Verwenden des Ressourcenberichts für erweiterte Suchabfragen
Gilt für:
- Microsoft Defender XDR
Grundlegendes zu erweiterten Huntingkontingenten und Verwendungsparametern
Um den Dienst leistungsfähig und reaktionsfähig zu halten, legt die erweiterte Suche verschiedene Kontingente und Nutzungsparameter (auch als "Dienstgrenzwerte" bezeichnet) fest. Diese Kontingente und Parameter gelten separat für Abfragen, die manuell und mit benutzerdefinierten Erkennungsregeln ausgeführt werden. Kunden, die regelmäßig mehrere Abfragen ausführen, sollten diese Grenzwerte beachten und bewährte Methoden zur Optimierung anwenden , um Unterbrechungen zu minimieren.
Informationen zu vorhandenen Kontingenten und Nutzungsparametern finden Sie in der folgenden Tabelle.
Kontingent oder Parameter | Size | Aktualisierungszyklus | Beschreibung |
---|---|---|---|
Datenbereich | 30 Tage | Jede Abfrage | Jede Abfrage kann Daten aus den letzten 30 Tagen nachschlagen. |
Resultset | 30.000 Zeilen | Jede Abfrage | Jede Abfrage kann bis zu 30.000 Datensätze zurückgeben. |
Timeout | 10 Minuten | Jede Abfrage | Jede Abfrage kann bis zu 10 Minuten lang ausgeführt werden. Wenn er nicht innerhalb von 10 Minuten abgeschlossen wird, zeigt der Dienst einen Fehler an. |
CPU-Ressourcen | Basierend auf der Mandantengröße | Alle 15 Minuten | Das Portal zeigt einen Fehler an , wenn eine Abfrage ausgeführt wird und der Mandant mehr als 10 % der zugeordneten Ressourcen verbraucht hat. Abfragen werden blockiert, wenn der Mandant bis nach dem nächsten 15-Minuten-Zyklus 100 % erreicht hat. |
Hinweis
Ein separater Satz von Kontingenten und Parametern gilt für erweiterte Huntingabfragen, die über die API ausgeführt werden. Erfahren Sie mehr über apIs für die erweiterte Suche.
Anzeigen des Berichts zu Abfrageressourcen, um ineffiziente Abfragen zu finden
Der Abfrageressourcenbericht zeigt den Verbrauch ihrer organization an CPU-Ressourcen für die Suche basierend auf Abfragen, die in den letzten 30 Tagen mithilfe einer der Hunting-Schnittstellen ausgeführt wurden. Dieser Bericht ist nützlich, um die ressourcenintensivsten Abfragen zu identifizieren und zu verstehen, wie eine Drosselung aufgrund übermäßiger Nutzung verhindert werden kann.
Zugreifen auf den Bericht zu Abfrageressourcen
Auf den Bericht kann auf zwei Arten zugegriffen werden:
Wählen Sie auf der Seite Erweiterte Suche die Option Ressourcenbericht abfragen aus:
Suchen Sie auf der Seite Berichte den neuen Berichtseintrag im Abschnitt Allgemein .
Alle Benutzer können auf die Berichte zugreifen, aber nur der Microsoft Entra globale Administrator, Microsoft Entra Sicherheitsadministrator und Microsoft Entra Sicherheitsleserrollen können Abfragen sehen, die von allen Benutzern in allen Schnittstellen ausgeführt wurden. Jeder andere Benutzer kann nur Folgendes sehen:
- Abfragen, die sie über das Portal ausgeführt haben
- Öffentliche API-Abfragen, die sie selbst ausgeführt haben und nicht über die Anwendung
- Von ihnen erstellte benutzerdefinierte Erkennungen
Inhalt des Abfrageressourcenberichts
Standardmäßig zeigt die Berichtstabelle Abfragen vom letzten Tag an und ist nach Ressourcennutzung sortiert, damit Sie leicht erkennen können, welche Abfragen die höchste Menge an CPU-Ressourcen verbraucht haben.
Der Abfrageressourcenbericht enthält alle ausgeführten Abfragen, einschließlich detaillierter Ressourceninformationen pro Abfrage:
- Uhrzeit : Zeitpunkt der Ausführung der Abfrage
- Schnittstelle – ob die Abfrage im Portal, in benutzerdefinierten Erkennungen oder über eine API-Abfrage ausgeführt wurde
- Benutzer/App : Der Benutzer oder die App, die die Abfrage ausgeführt hat
- Ressourcennutzung : Ein Indikator für die Menge der CPU-Ressourcen, die eine Abfrage verbraucht hat (kann niedrig, mittel oder hoch sein, wobei Hoch bedeutet, dass die Abfrage eine große Menge von CPU-Ressourcen verwendet hat und verbessert werden sollte, um effizienter zu sein).
- Status : Gibt an, ob die Abfrage abgeschlossen, fehlgeschlagen ist oder gedrosselt wurde.
- Abfragezeit : Wie lange die Ausführung der Abfrage gedauert hat
- Zeitbereich – der in der Abfrage verwendete Zeitbereich
Tipp
Wenn der Abfragestatus Fehler lautet, können Sie mit dem Mauszeiger auf das Feld zeigen, um die Ursache für den Abfragefehler anzuzeigen.
Suchen ressourcenintensiver Abfragen
Abfragen mit hoher Ressourcenauslastung oder einer langen Abfragezeit können wahrscheinlich optimiert werden, um eine Drosselung über diese Schnittstelle zu verhindern.
Das Diagramm zeigt die Ressourcennutzung im Zeitverlauf pro Schnittstelle an. Sie können eine übermäßige Nutzung leicht erkennen und auf die Spitzen im Diagramm klicken, um die Tabelle entsprechend zu filtern. Nachdem Sie einen Eintrag im Diagramm ausgewählt haben, wird die Tabelle nach diesem bestimmten Datum gefiltert.
Sie können die Abfragen identifizieren, die an diesem Tag die meisten Ressourcen verwendet haben, und Maßnahmen ergreifen, um sie zu verbessern– indem Sie bewährte Methoden für Abfragen anwenden oder den Benutzer aufklären, der die Abfrage ausgeführt oder die Regel erstellt hat, um die Abfrageeffizienz und -ressourcen zu berücksichtigen. Für den geführten Modus muss der Benutzer in den erweiterten Modus wechseln , um die Abfrage zu bearbeiten.
Das Diagramm unterstützt zwei Ansichten:
- Durchschnittliche Nutzung pro Tag – die durchschnittliche Ressourcennutzung pro Tag
- Höchste Nutzung pro Tag – die höchste tatsächliche Ressourcennutzung pro Tag
Dies bedeutet, dass für instance, wenn Sie an einem bestimmten Tag zwei Abfragen ausgeführt haben, eine 50 % Ihrer Ressourcen und eine 100 % verwendet hat, der durchschnittliche tägliche Nutzungswert 75 %, während die höchste tägliche Nutzung 100 % angezeigt würde.
Verwandte Themen
- Bewährte Methoden für die erweiterte Suche
- Behandeln von Fehlern bei der erweiterten Suche
- Übersicht über die erweiterte Suche
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für