Utilizar o relatório de recursos de consulta de investigação avançada

Aplica-se a:

• Microsoft Defender XDR

Compreender as quotas de investigação avançadas e os parâmetros de utilização

Para manter o desempenho do serviço e reativo, a investigação avançada define várias quotas e parâmetros de utilização (também conhecidos como "limites de serviço"). Estas quotas e parâmetros aplicam-se separadamente às consultas executadas manualmente e às consultas executadas com regras de deteção personalizadas. Os clientes que executam várias consultas regularmente devem estar atentos a estes limites e aplicar as melhores práticas de otimização para minimizar as interrupções.

Veja a tabela seguinte para compreender as quotas existentes e os parâmetros de utilização.

Cota ou parâmetro	Tamanho	Ciclo de atualização	Descrição
Intervalo de dados	30 dias	Cada consulta	Cada consulta pode procurar dados de até os últimos 30 dias.
Conjunto de resultados	30 000 linhas	Cada consulta	Cada consulta pode devolver até 30 000 registos.
Tempo limite	10 minutos	Cada consulta	Cada consulta pode ser executada por até 10 minutos. Se ele não for concluído em 10 minutos, o serviço exibirá um erro.
Recursos da CPU	Com base no tamanho do locatário	A cada 15 minutos	O portal apresenta um erro sempre que uma consulta é executada e o inquilino consome mais de 10% dos recursos alocados. As consultas são bloqueadas se o inquilino atingir os 100% até depois do ciclo de 15 minutos seguinte.

Observação

Um conjunto separado de quotas e parâmetros aplica-se a consultas de investigação avançadas realizadas através da API. Leia sobre as APIs de investigação avançadas

Ver relatório de recursos de consulta para encontrar consultas ineficientes

O relatório de recursos de consulta mostra o consumo de recursos da CPU da sua organização para investigação com base em consultas executadas nos últimos 30 dias através de qualquer uma das interfaces de investigação. Este relatório é útil para identificar as consultas mais intensivas em termos de recursos e compreender como evitar a limitação devido à utilização excessiva.

Aceder ao relatório de recursos de consulta

O relatório pode ser acedido de duas formas:

• Na página de investigação avançada, selecione Relatório de recursos de consulta:

  

• Na página Relatórios, localize a nova entrada de relatório na secção Geral

  

Todos os utilizadores podem aceder aos relatórios; no entanto, apenas as funções Administrador Global Microsoft Entra, Administrador de Segurança Microsoft Entra e Leitor de Segurança Microsoft Entra podem ver as consultas efetuadas por todos os utilizadores em todas as interfaces. Qualquer outro utilizador só pode ver:

• Consultas executadas através do portal
• Consultas da API pública que executaram por si mesmas e não através da aplicação
• Deteções personalizadas que criaram

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Consultar conteúdos do relatório de recursos

Por predefinição, a tabela de relatório apresenta consultas do último dia e é ordenada pela Utilização de recursos, para o ajudar a identificar facilmente que consultas consumiram a maior quantidade de recursos da CPU.

O relatório de recursos de consulta contém todas as consultas executadas, incluindo informações detalhadas sobre recursos por consulta:

• Hora – quando a consulta foi executada
• Interface – se a consulta foi executada no portal, nas deteções personalizadas ou através da consulta da API
• Utilizador/Aplicação – o utilizador ou aplicação que executou a consulta
• Utilização de recursos – um indicador da quantidade de recursos da CPU que uma consulta consumiu (pode ser Baixa, Média ou Alta, em que Alta significa que a consulta utilizou uma grande quantidade de recursos da CPU e deve ser melhorada para ser mais eficiente)
• Estado – se a consulta foi concluída, falhou ou foi limitada
• Tempo de consulta – quanto tempo demorou a executar a consulta
• Intervalo de tempo – o intervalo de tempo utilizado na consulta

Dica

Se o estado da consulta for Com Falhas, pode pairar o cursor sobre o campo para ver o motivo da falha da consulta.

Localizar consultas pesadas de recursos

As consultas com utilização elevada de recursos ou um tempo de consulta longo podem provavelmente ser otimizadas para impedir a limitação através desta interface.

O gráfico apresenta a utilização de recursos ao longo do tempo por interface. Pode identificar facilmente a utilização excessiva e selecionar os picos no gráfico para filtrar a tabela em conformidade. Depois de selecionar uma entrada no gráfico, a tabela é filtrada para essa data específica.

Pode identificar as consultas que utilizaram mais recursos nesse dia e tomar medidas para melhorá-las ao aplicar as melhores práticas de consulta ou ao educar o utilizador que executou a consulta ou criou a regra para ter em consideração a eficiência e os recursos das consultas.

Para ver uma consulta, selecione os três pontos junto ao carimbo de data/hora da consulta que pretende marcar e selecione Abrir no editor de consultas.

Para o modo guiado, o utilizador tem de mudar para o modo avançado para editar a consulta.

O gráfico suporta duas vistas:

• Utilização média por dia – a utilização média dos recursos por dia
• Utilização mais elevada por dia – a utilização real mais elevada de recursos por dia

Isto significa que, por exemplo, se num dia específico executasse duas consultas, uma utilizava 50% dos seus recursos e uma utilizava 100%, o valor médio de utilização diária mostraria 75%, enquanto a utilização diária superior mostraria 100%.

Artigos relacionados

• Melhores práticas de investigação avançadas
• Lidar com erros de investigação avançada
• Visão geral da busca avançada

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.