Usare il report della risorsa query di ricerca avanzata
Si applica a:
- Microsoft Defender XDR
Informazioni sulle quote di ricerca avanzate e sui parametri di utilizzo
Per mantenere il servizio efficiente e reattivo, la ricerca avanzata imposta varie quote e parametri di utilizzo (noti anche come "limiti del servizio"). Queste quote e parametri si applicano separatamente alle query eseguite manualmente e alle query eseguite usando regole di rilevamento personalizzate. I clienti che eseguono regolarmente più query devono essere consapevoli di questi limiti e applicare le procedure consigliate di ottimizzazione per ridurre al minimo le interruzioni.
Per informazioni sulle quote e sui parametri di utilizzo esistenti, vedere la tabella seguente.
Quota o parametro | Dimensioni | Ciclo di aggiornamento | Descrizione |
---|---|---|---|
Intervallo di date | 30 giorni per i dati Defender XDR a meno che non vengano trasmessi tramite Microsoft Sentinel | Ogni query | Ogni query può cercare Defender XDR dati fino agli ultimi 30 giorni o più a lungo se trasmessi tramite Microsoft Sentinel |
Set di risultati | 30.000 righe | Ogni query | Ogni query può restituire fino a 30.000 record. |
Timeout | 10 minuti | Ogni query | Ogni query può essere eseguita per un massimo di 10 minuti. Se non viene completata entro 10 minuti, il servizio visualizza un errore. |
Risorse CPU | In base alle dimensioni del tenant | Ogni 15 minuti | Il portale visualizza un avviso ogni volta che viene eseguita una query e il tenant utilizza oltre il 10% delle risorse allocate. Le query vengono bloccate se il tenant raggiunge il 100% fino al successivo ciclo di 15 minuti. |
Nota
Un set separato di quote e parametri si applica alle query di ricerca avanzate eseguite tramite l'API. Informazioni sulle API di ricerca avanzata
Visualizzare il report sulle risorse di query per trovare query inefficienti
Il report sulle risorse di query mostra l'utilizzo delle risorse CPU da parte dell'organizzazione per la ricerca in base alle query eseguite negli ultimi 30 giorni usando una qualsiasi delle interfacce di ricerca. Questo report è utile per identificare le query a elevato utilizzo di risorse e comprendere come evitare la limitazione a causa di un uso eccessivo.
Accedere al report sulle risorse di query
È possibile accedere al report in due modi:
Nella pagina Ricerca avanzata selezionare Report Risorse query:
Nella pagina Report individuare la nuova voce del report nella sezione Generale
Tutti gli utenti possono accedere ai report; tuttavia, solo l'amministratore globale Microsoft Entra, Microsoft Entra l'amministratore della sicurezza e Microsoft Entra ruoli lettore di sicurezza possono visualizzare le query eseguite da tutti gli utenti in tutte le interfacce. Qualsiasi altro utente può visualizzare solo:
- Query eseguite tramite il portale
- Query API pubbliche eseguite autonomamente e non tramite l'applicazione
- Rilevamenti personalizzati creati
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Eseguire query sul contenuto del report delle risorse
Per impostazione predefinita, la tabella del report visualizza le query dell'ultimo giorno ed è ordinata in base all'utilizzo delle risorse, per consentire di identificare facilmente le query utilizzate con la maggiore quantità di risorse CPU.
Il report delle risorse di query contiene tutte le query eseguite, incluse informazioni dettagliate sulle risorse per ogni query:
- Ora : quando è stata eseguita la query
- Interfaccia : se la query è stata eseguita nel portale, nei rilevamenti personalizzati o tramite query API
- Utente/app : l'utente o l'app che ha eseguito la query
- Utilizzo delle risorse : indicatore della quantità di risorse CPU utilizzate da una query (può essere Bassa, Media o Alta, dove Alto indica che la query ha usato una grande quantità di risorse CPU e deve essere migliorata per essere più efficiente)
- Stato : se la query è stata completata, non riuscita o è stata limitata
- Tempo di query : tempo impiegato per eseguire la query
- Intervallo di tempo: intervallo di tempo usato nella query
Consiglio
Se lo stato della query è Non riuscito, è possibile passare il puntatore del mouse sul campo per visualizzare il motivo dell'errore della query.
Trovare query con un utilizzo elevato delle risorse
Le query con utilizzo elevato delle risorse o tempi di query lunghi possono probabilmente essere ottimizzate per evitare la limitazione tramite questa interfaccia.
Il grafico visualizza l'utilizzo delle risorse nel tempo per ogni interfaccia. È possibile identificare facilmente un utilizzo eccessivo e selezionare i picchi nel grafico per filtrare la tabella di conseguenza. Dopo aver selezionato una voce nel grafico, la tabella viene filtrata in base alla data specifica.
È possibile identificare le query che hanno usato la maggior parte delle risorse in quel giorno e intervenire per migliorarle , applicando procedure consigliate per le query o istruendo l'utente che ha eseguito la query o creato la regola per prendere in considerazione l'efficienza delle query e le risorse.
Per visualizzare una query, selezionare i tre puntini accanto al timestamp della query da controllare e selezionare Apri nell'editor di query.
Per la modalità guidata, l'utente deve passare alla modalità avanzata per modificare la query.
Il grafico supporta due visualizzazioni:
- Utilizzo medio al giorno: uso medio delle risorse al giorno
- Utilizzo massimo al giorno: l'uso effettivo massimo delle risorse al giorno
Ciò significa che, ad esempio, se in un giorno specifico sono state eseguite due query, una usava il 50% delle risorse e una usava il 100%, il valore medio di utilizzo giornaliero mostrava il 75%, mentre l'utilizzo giornaliero principale mostrava il 100%.
Articoli correlati
- Procedure consigliate per la ricerca avanzata
- Gestire gli errori di ricerca avanzati
- Panoramica della rilevazione avanzata
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.