Использование отчета о ресурсе расширенного запроса охоты
Область применения:
- Microsoft Defender XDR
Общие сведения о квотах и параметрах использования расширенной охоты
Чтобы обеспечить производительность и быстродействие службы, расширенная охота устанавливает различные квоты и параметры использования (также известные как "ограничения службы"). Эти квоты и параметры применяются отдельно к запросам, выполняемым вручную, и к запросам, выполняемым с использованием пользовательских правил обнаружения. Клиенты, которые регулярно выполняют несколько запросов, должны помнить об этих ограничениях и применять рекомендации по оптимизации , чтобы свести к минимуму перерывы.
Сведения о существующих квотах и параметрах использования см. в следующей таблице.
| Квота или параметр | Размер | Цикл обновления | Описание |
|---|---|---|---|
| Диапазон данных | 30 дней | Каждый запрос | Каждый запрос может искать данные за последние 30 дней. |
| Результирующий набор | 30 000 строк | Каждый запрос | Каждый запрос может возвращать до 30 000 записей. |
| Превышено время ожидания | 10 минут | Каждый запрос | Каждый запрос может работать до 10 минут. Если он не завершится в течение 10 минут, служба отобразит ошибку. |
| Ресурсы ЦП | Зависит от размера клиента | Каждые 15 минут | Портал отображает ошибку каждый раз, когда запрос выполняется и клиент потребляет более 10 % выделенных ресурсов. Запросы блокируются, если клиент достиг 100% до следующего 15-минутного цикла. |
Примечание.
Отдельный набор квот и параметров применяется к расширенным охотничьим запросам, выполняемым через API. Ознакомьтесь с расширенными API охоты
Просмотр отчета о ресурсах запросов для поиска неэффективных запросов
В отчете о ресурсах запросов показано потребление ресурсов ЦП вашей организацией для поиска на основе запросов, которые выполнялись за последние 30 дней с помощью любого из интерфейсов поиска. Этот отчет полезен для определения наиболее ресурсоемких запросов и понимания того, как предотвратить регулирование из-за чрезмерного использования.
Доступ к отчету о ресурсах запроса
Доступ к отчету можно получить двумя способами:
На странице расширенной охоты выберите Запрос отчета о ресурсах:
На странице Отчеты найдите новую запись отчета в разделе Общие .
Все пользователи могут получить доступ к отчетам, однако только Microsoft Entra глобальный администратор, Microsoft Entra администратор безопасности и Microsoft Entra роли читателя безопасности могут просматривать запросы, выполненные всеми пользователями во всех интерфейсах. Любой другой пользователь может видеть только следующее:
- Запросы, которые они выполняли через портал
- Запросы общедоступных API, которые они выполняли сами, а не через приложение
- Пользовательские обнаружения, которые они создали
Запрос содержимого отчета о ресурсах
По умолчанию в таблице отчета отображаются запросы за последний день и она отсортирована по использованию ресурсов, чтобы легко определить, какие запросы потребляли наибольшее количество ресурсов ЦП.
Отчет о ресурсах запросов содержит все выполняемые запросы, включая подробные сведения о ресурсах для каждого запроса:
- Время — время выполнения запроса
- Интерфейс — выполняется ли запрос на портале, в пользовательских обнаружениях или через запрос API
- Пользователь или приложение — пользователь или приложение, которые выполнили запрос.
- Использование ресурсов — показатель объема ресурсов ЦП, потребляемых запросом (может быть низким, средним или высоким, где Высокий означает, что запрос использовал большой объем ресурсов ЦП и должен быть улучшен для повышения эффективности).
- Состояние — был ли запрос завершен, выполнен сбой или был отрегулирован.
- Время запроса — сколько времени потребовалось для выполнения запроса
- Диапазон времени — диапазон времени, используемый в запросе.
Совет
Если запрос находится в состоянии Сбой, можно навести указатель мыши на поле, чтобы просмотреть причину сбоя запроса.
Поиск ресурсоемких запросов
Запросы с высоким уровнем использования ресурсов или длительным временем выполнения запросов, вероятно, можно оптимизировать, чтобы предотвратить регулирование через этот интерфейс.
На графике отображается использование ресурсов с течением времени для каждого интерфейса. Вы можете легко определить чрезмерное использование и щелкнуть пики на графике, чтобы отфильтровать таблицу соответствующим образом. После выбора записи в графе таблица фильтруется по указанной дате.
Вы можете определить запросы, которые использовали больше всего ресурсов в этот день, и принять меры по их улучшению, применяя рекомендации по запросам или обучая пользователя, который выполнил запрос или создал правило, чтобы учитывать эффективность запросов и ресурсы. В интерактивном режиме пользователю необходимо переключиться в расширенный режим , чтобы изменить запрос.
Граф поддерживает два представления:
- Среднее использование в день — среднее использование ресурсов в день
- Наибольшее использование ресурсов в день — наибольшее фактическое использование ресурсов в день
Это означает, что, например, если в определенный день вы выполнили два запроса, один из них использовал 50 % ресурсов, а второй — 100 %, то среднее значение ежедневного использования будет показывать 75 %, а основное ежедневное использование — 100 %.
Статьи по теме
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по