你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 的服务限制
本文列出了在使用 Microsoft Sentinel 时可能会遇到的最常见服务限制。 有关可能影响你使用的服务或功能(例如 Azure Monitor)的其他限制,请参阅 Azure 订阅和服务限制、配额和约束。
分析规则限制
以下限制适用于 Microsoft Sentinel 中的分析规则。
说明 | 限制 | 依赖项 |
---|---|---|
已启用规则的数量 | 512 条规则 | 无 |
准实时 (NRT) 规则的数目 | 50 个 NRT 规则 | 无 |
实体映射 | 每个规则 10 个映射 | 无 |
每个警报标识的实体 (在映射实体之间平均划分) |
每个警报 500 个实体 | 无 |
实体累计大小限制 | 64 KB | 无 |
自定义详细信息 | 每条规则 20 个详细信息 每个详细信息 50 个值 2 KB 累积大小 |
无 |
警报详细信息 | 每个替代字段 50 个值 针对 Description 和集合,每个字段 5 KB针对 AlertName 和非集合,每个字段 256 字节 |
无 |
每个规则的警报数 当事件分组设置为“为每个事件触发警报”时适用 |
150 个警报 | 无 |
NRT 规则的每个规则的警报数 | 30 个警报 | 无 |
搜寻限制
以下限制适用于 Microsoft Sentinel 中的搜寻。
说明 | 限制 | 依赖项 |
---|---|---|
搜寻数 | 100 | 无 |
事件限制
以下限制适用于 Microsoft Sentinel 中的事件。
说明 | 限制 | 依赖项 |
---|---|---|
调查体验可用性 | 距事件上次更新时间 90 天 | 无 |
事件实体的保留期 | 180 天 | 实体数据库保留 |
警报数 | 150 个警报 | 无 |
自动化规则数 | 512 条规则 | 无 |
自动化规则操作数 | 20 个操作 | 无 |
自动化规则条件数 | 50 个条件 | 无 |
书签数 | 20 个书签 | 无 |
自动化规则名称的字符数 | 500 个字符 | 无 |
说明的字符数 | 5,000 个字符 | 无 |
每个注释的字符数 | 30,000 个字符 | 无 |
每个事件的注释数 | 100 个注释 | 无 |
任务数 | 40 个任务 | 无 |
API 返回的用于列出请求的事件数 | 最多 1,000 个事件 | 无 |
每天(每个工作区)的事件数 | 请参阅表后面的说明 | 数据库容量 |
每天的事件数:对每天可以创建的事件数没有正式的硬性限制。 工作区的实际事件容量取决于事件数据库的存储容量,因此事件的大小与其数量一样重要。
但是,如果 SOC 遇到每天创建超过约 3,000 个新事件的情况,那么它很可能会发现自己无法跟上,数据库容量也将很快达到极限。 在这种情况下,SOC 需要查找并修复创建大量事件的所有规则,以便将每日新事件的数量减少到可管理的水平。
基于机器学习的限制
以下限制适用于 Microsoft Sentinel 中基于机器学习的功能,例如可自定义的异常和融合。
说明 | 限制 | 依赖项 |
---|---|---|
每个异常类型发布的异常数 | 按异常分数排名的前 3000 名 | 无 |
单个融合事件中的警报数和/或异常数 | 100 个警报和/或异常 | 无 |
多工作区限制
以下限制适用于 Microsoft Sentinel 中的多个工作区。 当同时在多个工作区中使用 Sentinel 功能时,此处的限制适用。
说明 | 限制 | 依赖项 |
---|---|---|
事件视图 | 100 个并发显示的工作区 | |
日志查询 | 100 个 Sentinel 工作区 | Log Analytics |
分析规则 | 每个查询 20 个 Sentinel 工作区 |
笔记本限制
以下限制适用于 Microsoft Sentinel 中的笔记本。 这些限制与笔记本使用的其他服务的依赖项相关。
说明 | 限制 | 依赖项 |
---|---|---|
每个机器学习工作区的这些资产的总计数:数据集、运行、模型和项目 | 1000 万资产 | Azure 机器学习 |
每个区域的总计算群集的默认限制。 限制在训练群集和计算实例之间共享。 就配额用途来说,可以将计算实例视为单节点群集。 | 每个区域 200 个计算群集 | Azure 机器学习 |
每个订阅在每个区域中的存储帐户数 | 250 个存储帐户 | Azure 存储 |
文件共享的默认最大大小 | 5 TB | Azure 存储 |
启用了大型文件共享功能的文件共享的最大大小 | 100 TB | Azure 存储 |
单个文件共享的默认最大吞吐量(流入量 + 流出量) | 60 MB/秒 | Azure 存储 |
启用了大型文件共享功能的单个文件共享的最大吞吐量(流入量 + 流出量) | 300 MB/秒 | Azure 存储 |
存储库限制
以下限制适用于 Microsoft Sentinel 中的存储库。
说明 | 限制 | 依赖项 |
---|---|---|
存储库数目 | 5 | Sentinel 工作区 |
部署历史记录 | 800 | Azure 资源组 |
威胁情报限制
以下限制适用于 Microsoft Sentinel 中的威胁情报。 此限制与威胁情报使用的 API 的依赖项相关。
说明 | 限制 | 依赖项 |
---|---|---|
每个使用 Graph 安全性 API 的调用的指示器 | 100 个指示器 | Microsoft Graph 安全性 API |
CSV 指示器文件导入大小 | 50MB | 无 |
JSON 指示器文件导入大小 | 250MB | 无 |
TI 上传指示器 API 限制
以下限制适用于 Microsoft Sentinel 中的威胁情报上传指示器 API。
说明 | 限制 | 依赖项 |
---|---|---|
每个请求的指示器数量 | 100 个指示器 | |
每分钟请求数 | 100 |
用户与实体行为分析 (UEBA) 限制
以下限制适用于 Microsoft Sentinel 中的 UEBA。 对 Microsoft Sentinel 中 UEBA 的限制与另一个服务的依赖项相关。
说明 | 限制 | 依赖项 |
---|---|---|
IdentityInfo 表的最低保留期配置(以天为单位)。 Log Analytics 中 IdentityInfo 表上存储的所有数据每 14 天刷新一次。 | 14 天 | Log Analytics |
播放列表限制
以下限制适用于 Microsoft Sentinel 中的播放列表。 这些限制与播放列表使用的其他服务的依赖项相关。
说明 | 限制 | 依赖项 |
---|---|---|
本地文件的上传大小 | 每个文件 3.8 MB | Azure 资源管理器 |
CSV 文件中的行条目 | 每行 10,240 个字符 | Azure 资源管理器 |
单行的总大小 | 10 Kb | Log Analytics |
Azure 存储中文件的上传大小 | 每个文件 500 MB | Azure 存储 |
每个工作区的活动播放列表项的总数。 达到最大计数时,请删除一些现有项以添加新播放列表。 | 1000 万个活动播放列表项 | Log Analytics |
每个工作区所有监视列表项的总变化率 | 每月 1% 的变化率 | Log Analytics |
每个工作区每次上传的大型播放列表数 | 一个大型播放列表 | Azure Cosmos DB |
每个工作区每次删除的大型播放列表数 | 一个大型播放列表 | Azure Cosmos DB |
工作簿限制
Sentinel 的工作簿限制与 Azure Monitor 中的结果限制相同。 有关详细信息,请参阅工作簿结果限制。
工作区管理器限制
以下限制适用于 Microsoft Sentinel 中的工作区管理器。
说明 | 限制 | 依赖项 |
---|---|---|
组中已发布操作的数目 已发布操作数 =(成员工作区数)*(内容项数) |
2000 个已发布操作 | 无 |