Utilizar o relatório de recursos de consulta de investigação avançada
Aplica-se a:
- Microsoft Defender XDR
Compreender as quotas de investigação avançadas e os parâmetros de utilização
Para manter o desempenho do serviço e reativo, a investigação avançada define várias quotas e parâmetros de utilização (também conhecidos como "limites de serviço"). Estas quotas e parâmetros aplicam-se separadamente às consultas executadas manualmente e às consultas executadas com regras de deteção personalizadas. Os clientes que executam várias consultas regularmente devem estar atentos a estes limites e aplicar as melhores práticas de otimização para minimizar as interrupções.
Veja a tabela seguinte para compreender as quotas existentes e os parâmetros de utilização.
| Cota ou parâmetro | Tamanho | Ciclo de atualização | Descrição |
|---|---|---|---|
| Intervalo de datas | 30 dias para Defender XDR dados, a menos que sejam transmitidos através de Microsoft Sentinel | Cada consulta | Cada consulta pode procurar Defender XDR dados de até aos últimos 30 dias ou mais se forem transmitidos através de Microsoft Sentinel |
| Conjunto de resultados | 30 000 linhas | Cada consulta | Cada consulta pode devolver até 30 000 registos. |
| Tempo limite | 10 minutos | Cada consulta | Cada consulta pode ser executada por até 10 minutos. Se ele não for concluído em 10 minutos, o serviço exibirá um erro. |
| Recursos da CPU | Com base no tamanho do locatário | A cada 15 minutos | O portal apresenta um aviso sempre que uma consulta é executada e o inquilino consome mais de 10% dos recursos alocados. As consultas são bloqueadas se o inquilino atingir os 100% até depois do ciclo de 15 minutos seguinte. |
Observação
Um conjunto separado de quotas e parâmetros aplica-se a consultas de investigação avançadas realizadas através da API. Leia sobre as APIs de investigação avançadas
Ver relatório de recursos de consulta para encontrar consultas ineficientes
O relatório de recursos de consulta mostra o consumo de recursos da CPU da sua organização para investigação com base em consultas executadas nos últimos 30 dias através de qualquer uma das interfaces de investigação. Este relatório é útil para identificar as consultas mais intensivas em termos de recursos e compreender como evitar a limitação devido à utilização excessiva.
Aceder ao relatório de recursos de consulta
O relatório pode ser acedido de duas formas:
Na página de investigação avançada, selecione Relatório de recursos de consulta:
Na página Relatórios, localize a nova entrada de relatório na secção Geral
Todos os utilizadores podem aceder aos relatórios; no entanto, apenas as funções Administrador Global Microsoft Entra, Administrador de Segurança Microsoft Entra e Leitor de Segurança Microsoft Entra podem ver as consultas efetuadas por todos os utilizadores em todas as interfaces. Qualquer outro utilizador só pode ver:
- Consultas executadas através do portal
- Consultas da API pública que executaram por si mesmas e não através da aplicação
- Deteções personalizadas que criaram
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Consultar conteúdos do relatório de recursos
Por predefinição, a tabela de relatório apresenta consultas do último dia e é ordenada pela Utilização de recursos, para o ajudar a identificar facilmente que consultas consumiram a maior quantidade de recursos da CPU.
O relatório de recursos de consulta contém todas as consultas executadas, incluindo informações detalhadas sobre recursos por consulta:
- Hora – quando a consulta foi executada
- Interface – se a consulta foi executada no portal, nas deteções personalizadas ou através da consulta da API
- Utilizador/Aplicação – o utilizador ou aplicação que executou a consulta
- Utilização de recursos – um indicador da quantidade de recursos da CPU que uma consulta consumiu (pode ser Baixa, Média ou Alta, em que Alta significa que a consulta utilizou uma grande quantidade de recursos da CPU e deve ser melhorada para ser mais eficiente)
- Estado – se a consulta foi concluída, falhou ou foi limitada
- Tempo de consulta – quanto tempo demorou a executar a consulta
- Intervalo de tempo – o intervalo de tempo utilizado na consulta
Dica
Se o estado da consulta for Com Falhas, pode pairar o cursor sobre o campo para ver o motivo da falha da consulta.
Localizar consultas pesadas de recursos
As consultas com utilização elevada de recursos ou um tempo de consulta longo podem provavelmente ser otimizadas para impedir a limitação através desta interface.
O gráfico apresenta a utilização de recursos ao longo do tempo por interface. Pode identificar facilmente a utilização excessiva e selecionar os picos no gráfico para filtrar a tabela em conformidade. Depois de selecionar uma entrada no gráfico, a tabela é filtrada para essa data específica.
Pode identificar as consultas que utilizaram mais recursos nesse dia e tomar medidas para melhorá-las ao aplicar as melhores práticas de consulta ou ao educar o utilizador que executou a consulta ou criou a regra para ter em consideração a eficiência e os recursos das consultas.
Para ver uma consulta, selecione os três pontos junto ao carimbo de data/hora da consulta que pretende marcar e selecione Abrir no editor de consultas.
Para o modo guiado, o utilizador tem de mudar para o modo avançado para editar a consulta.
O gráfico suporta duas vistas:
- Utilização média por dia – a utilização média dos recursos por dia
- Utilização mais elevada por dia – a utilização real mais elevada de recursos por dia
Isto significa que, por exemplo, se num dia específico executasse duas consultas, uma utilizava 50% dos seus recursos e uma utilizava 100%, o valor médio de utilização diária mostraria 75%, enquanto a utilização diária superior mostraria 100%.
Artigos relacionados
- Melhores práticas de investigação avançadas
- Lidar com erros de investigação avançada
- Visão geral da busca avançada
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.