Использование отчета о ресурсе расширенного запроса охоты
Область применения:
- Microsoft Defender XDR
Общие сведения о квотах и параметрах использования расширенной охоты
Чтобы обеспечить производительность и быстродействие службы, расширенная охота устанавливает различные квоты и параметры использования (также известные как "ограничения службы"). Эти квоты и параметры применяются отдельно к запросам, выполняемым вручную, и к запросам, выполняемым с использованием пользовательских правил обнаружения. Клиенты, которые регулярно выполняют несколько запросов, должны помнить об этих ограничениях и применять рекомендации по оптимизации , чтобы свести к минимуму перерывы.
Сведения о существующих квотах и параметрах использования см. в следующей таблице.
| Квота или параметр | Размер | Цикл обновления | Описание |
|---|---|---|---|
| Диапазон дат | 30 дней для Defender XDR данных, если они не передаются через Microsoft Sentinel | Каждый запрос | Каждый запрос может искать Defender XDR данные за последние 30 дней или дольше, если они передаются через Microsoft Sentinel |
| Результирующий набор | 30 000 строк | Каждый запрос | Каждый запрос может возвращать до 30 000 записей. |
| Превышено время ожидания | 10 минут | Каждый запрос | Каждый запрос может работать до 10 минут. Если он не будет завершен в течение 10 минут, служба отобразит ошибку. |
| Ресурсы ЦП | Зависит от размера клиента | Каждые 15 минут | На портале отображается предупреждение каждый раз, когда выполняется запрос и клиент потребляет более 10 % выделенных ресурсов. Запросы блокируются, если клиент достигает 100 % до следующего 15-минутного цикла. |
Примечание.
Отдельный набор квот и параметров применяется к расширенным охотничьим запросам, выполняемым через API. Ознакомьтесь с расширенными API охоты
Просмотр отчета о ресурсах запросов для поиска неэффективных запросов
В отчете о ресурсах запросов показано потребление ресурсов ЦП вашей организацией для поиска на основе запросов, которые выполнялись за последние 30 дней с помощью любого из интерфейсов поиска. Этот отчет полезен для определения наиболее ресурсоемких запросов и понимания того, как предотвратить регулирование из-за чрезмерного использования.
Доступ к отчету о ресурсах запроса
Доступ к отчету можно получить двумя способами:
На странице расширенной охоты выберите Запрос отчета о ресурсах:
На странице Отчеты найдите новую запись отчета в разделе Общие .
Все пользователи могут получить доступ к отчетам; однако только роли глобального администратора Microsoft Entra, Microsoft Entra администратора безопасности и Microsoft Entra читателя безопасности могут просматривать запросы, выполняемые всеми пользователями во всех интерфейсах. Любой другой пользователь может видеть только следующее:
- Запросы, которые они выполняли через портал
- Запросы общедоступных API, которые они выполняли сами, а не через приложение
- Пользовательские обнаружения, которые они создали
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Запрос содержимого отчета о ресурсах
По умолчанию в таблице отчета отображаются запросы за последний день и она отсортирована по использованию ресурсов, чтобы легко определить, какие запросы потребляли наибольшее количество ресурсов ЦП.
Отчет о ресурсах запросов содержит все выполняемые запросы, включая подробные сведения о ресурсах для каждого запроса:
- Время — время выполнения запроса
- Интерфейс — выполняется ли запрос на портале, в пользовательских обнаружениях или через запрос API
- Пользователь или приложение — пользователь или приложение, которые выполнили запрос.
- Использование ресурсов — показатель объема ресурсов ЦП, потребляемых запросом (может быть низким, средним или высоким, где Высокий означает, что запрос использовал большой объем ресурсов ЦП и должен быть улучшен для повышения эффективности).
- Состояние — был ли запрос завершен, выполнен сбой или был отрегулирован.
- Время запроса — сколько времени потребовалось для выполнения запроса
- Диапазон времени — диапазон времени, используемый в запросе.
Совет
Если запрос находится в состоянии Сбой, можно навести указатель мыши на поле, чтобы просмотреть причину сбоя запроса.
Поиск ресурсоемких запросов
Запросы с высоким уровнем использования ресурсов или длительным временем выполнения запросов, вероятно, можно оптимизировать, чтобы предотвратить регулирование через этот интерфейс.
На графике отображается использование ресурсов с течением времени для каждого интерфейса. Вы можете легко определить чрезмерное использование и выбрать пики на графике, чтобы отфильтровать таблицу соответствующим образом. После выбора записи в графе таблица фильтруется по указанной дате.
Вы можете определить запросы, которые использовали больше всего ресурсов в этот день, и принять меры по их улучшению, применяя рекомендации по запросам или обучая пользователя, который выполнил запрос или создал правило, чтобы учитывать эффективность запросов и ресурсы.
Чтобы просмотреть запрос, выделите три точки рядом с меткой времени запроса, который нужно проверка, и выберите Открыть в редакторе запросов.
В интерактивном режиме пользователю необходимо переключиться в расширенный режим , чтобы изменить запрос.
Граф поддерживает два представления:
- Среднее использование в день — среднее использование ресурсов в день
- Наибольшее использование ресурсов в день — наибольшее фактическое использование ресурсов в день
Это означает, что, например, если в определенный день вы выполнили два запроса, один из них использовал 50 % ресурсов, а второй — 100 %, то среднее значение ежедневного использования будет показывать 75 %, а основное ежедневное использование — 100 %.
Статьи по теме
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.