Använda resursrapporten för avancerad jaktfråga
Obs!
Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.
Gäller för:
- Microsoft Defender XDR
Förstå avancerade jaktkvoter och användningsparametrar
För att hålla tjänsten högpresterande och dynamisk anger avancerad jakt olika kvoter och användningsparametrar (kallas även "tjänstgränser"). Dessa kvoter och parametrar gäller separat för frågor som körs manuellt och för frågor som körs med anpassade identifieringsregler. Kunder som kör flera frågor regelbundet bör vara medvetna om dessa gränser och tillämpa optimeringstips för att minimera störningar.
Se följande tabell för att förstå befintliga kvoter och användningsparametrar.
| Kvot eller parameter | Storlek | Uppdateringscykel | Beskrivning |
|---|---|---|---|
| Dataområde | 30 dagar | Varje fråga | Varje fråga kan söka efter data från upp till de senaste 30 dagarna. |
| Resultatuppsättning | 30 000 rader | Varje fråga | Varje fråga kan returnera upp till 30 000 poster. |
| Timeout | 10 minuter | Varje fråga | Varje fråga kan köras i upp till 10 minuter. Om den inte slutförs inom 10 minuter visar tjänsten ett fel. |
| CPU-resurser | Baserat på klientorganisationens storlek | Var 15:e minut | Portalen visar ett fel när en fråga körs och klientorganisationen har förbrukat över 10 % av de allokerade resurserna. Frågor blockeras om klientorganisationen har nått 100 % till efter nästa 15-minuterscykel. |
Obs!
En separat uppsättning kvoter och parametrar gäller för avancerade jaktfrågor som utförs via API:et. Läs mer om API:er för avancerad jakt
Visa rapporten med frågeresurser för att hitta ineffektiva frågor
Rapporten med frågeresurser visar organisationens förbrukning av CPU-resurser för jakt baserat på frågor som körts under de senaste 30 dagarna med något av jaktgränssnitten. Den här rapporten är användbar för att identifiera de mest resursintensiva frågorna och förstå hur du förhindrar begränsning på grund av överdriven användning.
Få åtkomst till frågeresursrapporten
Rapporten kan nås på två sätt:
På sidan avancerad jakt väljer du Fråga efter resursrapport:
På sidan Rapporter hittar du den nya rapportposten i avsnittet Allmänt
Alla användare kan dock komma åt rapporterna, men endast Microsoft Entra global administratör, Microsoft Entra säkerhetsadministratör och Microsoft Entra säkerhetsläsarroller kan se frågor som görs av alla användare i alla gränssnitt. Andra användare kan bara se:
- Frågor som de körde via portalen
- Offentliga API-frågor kördes själva och inte via programmet
- Anpassade identifieringar som de har skapat
Fråga resursrapportinnehåll
Som standard visar rapporttabellen frågor från den senaste dagen och sorteras efter Resursanvändning för att hjälpa dig att enkelt identifiera vilka frågor som förbrukat den högsta mängden CPU-resurser.
Rapporten för frågeresurser innehåller alla frågor som kördes, inklusive detaljerad resursinformation per fråga:
- Time – när frågan kördes
- Gränssnitt – oavsett om frågan kördes i portalen, i anpassade identifieringar eller via API-fråga
- Användare/app – den användare eller app som körde frågan
- Resursanvändning – en indikator på mängden CPU-resurser som en fråga använder (kan vara låg, medel eller hög, där hög innebär att frågan använde en stor mängd CPU-resurser och bör förbättras för att bli mer effektiv)
- Tillstånd – om frågan slutfördes, misslyckades eller begränsades
- Frågetid – hur lång tid det tog att köra frågan
- Tidsintervall – tidsintervallet som används i frågan
Tips
Om frågetillståndet misslyckades kan du hovra över fältet för att visa orsaken till frågefelet.
Hitta resurskrävande frågor
Frågor med hög resursanvändning eller lång frågetid kan förmodligen optimeras för att förhindra begränsning via det här gränssnittet.
Diagrammet visar resursanvändning över tid per gränssnitt. Du kan enkelt identifiera överdriven användning och klicka på topparna i diagrammet för att filtrera tabellen därefter. När du har valt en post i diagrammet filtreras tabellen till det specifika datumet.
Du kan identifiera de frågor som använde flest resurser den dagen och vidta åtgärder för att förbättra dem – genom att tillämpa metodtips för frågor eller utbilda användaren som körde frågan eller skapade regeln för att ta hänsyn till frågeeffektivitet och resurser. För guidat läge måste användaren växla till avancerat läge för att redigera frågan.
Diagrammet stöder två vyer:
- Genomsnittlig användning per dag – genomsnittlig användning av resurser per dag
- Högsta användning per dag – den högsta faktiska användningen av resurser per dag
Det innebär till exempel att om du en viss dag körde två frågor, en använde 50 % av dina resurser och en använde 100 %, skulle det genomsnittliga dagliga användningsvärdet visa 75 %, medan den högsta dagliga användningen skulle visa 100 %.
Relaterade ämnen
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för