Utilizar o relatório de recursos de consulta de investigação avançada
Aplica-se a:
- Microsoft Defender XDR
Compreender as quotas de investigação avançadas e os parâmetros de utilização
Para manter o desempenho do serviço e reativo, a investigação avançada define várias quotas e parâmetros de utilização (também conhecidos como "limites de serviço"). Estas quotas e parâmetros aplicam-se separadamente às consultas executadas manualmente e às consultas executadas com regras de deteção personalizadas. Os clientes que executam várias consultas regularmente devem estar atentos a estes limites e aplicar as melhores práticas de otimização para minimizar as interrupções.
Veja a tabela seguinte para compreender as quotas existentes e os parâmetros de utilização.
| Quota ou parâmetro | Tamanho | Ciclo de atualização | Descrição |
|---|---|---|---|
| Intervalo de dados | 30 dias | Todas as consultas | Cada consulta pode procurar dados de até aos últimos 30 dias. |
| Conjunto de resultados | 30 000 linhas | Todas as consultas | Cada consulta pode devolver até 30 000 registos. |
| Tempo limite excedido | 10 minutos | Todas as consultas | Cada consulta pode ser executada até 10 minutos. Se não for concluído no prazo de 10 minutos, o serviço apresenta um erro. |
| Recursos da CPU | Com base no tamanho do inquilino | A cada 15 minutos | O portal apresenta um erro sempre que uma consulta é executada e o inquilino consumiu mais de 10% dos recursos alocados. As consultas são bloqueadas se o inquilino tiver atingido 100% até depois do ciclo de 15 minutos seguinte. |
Nota
Um conjunto separado de quotas e parâmetros aplica-se a consultas de investigação avançadas realizadas através da API. Leia sobre as APIs de investigação avançadas
Ver relatório de recursos de consulta para encontrar consultas ineficientes
O relatório de recursos de consulta mostra o consumo de recursos da CPU da sua organização para investigação com base em consultas executadas nos últimos 30 dias através de qualquer uma das interfaces de investigação. Este relatório é útil para identificar as consultas mais intensivas em termos de recursos e compreender como evitar a limitação devido à utilização excessiva.
Aceder ao relatório de recursos de consulta
O relatório pode ser acedido de duas formas:
Na página de investigação avançada, selecione Relatório de recursos de consulta:
Na página Relatórios, localize a nova entrada de relatório na secção Geral
No entanto, todos os utilizadores podem aceder aos relatórios, apenas os Microsoft Entra administrador global, Microsoft Entra administrador de segurança e Microsoft Entra funções de leitor de segurança podem ver as consultas efetuadas por todos os utilizadores em todas as interfaces. Qualquer outro utilizador só pode ver:
- Consultas executadas através do portal
- Consultas da API pública que executaram por si mesmas e não através da aplicação
- Deteções personalizadas que criaram
Consultar conteúdos do relatório de recursos
Por predefinição, a tabela de relatório apresenta consultas do último dia e é ordenada pela Utilização de recursos, para o ajudar a identificar facilmente que consultas consumiram a maior quantidade de recursos da CPU.
O relatório de recursos de consulta contém todas as consultas executadas, incluindo informações detalhadas sobre recursos por consulta:
- Hora – quando a consulta foi executada
- Interface – se a consulta foi executada no portal, nas deteções personalizadas ou através da consulta da API
- Utilizador/Aplicação – o utilizador ou aplicação que executou a consulta
- Utilização de recursos – um indicador da quantidade de recursos da CPU que uma consulta consumiu (pode ser Baixa, Média ou Alta, em que Alta significa que a consulta utilizou uma grande quantidade de recursos da CPU e deve ser melhorada para ser mais eficiente)
- Estado – se a consulta foi concluída, falhou ou foi limitada
- Tempo de consulta – quanto tempo demorou a executar a consulta
- Intervalo de tempo – o intervalo de tempo utilizado na consulta
Sugestão
Se o estado da consulta for Com Falhas, pode pairar o cursor sobre o campo para ver o motivo da falha da consulta.
Encontrar consultas com muitos recursos
As consultas com utilização elevada de recursos ou um tempo de consulta longo podem provavelmente ser otimizadas para impedir a limitação através desta interface.
O gráfico apresenta a utilização de recursos ao longo do tempo por interface. Pode identificar facilmente a utilização excessiva e clicar nos picos no gráfico para filtrar a tabela em conformidade. Depois de selecionar uma entrada no gráfico, a tabela é filtrada para essa data específica.
Pode identificar as consultas que utilizaram mais recursos nesse dia e tomar medidas para melhorá-las ao aplicar as melhores práticas de consulta ou ao educar o utilizador que executou a consulta ou criou a regra para ter em consideração a eficiência e os recursos das consultas. Para o modo guiado, o utilizador tem de mudar para o modo avançado para editar a consulta.
O gráfico suporta duas vistas:
- Utilização média por dia – a utilização média dos recursos por dia
- Utilização mais elevada por dia – a utilização real mais elevada de recursos por dia
Isto significa que, por exemplo, se num dia específico executasse duas consultas, uma utilizava 50% dos seus recursos e uma utilizava 100%, o valor médio de utilização diária mostraria 75%, enquanto a utilização diária superior mostraria 100%.
Tópicos relacionados
- Melhores práticas de investigação avançadas
- Lidar com erros de investigação avançada
- Descrição geral da investigação avançada
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários