Använda resursrapporten för avancerad jaktfråga
Gäller för:
- Microsoft Defender XDR
Förstå avancerade jaktkvoter och användningsparametrar
För att hålla tjänsten högpresterande och dynamisk anger avancerad jakt olika kvoter och användningsparametrar (kallas även "tjänstgränser"). Dessa kvoter och parametrar gäller separat för frågor som körs manuellt och för frågor som körs med anpassade identifieringsregler. Kunder som kör flera frågor regelbundet bör vara medvetna om dessa gränser och tillämpa optimeringstips för att minimera störningar.
Se följande tabell för att förstå befintliga kvoter och användningsparametrar.
Kvot eller parameter | Storlek | Uppdateringscykel | Beskrivning |
---|---|---|---|
Datumintervall | 30 dagar för Defender XDR data om de inte strömmas via Microsoft Sentinel | Varje fråga | Varje fråga kan leta upp Defender XDR data från upp till de senaste 30 dagarna eller längre om de strömmas via Microsoft Sentinel |
Resultatuppsättning | 30 000 rader | Varje fråga | Varje fråga kan returnera upp till 30 000 poster. |
Timeout | 10 minuter | Varje fråga | Varje fråga kan köras i upp till 10 minuter. Om den inte slutförs inom 10 minuter visar tjänsten ett fel. |
CPU-resurser | Baserat på klientorganisationens storlek | Var 15:e minut | Portalen visar en varning när en fråga körs och klientorganisationen förbrukar över 10 % av de allokerade resurserna. Frågor blockeras om klientorganisationen når 100 % till efter nästa 15-minuterscykel. |
Obs!
En separat uppsättning kvoter och parametrar gäller för avancerade jaktfrågor som utförs via API:et. Läs mer om API:er för avancerad jakt
Visa rapporten med frågeresurser för att hitta ineffektiva frågor
Rapporten med frågeresurser visar organisationens förbrukning av CPU-resurser för jakt baserat på frågor som körts under de senaste 30 dagarna med något av jaktgränssnitten. Den här rapporten är användbar för att identifiera de mest resursintensiva frågorna och förstå hur du förhindrar begränsning på grund av överdriven användning.
Få åtkomst till frågeresursrapporten
Rapporten kan nås på två sätt:
På sidan avancerad jakt väljer du Fråga efter resursrapport:
På sidan Rapporter hittar du den nya rapportposten i avsnittet Allmänt
Alla användare kan komma åt rapporterna. Men endast rollerna Microsoft Entra global administratör, Microsoft Entra säkerhetsadministratör och Microsoft Entra säkerhetsläsare kan se frågor som utförs av alla användare i alla gränssnitt. Andra användare kan bara se:
- Frågor som de körde via portalen
- Offentliga API-frågor kördes själva och inte via programmet
- Anpassade identifieringar som de har skapat
Viktigt
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Fråga resursrapportinnehåll
Som standard visar rapporttabellen frågor från den senaste dagen och sorteras efter Resursanvändning för att hjälpa dig att enkelt identifiera vilka frågor som förbrukat den högsta mängden CPU-resurser.
Rapporten för frågeresurser innehåller alla frågor som kördes, inklusive detaljerad resursinformation per fråga:
- Time – när frågan kördes
- Gränssnitt – oavsett om frågan kördes i portalen, i anpassade identifieringar eller via API-fråga
- Användare/app – den användare eller app som körde frågan
- Resursanvändning – en indikator på mängden CPU-resurser som en fråga använder (kan vara låg, medel eller hög, där hög innebär att frågan använde en stor mängd CPU-resurser och bör förbättras för att bli mer effektiv)
- Tillstånd – om frågan slutfördes, misslyckades eller begränsades
- Frågetid – hur lång tid det tog att köra frågan
- Tidsintervall – tidsintervallet som används i frågan
Tips
Om frågetillståndet misslyckades kan du hovra över fältet för att visa orsaken till frågefelet.
Hitta resurskrävande frågor
Frågor med hög resursanvändning eller lång frågetid kan förmodligen optimeras för att förhindra begränsning via det här gränssnittet.
Diagrammet visar resursanvändning över tid per gränssnitt. Du kan enkelt identifiera överdriven användning och välja toppar i grafen för att filtrera tabellen därefter. När du har valt en post i diagrammet filtreras tabellen till det specifika datumet.
Du kan identifiera de frågor som använde flest resurser den dagen och vidta åtgärder för att förbättra dem – genom att tillämpa metodtips för frågor eller utbilda användaren som körde frågan eller skapade regeln för att ta hänsyn till frågeeffektivitet och resurser.
Om du vill visa en fråga markerar du de tre punkterna bredvid tidsstämpeln för frågan som du vill kontrollera och väljer Öppna i frågeredigeraren.
För guidat läge måste användaren växla till avancerat läge för att redigera frågan.
Diagrammet stöder två vyer:
- Genomsnittlig användning per dag – genomsnittlig användning av resurser per dag
- Högsta användning per dag – den högsta faktiska användningen av resurser per dag
Det innebär till exempel att om du en viss dag körde två frågor, en använde 50 % av dina resurser och en använde 100 %, skulle det genomsnittliga dagliga användningsvärdet visa 75 %, medan den högsta dagliga användningen skulle visa 100 %.
Relaterade artiklar
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.