Sdílet prostřednictvím


Použití sestavy prostředků rozšířeného dotazu proaktivního vyhledávání

Platí pro:

  • Microsoft Defender XDR

Vysvětlení pokročilých kvót proaktivního vyhledávání a parametrů využití

Aby služba zůstala výkonná a responzivní, pokročilé proaktivní vyhledávání nastavuje různé kvóty a parametry využití (označované také jako limity služby). Tyto kvóty a parametry se vztahují samostatně na dotazy spouštěné ručně a na dotazy spouštěné pomocí vlastních pravidel detekce. Zákazníci, kteří pravidelně spouštějí více dotazů, by měli mít na tato omezení pozor a používat osvědčené postupy optimalizace , aby se minimalizovala přerušení.

Informace o existujících kvótách a parametrech využití najdete v následující tabulce.

Kvóta nebo parametr Velikost Cyklus aktualizace Popis
Rozsah dat 30 dnů pro Defender XDR data, pokud nejsou streamovaná přes Microsoft Sentinel Každý dotaz Každý dotaz může vyhledat Defender XDR data za posledních 30 dnů nebo déle, pokud se streamuje přes Microsoft Sentinel
Sada výsledků 30 000 řádků Každý dotaz Každý dotaz může vrátit až 30 000 záznamů.
Přerušení zápasu 10 minut Každý dotaz Každý dotaz může běžet až 10 minut. Pokud se služba nedokončí do 10 minut, zobrazí chybu.
Prostředky procesoru Na základě velikosti tenanta Každých 15 minut Portál zobrazí upozornění, kdykoli se spustí dotaz a tenant spotřebuje více než 10 % přidělených prostředků. Dotazy se zablokují , pokud tenant dosáhne 100 % až po uplynutí dalšího 15minutového cyklu.

Poznámka

Samostatná sada kvót a parametrů se vztahuje na pokročilé dotazy proaktivního vyhledávání prováděné prostřednictvím rozhraní API. Přečtěte si o pokročilých rozhraních API proaktivního proaktivního vyhledávání.

Zobrazení sestavy prostředků dotazů pro vyhledání neefektivních dotazů

Sestava prostředků dotazů ukazuje, jak vaše organizace využívá prostředky procesoru k proaktivnímu vyhledávání na základě dotazů spuštěných během posledních 30 dnů pomocí některého z rozhraní proaktivního vyhledávání. Tato sestava je užitečná při identifikaci dotazů náročných na prostředky a při pochopení toho, jak zabránit omezování kvůli nadměrnému používání.

Přístup k sestavě prostředků dotazu

Sestava je přístupná dvěma způsoby:

  • Na stránce rozšířeného proaktivního vyhledávání vyberte Dotazovat sestavu prostředků:

    zobrazení tlačítka sestavy prostředků dotazu na portálu AH

  • Na stránce Sestavy vyhledejte novou položku sestavy v části Obecné.

    zobrazení sestavy prostředků dotazu v části Sestavy

Všichni uživatelé mají přístup k sestavám. Dotazy provedené všemi uživateli ve všech rozhraních však můžou zobrazit jenom role Microsoft Entra globální správce, správce zabezpečení Microsoft Entra a čtenář zabezpečení Microsoft Entra. Každý jiný uživatel může zobrazit jenom:

  • Dotazy, které spustili prostřednictvím portálu
  • Dotazy veřejného rozhraní API, které spustili sami, a ne prostřednictvím aplikace
  • Vlastní detekce, které vytvořili

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Dotazování na obsah sestavy prostředků

Ve výchozím nastavení se v tabulce sestavy zobrazují dotazy z posledního dne a jsou seřazené podle využití prostředků, abyste mohli snadno zjistit, které dotazy spotřebovávají největší množství prostředků procesoru.

Sestava prostředků dotazu obsahuje všechny spuštěné dotazy, včetně podrobných informací o prostředcích pro jednotlivé dotazy:

  • Čas – kdy se dotaz spustil
  • Rozhraní – jestli se dotaz spustil na portálu, ve vlastních detekcích nebo prostřednictvím dotazu rozhraní API.
  • Uživatel/aplikace – uživatel nebo aplikace, která dotaz spustila.
  • Využití prostředků – indikátor množství prostředků procesoru, které dotaz spotřeboval (může být Nízká, Střední nebo Vysoká, kde Vysoká znamená, že dotaz využíval velké množství prostředků procesoru a měl by se vylepšit, aby byl efektivnější).
  • Stav – jestli byl dotaz dokončený, neúspěšný nebo omezený.
  • Doba dotazu – jak dlouho trvalo spuštění dotazu
  • Časový rozsah – časový rozsah použitý v dotazu

Tip

Pokud je dotaz ve stavu Selhání, můžete na pole najet myší a zobrazit důvod selhání dotazu.

zobrazení neefektivních dotazů

Vyhledání dotazů náročných na prostředky

Dotazy s vysokým využitím prostředků nebo dlouhou dobou dotazování je pravděpodobně možné optimalizovat tak, aby se zabránilo omezování prostřednictvím tohoto rozhraní.

Graf zobrazuje využití prostředků v průběhu času na rozhraní. Můžete snadno identifikovat nadměrné využití a vybrat špičky v grafu, aby se tabulka odpovídajícím způsobem vyfiltruje. Jakmile vyberete položku v grafu, tabulka se vyfiltruje na konkrétní datum.

Můžete identifikovat dotazy, které v daný den používaly nejvíce prostředků, a podniknout kroky k jejich vylepšení – použitím osvědčených postupů pro dotazy nebo vzděláváním uživatele, který dotaz spustil nebo vytvořil pravidlo, aby zohlednil efektivitu dotazů a prostředky.

Pokud chcete zobrazit dotaz, vyberte tři tečky vedle časového razítka dotazu, který chcete zkontrolovat, a vyberte Otevřít v editoru dotazů.

V režimu s asistencí musí uživatel přepnout do rozšířeného režimu , aby upravil dotaz.

Graf podporuje dvě zobrazení:

  • Průměrné využití za den – průměrné využití zdrojů za den
  • Nejvyšší využití za den – nejvyšší skutečné využití prostředků za den

Dva režimy zobrazení pro sestavu prostředků dotazů

To znamená, že pokud jste například v určitý den spustili dva dotazy, jeden z nich využil 50 % prostředků a jeden 100 %, průměrná denní hodnota využití by se zobrazila na 75 %, zatímco u nejvyššího denního využití 100 %.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.