间平均划分)
每个警报 500 个实体
实体累计大小限制 64 KB
自定义详细信息 每条规则 20 个详细信息
每个详细信息 50 个值
2 KB 累积大小
警报详细信息 每个替代字段 50 个值
针对 Description 和集合,每个字段 5 KB
针对 AlertName 和非集合,每个字段 256 字节
每个规则的警报数
当事件分组设置为“为每个事件触发警报”时适用
150 个警报
NRT 规则的每个规则的警报数 30 个警报

搜寻限制

以下限制适用于 Microsoft Sentinel 中的搜寻。

说明 限制 依赖项
搜寻数 100

事件限制

以下限制适用于 Microsoft Sentinel 中的事件。

说明 限制 依赖项
调查体验可用性 距事件上次更新时间 90 天
事件实体的保留期 180 天 实体数据库保留
警报数 150 个警报
自动化规则数 512 条规则
自动化规则操作数 20 个操作
自动化规则条件数 50 个条件
书签数 20 个书签
自动化规则名称的字符数 500 个字符
说明的字符数 5,000 个字符
每个注释的字符数 30,000 个字符
每个事件的注释数 100 个注释
任务数 40 个任务
API 返回的用于列出请求的事件数 最多 1,000 个事件
每天(每个工作区)的事件数 请参阅表后面的说明 数据库容量

每天的事件数:对每天可以创建的事件数没有正式的硬性限制。 工作区的实际事件容量取决于事件数据库的存储容量,因此事件的大小与其数量一样重要。

但是,如果 SOC 遇到每天创建超过约 3,000 个新事件的情况,那么它很可能会发现自己无法跟上,数据库容量也将很快达到极限。 在这种情况下,SOC 需要查找并修复创建大量事件的所有规则,以便将每日新事件的数量减少到可管理的水平。

基于机器学习的限制

以下限制适用于 Microsoft Sentinel 中基于机器学习的功能,例如可自定义的异常和融合。

说明 限制 依赖项
每个异常类型发布的异常数 按异常分数排名的前 3000 名
单个融合事件中的警报数和/或异常数 100 个警报和/或异常

多工作区限制

以下限制适用于 Microsoft Sentinel 中的多个工作区。 当同时在多个工作区中使用 Sentinel 功能时,此处的限制适用。

说明 限制 依赖项
事件视图 100 个并发显示的工作区
日志查询 100 个 Sentinel 工作区 Log Analytics
分析规则 每个查询 20 个 Sentinel 工作区

笔记本限制

以下限制适用于 Microsoft Sentinel 中的笔记本。 这些限制与笔记本使用的其他服务的依赖项相关。

说明 限制 依赖项
每个机器学习工作区的这些资产的总计数:数据集、运行、模型和项目 1000 万资产 Azure 机器学习
每个区域的总计算群集的默认限制。 限制在训练群集和计算实例之间共享。 就配额用途来说,可以将计算实例视为单节点群集。 每个区域 200 个计算群集 Azure 机器学习
每个订阅在每个区域中的存储帐户数 250 个存储帐户 Azure 存储
文件共享的默认最大大小 5 TB Azure 存储
启用了大型文件共享功能的文件共享的最大大小 100 TB Azure 存储
单个文件共享的默认最大吞吐量(流入量 + 流出量) 60 MB/秒 Azure 存储
启用了大型文件共享功能的单个文件共享的最大吞吐量(流入量 + 流出量) 300 MB/秒 Azure 存储

存储库限制

以下限制适用于 Microsoft Sentinel 中的存储库。

说明 限制 依赖项
存储库数目 5 Sentinel 工作区
部署历史记录 800 Azure 资源组

威胁情报限制

以下限制适用于 Microsoft Sentinel 中的威胁情报。 此限制与威胁情报使用的 API 的依赖项相关。

说明 限制 依赖项
每个使用 Graph 安全性 API 的调用的指示器 100 个指示器 Microsoft Graph 安全性 API
CSV 指示器文件导入大小 50MB
JSON 指示器文件导入大小 250MB

TI 上传指示器 API 限制

以下限制适用于 Microsoft Sentinel 中的威胁情报上传指示器 API。

说明 限制 依赖项
每个请求的指示器数量 100 个指示器
每分钟请求数 100

用户与实体行为分析 (UEBA) 限制

以下限制适用于 Microsoft Sentinel 中的 UEBA。 对 Microsoft Sentinel 中 UEBA 的限制与另一个服务的依赖项相关。

说明 限制 依赖项
IdentityInfo 表的最低保留期配置(以天为单位)。 Log Analytics 中 IdentityInfo 表上存储的所有数据每 14 天刷新一次。 14 天 Log Analytics

播放列表限制

以下限制适用于 Microsoft Sentinel 中的播放列表。 这些限制与播放列表使用的其他服务的依赖项相关。

说明 限制 依赖项
本地文件的上传大小 每个文件 3.8 MB Azure 资源管理器
CSV 文件中的行条目 每行 10,240 个字符 Azure 资源管理器
单行的总大小 10 Kb Log Analytics
Azure 存储中文件的上传大小 每个文件 500 MB Azure 存储
每个工作区的活动播放列表项的总数。 达到最大计数时,请删除一些现有项以添加新播放列表。 1000 万个活动播放列表项 Log Analytics
每个工作区所有监视列表项的总变化率 每月 1% 的变化率 Log Analytics
每个工作区每次上传的大型播放列表数 一个大型播放列表 Azure Cosmos DB
每个工作区每次删除的大型播放列表数 一个大型播放列表 Azure Cosmos DB

工作簿限制

Sentinel 的工作簿限制与 Azure Monitor 中的结果限制相同。 有关详细信息,请参阅工作簿结果限制

工作区管理器限制

以下限制适用于 Microsoft Sentinel 中的工作区管理器。

说明 限制 依赖项
组中已发布操作的数目
已发布操作数 =(成员工作区数)*(内容项数)
2000 个已发布操作

后续步骤