Kehittyneen metsästyksen kyselyresurssiraportin käyttäminen
Koskee seuraavia:
- Microsoft Defender XDR
Kehittyneiden metsästyskiintiöiden ja käyttöparametrien ymmärtäminen
Jotta palvelu pysyy suorituskykyisenä ja reagoivana, kehittynyt metsästys asettaa erilaisia kiintiöitä ja käyttöparametreja (kutsutaan myös palvelurajoiksi). Näitä kiintiöitä ja parametreja sovelletaan erikseen manuaalisesti suoritettaviin kyselyihin ja mukautettujen tunnistussääntöjen avulla suoritettaviin kyselyihin. Asiakkaiden, jotka suorittavat useita kyselyitä säännöllisesti, tulee huomioida nämä rajoitukset ja soveltaa optimoinnin parhaita käytäntöjä häiriöiden minimoimiseksi.
Katso lisätietoja olemassa olevista kiintiöistä ja käyttöparametreista seuraavasta taulukosta.
Kiintiö tai parametri | Koko | Päivitysjakso | Kuvaus |
---|---|---|---|
Päivämääräalue | 30 päivää Defender XDR tiedoille, ellei niitä virtauteta Microsoft Sentinel | Jokainen kysely | Kukin kysely voi etsiä Defender XDR tietoja viimeisten 30 päivän ajalta tai pidempään, jos ne virtautetaan Microsoft Sentinel |
Tulosjoukko | 30 000 riviä | Jokainen kysely | Jokainen kysely voi palauttaa jopa 30 000 tietuetta. |
Aikakatkaisu | 10 minuuttia | Jokainen kysely | Jokainen kysely voidaan suorittaa enintään 10 minuutin ajan. Jos se ei valmistu 10 minuutin kuluessa, palvelu näyttää virheen. |
Suoritinresurssit | Vuokraajan koon mukaan | 15 minuutin välein | Portaali näyttää varoituksen aina, kun kysely suoritetaan ja vuokraaja käyttää yli 10 % varatuista resursseista. Kyselyt estetään , jos vuokraajan osuus on 100 % seuraavan 15 minuutin jakson jälkeen. |
Huomautus
Ohjelmointirajapinnan kautta suoritettuihin kehittyneen metsästyksen kyselyihin sovelletaan erillisiä kiintiöitä ja parametreja. Lue kehittyneestä metsästyksen ohjelmointirajapinnoista
Näytä kyselyresurssiraportti, jos haluat löytää tehottomia kyselyitä
Kyselyresurssien raportti näyttää organisaatiosi suorittimen resurssien kulutuksen metsästyksessä perustuen kyselyihin, jotka on suoritettu viimeisten 30 päivän aikana käyttämällä jotain metsästysliittymistä. Tämä raportti on hyödyllinen, kun tunnistetaan eniten resursseja vaativia kyselyitä ja ymmärretään, miten voit estää rajoittamisen liiallisen käytön vuoksi.
Kyselyresurssiraportin käyttäminen
Raporttia voi käyttää kahdella tavalla:
Valitse kehittyneen metsästyksen sivulla Kyselyresurssien raportti:
Etsi Raportit-sivulla uusi raporttimerkintä Yleiset-osiosta
Kaikki käyttäjät voivat käyttää raportteja. Kuitenkin vain Microsoft Entra yleinen järjestelmänvalvoja, Microsoft Entra suojauksen järjestelmänvalvoja ja Microsoft Entra käyttöoikeuslukijaroolit näkevät kaikkien käyttäjien kyselyt kaikissa liittymissä. Kuka tahansa muu käyttäjä näkee vain:
- Kyselyt, jotka he suorittivat portaalin kautta
- Julkiset ohjelmointirajapintakyselyt, jotka he suorittivat itse eivätkä sovelluksen kautta
- Heidän luomansa mukautetut tunnistuksia
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Kyselyn resurssiraportin sisältö
Raporttitaulukko näyttää oletusarvoisesti edellisen päivän kyselyt ja lajitellaan resurssien käytön mukaan, jotta voit helposti tunnistaa, mitkä kyselyt kuluttivat eniten suoritinresursseja.
Kyselyresurssiraportti sisältää kaikki suoritettuja kyselyitä, mukaan lukien yksityiskohtaiset resurssitiedot kyselyä kohden:
- Aika – kyselyn suorittamisen ajankohta
- Interface – suoritettiinko kysely portaalissa, mukautetuissa tunnistuksia vai ohjelmointirajapintakyselyssä
- Käyttäjä/sovellus – käyttäjä tai sovellus, joka suoritti kyselyn
- Resurssien käyttö – kertoo, kuinka paljon suoritinresursseja kysely kulutti (voi olla pieni, normaali tai suuri, jolloin suuri tarkoittaa, että kysely käytti paljon suoritinresursseja ja sitä olisi parannettava, jotta se olisi tehokkaampi)
- State – oliko kysely valmis, epäonnistuiko se vai onko sitä rajoitettu
- Kyselyn aika – kuinka kauan kyselyn suorittaminen kesti
- Aika-alue – kyselyssä käytetty aika-alue
Vihje
Jos kyselyn tila on Epäonnistunut, voit näyttää kyselyn epäonnistumisen syyn viemällä hiiren osoittimen kenttään.
Etsi paljon resursseja sisältäviä kyselyitä
Kyselyt, joissa on paljon resurssien käyttöä tai pitkä kyselyaika, voidaan todennäköisesti optimoida estämään rajoittaminen tämän liittymän kautta.
Kaavio näyttää resurssien käytön liittymäkohtaisesti. Voit helposti tunnistaa liiallisen käytön ja valita piikit kaaviosta suodattaaksesi taulukon vastaavasti. Kun valitset merkinnän kaaviosta, taulukko suodatetaan kyseisen päivämäärän mukaan.
Voit tunnistaa kyselyt, jotka käyttivät eniten resursseja kyseisenä päivänä, ja ryhtyä toimiin niiden parantamiseksi käyttämällä kyselyn parhaita käytäntöjä tai kouluttamalla käyttäjää, joka suoritti kyselyn tai loi säännön kyselyn tehokkuuden ja resurssien huomioimiseksi.
Jos haluat tarkastella kyselyä, valitse kolme pisteestä tarkistettavan kyselyn aikaleiman vierestä ja valitse Sitten Avaa kyselyeditorissa.
Ohjatussa tilassa käyttäjän on siirryttävä kehittyneeseen tilaan kyselyn muokkaamiseksi.
Kaavio tukee kahta näkymää:
- Keskimääräinen käyttö päivässä – resurssien keskimääräinen käyttö päivässä
- Suurin käyttö päivässä – suurin resurssien todellinen käyttö päivässä
Tämä tarkoittaa sitä, että jos esimerkiksi suoritit tiettynä päivänä kaksi kyselyä, yksi käytti 50 % resursseistasi ja toinen 100 %, keskimääräinen päivittäinen käyttöarvo olisi 75 %, kun taas ylin päivittäinen käyttö näyttäisi 100 %.
Aiheeseen liittyviä artikkeleita
- Kehittyneet metsästyksen parhaat käytännöt
- Edistyneiden metsästysvirheiden käsitteleminen
- Tarkennetun etsinnän yleiskatsaus
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.