Microsoft Sentinel 的服務限制
本文列出您在使用 Microsoft Sentinel 時可能會遇到的最常見服務限制。 如需可能會影響您使用之服務或功能的其他限制,例如 Azure 監視器,請參閱 Azure 訂用帳戶和服務限制、配額和限制 。
分析規則限制
下列限制適用于 Microsoft Sentinel 中的分析規則。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 已啟用 的規則數目 | 512 個規則 | 無 |
| 近乎即時的規則數目 | 50 個 NRT 規則 | 無 |
| 實體對應 | 每個規則 10 個對應 | 無 |
| 每個警示識別的實體 (在對應實體之間平均分割) |
每個警示 500 個實體 | 無 |
| 實體 累計大小限制 | 64 KB | 無 |
| 自訂詳細資料 | 每個規則 20 個詳細資料 | 無 |
| 自訂詳細資料和 警示詳細資料 合併累計大小限制 |
64 KB | 無 |
| 每個規則的警示 當事件群組 設定為 [ 觸發每個事件的警示] 時 適用 |
150 個警示 | 無 |
| NRT 規則的每個規則警示 | 30 個警示 | 無 |
事件限制
下列限制適用于 Microsoft Sentinel 中的事件。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 調查體驗可用性 | 從事件上次更新時間起的 90 天 | 無 |
| 警示數目 | 150 個警示 | 無 |
| 自動化規則數目 | 512 個規則 | 無 |
| 自動化規則動作的數目 | 20 個動作 | 無 |
| 自動化規則條件的數目 | 50 個條件 | 無 |
| 書簽數目 | 20 個書簽 | 無 |
| 自動化規則名稱的字元數 | 500 個字元 | 無 |
| 描述的字元數 | 5K 個字元 | 無 |
| 每個批註的字元數 | 30K 個字元 | 無 |
| 每個事件的批註數目 | 100 批註 | 無 |
| 工作數目 | 100 個工作 | 無 |
| API 傳回的事件數目以 列出 要求 | 最多 1000 個事件 | 無 |
機器學習型限制
下列限制適用于 Microsoft Sentinel 中以機器學習為基礎的功能,例如可自訂的異常和 Fusion。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 每個異常類型發佈的異常數目 | 排名前 3000 名的異常分數 | 無 |
| 單一 Fusion 事件中的警示和/或異常數目 | 100 個警示和/或異常 | 無 |
多重工作區限制
下列限制適用于 Microsoft Sentinel 中的多個工作區。 在一次使用 Sentinel 功能時,會套用此處的限制。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 事件檢視 | 100 個同時顯示的工作區 | |
| 記錄查詢 | 100 Sentinel 工作區 | Log Analytics |
| 分析規則 | 每個查詢 20 個 Sentinel 工作區 |
筆記本限制
下列限制適用于 Microsoft Sentinel 中的筆記本。 這些限制與筆記本所使用的其他服務相依性相關。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 每個機器學習工作區這些資產的總計數:資料集、執行、模型和成品 | 1000 萬個資產 | Azure Machine Learning |
| 每個區域計算叢集總數的預設限制。 定型叢集與計算實例之間會共用限制。 計算實例會被視為單一節點叢集,以供配額使用。 | 每個區域的 200 個計算叢集 | Azure Machine Learning |
| 每個訂用帳戶的每個區域儲存體帳戶 | 250 個儲存體帳戶 | Azure 儲存體 |
| 依預設檔案共用的大小上限 | 5 TB | Azure 儲存體 |
| 已啟用大型檔案共用功能的檔案共用大小上限 | 100 TB | Azure 儲存體 |
| 依預設,單一檔案共用的最大輸送量 (輸入 + 輸出) | 60 MB/秒 | Azure 儲存體 |
| 已啟用大型檔案共用功能的單一檔案共用的最大輸送量 (輸入 + 輸出) | 300 MB/秒 | Azure 儲存體 |
存放庫限制
下列限制適用于 Microsoft Sentinel 中的存放庫。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 存放庫數目 | 5 | Sentinel 工作區 |
| 部署歷程記錄 | 800 | Azure 資源群組 |
威脅情報限制
下列限制適用于 Microsoft Sentinel 中的威脅情報。 此限制與威脅情報所使用的 API 相依性相關。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 使用圖形安全性 API 的每個呼叫指標 | 100 個指標 | Microsoft Graph 安全性 API |
| CSV 指標檔案匯入大小 | 50MB | none |
| JSON 指標檔案匯入大小 | 250MB | none |
TI 上傳指標 API 限制
下列限制適用于 Microsoft Sentinel 中的威脅情報上傳指標 API。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 每個要求的指標 | 100 個指標 | |
| 每分鐘要求 | 100 |
使用者和實體行為分析 (UEBA) 限制
下列限制適用于 Microsoft Sentinel 中的 UEBA。 Microsoft Sentinel 中 UEBA 的限制與另一個服務的相依性相關。
| 描述 | 限制 | 相依性 |
|---|---|---|
| IdentityInfo 資料表的天數 內最低保留組態。 Log Analytics 中 IdentityInfo 資料表上儲存的所有資料都會每隔 14 天重新整理一次。 | 14 天 | Log Analytics |
關注清單限制
下列限制適用于 Microsoft Sentinel 中的關注清單。 這些限制與關注清單所使用的其他服務相依性相關。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 上傳本機檔案的大小 | 每個檔案 3.8 MB | Azure Resource Manager |
| CSV 檔案中的行專案 | 每行 10,240 個字元 | Azure Resource Manager |
| 單一資料列的大小總計 | 10 Kb | Log Analytics |
| 在 Azure 儲存體 中上傳檔案的大小 | 每個檔案 500 MB | Azure 儲存體 |
| 每個工作區的作用中關注清單專案總數。 達到最大計數時,請刪除一些現有的專案以新增關注清單。 | 1000 萬個使用中的關注清單專案 | Log Analytics |
| 每個工作區所有關注清單專案的變更總數 | 每月 1% 的變更率 | Log Analytics |
| 一次上傳每個工作區的大型關注清單數目 | 一個大型關注清單 | Azure Cosmos DB |
| 一次刪除每個工作區的大型關注清單數目 | 一個大型關注清單 | Azure Cosmos DB |
活頁簿限制
Sentinel 的活頁簿限制與 Azure 監視器中找到的結果限制相同。 如需詳細資訊,請參閱 活頁簿結果限制 。
工作區管理員限制
下列限制適用于 Microsoft Sentinel 中的工作區管理員。
| 描述 | 限制 | 相依性 |
|---|---|---|
| 群組中已發行的作業數目 已發佈的作業 = ( 成員工作區 ) * ( 內容專案 ) |
2000 個已發佈的作業 | 無 |