Microsoft Sentinel 的服務限制
本文列出您在使用 Microsoft Sentinel 時可能會遇到的最常見服務限制。 如需可能會影響您使用之服務或功能的其他限制,例如 Azure 監視器,請參閱 Azure 訂用帳戶和服務限制、配額和限制。
分析規則限制
下列限制適用於 Microsoft Sentinel 中的分析規則。
| 描述 | 限制 | Dependency |
|---|---|---|
| 已啟用的規則數目 | 512 個規則 | 無 |
| 近乎實時的規則數目 | 50 個 NRT 規則 | 無 |
| 實體對應 | 每個規則10個對應 | 無 |
| 每個警示識別的實體 (在對應實體之間平均分割) |
每個警示 500 個實體 | 無 |
| 實體 累計大小限制 | 64 KB | 無 |
| 自訂詳細數據 | 每個規則 20 個詳細數據 | 無 |
| 自訂詳細數據和警示詳細數據 合併累計大小限制 |
64 KB | 無 |
| 每個規則的警示 當事件群組設定為 [觸發每個事件的警示] 時適用 |
150 個警示 | 無 |
| NRT 規則的每個規則警示 | 30 個警示 | 無 |
搜捕限制
下列限制適用於 Microsoft Sentinel 中的 Hunts。
| 描述 | 限制 | Dependency |
|---|---|---|
| 搜捕次數 | 100 | 無 |
事件限制
下列限制適用於 Microsoft Sentinel 中的事件。
| 描述 | 限制 | Dependency |
|---|---|---|
| 調查體驗可用性 | 從事件上次更新時間起的90天 | 無 |
| 警示數目 | 150 個警示 | 無 |
| 自動化規則數目 | 512 個規則 | 無 |
| 自動化規則動作的數目 | 20 個動作 | 無 |
| 自動化規則條件的數目 | 50 個條件 | 無 |
| 書籤數目 | 20 個書籤 | 無 |
| 自動化規則名稱的字元數 | 500 個字元 | 無 |
| 描述的字元數 | 5K 個字元 | 無 |
| 每個批註的字元數 | 30K 個字元 | 無 |
| 每個事件的批注數目 | 100 批注 | 無 |
| 工作數目 | 100 個工作 | 無 |
| API 傳回的事件數目以 列出 要求 | 最多1000個事件 | 無 |
機器學習型限制
下列限制適用於 Microsoft Sentinel 中以機器學習為基礎的功能,例如可自定義的異常和 Fusion。
| 描述 | 限制 | Dependency |
|---|---|---|
| 每個異常類型發佈的異常數目 | 排名前 3000 名的異常分數 | 無 |
| 單一 Fusion 事件中的警示和/或異常數目 | 100 個警示和/或異常 | 無 |
多重工作區限制
下列限制適用於 Microsoft Sentinel 中的多個工作區。 在一次使用 Sentinel 功能時,會套用此處的限制。
| 描述 | 限制 | Dependency |
|---|---|---|
| 事件檢視 | 100 個同時顯示的工作區 | |
| 記錄檔查詢 | 100 Sentinel 工作區 | Log Analytics |
| 分析規則 | 每個查詢 20 個 Sentinel 工作區 |
筆記本限制
下列限制適用於 Microsoft Sentinel 中的筆記本。 這些限制與筆記本所使用的其他服務相依性相關。
| 描述 | 限制 | Dependency |
|---|---|---|
| 每個機器學習工作區這些資產的總計數:數據集、執行、模型和成品 | 1000 萬個資產 | Azure Machine Learning |
| 每個區域計算叢集總數的預設限制。 定型叢集與計算實例之間會共用限制。 針對配額用途,計算執行個體會被視為單一節點叢集。 | 每個區域的 200 個計算叢集 | Azure Machine Learning |
| 每個訂用帳戶的每個區域 儲存體 帳戶 | 250 個記憶體帳戶 | Azure 儲存體 |
| 依預設檔案共用的大小上限 | 5 TB | Azure 儲存體 |
| 已啟用大型檔案共用功能的檔案共用大小上限 | 100 TB | Azure 儲存體 |
| 依預設,單一檔案共用的最大輸送量 (輸入 + 輸出) | 60 MB/秒 | Azure 儲存體 |
| 已開啟大型檔案分享功能的單一檔案共用的最大輸送量 (輸入 + 輸出) | 300 MB/秒 | Azure 儲存體 |
存放庫限制
下列限制適用於 Microsoft Sentinel 中的存放庫。
| 描述 | 限制 | Dependency |
|---|---|---|
| 存放庫數目 | 5 | Sentinel 工作區 |
| 部署歷程記錄 | 800 | Azure 資源群組 |
威脅情報限制
下列限制適用於 Microsoft Sentinel 中的威脅情報。 此限制與威脅情報所使用的 API 相依性相關。
| 描述 | 限制 | Dependency |
|---|---|---|
| 使用圖形安全性 API 的每個呼叫指標 | 100 個指標 | Microsoft Graph 安全性 API |
| CSV 指標檔案匯入大小 | 50MB | none |
| JSON 指標檔案匯入大小 | 250MB | none |
TI 上傳指標 API 限制
下列限制適用於 Microsoft Sentinel 中的威脅情報上傳指標 API。
| 描述 | 限制 | Dependency |
|---|---|---|
| 每個要求的指標 | 100 個指標 | |
| 每分鐘要求 | 100 |
用戶和實體行為分析 (UEBA) 限制
下列限制適用於 Microsoft Sentinel 中的 UEBA。 Microsoft Sentinel 中 UEBA 的限制與另一個服務的相依性相關。
| 描述 | 限制 | Dependency |
|---|---|---|
| IdentityInfo 數據表的天數內最低保留組態。 Log Analytics 中 IdentityInfo 數據表上儲存的所有數據都會每隔 14 天重新整理一次。 | 14 天 | Log Analytics |
關注清單限制
下列限制適用於 Microsoft Sentinel 中的關注清單。 這些限制與關注清單所使用的其他服務相依性相關。
| 描述 | 限制 | Dependency |
|---|---|---|
| 上傳本機檔案的大小 | 每個檔案 3.8 MB | Azure Resource Manager |
| CSV 檔案中的行專案 | 每行 10,240 個字元 | Azure Resource Manager |
| 單一數據列的大小總計 | 10 Kb | Log Analytics |
| 在 Azure 儲存體 中上傳檔案的大小 | 每個檔案 500 MB | Azure 儲存體 |
| 每個工作區的作用中關注清單項目總數。 達到最大計數時,請刪除一些現有的專案以新增關注清單。 | 1000 萬個使用中的關注清單專案 | Log Analytics |
| 每個工作區所有關注清單項目的變更總數 | 每月 1% 的變更率 | Log Analytics |
| 一次上傳每個工作區的大型關注清單數目 | 一個大型關注清單 | Azure Cosmos DB |
| 一次刪除每個工作區的大型關注清單數目 | 一個大型關注清單 | Azure Cosmos DB |
活頁簿限制
Sentinel 的活頁簿限制與 Azure 監視器中找到的結果限制相同。 如需詳細資訊,請參閱 活頁簿結果限制。
工作區管理員限制
下列限制適用於 Microsoft Sentinel 中的工作區管理員。
| 描述 | 限制 | Dependency |
|---|---|---|
| 群組中已發行的作業數目 已發佈的作業 = (成員工作區) * (內容專案) |
2000 個已發佈的作業 | 無 |