Compartir vía


Uso del informe de recursos de consulta de búsqueda avanzada

Se aplica a:

  • Microsoft Defender XDR

Descripción de las cuotas de búsqueda avanzadas y los parámetros de uso

Para mantener el rendimiento y la capacidad de respuesta del servicio, la búsqueda avanzada establece varias cuotas y parámetros de uso (también conocidos como "límites de servicio"). Estas cuotas y parámetros se aplican por separado a las consultas que se ejecutan manualmente y a las consultas que se ejecutan mediante reglas de detección personalizadas. Los clientes que ejecutan varias consultas con regularidad deben tener en cuenta estos límites y aplicar los procedimientos recomendados de optimización para minimizar las interrupciones.

Consulte la tabla siguiente para comprender las cuotas y los parámetros de uso existentes.

Cuota o parámetro Size Ciclo de actualización Descripción
Intervalo de fechas 30 días para Defender XDR datos a menos que se transmita a través de Microsoft Sentinel Cada consulta Cada consulta puede buscar Defender XDR datos de hasta los últimos 30 días, o más si se transmiten a través de Microsoft Sentinel
Conjunto de resultados 30 000 filas Cada consulta Cada consulta puede devolver hasta 30 000 registros.
Timeout 10 minutos Cada consulta Cada consulta se puede ejecutar durante un máximo de 10 minutos. Si no se completa en 10 minutos, el servicio muestra un error.
Recursos de la CPU En función del tamaño del inquilino Cada 15 minutos El portal muestra una advertencia cada vez que se ejecuta una consulta y el inquilino consume más del 10 % de los recursos asignados. Las consultas se bloquean si el inquilino alcanza el 100 % hasta después del siguiente ciclo de 15 minutos.

Nota:

Un conjunto independiente de cuotas y parámetros se aplica a las consultas de búsqueda avanzada realizadas a través de la API. Obtenga información sobre las API de búsqueda avanzadas.

Visualización del informe de recursos de consulta para buscar consultas ineficaces

El informe de recursos de consulta muestra el consumo de recursos de CPU de la organización para la búsqueda en función de las consultas que se ejecutaron en los últimos 30 días mediante cualquiera de las interfaces de búsqueda. Este informe es útil para identificar las consultas que consumen más recursos y comprender cómo evitar la limitación debido a un uso excesivo.

Acceso al informe de recursos de consulta

Se puede acceder al informe de dos maneras:

  • En la página búsqueda avanzada, seleccione Informe de recursos de consulta:

    Ver el botón del informe de recursos de consulta en el portal de AH

  • En la página Informes , busque la nueva entrada de informe en la sección General .

    ver el informe de recursos de consulta en la sección Informes

Todos los usuarios pueden acceder a los informes; sin embargo, solo los roles administrador global de Microsoft Entra, administrador de seguridad Microsoft Entra y Microsoft Entra lector de seguridad pueden ver las consultas realizadas por todos los usuarios en todas las interfaces. Cualquier otro usuario solo puede ver lo siguiente:

  • Consultas que se ejecutaron a través del portal
  • Consultas de API públicas que se ejecutaron por sí mismas y no a través de la aplicación
  • Detecciones personalizadas que crearon

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Consulta del contenido del informe de recursos

De forma predeterminada, la tabla de informes muestra las consultas del último día y está ordenada por uso de recursos, para ayudarle a identificar fácilmente qué consultas consumieron la mayor cantidad de recursos de CPU.

El informe de recursos de consulta contiene todas las consultas que se ejecutaron, incluida la información de recursos detallada por consulta:

  • Hora : cuando se ejecutó la consulta
  • Interfaz : si la consulta se ejecutó en el portal, en detecciones personalizadas o a través de la consulta de API
  • Usuario o aplicación : el usuario o la aplicación que ejecutó la consulta
  • Uso de recursos : un indicador de la cantidad de recursos de CPU que consume una consulta (puede ser Bajo, Medio o Alto, donde Alto significa que la consulta usó una gran cantidad de recursos de CPU y debe mejorarse para ser más eficaz)
  • Estado : si la consulta se completó, produjo un error o se limitó
  • Tiempo de consulta : cuánto tiempo tardó en ejecutar la consulta
  • Intervalo de tiempo : intervalo de tiempo usado en la consulta

Sugerencia

Si el estado de la consulta es Error, puede mantener el puntero sobre el campo para ver el motivo del error de consulta.

ver consultas ineficaces

Buscar consultas con muchos recursos

Es probable que las consultas con un uso elevado de recursos o un largo tiempo de consulta se puedan optimizar para evitar la limitación a través de esta interfaz.

El gráfico muestra el uso de recursos a lo largo del tiempo por interfaz. Puede identificar fácilmente el uso excesivo y seleccionar los picos del gráfico para filtrar la tabla en consecuencia. Una vez que seleccione una entrada en el gráfico, la tabla se filtrará a esa fecha específica.

Puede identificar las consultas que usaron la mayoría de los recursos ese día y tomar medidas para mejorarlas; para ello, aplique los procedimientos recomendados de consulta o eduque al usuario que ejecutó la consulta o creó la regla para tener en cuenta la eficacia de las consultas y los recursos.

Para ver una consulta, seleccione los tres puntos junto a la marca de tiempo de la consulta que desea comprobar y seleccione Abrir en el editor de consultas.

Para el modo guiado, el usuario debe cambiar al modo avanzado para editar la consulta.

El gráfico admite dos vistas:

  • Uso medio por día: el uso medio de recursos por día
  • Uso más alto al día: el uso real más alto de recursos al día

Dos modos de vista para el informe de recursos de consulta

Esto significa que, por ejemplo, si en un día específico ejecutó dos consultas, una usó el 50 % de los recursos y otra usó el 100 %, el valor medio de uso diario mostraría el 75 %, mientras que el uso diario superior mostraría el 100 %.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.