次の方法で共有


高度なハンティング クエリ リソース レポートを使用する

適用対象:

  • Microsoft Defender XDR

高度なハンティング クォータと使用パラメーターについて理解する

サービスのパフォーマンスと応答性を維持するために、高度なハンティングでは、さまざまなクォータと使用パラメーター ("サービス制限" とも呼ばれます) が設定されます。 これらのクォータとパラメーターは、手動で実行されるクエリと 、カスタム検出ルールを使用して実行されるクエリに個別に適用されます。 複数のクエリを定期的に実行するお客様は、これらの制限に注意し、中断を最小限に抑えるための 最適化のベスト プラクティスを適用 する必要があります。

既存のクォータと使用パラメーターについては、次の表を参照してください。

クォータまたはパラメーター Size 更新サイクル 説明
日付範囲 Microsoft Sentinel経由でストリーミングされない限り、Defender XDR データに対して 30 日間 すべてのクエリ 各クエリは、過去 30 日間までのDefender XDRデータを検索できます。または、Microsoft Sentinel経由でストリーミングされた場合は長くなります。
結果セット 30,000 行 すべてのクエリ 各クエリは、最大 30,000 個のレコードを返すことができます。
Timeout 10 分 すべてのクエリ 各クエリは最大 10 分間実行できます。 10 分以内に完了しない場合、サービスはエラーを表示します。
CPU リソース テナントのサイズに基づく 15 分ごと クエリが実行され、テナントが割り当てられたリソースの 10% 以上を消費するたびに、ポータルに警告が表示されます。 テナントが次の 15 分のサイクルの後まで 100% に達した場合、クエリはブロックされます

注:

別のクォータとパラメーターのセットは、API を介して実行される高度なハンティング クエリに適用されます。 高度なハンティング API について読む

クエリ リソース レポートを表示して非効率的なクエリを見つける

クエリ リソース レポートには、ハンティング インターフェイスのいずれかを使用して過去 30 日間に実行されたクエリに基づいて、ハンティング用の CPU リソースのorganizationの消費量が表示されます。 このレポートは、リソースが最も多いクエリを特定し、過剰な使用による調整を防ぐ方法を理解するのに役立ちます。

クエリ リソース レポートにアクセスする

レポートには、次の 2 つの方法でアクセスできます。

  • 高度なハンティング ページで、[ リソース レポートのクエリ] を選択します。

    AH ポータルの [クエリ リソース レポート] ボタンを表示する

  • [ レポート ] ページで、[ 全般 ] セクションで新しいレポート エントリを見つけます

    [レポート] セクションでクエリ リソース レポートを表示する

すべてのユーザーがレポートにアクセスできます。ただし、すべてのインターフェイスのすべてのユーザーによって実行されるクエリを表示できるのは、Microsoft Entraグローバル管理者、Microsoft Entra セキュリティ管理者、およびセキュリティ閲覧者ロールMicrosoft Entraのみです。 その他のユーザーには、次の情報のみが表示されます。

  • ポータルを介して実行されたクエリ
  • アプリケーションを介してではなく、自分で実行したパブリック API クエリ
  • 作成したカスタム検出

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

リソース レポートの内容を照会する

既定では、レポート テーブルには、最後の日のクエリが表示され、リソース使用量で並べ替えられます。これにより、CPU リソースの使用量が最も多いクエリを簡単に特定できます。

クエリ リソース レポートには、クエリごとの詳細なリソース情報を含め、実行されたすべてのクエリが含まれます。

  • 時刻 – クエリが実行されたとき
  • インターフェイス – クエリがポータル、カスタム検出、または API クエリを使用して実行されたかどうか
  • ユーザー/アプリ – クエリを実行したユーザーまたはアプリ
  • リソース使用量 – クエリが消費した CPU リソースの量を示すインジケーター (低、中、高のいずれかです。高は、クエリが大量の CPU リソースを使用したことを意味し、より効率的に改善する必要があります)
  • 状態 – クエリが完了したか、失敗したか、調整されたか
  • クエリ時間 – クエリ の実行にかかった時間
  • 時間範囲 – クエリで使用される時間範囲

ヒント

クエリの状態が [失敗] の場合は、フィールドをポイントしてクエリエラーの理由を表示できます。

非効率的なクエリを表示する

リソースが多いクエリを検索する

リソース使用量が多いクエリやクエリ時間が長いクエリは、おそらく、このインターフェイスを介した調整を防ぐために最適化できます。

グラフには、インターフェイスごとの時間の経過に伴うリソース使用量が表示されます。 過剰な使用量を簡単に特定し、グラフのスパイクを選択して、それに応じてテーブルをフィルター処理できます。 グラフ内のエントリを選択すると、テーブルはその特定の日付にフィルター処理されます。

その日に最も多くのリソースを使用したクエリを特定し、 クエリのベスト プラクティスを適用するか、クエリを 実行したユーザーを教育したり、クエリの効率とリソースを考慮するルールを作成したりすることで、それらを改善するためのアクションを実行できます。

クエリを表示するには、チェックするクエリのタイムスタンプの横にある 3 つのドットを選択し、[クエリ エディターで開く] を選択します。

ガイド 付きモードの場合、ユーザーは 詳細モードに切り替えて クエリを編集する必要があります。

グラフでは、次の 2 つのビューがサポートされています。

  • 1 日あたりの平均使用量 – 1 日あたりのリソースの平均使用量
  • 1 日あたりの使用率が最も高い – 1 日あたりのリソースの実際の使用率が最も高い

クエリ リソース レポートの 2 つのビュー モード

つまり、たとえば、特定の日に 2 つのクエリを実行し、1 つはリソースの 50% を使用し、1 つは 100% を使用した場合、1 日の平均使用量の値は 75%、一日の使用量の上位は 100% になります。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。