고급 헌팅 쿼리 리소스 보고서 사용
적용 대상:
- Microsoft Defender XDR
고급 헌팅 할당량 및 사용 매개 변수 이해
서비스를 성능과 응답성을 유지하기 위해 고급 헌팅은 다양한 할당량 및 사용 매개 변수("서비스 제한"라고도 함)를 설정합니다. 이러한 할당량 및 매개 변수는 수동으로 실행되는 쿼리와 사용자 지정 검색 규칙을 사용하여 실행되는 쿼리에 별도로 적용됩니다. 정기적으로 여러 쿼리를 실행하는 고객은 이러한 제한을 염두에 두고 최적화 모범 사례를 적용 하여 중단을 최소화해야 합니다.
기존 할당량 및 사용 매개 변수를 이해하려면 다음 표를 참조하세요.
할당량 또는 매개 변수 | Size | 새로 고침 주기 | 설명 |
---|---|---|---|
날짜 범위 | Microsoft Sentinel 통해 스트리밍되지 않는 한 Defender XDR 데이터에 대한 30일 | 모든 쿼리 | 각 쿼리는 최대 지난 30일 동안의 Defender XDR 데이터를 조회하거나 Microsoft Sentinel 통해 스트리밍되는 경우 더 길어질 수 있습니다. |
결과 집합 | 30,000개 행 | 모든 쿼리 | 각 쿼리는 최대 30,000개의 레코드를 반환할 수 있습니다. |
시간 제한 | 10분 | 모든 쿼리 | 각 쿼리는 최대 10분 동안 실행할 수 있습니다. 10분 내에 완료되지 않은 경우 서비스에서 오류를 표시합니다. |
CPU 리소스 | 테넌트 크기 기준 | 15분마다 | 포털은 쿼리가 실행되고 테넌트가 할당된 리소스의 10% 이상을 사용할 때마다 경고를 표시합니다. 테넌트가 다음 15분 주기 이후까지 100%에 도달하면 쿼리가 차단됩니다. |
참고
별도의 할당량 및 매개 변수 집합은 API를 통해 수행되는 고급 헌팅 쿼리에 적용됩니다. 고급 헌팅 API에 대해 읽어보세요.
비효율적인 쿼리를 찾으려면 쿼리 리소스 보고서 보기
쿼리 리소스 보고서는 헌팅 인터페이스를 사용하여 지난 30일 동안 실행된 쿼리를 기반으로 헌팅을 위해 organization CPU 리소스를 사용하는 것을 보여 줍니다. 이 보고서는 리소스를 많이 사용하는 쿼리를 식별하고 과도한 사용으로 인한 제한을 방지하는 방법을 이해하는 데 유용합니다.
쿼리 리소스 보고서에 액세스
보고서는 다음 두 가지 방법으로 액세스할 수 있습니다.
모든 사용자는 보고서에 액세스할 수 있습니다. 그러나 Microsoft Entra 전역 관리자, Microsoft Entra 보안 관리자 및 Microsoft Entra 보안 읽기 권한자 역할만 모든 인터페이스의 모든 사용자가 수행한 쿼리를 볼 수 있습니다. 다른 모든 사용자는 다음만 볼 수 있습니다.
- 포털을 통해 실행한 쿼리
- 애플리케이션을 통해서가 아니라 직접 실행한 공용 API 쿼리
- 만든 사용자 지정 검색
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
리소스 보고서 콘텐츠 쿼리
기본적으로 보고서 테이블에는 마지막 날의 쿼리가 표시되고 리소스 사용량별로 정렬되어 가장 많은 양의 CPU 리소스를 사용한 쿼리를 쉽게 식별할 수 있습니다.
쿼리 리소스 보고서에는 쿼리당 자세한 리소스 정보를 포함하여 실행된 모든 쿼리가 포함됩니다.
- 시간 – 쿼리가 실행된 시간
- 인터페이스 – 쿼리가 포털, 사용자 지정 검색 또는 API 쿼리를 통해 실행되었는지 여부
- 사용자/앱 – 쿼리를 실행한 사용자 또는 앱
- 리소스 사용량 – 쿼리가 사용하는 CPU 리소스의 양을 나타내는 지표입니다(낮음, 중간 또는 높음일 수 있습니다. 높음은 쿼리가 많은 양의 CPU 리소스를 사용했으며 더 효율적으로 개선되어야 했음을 의미합니다).
- 상태 – 쿼리가 완료되었는지, 실패했는지 또는 제한되었는지 여부
- 쿼리 시간 – 쿼리 를 실행하는 데 걸린 시간
- 시간 범위 – 쿼리에 사용된 시간 범위
팁
쿼리 상태가 실패인 경우 필드를 마우스로 가리키면 쿼리 실패 이유를 볼 수 있습니다.
리소스가 많은 쿼리 찾기
리소스 사용량이 많거나 쿼리 시간이 긴 쿼리는 이 인터페이스를 통한 제한을 방지하기 위해 최적화될 수 있습니다.
그래프는 인터페이스당 시간에 따른 리소스 사용량을 표시합니다. 과도한 사용량을 쉽게 식별하고 그래프에서 급증을 선택하여 그에 따라 테이블을 필터링할 수 있습니다. 그래프에서 항목을 선택하면 테이블이 해당 특정 날짜로 필터링됩니다.
쿼리 모범 사례를 적용하거나 쿼리 를 실행하거나 쿼리 효율성 및 리소스를 고려하도록 규칙을 만든 사용자를 교육하여 해당 날짜에 가장 많은 리소스를 사용한 쿼리를 식별하고 이를 개선하기 위한 조치를 취할 수 있습니다.
쿼리를 보려면 검사 쿼리의 타임스탬프 옆에 있는 세 개의 점을 선택하고 쿼리 편집기에서 열기를 선택합니다.
단계별 모드의 경우 사용자가 고급 모드로 전환 하여 쿼리를 편집해야 합니다.
그래프는 두 가지 보기를 지원합니다.
- 일별 평균 사용 – 하루 평균 리소스 사용
- 일별 가장 높은 사용 – 일일 리소스의 실제 사용량이 가장 높습니다.
즉, instance 특정 날짜에 두 개의 쿼리를 실행한 경우 하나는 리소스의 50%를 사용하고 다른 하나는 100%를 사용한 경우 평균 일일 사용량 값은 75%를 표시하는 반면, 일일 상위 사용량은 100%로 표시됩니다.
관련 문서
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.