使用進階搜捕查詢資源報告

適用於：

• Microsoft Defender XDR

了解進階搜捕配額和使用方式參數

為了保持服務的效能和回應性，進階搜捕會設定各種配額和使用方式參數 (也稱為「服務限制」) 。 這些配額和參數分別套用至手動執行的查詢，以及使用 自定義偵測規則執行的查詢。 定期執行多個查詢的客戶應該留意這些限制，並套用 優化最佳做法 以將中斷情況降到最低。

請參閱下表以了解現有的配額和使用方式參數。

配額或參數	大小	重新整理循環	描述
日期範圍	除非透過數據流 Defender 全面偵測回應 數據，否則為30天Microsoft Sentinel	每個查詢	每個查詢最多可以查閱過去 30 天內的 Defender 全面偵測回應 數據，如果是透過串流處理，則可以更久 Microsoft Sentinel
結果集	30,000 個數據列	每個查詢	每個查詢最多可以傳回 30,000 筆記錄。
逾時	10 分鐘	每個查詢	每個查詢最多只能執行 10 分鐘。 如果 10 分鐘內未完成，服務會顯示錯誤。
CPU 資源	根據租用戶大小	每 15 分鐘	每當查詢執行且租使用者耗用超過 10% 的已配置資源時，入口網站就會顯示警告。 如果租用戶達到 100%，直到下一個 15 分鐘週期之後，查詢就會遭到封鎖。

注意事項

一組個別的配額和參數會套用至透過 API 執行的進階搜捕查詢。 閱讀進階搜捕 API

檢視查詢資源報告以尋找效率不佳的查詢

查詢資源報告會根據過去 30 天內使用任何搜捕介面執行的查詢，顯示貴組織對搜捕的 CPU 資源耗用量。 此報告有助於識別資源最密集的查詢，以及瞭解如何防止因過度使用而導致節流。

存取查詢資源報告

您可以透過兩種方式來存取報表：

• 在進階搜捕頁面中，選取 [查詢資源報告]：

  

• 在 [ 報表] 頁面中，於 [ 一般 ] 區段中尋找新的報表專案

  

所有使用者都可以存取報表;不過，只有 Microsoft Entra 全域管理員、Microsoft Entra 安全性系統管理員和 Microsoft Entra 安全性讀取者角色，才能查看所有介面中所有使用者完成的查詢。 任何其他使用者只能看到：

• 他們透過入口網站執行的查詢
• 公用 API 查詢會自行執行，而不是透過應用程式執行
• 他們建立的自定義偵測

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色，應僅在無法使用現有角色的緊急案例下使用。

查詢資源報表內容

根據預設，報表數據表會顯示過去一天的查詢，並依資源使用量排序，以協助您輕鬆識別哪些查詢耗用了最高數量的 CPU 資源。

查詢資源報表包含所有執行的查詢，包括每個查詢的詳細資源資訊：

• 時間 – 查詢執行的時間
• 介面 – 查詢是在入口網站、自定義偵測中還是透過 API 查詢執行
• 使用者/應用程式 – 執行查詢的使用者或應用程式
• 資源使用量 – 查詢 (取用的 CPU 資源量指標可以是低、中或高，其中 High 表示查詢使用了大量的 CPU 資源，而且應該改善以更有效率)
• 狀態 – 查詢已完成、失敗或已節流
• 查詢時間 – 執行查詢所花費的時間
• 時間範圍 – 查詢中使用的時間範圍

提示

如果查詢狀態為 [失敗]，您可以將字段暫留在該字段，以檢視查詢失敗的原因。

尋找大量資源的查詢

高資源使用量或查詢時間較長的查詢可能會優化，以避免透過此介面進行節流。

此圖表會顯示每個介面一段時間的資源使用量。 您可以輕鬆地識別過多的使用量，並選取圖表中的尖峰來據以篩選數據表。 一旦您在圖形中選取項目，數據表就會篩選為該特定日期。

您可以藉由 套用查詢最佳做法 ，或教育執行查詢或建立規則的使用者將查詢效率和資源納入考慮，來識別當天使用最多資源的查詢，並採取動作來改善這些查詢。

若要檢視查詢，請選取您想要檢查之查詢時間戳旁邊的三個點，然後選取 [ 在查詢編輯器中開啟]。

針對引導模式，用戶必須 切換至進階模式 才能編輯查詢。

圖表支援兩個檢視：

• 每日平均使用量 – 每天平均使用資源
• 每日使用量最高 – 每日資源的實際使用量最高

這表示，例如，如果您在特定日期執行兩個查詢，其中一個使用 50% 的資源，另一個使用 100%，平均每日使用值會顯示 75%，而最常使用的每日會顯示 100%。

相關文章

• 進階搜捕最佳做法
• 處理進階搜捕錯誤
• 進階搜捕概觀

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。