Udostępnij za pośrednictwem

Korzystanie z raportu zaawansowanego zapytania wyszukiwania zagrożeń

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Omówienie zaawansowanych limitów przydziałów zagrożeń i parametrów użycia

Aby usługa była wydajna i dynamiczna, zaawansowane wyszukiwanie zagrożeń ustawia różne limity przydziału i parametry użycia (nazywane również "limitami usługi"). Te limity przydziału i parametry dotyczą oddzielnie zapytań uruchamianych ręcznie i zapytań uruchamianych przy użyciu niestandardowych reguł wykrywania. Klienci, którzy regularnie uruchamiają wiele zapytań, powinni pamiętać o tych limitach i stosować najlepsze rozwiązania optymalizacji w celu zminimalizowania zakłóceń.

Zapoznaj się z poniższą tabelą, aby poznać istniejące limity przydziału i parametry użycia.

Limit przydziału lub parametr Rozmiar Cykl odświeżania Opis
Zakres dat 30 dni dla danych Defender XDR, chyba że są przesyłane strumieniowo za pośrednictwem Microsoft Sentinel Każde zapytanie Każde zapytanie może wyszukiwać dane Defender XDR z ostatnich 30 dni lub dłużej, jeśli są przesyłane strumieniowo za pośrednictwem Microsoft Sentinel
Zestaw wyników 30 000 wierszy Każde zapytanie Każde zapytanie może zwrócić do 30 000 rekordów.
Limit czasu 10 minut Każde zapytanie Każde zapytanie może być uruchamiane przez maksymalnie 10 minut. Jeśli nie zostanie ukończona w ciągu 10 minut, usługa wyświetli błąd.
Zasoby procesora CPU Na podstawie rozmiaru dzierżawy Co 15 minut Portal wyświetla ostrzeżenie za każdym razem, gdy zapytanie jest uruchamiane, a dzierżawa zużywa ponad 10% przydzielonych zasobów. Zapytania są blokowane , jeśli dzierżawa osiągnie 100% aż do następnego 15-minutowego cyklu.

Uwaga

Oddzielny zestaw przydziałów i parametrów ma zastosowanie do zaawansowanych zapytań wyszukiwania zagrożeń wykonywanych za pośrednictwem interfejsu API. Przeczytaj o zaawansowanych interfejsach API wyszukiwania zagrożeń

Wyświetlanie raportu zasobów zapytań w celu znalezienia nieefektywnych zapytań

Raport zasobów zapytań przedstawia użycie zasobów procesora CPU przez organizację na potrzeby wyszukiwania zagrożeń na podstawie zapytań uruchomionych w ciągu ostatnich 30 dni przy użyciu dowolnego interfejsu wyszukiwania zagrożeń. Ten raport jest przydatny w identyfikowaniu zapytań intensywnie korzystających z zasobów i zrozumieniu, jak zapobiegać ograniczaniu przepustowości z powodu nadmiernego użycia.

Uzyskiwanie dostępu do raportu zasobów zapytania

Dostęp do raportu można uzyskać na dwa sposoby:

  • Na stronie zaawansowanego wyszukiwania zagrożeń wybierz pozycję Raport zasobów zapytań:

    wyświetlanie przycisku raportu zasobów zapytania w portalu AH

  • Na stronie Raporty znajdź nowy wpis raportu w sekcji Ogólne

    wyświetlanie raportu zasobów zapytania w sekcji Raporty

Wszyscy użytkownicy mogą uzyskiwać dostęp do raportów; Jednak tylko Microsoft Entra Administrator globalny, Microsoft Entra Administrator zabezpieczeń i Microsoft Entra Czytelnik zabezpieczeń mogą wyświetlać zapytania wykonywane przez wszystkich użytkowników we wszystkich interfejsach. Każdy inny użytkownik może zobaczyć tylko:

  • Zapytania uruchamiane za pośrednictwem portalu
  • Zapytania publicznego interfejsu API, które zostały uruchomione samodzielnie, a nie za pośrednictwem aplikacji
  • Utworzone przez nie wykrywanie niestandardowe

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Wykonywanie zapytań o zawartość raportu zasobu

Domyślnie tabela raportów wyświetla zapytania z ostatniego dnia i jest sortowana według użycia zasobów, aby ułatwić określenie, które zapytania zużywają największą ilość zasobów procesora CPU.

Raport zasobów zapytania zawiera wszystkie uruchomione zapytania, w tym szczegółowe informacje o zasobie dla zapytania:

  • Czas — kiedy zapytanie zostało uruchomione
  • Interfejs — czy zapytanie zostało uruchomione w portalu, w wykrywaniu niestandardowym, czy za pośrednictwem zapytania interfejsu API
  • Użytkownik/aplikacja — użytkownik lub aplikacja, która uruchomiła zapytanie
  • Użycie zasobów — wskaźnik ilości zasobów procesora CPU używanych przez zapytanie (może to być wartość Niska, Średnia lub Wysoka, gdzie wysoka oznacza, że zapytanie używało dużej ilości zasobów procesora CPU i powinno zostać ulepszone, aby było bardziej wydajne)
  • Stan — czy zapytanie zostało ukończone, zakończone niepowodzeniem, czy też zostało ograniczone
  • Czas wykonywania zapytania — jak długo trwało uruchamianie zapytania
  • Zakres czasu — zakres czasu używany w zapytaniu

Porada

Jeśli stan zapytania to Niepowodzenie, możesz zatrzymać kursor pola, aby wyświetlić przyczynę niepowodzenia zapytania.

wyświetlanie nieefektywnych zapytań

Znajdowanie zapytań z dużą ilością zasobów

Zapytania o wysokim użyciu zasobów lub długim czasie wykonywania zapytań można prawdopodobnie zoptymalizować, aby zapobiec ograniczaniu przepustowości za pośrednictwem tego interfejsu.

Na wykresie jest wyświetlane użycie zasobów w czasie dla interfejsu. Możesz łatwo zidentyfikować nadmierne użycie i wybrać skoki na grafie, aby odpowiednio filtrować tabelę. Po wybraniu wpisu na grafie tabela jest filtrowana do określonej daty.

Możesz zidentyfikować zapytania, które korzystały z największej ilości zasobów w danym dniu, i podjąć działania w celu ich ulepszenia — stosując najlepsze rozwiązania dotyczące zapytań lub uświec użytkownika, który uruchomił zapytanie lub utworzył regułę w celu uwzględnienia wydajności zapytań i zasobów.

Aby wyświetlić zapytanie, wybierz trzy kropki obok znacznika czasu zapytania, które chcesz sprawdzić, i wybierz pozycję Otwórz w edytorze zapytań.

W przypadku trybu z przewodnikiem użytkownik musi przełączyć się do trybu zaawansowanego , aby edytować zapytanie.

Wykres obsługuje dwa widoki:

  • Średnie użycie dziennie — średnie wykorzystanie zasobów dziennie
  • Najwyższe użycie dziennie — najwyższe rzeczywiste wykorzystanie zasobów dziennie

Dwa tryby wyświetlania dla raportu zasobów zapytań

Oznacza to, że jeśli na przykład w określonym dniu uruchomiono dwa zapytania, jedno z nich używało 50% zasobów, a jedno 100%, średnia dzienna wartość użycia będzie pokazywać 75%, podczas gdy górne dzienne użycie będzie pokazywać 100%.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.