Usar o relatório avançado do recurso de consulta de caça
Aplica-se a:
- Microsoft Defender XDR
Entender cotas de caça avançadas e parâmetros de uso
Para manter o serviço performante e responsivo, a caça avançada define várias cotas e parâmetros de uso (também conhecidos como "limites de serviço"). Essas cotas e parâmetros se aplicam separadamente às consultas executadas manualmente e às consultas executadas usando regras de detecção personalizadas. Os clientes que executam várias consultas regularmente devem estar atentos a esses limites e aplicar práticas recomendadas de otimização para minimizar interrupções.
Consulte a tabela a seguir para entender cotas e parâmetros de uso existentes.
| Cota ou parâmetro | Tamanho | Ciclo de atualização | Descrição |
|---|---|---|---|
| Intervalo de dados | 30 dias | Cada consulta | Cada consulta pode procurar dados de até os últimos 30 dias. |
| Conjunto de resultados | 30.000 linhas | Cada consulta | Cada consulta pode retornar até 30.000 registros. |
| Tempo limite | 10 minutos | Cada consulta | Cada consulta pode ser executada por até 10 minutos. Se ele não for concluído dentro de 10 minutos, o serviço exibirá um erro. |
| Recursos da CPU | Com base no tamanho do locatário | A cada 15 minutos | O portal exibe um erro sempre que uma consulta é executada e o locatário consumiu mais de 10% dos recursos alocados. As consultas serão bloqueadas se o locatário tiver atingido 100% até após o próximo ciclo de 15 minutos. |
Observação
Um conjunto separado de cotas e parâmetros se aplica a consultas de caça avançadas executadas por meio da API. Ler sobre APIs avançadas de caça
Exibir relatório de recursos de consulta para encontrar consultas ineficientes
O relatório de recursos de consulta mostra o consumo de recursos de CPU da sua organização para a caça com base em consultas que foram executadas nos últimos 30 dias usando qualquer uma das interfaces de caça. Este relatório é útil para identificar as consultas mais intensivas em recursos e entender como evitar a limitação devido ao uso excessivo.
Acessar o relatório de recursos de consulta
O relatório pode ser acessado de duas maneiras:
Na página de caça avançada, selecione Relatório de recursos de consulta:
Na página Relatórios, localize a nova entrada de relatório na seção Geral
Todos os usuários podem acessar os relatórios, no entanto, apenas as funções Microsoft Entra administrador global, Microsoft Entra administrador de segurança e Microsoft Entra leitor de segurança podem ver consultas feitas por todos os usuários em todas as interfaces. Qualquer outro usuário só pode ver:
- Consultas que eles executaram por meio do portal
- Consultas de API pública que eles próprios executaram e não através do aplicativo
- Detecções personalizadas que eles criaram
Conteúdo do relatório de recursos de consulta
Por padrão, a tabela de relatório exibe consultas do último dia e é classificada pelo uso de recursos, para ajudar você a identificar facilmente quais consultas consumiram a maior quantidade de recursos de CPU.
O relatório de recursos de consulta contém todas as consultas que foram executadas, incluindo informações detalhadas de recurso por consulta:
- Tempo – quando a consulta foi executada
- Interface – se a consulta foi executada no portal, em detecções personalizadas ou por meio de consulta de API
- Usuário/Aplicativo – o usuário ou aplicativo que executou a consulta
- Uso de recursos – um indicador da quantidade de recursos de CPU que uma consulta consumida (pode ser Baixa, Média ou Alta, em que High significa que a consulta usou uma grande quantidade de recursos de CPU e deve ser aprimorada para ser mais eficiente)
- Estado – se a consulta foi concluída, falhou ou foi limitada
- Tempo de consulta – quanto tempo levou para executar a consulta
- Intervalo de tempo – o intervalo de tempo usado na consulta
Dica
Se o estado da consulta for Falha, você poderá passar o mouse no campo para exibir o motivo da falha de consulta.
Localizar consultas pesadas de recursos
Consultas com alto uso de recursos ou um longo tempo de consulta provavelmente podem ser otimizadas para evitar a limitação por meio dessa interface.
O grafo exibe o uso de recursos ao longo do tempo por interface. Você pode identificar facilmente o uso excessivo e clicar nos picos no grafo para filtrar a tabela de acordo. Depois de selecionar uma entrada no grafo, a tabela será filtrada para essa data específica.
Você pode identificar as consultas que mais usaram recursos naquele dia e tomar medidas para aprimorá-las – aplicando as melhores práticas de consulta ou educando o usuário que executou a consulta ou criou a regra para levar em consideração a eficiência e os recursos da consulta. Para o modo guiado, o usuário precisa alternar para o modo avançado para editar a consulta.
O grafo dá suporte a duas exibições:
- Uso médio por dia – o uso médio de recursos por dia
- Maior uso por dia – o maior uso real de recursos por dia
Isso significa que, por exemplo, se em um dia específico você executou duas consultas, uma usou 50% dos recursos e outra usada 100%, o valor médio de uso diário mostraria 75%, enquanto o uso diário superior mostraria 100%.
Tópicos relacionados
- Práticas recomendadas avançadas de caça
- Manipular erros avançados de caça
- Visão geral da busca avançada
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de