Microsoft Sentinel 的服務限制
本文列出您在使用 Microsoft Sentinel 時可能會遇到最常見的服務限制。 如需可能會影響您所用服務或功能 (如 Azure 監視器) 的其他限制,請參閱 Azure 訂閱和服務限制、配額以及條件約束。
分析規則限制
下列限制適用於 Microsoft Sentinel 中的分析規則。
| 描述 | 限制 | Dependency |
|---|---|---|
| 已啟用規則的數目 | 512 項規則 | 無 |
| 近乎即時 (NRT) 規則的數目 | 50 個 NRT 規則 | 無 |
| 實體對應 | 每個規則 10 個對應 | 無 |
| 每個警示識別的實體 (在對應實體間平均分割) |
每個警示 500 個實體 | 無 |
| 實體累計大小限制 | 64 KB | 無 |
| 自訂詳細資料 | 每個規則 20 個詳細資料 每個詳細資料 50 個值 2 KB 累計大小 |
無 |
| 警示詳細資料 | 每個覆寫欄位 50 個值Description 和集合的每個欄位 5 KBAlertName 和非集合的每個欄位 256 個位元組 |
無 |
| 每個規則的警示 適用於 [事件群組] 設定為 [觸發每個事件的警示] 時 |
150 個警示 | 無 |
| NRT 規則的每個規則的警示 | 30 個警示 | 無 |
搜捕限制
下列限制適用於 Microsoft Sentinel 中的搜捕。
| 描述 | 限制 | Dependency |
|---|---|---|
| 搜捕次數 | 100 | 無 |
事件限制
下列限制適用於 Microsoft Sentinel 中的事件。
| 描述 | 限制 | Dependency |
|---|---|---|
| 調查體驗可用性 | 從事件上次更新時間起的 90 天 | 無 |
| 事件實體的保留期間 | 180 天 | 實體資料庫保留 |
| 警示數目 | 150 個警示 | 無 |
| 自動化規則數目 | 512 項規則 | 無 |
| 自動化規則動作的數目 | 20 個動作 | 無 |
| 自動化規則動作的數目 | 50 個條件 | 無 |
| 書籤數目 | 20 個書籤 | 無 |
| 自動化規則名稱的字元數 | 500 個字元 | 無 |
| 描述的字元數 | 5,000 個字元 | 無 |
| 每個註解的字元數 | 30,000 個字元 | 無 |
| 每個事件的註解數目 | 100 個註解 | 無 |
| 工作數目 | 40 個工作 | 無 |
| API 傳回給 list 要求的事件數目 | 最多 1,000 個事件 | 無 |
| 每天的事件數目 (每個工作區) | 請參閱表格後面的說明 | 資料庫容量 |
每天的事件數目:每天可建立的事件數目沒有正式的硬性限制。 工作區的事件實際容量取決於事件資料庫的儲存容量,因此事件的大小與其數目一樣重要。
不過,體驗每天建立超過約 3,000 個新事件的 SOC,很可能發現本身無法跟上,而且資料庫容量很快就會達到。 在此情況下,SOC 必須尋找並修正任何建立大量事件的規則,以取得可管理層級的每日新事件計數。
以機器學習為基礎的限制
下列限制適用於 Microsoft Sentinel 中的以機器學習為基礎的功能,例如可自訂的異常和融合。
| 描述 | 限制 | Dependency |
|---|---|---|
| 每個異常類型發佈的異常數目 | 依異常分數排名的前 3000 名 | 無 |
| 單一融合事件中的警示和/或異常數目 | 100 個警示和/或異常 | 無 |
多重工作區限制
下列限制適用於 Microsoft Sentinel 中的多重工作區。 一次在多個工作區使用 Sentinel 功能時會套用此處的限制。
| 描述 | 限制 | Dependency |
|---|---|---|
| 事件檢視 | 100 個同時顯示的工作區 | |
| 記錄檔查詢 | 100 個 Sentinel 工作區 | Log Analytics |
| Analytics 規則 | 每個查詢 20 個 Sentinel 工作區 |
筆記本限制
下列限制適用於 Microsoft Sentinel 中的筆記本。 這些限制與筆記本所使用的其他服務相依性相關。
| 描述 | 限制 | Dependency |
|---|---|---|
| 每個機器學習工作區的這些資產總數:資料集、執行、模型和成品 | 1 千萬個資產 | Azure Machine Learning |
| 每個區域計算叢集總數的預設限制。 會在定型叢集和計算執行個體之間共用限制。 針對配額用途,計算執行個體會被視為單一節點叢集。 | 各區域 200 個計算叢集 | Azure Machine Learning |
| 每一訂用帳戶每一區域的儲存體帳戶 | 250 個儲存體帳戶 | Azure 儲存體 |
| 依預設檔案共用大小上限 | 5 TB | Azure 儲存體 |
| 已啟用大型檔案共用功能的檔案共用大小上限 | 100 TB | Azure 儲存體 |
| 依預設單一檔案共用的輸送量上限 (輸入 + 輸出) | 60 MB/秒 | Azure 儲存體 |
| 已啟用大型檔案共用功能的單一檔案共用的輸送量上限 (輸入 + 輸出) | 300 MB/秒 | Azure 儲存體 |
存放庫限制
下列限制適用於 Microsoft Sentinel 中的存放庫。
| 描述 | 限制 | Dependency |
|---|---|---|
| 存放庫數目 | 5 | Sentinel 工作區 |
| 部署歷程記錄 | 800 | Azure 資源群組 |
威脅情報限制
下列限制適用於 Microsoft Sentinel 中的威脅情報。 此限制與威脅情報所使用的 API 相依性相關。
| 描述 | 限制 | Dependency |
|---|---|---|
| 使用圖表安全性 API 的每個呼叫指標 | 100 個指標 | Microsoft Graph 安全性 API |
| CSV 指標檔案匯入的大小 | 50MB | none |
| JSON 指標檔案匯入的大小 | 250MB | none |
TI 上傳指標 API 限制
下列限制適用於 Microsoft Sentinel 中的威脅情報上傳指標 API。
| 描述 | 限制 | Dependency |
|---|---|---|
| 每個要求的指標 | 100 個指標 | |
| 每分鐘要求 | 100 |
使用者與實體行為分析 (UEBA) 限制
下列限制適用於 Microsoft Sentinel 中的 UEBA。 Microsoft Sentinel 中的 UEBA 限制與另一個服務的相依性有關。
| 描述 | 限制 | Dependency |
|---|---|---|
| IdentityInfo 資料表的最低保留設定天數。 Log Analytics 中 IdentityInfo 資料表上儲存的所有資料會每隔 14 天重新整理一次。 | 14 天 | Log Analytics |
關注清單限制
下列限制適用於 Microsoft Sentinel 中的關注清單。 這些限制與關注清單所使用的其他服務相依性相關。
| 描述 | 限制 | Dependency |
|---|---|---|
| 本地檔案上傳大小 | 每個檔案 3.8 MB | Azure Resource Manager |
| CSV 檔案中的行輸入 | 每行 10,240 個字元 | Azure Resource Manager |
| 單一資料列的大小總計 | 10 Kb | Log Analytics |
| Azure 儲存體中檔案的上傳大小 | 每個檔案 500 MB | Azure 儲存體 |
| 每個工作區的作用中關注清單項目總數。 達到最大計數時,請刪除一些現有的項目以新增關注清單。 | 1 千萬個作用中的關注清單項目 | Log Analytics |
| 每個工作區所有關注清單項目的總變動率 | 每個月 1% 的變動率 | Log Analytics |
| 每個工作區一次上傳的大型關注清單數目 | 一個大型關注清單 | Azure Cosmos DB |
| 每個工作區一次刪除的大型關注清單數目 | 一個大型關注清單 | Azure Cosmos DB |
活頁簿限制
Sentinel 的活頁簿限制與 Azure 監視器中找到的結果限制相同。 如需詳細資訊,請參閱 Workbooks 結果限制。
工作區管理員限制
下列限制適用於 Microsoft Sentinel 中的工作區管理員。
| 描述 | 限制 | Dependency |
|---|---|---|
| 群組中已發佈的作業數目 已發佈作業 = (成員工作區) * (內容項目) |
2000 個已發佈作業 | 無 |