שימוש בדוח משאבי שאילתת הציד המתקדם
חל על:
- Microsoft Defender XDR
הבנת מיכסות ציד מתקדמות פרמטרים שימוש
כדי לוודא שהשירות פועל ומגיב, ציד מתקדם מגדיר מיכסות שונות פרמטרים שונים של שימוש (נקראים גם "מגבלות שירות"). מיכסות ופרמטרים אלה חלים בנפרד על שאילתות שיפעלו באופן ידני ועל שאילתות שיפעלו באמצעות כללי זיהוי מותאמים אישית. לקוחות שפועלים באופן קבוע עם שאילתות מרובות צריכים לתחשב במגבלות אלה ולהחיל שיטות עבודה מומלצות למיטוב כדי למזער את ההפרעות.
עיין בטבלה הבאה כדי להבין מיכסות קיימות פרמטרים של שימוש.
מיכסה או פרמטר | גודל | מחזור רענון | תיאור |
---|---|---|---|
טווח נתונים | 30 יום | כל שאילתה | כל שאילתה יכולה לחפש נתונים מ- 30 הימים האחרונים. |
ערכת תוצאות | 30,000 שורות | כל שאילתה | כל שאילתה יכולה להחזיר עד 30,000 רשומות. |
פסק זמן | 10 דקות | כל שאילתה | כל שאילתה יכולה לפעול במשך עד 10 דקות. אם הוא לא הושלם תוך 10 דקות, השירות מציג שגיאה. |
משאבי CPU | בהתבסס על גודל הדייר | כל 15 דקות | הפורטל מציג שגיאה בכל פעם שהשאילתה מופעלת, הדייר צורך יותר מ- 10% מהמשאבים שהוקצו. שאילתות נחסמות אם הדייר מגיע ל- 100% עד לאחר המחזור הבא של 15 דקות. |
הערה
ערכה נפרדת של מיכסות ופרמטרים חלה על שאילתות ציד מתקדמות שבוצעו באמצעות ה- API. קרא אודות ממשקי API מתקדמים לציד
הצגת דוח משאבי שאילתה לאיתור שאילתות לא יעילות
דוח משאבי השאילתה מציג את צריכת משאבי ה- CPU של הארגון שלך לציד בהתבסס על שאילתות שנכללו ב- 30 הימים האחרונים באמצעות ממשקי הציד. דוח זה שימושי בזיהוי השאילתות הצוריכות משאבים רבים ביותר והבנה כיצד למנוע ויסות עקב שימוש מופרז.
גישה לדוח משאבי השאילתה
ניתן לגשת לדוח בשתי דרכים:
כל המשתמשים יכולים לגשת לדוחות; עם זאת, רק התפקידים Microsoft Entra Global Administrator, Microsoft Entra Security Administrator ו- Microsoft Entra Security Reader יכולים לראות שאילתות שבוצעו על-ידי כל המשתמשים בכל הממשקים. כל משתמש אחר יכול לראות רק:
- שאילתות שהרץ דרך הפורטל
- שאילתות API ציבוריות שהרץ את עצמן ולא דרך היישום
- זיהויים מותאמים אישית שהם יצרו
חשוב
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
תוכן דוח משאבים של שאילתה
כברירת מחדל, טבלת הדוח מציגה שאילתות מהיום האחרון, ממוינות לפי שימוש במשאבים, כדי לעזור לך לזהות בקלות אילו שאילתות צרכו את הכמות הגבוהה ביותר של משאבי CPU.
דוח משאבי השאילתה מכיל את כל השאילתות שהורץ, כולל מידע מפורט אודות משאבים לכל שאילתה:
- Time – כאשר השאילתה הופעלה
- Interface – בין אם השאילתה רץ בפורטל, בזיהויים מותאמים אישית או באמצעות שאילתת API
- משתמש/יישום – המשתמש או היישום שהרץ את השאילתה
- שימוש במשאבים – מחוון של כמות משאבי ה- CPU ששאילתה צורכת (עשויה להיות נמוכה, בינונית או גבוהה, כאשר הערך גבוה פירושו שהשאילתה השתמשה בכמות גדולה של משאבי CPU ויש לשפר אותה כדי להיות יעילה יותר)
- State – בין אם השאילתה הושלמה, נכשלה או ויסותה
- זמן שאילתה – כמה זמן נמשכה הפעלת השאילתה
- טווח זמן – טווח הזמן המשמש בשאילתה
עצה
אם מצב השאילתה נכשל, באפשרותך לרחף עם השדה כדי להציג את הסיבה לכשל השאילתה.
חיפוש שאילתות עם ניצול כבד של משאבים
סביר להניח שניתן למטב שאילתות בעלות שימוש גבוה במשאבים או זמן ארוך בשאילתה כדי למנוע ויסות באמצעות ממשק זה.
הגרף מציג שימוש במשאבים לאורך זמן לכל ממשק. באפשרותך לזהות בקלות שימוש מוגזם ולבחור את הדקר בגרף כדי לסנן את הטבלה בהתאם. לאחר בחירת ערך בגרף, הטבלה מסוננים לתאריך ספציפי זה.
באפשרותך לזהות את השאילתות שהשתמשו ברוב המשאבים ביום זה ולבצע פעולה כדי לשפר אותן - על-ידי החלת שיטות עבודה מומלצות לשאילתה או על-ידי עיון במשתמש שהרץ את השאילתה או יצר את הכלל כדי לשקול את יעילות השאילתה ומשאבים. עבור מצב מודרך, המשתמש צריך לעבור למצב מתקדם כדי לערוך את השאילתה.
הגרף תומך בשתי תצוגות:
- שימוש ממוצע ליום – השימוש הממוצע במשאבים ליום
- השימוש הגבוה ביותר ליום – השימוש הגבוה ביותר בפועל במשאבים ליום
משמעות הדבר היא, לדוגמה, אם ביום מסוים הפעלת שתי שאילתות, אחת השתמשה ב- 50% מהמשאבים שלך ובערך שימוש של 100%, ערך השימוש היומי הממוצע היה מציג 75%, בעוד שהשימוש היומי העליון היה מציג 100%.
מאמרים קשורים
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור