Verwenden des Ressourcenberichts für erweiterte Suchabfragen
Gilt für:
- Microsoft Defender XDR
Grundlegendes zu erweiterten Huntingkontingenten und Verwendungsparametern
Um den Dienst leistungsfähig und reaktionsfähig zu halten, legt die erweiterte Suche verschiedene Kontingente und Nutzungsparameter (auch als "Dienstgrenzwerte" bezeichnet) fest. Diese Kontingente und Parameter gelten separat für Abfragen, die manuell und mit benutzerdefinierten Erkennungsregeln ausgeführt werden. Kunden, die regelmäßig mehrere Abfragen ausführen, sollten diese Grenzwerte beachten und bewährte Methoden zur Optimierung anwenden , um Unterbrechungen zu minimieren.
Informationen zu vorhandenen Kontingenten und Nutzungsparametern finden Sie in der folgenden Tabelle.
Kontingent oder Parameter | Größe | Aktualisierungszyklus | Beschreibung |
---|---|---|---|
Datumsbereich | 30 Tage für Defender XDR Daten, sofern sie nicht über Microsoft Sentinel gestreamt werden | Jede Abfrage | Jede Abfrage kann Defender XDR Daten bis zu den letzten 30 Tagen oder länger suchen, wenn sie über Microsoft Sentinel |
Resultset | 30.000 Zeilen | Jede Abfrage | Jede Abfrage kann bis zu 30.000 Datensätze zurückgeben. |
Timeout | 10 Minuten | Jede Abfrage | Jede Abfrage kann bis zu 10 Minuten lang ausgeführt werden. Wenn sie nicht innerhalb von 10 Minuten abgeschlossen wird, zeigt der Dienst einen Fehler an. |
CPU-Ressourcen | Basierend auf der Mandantengröße | Alle 15 Minuten | Das Portal zeigt eine Warnung an, wenn eine Abfrage ausgeführt wird und der Mandant mehr als 10 % der zugeordneten Ressourcen verbraucht. Abfragen werden blockiert , wenn der Mandant bis nach dem nächsten 15-Minütigen Zyklus 100 % erreicht. |
Hinweis
Ein separater Satz von Kontingenten und Parametern gilt für erweiterte Huntingabfragen, die über die API ausgeführt werden. Erfahren Sie mehr über apIs für die erweiterte Suche.
Anzeigen des Berichts zu Abfrageressourcen, um ineffiziente Abfragen zu finden
Der Abfrageressourcenbericht zeigt den Verbrauch ihrer organization an CPU-Ressourcen für die Suche basierend auf Abfragen, die in den letzten 30 Tagen mithilfe einer der Hunting-Schnittstellen ausgeführt wurden. Dieser Bericht ist nützlich, um die ressourcenintensivsten Abfragen zu identifizieren und zu verstehen, wie eine Drosselung aufgrund übermäßiger Nutzung verhindert werden kann.
Zugreifen auf den Bericht zu Abfrageressourcen
Auf den Bericht kann auf zwei Arten zugegriffen werden:
Wählen Sie auf der Seite Erweiterte Suche die Option Ressourcenbericht abfragen aus:
Suchen Sie auf der Seite Berichte den neuen Berichtseintrag im Abschnitt Allgemein .
Alle Benutzer können auf die Berichte zugreifen; Allerdings können nur die Rollen Microsoft Entra globaler Administrator, Microsoft Entra Sicherheitsadministrator und Microsoft Entra Sicherheitsleseberechtigter Abfragen sehen, die von allen Benutzern an allen Schnittstellen ausgeführt wurden. Jeder andere Benutzer kann nur Folgendes sehen:
- Abfragen, die sie über das Portal ausgeführt haben
- Öffentliche API-Abfragen, die sie selbst ausgeführt haben und nicht über die Anwendung
- Von ihnen erstellte benutzerdefinierte Erkennungen
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Inhalt des Abfrageressourcenberichts
Standardmäßig zeigt die Berichtstabelle Abfragen vom letzten Tag an und ist nach Ressourcennutzung sortiert, damit Sie leicht erkennen können, welche Abfragen die höchste Menge an CPU-Ressourcen verbraucht haben.
Der Abfrageressourcenbericht enthält alle ausgeführten Abfragen, einschließlich detaillierter Ressourceninformationen pro Abfrage:
- Uhrzeit : Zeitpunkt der Ausführung der Abfrage
- Schnittstelle – ob die Abfrage im Portal, in benutzerdefinierten Erkennungen oder über eine API-Abfrage ausgeführt wurde
- Benutzer/App : Der Benutzer oder die App, die die Abfrage ausgeführt hat
- Ressourcennutzung : Ein Indikator für die Menge der CPU-Ressourcen, die eine Abfrage verbraucht hat (kann niedrig, mittel oder hoch sein, wobei Hoch bedeutet, dass die Abfrage eine große Menge von CPU-Ressourcen verwendet hat und verbessert werden sollte, um effizienter zu sein).
- Status : Gibt an, ob die Abfrage abgeschlossen, fehlgeschlagen ist oder gedrosselt wurde.
- Abfragezeit : Wie lange die Ausführung der Abfrage gedauert hat
- Zeitbereich – der in der Abfrage verwendete Zeitbereich
Tipp
Wenn der Abfragestatus Fehler lautet, können Sie mit dem Mauszeiger auf das Feld zeigen, um die Ursache für den Abfragefehler anzuzeigen.
Suchen ressourcenintensiver Abfragen
Abfragen mit hoher Ressourcenauslastung oder einer langen Abfragezeit können wahrscheinlich optimiert werden, um eine Drosselung über diese Schnittstelle zu verhindern.
Das Diagramm zeigt die Ressourcennutzung im Zeitverlauf pro Schnittstelle an. Sie können eine übermäßige Nutzung leicht identifizieren und die Spitzen im Diagramm auswählen, um die Tabelle entsprechend zu filtern. Nachdem Sie einen Eintrag im Diagramm ausgewählt haben, wird die Tabelle nach diesem bestimmten Datum gefiltert.
Sie können die Abfragen identifizieren, die an diesem Tag die meisten Ressourcen verwendet haben, und Maßnahmen ergreifen, um sie zu verbessern– indem Sie bewährte Methoden für Abfragen anwenden oder den Benutzer aufklären, der die Abfrage ausgeführt oder die Regel erstellt hat, um die Abfrageeffizienz und -ressourcen zu berücksichtigen.
Um eine Abfrage anzuzeigen, wählen Sie die drei Punkte neben dem Zeitstempel der Abfrage aus, die Sie überprüfen möchten, und wählen Sie Im Abfrage-Editor öffnen aus.
Für den geführten Modus muss der Benutzer in den erweiterten Modus wechseln , um die Abfrage zu bearbeiten.
Das Diagramm unterstützt zwei Ansichten:
- Durchschnittliche Nutzung pro Tag – die durchschnittliche Ressourcennutzung pro Tag
- Höchste Nutzung pro Tag – die höchste tatsächliche Ressourcennutzung pro Tag
Dies bedeutet, dass für instance, wenn Sie an einem bestimmten Tag zwei Abfragen ausgeführt haben, eine 50 % Ihrer Ressourcen und eine 100 % verwendet hat, der durchschnittliche tägliche Nutzungswert 75 %, während die höchste tägliche Nutzung 100 % angezeigt würde.
Verwandte Artikel
- Bewährte Methoden für die erweiterte Suche
- Behandeln von Fehlern bei der erweiterten Suche
- Übersicht über die erweiterte Suche
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.