Dela via

Använda resursrapporten för avancerad jaktfråga

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Förstå avancerade jaktkvoter och användningsparametrar

För att hålla tjänsten högpresterande och dynamisk anger avancerad jakt olika kvoter och användningsparametrar (kallas även "tjänstgränser"). Dessa kvoter och parametrar gäller separat för frågor som körs manuellt och för frågor som körs med anpassade identifieringsregler. Kunder som kör flera frågor regelbundet bör vara medvetna om dessa gränser och tillämpa optimeringstips för att minimera störningar.

Se följande tabell för att förstå befintliga kvoter och användningsparametrar.

Kvot eller parameter Storlek Uppdateringscykel Beskrivning
Datumintervall 30 dagar för Defender XDR data om de inte strömmas via Microsoft Sentinel Varje fråga Varje fråga kan leta upp Defender XDR data från upp till de senaste 30 dagarna eller längre om de strömmas via Microsoft Sentinel
Resultatuppsättning 30 000 rader Varje fråga Varje fråga kan returnera upp till 30 000 poster.
Timeout 10 minuter Varje fråga Varje fråga kan köras i upp till 10 minuter. Om den inte slutförs inom 10 minuter visar tjänsten ett fel.
CPU-resurser Baserat på klientorganisationens storlek Var 15:e minut Portalen visar en varning när en fråga körs och klientorganisationen förbrukar över 10 % av de allokerade resurserna. Frågor blockeras om klientorganisationen når 100 % till efter nästa 15-minuterscykel.

Obs!

En separat uppsättning kvoter och parametrar gäller för avancerade jaktfrågor som utförs via API:et. Läs mer om API:er för avancerad jakt

Visa rapporten med frågeresurser för att hitta ineffektiva frågor

Rapporten med frågeresurser visar organisationens förbrukning av CPU-resurser för jakt baserat på frågor som körts under de senaste 30 dagarna med något av jaktgränssnitten. Den här rapporten är användbar för att identifiera de mest resursintensiva frågorna och förstå hur du förhindrar begränsning på grund av överdriven användning.

Få åtkomst till frågeresursrapporten

Rapporten kan nås på två sätt:

  • På sidan avancerad jakt väljer du Fråga efter resursrapport:

    visa rapportknappen för frågeresurser i AH-portalen

  • På sidan Rapporter hittar du den nya rapportposten i avsnittet Allmänt

    visa rapporten för frågeresurser i avsnittet Rapporter

Alla användare kan komma åt rapporterna. Men endast rollerna Microsoft Entra global administratör, Microsoft Entra säkerhetsadministratör och Microsoft Entra säkerhetsläsare kan se frågor som utförs av alla användare i alla gränssnitt. Andra användare kan bara se:

  • Frågor som de körde via portalen
  • Offentliga API-frågor kördes själva och inte via programmet
  • Anpassade identifieringar som de har skapat

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Fråga resursrapportinnehåll

Som standard visar rapporttabellen frågor från den senaste dagen och sorteras efter Resursanvändning för att hjälpa dig att enkelt identifiera vilka frågor som förbrukat den högsta mängden CPU-resurser.

Rapporten för frågeresurser innehåller alla frågor som kördes, inklusive detaljerad resursinformation per fråga:

  • Time – när frågan kördes
  • Gränssnitt – oavsett om frågan kördes i portalen, i anpassade identifieringar eller via API-fråga
  • Användare/app – den användare eller app som körde frågan
  • Resursanvändning – en indikator på mängden CPU-resurser som en fråga använder (kan vara låg, medel eller hög, där hög innebär att frågan använde en stor mängd CPU-resurser och bör förbättras för att bli mer effektiv)
  • Tillstånd – om frågan slutfördes, misslyckades eller begränsades
  • Frågetid – hur lång tid det tog att köra frågan
  • Tidsintervall – tidsintervallet som används i frågan

Tips

Om frågetillståndet misslyckades kan du hovra över fältet för att visa orsaken till frågefelet.

visa ineffektiva frågor

Hitta resurskrävande frågor

Frågor med hög resursanvändning eller lång frågetid kan förmodligen optimeras för att förhindra begränsning via det här gränssnittet.

Diagrammet visar resursanvändning över tid per gränssnitt. Du kan enkelt identifiera överdriven användning och välja toppar i grafen för att filtrera tabellen därefter. När du har valt en post i diagrammet filtreras tabellen till det specifika datumet.

Du kan identifiera de frågor som använde flest resurser den dagen och vidta åtgärder för att förbättra dem – genom att tillämpa metodtips för frågor eller utbilda användaren som körde frågan eller skapade regeln för att ta hänsyn till frågeeffektivitet och resurser.

Om du vill visa en fråga markerar du de tre punkterna bredvid tidsstämpeln för frågan som du vill kontrollera och väljer Öppna i frågeredigeraren.

För guidat läge måste användaren växla till avancerat läge för att redigera frågan.

Diagrammet stöder två vyer:

  • Genomsnittlig användning per dag – genomsnittlig användning av resurser per dag
  • Högsta användning per dag – den högsta faktiska användningen av resurser per dag

Två visningslägen för frågeresursrapport

Det innebär till exempel att om du en viss dag körde två frågor, en använde 50 % av dina resurser och en använde 100 %, skulle det genomsnittliga dagliga användningsvärdet visa 75 %, medan den högsta dagliga användningen skulle visa 100 %.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.