Brug ressourcerapporten for avanceret jagtforespørgsel
Gælder for:
- Microsoft Defender XDR
Forstå avancerede jagtkvoter og forbrugsparametre
For at holde tjenesten højtydende og dynamisk angiver avanceret jagt forskellige kvoter og forbrugsparametre (også kendt som "tjenestegrænser"). Disse kvoter og parametre gælder separat for forespørgsler, der kører manuelt, og for forespørgsler, der kører ved hjælp af brugerdefinerede registreringsregler. Kunder, der kører flere forespørgsler regelmæssigt, skal være opmærksomme på disse grænser og anvende bedste praksis for optimering for at minimere afbrydelser.
Se følgende tabel for at forstå eksisterende kvoter og forbrugsparametre.
Kvote eller parameter | Størrelse | Opdateringscyklus | Beskrivelse |
---|---|---|---|
Datointerval | 30 dage for Defender XDR data, medmindre de streames gennem Microsoft Sentinel | Hver forespørgsel | Hver forespørgsel kan søge efter Defender XDR data fra op til de seneste 30 dage eller længere, hvis de streames via Microsoft Sentinel |
Resultatsæt | 30.000 rækker | Hver forespørgsel | Hver forespørgsel kan returnere op til 30.000 poster. |
Timeout | 10 minutter | Hver forespørgsel | Hver forespørgsel kan køre i op til 10 minutter. Hvis den ikke fuldføres inden for 10 minutter, viser tjenesten en fejl. |
CPU-ressourcer | Baseret på lejerstørrelse | Hvert 15. minut | Portalen viser en advarsel, hver gang en forespørgsel kører, og lejeren forbruger mere end 10 % af de allokerede ressourcer. Forespørgsler blokeres , hvis lejeren når 100 % indtil efter den næste 15-minutters cyklus. |
Bemærk!
Der gælder et separat sæt kvoter og parametre for avancerede jagtforespørgsler, der udføres via API'en. Læs om avancerede jagt-API'er
Vis rapport over forespørgselsressourcer for at finde ineffektive forespørgsler
Rapporten over forespørgselsressourcer viser din organisations forbrug af CPU-ressourcer til jagt baseret på forespørgsler, der er kørt inden for de sidste 30 dage ved hjælp af en af grænsefladerne til jagt. Denne rapport er nyttig til at identificere de mest ressourcetunge forespørgsler og forstå, hvordan du kan forhindre begrænsning på grund af overdreven brug.
Få adgang til rapporten med forespørgselsressourcer
Du kan få adgang til rapporten på to måder:
På siden avanceret jagt skal du vælge Rapport over forespørgselsressourcer:
På siden Rapporter kan du finde den nye rapportpost i afsnittet Generelt
Alle brugere har adgang til rapporterne. Det er dog kun rollerne Microsoft Entra Global administrator, Microsoft Entra Sikkerhedsadministrator og Microsoft Entra Sikkerhedslæser, der kan se forespørgsler udført af alle brugere i alle grænseflader. Alle andre brugere kan kun se:
- Forespørgsler, de kørte via portalen
- Offentlige API-forespørgsler, som de kørte selv og ikke via programmet
- Brugerdefinerede registreringer, de har oprettet
Vigtigt!
Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Forespørg om rapportindhold for ressource
Rapporttabellen viser som standard forespørgsler fra den sidste dag og er sorteret efter ressourceforbrug, så du nemt kan identificere, hvilke forespørgsler der brugte den højeste mængde CPU-ressourcer.
Rapporten over forespørgselsressourcer indeholder alle forespørgsler, der er kørt, herunder detaljerede ressourceoplysninger pr. forespørgsel:
- Time – da forespørgslen blev kørt
- Grænseflade – uanset om forespørgslen kørte på portalen, i brugerdefinerede registreringer eller via API-forespørgsel
- Bruger/app – den bruger eller app, der kørte forespørgslen
- Ressourceforbrug – en indikator for mængden af CPU-ressourcer, som en forespørgsel brugte (kan være Lav, Mellem eller Høj, hvor Høj betyder, at forespørgslen brugte en stor mængde CPU-ressourcer og bør forbedres for at være mere effektiv)
- State – om forespørgslen blev fuldført, mislykkedes eller blev begrænset
- Forespørgselstid – hvor lang tid det tog at køre forespørgslen
- Tidsinterval – det tidsinterval, der bruges i forespørgslen
Tip
Hvis forespørgselstilstanden mislykkedes, kan du holde markøren over feltet for at få vist årsagen til forespørgselsfejlen.
Find ressourcetunge forespørgsler
Forespørgsler med et højt ressourceforbrug eller en lang forespørgselstid kan sandsynligvis optimeres for at forhindre begrænsning via denne grænseflade.
Diagrammet viser ressourceforbruget over tid pr. grænseflade. Du kan nemt identificere overdreven brug og vælge stigninger i grafen for at filtrere tabellen i overensstemmelse hermed. Når du har valgt en post i diagrammet, filtreres tabellen til den pågældende dato.
Du kan identificere de forespørgsler, der brugte de fleste ressourcer den pågældende dag, og udføre handlinger for at forbedre dem – ved at anvende bedste praksis for forespørgsler eller uddanne den bruger, der kørte forespørgslen eller oprettede reglen, for at tage højde for forespørgslens effektivitet og ressourcer.
Hvis du vil have vist en forespørgsel, skal du vælge de tre prikker ud for tidsstemplet for den forespørgsel, du vil kontrollere, og vælge Åbn i forespørgselseditor.
I automatiseret tilstand skal brugeren skifte til avanceret tilstand for at redigere forespørgslen.
Grafen understøtter to visninger:
- Gennemsnitlig brug pr. dag – den gennemsnitlige brug af ressourcer pr. dag
- Højeste brug pr. dag – den højeste faktiske brug af ressourcer pr. dag
Det betyder f.eks., at hvis du på en bestemt dag kørte to forespørgsler, en brugte 50 % af dine ressourcer og én brugte 100 %, ville den gennemsnitlige værdi for daglig brug vise 75 %, mens den største daglige brug ville vise 100 %.
Relaterede artikler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.