Del via

Bruke ressursrapporten for avansert jaktspørring

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Forstå avanserte jaktkvoter og bruksparametere

For å holde tjenesten ytelsesfull og responsiv angir avansert jakt ulike kvoter og bruksparametere (også kjent som «tjenestegrenser»). Disse kvotene og parameterne gjelder separat for spørringer som kjøres manuelt, og for spørringer som kjøres ved hjelp av egendefinerte gjenkjenningsregler. Kunder som kjører flere spørringer regelmessig, bør være oppmerksomme på disse grensene og bruke anbefalte fremgangsmåter for optimalisering for å minimere forstyrrelser.

Se tabellen nedenfor for å forstå eksisterende kvoter og bruksparametere.

Kvote eller parameter Størrelse Oppdateringssyklus Beskrivelse
Datointervall 30 dager for Defender XDR data med mindre de strømmes gjennom Microsoft Sentinel Hver spørring Hver spørring kan slå opp Defender XDR data fra opptil de siste 30 dagene, eller lenger hvis de strømmes gjennom Microsoft Sentinel
Resultatsett 30 000 rader Hver spørring Hver spørring kan returnere opptil 30 000 poster.
Tidsavbrudd 10 minutter Hver spørring Hver spørring kan kjøre i opptil 10 minutter. Hvis den ikke fullføres innen 10 minutter, viser tjenesten en feil.
CPU-ressurser Basert på leierstørrelse Hvert 15. minutt Portalen viser en advarsel når en spørring kjøres og tenanten bruker over 10 % av de tildelte ressursene. Spørringer blokkeres hvis leieren når 100 % til etter neste 15-minutters syklus.

Obs!

Et eget sett med kvoter og parametere gjelder for avanserte jaktspørringer utført gjennom API-en. Les om avanserte jakt-API-er

Vis rapport for spørringsressurser for å finne ineffektive spørringer

Rapporten for spørringsressurser viser organisasjonens forbruk av prosessorressurser for jakt basert på spørringer som har kjørt de siste 30 dagene ved hjelp av et av jaktgrensesnittene. Denne rapporten er nyttig for å identifisere de mest ressurskrevende spørringene og forstå hvordan du forhindrer begrensning på grunn av overdreven bruk.

Få tilgang til rapporten for spørringsressurser

Du kan få tilgang til rapporten på to måter:

  • Velg rapport for spørringsressurser på den avanserte jaktsiden:

    vis rapportknappen for spørringsressurser i AH-portalen

  • Finn den nye rapportoppføringen i Generelt-delenRapporter-siden

    vis rapporten for spørringsressurser i Rapporter-delen

Alle brukere har tilgang til rapportene. Men bare Microsoft Entra global administrator, Microsoft Entra sikkerhetsadministrator og Microsoft Entra sikkerhetsleserroller kan se spørringer utført av alle brukere i alle grensesnitt. Alle andre brukere kan bare se:

  • Spørringer de kjørte via portalen
  • Offentlige API-spørringer de kjørte seg selv og ikke gjennom programmet
  • Egendefinerte gjenkjenninger de opprettet

Viktig

Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Spørringsressursrapportinnhold

Som standard viser rapporttabellen spørringer fra den siste dagen, og er sortert etter ressursbruk, slik at du enkelt kan identifisere hvilke spørringer som har brukt mest CPU-ressurser.

Rapporten for spørringsressurser inneholder alle spørringer som ble kjørt, inkludert detaljert ressursinformasjon per spørring:

  • Klokkeslett – når spørringen ble kjørt
  • Grensesnitt – om spørringen kjørte i portalen, i egendefinerte gjenkjenninger eller via API-spørring
  • Bruker/app – brukeren eller appen som kjørte spørringen
  • Ressursbruk – en indikator på hvor mye CPU-ressurser en spørring bruker (kan være lav, middels eller høy, der høy betyr at spørringen brukte en stor mengde prosessorressurser og bør forbedres til å være mer effektiv)
  • Tilstand – om spørringen ble fullført, mislykket eller ble begrenset
  • Spørringstid – hvor lang tid det tok å kjøre spørringen
  • Tidsintervall – tidsintervallet som brukes i spørringen

Tips

Hvis spørringstilstanden mislykkes, kan du holde musepekeren over feltet for å vise årsaken til spørringsfeilen.

vise ineffektive spørringer

Finne ressurskrevende spørringer

Spørringer med høy ressursbruk eller lang spørringstid kan sannsynligvis optimaliseres for å hindre begrensning via dette grensesnittet.

Grafen viser ressursbruk over tid per grensesnitt. Du kan enkelt identifisere overdreven bruk og velge toppene i grafen for å filtrere tabellen tilsvarende. Når du velger en oppføring i grafen, filtreres tabellen til den bestemte datoen.

Du kan identifisere spørringene som brukte mest ressurser den dagen, og iverksette tiltak for å forbedre dem ved å bruke anbefalte fremgangsmåter for spørringer eller lære brukeren som kjørte spørringen, eller opprette regelen for å ta hensyn til effektivitet og ressurser i spørringen.

Hvis du vil vise en spørring, velger du de tre prikkene ved siden av tidsstempelet for spørringen du vil kontrollere, og velger Åpne i redigeringsprogrammet for spørring.

For veiledet modus må brukeren bytte til avansert modus for å redigere spørringen.

Grafen støtter to visninger:

  • Gjennomsnittlig bruk per dag – gjennomsnittlig bruk av ressurser per dag
  • Høyest bruk per dag – den høyeste faktiske bruken av ressurser per dag

To visningsmoduser for rapport for spørringsressurser

Dette betyr at hvis du for eksempel på en bestemt dag kjørte to spørringer, brukte én 50 % av ressursene og én brukte 100 %, ville den gjennomsnittlige verdien for daglig bruk vise 75 %, mens den øverste daglige bruken ville vise 100 %.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.