Delen via


Het resourcerapport voor geavanceerde opsporingsquery's gebruiken

Van toepassing op:

  • Microsoft Defender XDR

Geavanceerde opsporingsquota en gebruiksparameters begrijpen

Om de service performant en responsief te houden, stelt geavanceerde opsporing verschillende quota en gebruiksparameters (ook wel 'servicelimieten' genoemd) in. Deze quota en parameters zijn afzonderlijk van toepassing op query's die handmatig worden uitgevoerd en op query's die worden uitgevoerd met behulp van aangepaste detectieregels. Klanten die regelmatig meerdere query's uitvoeren, moeten rekening houden met deze limieten en best practices voor optimalisatie toepassen om onderbrekingen te minimaliseren.

Raadpleeg de volgende tabel voor meer informatie over bestaande quota en gebruiksparameters.

Quotum of parameter Grootte Vernieuwingscyclus Beschrijving
Datumbereik 30 dagen voor Defender XDR gegevens, tenzij gestreamd via Microsoft Sentinel Elke query Elke query kan Defender XDR gegevens opzoeken van de afgelopen 30 dagen, of langer als ze worden gestreamd via Microsoft Sentinel
Resultatenset 30.000 rijen Elke query Elke query kan maximaal 30.000 records retourneren.
Timeout 10 minuten Elke query Elke query kan maximaal 10 minuten worden uitgevoerd. Als de service niet binnen 10 minuten wordt voltooid, wordt er een fout weergegeven.
CPU-resources Op basis van tenantgrootte Elke 15 minuten De portal geeft een waarschuwing weer wanneer een query wordt uitgevoerd en de tenant meer dan 10% van de toegewezen resources verbruikt. Query's worden geblokkeerd als de tenant 100% bereikt tot na de volgende cyclus van 15 minuten.

Opmerking

Er is een afzonderlijke set quota en parameters van toepassing op geavanceerde opsporingsquery's die worden uitgevoerd via de API. Meer informatie over geavanceerde opsporings-API's

Rapport queryresources weergeven om inefficiënte query's te vinden

Het rapport queryresources toont het verbruik van CPU-resources van uw organisatie voor opsporing op basis van query's die in de afgelopen 30 dagen zijn uitgevoerd met behulp van een van de opsporingsinterfaces. Dit rapport is handig om de meest resource-intensieve query's te identificeren en inzicht te krijgen in hoe u beperking als gevolg van overmatig gebruik kunt voorkomen.

Het rapport queryresources openen

Het rapport kan op twee manieren worden geopend:

  • Selecteer op de pagina Geavanceerde opsporing de optie Queryresourcesrapport:

    de knop rapport van queryresources weergeven in de AH-portal

  • Zoek op de pagina Rapporten de nieuwe rapportvermelding in de sectie Algemeen

    het rapport queryresources weergeven in de sectie Rapporten

Alle gebruikers hebben toegang tot de rapporten; Alleen de rollen Microsoft Entra globale beheerder, Microsoft Entra beveiligingsbeheerder en Microsoft Entra beveiligingslezer kunnen echter query's zien die door alle gebruikers in alle interfaces zijn uitgevoerd. Elke andere gebruiker kan alleen het volgende zien:

  • Query's die ze via de portal hebben uitgevoerd
  • Openbare API-query's die ze zelf hebben uitgevoerd en niet via de toepassing
  • Aangepaste detecties die ze hebben gemaakt

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Inhoud van resourcerapport opvragen

In de rapporttabel worden standaard query's van de laatste dag weergegeven en gesorteerd op Resourcegebruik, zodat u eenvoudig kunt bepalen welke query's het hoogste aantal CPU-resources verbruikten.

Het rapport queryresources bevat alle query's die zijn uitgevoerd, inclusief gedetailleerde resourcegegevens per query:

  • Tijd : wanneer de query is uitgevoerd
  • Interface : of de query is uitgevoerd in de portal, in aangepaste detecties of via API-query
  • Gebruiker/app : de gebruiker of app die de query heeft uitgevoerd
  • Resourcegebruik : een indicator van de hoeveelheid CPU-resources die een query verbruikt (kan Laag, Gemiddeld of Hoog zijn, waarbij Hoog betekent dat de query een grote hoeveelheid CPU-resources heeft gebruikt en moet worden verbeterd om efficiënter te zijn)
  • Status : of de query is voltooid, mislukt of is beperkt
  • Querytijd : hoe lang het duurde om de query uit te voeren
  • Tijdsbereik : het tijdsbereik dat in de query wordt gebruikt

Tip

Als de querystatus Mislukt is, kunt u het veld aanwijzen om de reden voor de queryfout weer te geven.

inefficiënte query's weergeven

Query's met veel resources zoeken

Query's met een hoog resourcegebruik of een lange querytijd kunnen waarschijnlijk worden geoptimaliseerd om beperking via deze interface te voorkomen.

In de grafiek wordt het resourcegebruik in de loop van de tijd per interface weergegeven. U kunt eenvoudig overmatig gebruik identificeren en de pieken in de grafiek selecteren om de tabel dienovereenkomstig te filteren. Zodra u een item in de grafiek hebt geselecteerd, wordt de tabel gefilterd op die specifieke datum.

U kunt de query's identificeren die de meeste resources op die dag hebben gebruikt en actie ondernemen om deze te verbeteren door best practices voor query's toe te passen of door de gebruiker die de query heeft uitgevoerd of de regel heeft gemaakt op te leiden om rekening te houden met queryefficiëntie en resources.

Als u een query wilt weergeven, selecteert u de drie puntjes naast het tijdstempel van de query die u wilt controleren en selecteert u Openen in queryeditor.

Voor de begeleide modus moet de gebruiker overschakelen naar de geavanceerde modus om de query te bewerken.

De grafiek ondersteunt twee weergaven:

  • Gemiddeld gebruik per dag: het gemiddelde gebruik van resources per dag
  • Hoogste gebruik per dag: het hoogste werkelijke gebruik van resources per dag

Twee weergavemodi voor rapport queryresources

Dit betekent bijvoorbeeld dat als u op een specifieke dag twee query's hebt uitgevoerd, één 50% van uw resources en één 100%, de gemiddelde dagelijkse gebruikswaarde 75% zou weergeven, terwijl het hoogste dagelijkse gebruik 100% zou weergeven.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.