Verwenden des Ressourcenberichts für erweiterte Suchabfragen

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Grundlegendes zu erweiterten Huntingkontingenten und Verwendungsparametern

Um den Dienst leistungsfähig und reaktionsfähig zu halten, legt die erweiterte Suche verschiedene Kontingente und Nutzungsparameter (auch als "Dienstgrenzwerte" bezeichnet) fest. Diese Kontingente und Parameter gelten separat für Abfragen, die manuell und mit benutzerdefinierten Erkennungsregeln ausgeführt werden. Kunden, die regelmäßig mehrere Abfragen ausführen, sollten diese Grenzwerte beachten und bewährte Methoden zur Optimierung anwenden , um Unterbrechungen zu minimieren.

Informationen zu vorhandenen Kontingenten und Nutzungsparametern finden Sie in der folgenden Tabelle.

Kontingent oder Parameter Size Aktualisierungszyklus Beschreibung
Datenbereich 30 Tage Jede Abfrage Jede Abfrage kann Daten aus den letzten 30 Tagen nachschlagen.
Resultset 30.000 Zeilen Jede Abfrage Jede Abfrage kann bis zu 30.000 Datensätze zurückgeben.
Timeout 10 Minuten Jede Abfrage Jede Abfrage kann bis zu 10 Minuten lang ausgeführt werden. Wenn er nicht innerhalb von 10 Minuten abgeschlossen wird, zeigt der Dienst einen Fehler an.
CPU-Ressourcen Basierend auf der Mandantengröße Alle 15 Minuten Das Portal zeigt einen Fehler an , wenn eine Abfrage ausgeführt wird und der Mandant mehr als 10 % der zugeordneten Ressourcen verbraucht hat. Abfragen werden blockiert, wenn der Mandant bis nach dem nächsten 15-Minuten-Zyklus 100 % erreicht hat.

Hinweis

Ein separater Satz von Kontingenten und Parametern gilt für erweiterte Huntingabfragen, die über die API ausgeführt werden. Erfahren Sie mehr über apIs für die erweiterte Suche.

Anzeigen des Berichts zu Abfrageressourcen, um ineffiziente Abfragen zu finden

Der Abfrageressourcenbericht zeigt den Verbrauch ihrer organization an CPU-Ressourcen für die Suche basierend auf Abfragen, die in den letzten 30 Tagen mithilfe einer der Hunting-Schnittstellen ausgeführt wurden. Dieser Bericht ist nützlich, um die ressourcenintensivsten Abfragen zu identifizieren und zu verstehen, wie eine Drosselung aufgrund übermäßiger Nutzung verhindert werden kann.

Zugreifen auf den Bericht zu Abfrageressourcen

Auf den Bericht kann auf zwei Arten zugegriffen werden:

  • Wählen Sie auf der Seite Erweiterte Suche die Option Ressourcenbericht abfragen aus:

    Anzeigen der Berichtsschaltfläche für Abfrageressourcen im AH-Portal

  • Suchen Sie auf der Seite Berichte den neuen Berichtseintrag im Abschnitt Allgemein .

    Anzeigen des Abfrageressourcenberichts im Abschnitt Berichte

Alle Benutzer können auf die Berichte zugreifen, aber nur der Microsoft Entra globale Administrator, Microsoft Entra Sicherheitsadministrator und Microsoft Entra Sicherheitsleserrollen können Abfragen sehen, die von allen Benutzern in allen Schnittstellen ausgeführt wurden. Jeder andere Benutzer kann nur Folgendes sehen:

  • Abfragen, die sie über das Portal ausgeführt haben
  • Öffentliche API-Abfragen, die sie selbst ausgeführt haben und nicht über die Anwendung
  • Von ihnen erstellte benutzerdefinierte Erkennungen

Inhalt des Abfrageressourcenberichts

Standardmäßig zeigt die Berichtstabelle Abfragen vom letzten Tag an und ist nach Ressourcennutzung sortiert, damit Sie leicht erkennen können, welche Abfragen die höchste Menge an CPU-Ressourcen verbraucht haben.

Der Abfrageressourcenbericht enthält alle ausgeführten Abfragen, einschließlich detaillierter Ressourceninformationen pro Abfrage:

  • Uhrzeit : Zeitpunkt der Ausführung der Abfrage
  • Schnittstelle – ob die Abfrage im Portal, in benutzerdefinierten Erkennungen oder über eine API-Abfrage ausgeführt wurde
  • Benutzer/App : Der Benutzer oder die App, die die Abfrage ausgeführt hat
  • Ressourcennutzung : Ein Indikator für die Menge der CPU-Ressourcen, die eine Abfrage verbraucht hat (kann niedrig, mittel oder hoch sein, wobei Hoch bedeutet, dass die Abfrage eine große Menge von CPU-Ressourcen verwendet hat und verbessert werden sollte, um effizienter zu sein).
  • Status : Gibt an, ob die Abfrage abgeschlossen, fehlgeschlagen ist oder gedrosselt wurde.
  • Abfragezeit : Wie lange die Ausführung der Abfrage gedauert hat
  • Zeitbereich – der in der Abfrage verwendete Zeitbereich

Tipp

Wenn der Abfragestatus Fehler lautet, können Sie mit dem Mauszeiger auf das Feld zeigen, um die Ursache für den Abfragefehler anzuzeigen.

Anzeigen ineffizienter Abfragen

Suchen ressourcenintensiver Abfragen

Abfragen mit hoher Ressourcenauslastung oder einer langen Abfragezeit können wahrscheinlich optimiert werden, um eine Drosselung über diese Schnittstelle zu verhindern.

Das Diagramm zeigt die Ressourcennutzung im Zeitverlauf pro Schnittstelle an. Sie können eine übermäßige Nutzung leicht erkennen und auf die Spitzen im Diagramm klicken, um die Tabelle entsprechend zu filtern. Nachdem Sie einen Eintrag im Diagramm ausgewählt haben, wird die Tabelle nach diesem bestimmten Datum gefiltert.

Sie können die Abfragen identifizieren, die an diesem Tag die meisten Ressourcen verwendet haben, und Maßnahmen ergreifen, um sie zu verbessern– indem Sie bewährte Methoden für Abfragen anwenden oder den Benutzer aufklären, der die Abfrage ausgeführt oder die Regel erstellt hat, um die Abfrageeffizienz und -ressourcen zu berücksichtigen. Für den geführten Modus muss der Benutzer in den erweiterten Modus wechseln , um die Abfrage zu bearbeiten.

Das Diagramm unterstützt zwei Ansichten:

  • Durchschnittliche Nutzung pro Tag – die durchschnittliche Ressourcennutzung pro Tag
  • Höchste Nutzung pro Tag – die höchste tatsächliche Ressourcennutzung pro Tag

Zwei Ansichtsmodi für den Bericht zu Abfrageressourcen

Dies bedeutet, dass für instance, wenn Sie an einem bestimmten Tag zwei Abfragen ausgeführt haben, eine 50 % Ihrer Ressourcen und eine 100 % verwendet hat, der durchschnittliche tägliche Nutzungswert 75 %, während die höchste tägliche Nutzung 100 % angezeigt würde.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.