Gelişmiş tehdit avcılığı sorgusu kaynak raporunu kullanma
Şunlar için geçerlidir:
- Microsoft Defender XDR
Gelişmiş tehdit avcılığı kotalarını ve kullanım parametrelerini anlama
Gelişmiş avcılık, hizmetin performansını ve yanıt verme hızını korumak için çeşitli kotaları ve kullanım parametrelerini ("hizmet sınırları" olarak da bilinir) ayarlar. Bu kotalar ve parametreler, el ile çalıştırılacak sorgulara ve özel algılama kuralları kullanılarak çalıştırılacak sorgulara ayrı ayrı uygulanır. Düzenli olarak birden çok sorgu çalıştıran müşterilerin bu sınırlara dikkat etmesi ve kesintileri en aza indirmek için en iyi iyileştirme yöntemlerini uygulaması gerekir.
Mevcut kotaları ve kullanım parametrelerini anlamak için aşağıdaki tabloya bakın.
| Kota veya parametre | Boyut | Yenileme döngüsü | Açıklama |
|---|---|---|---|
| Veri aralığı | 30 gün | Her sorgu | Her sorgu, son 30 güne kadar olan verileri arayabilir. |
| Sonuç kümesi | 30.000 satır | Her sorgu | Her sorgu en fazla 30.000 kayıt döndürebilir. |
| Zaman aşımı | 10 dakika | Her sorgu | Her sorgu 10 dakikaya kadar çalıştırılabilir. 10 dakika içinde tamamlanmazsa hizmet bir hata görüntüler. |
| CPU kaynakları | Kiracı boyutuna göre | Her 15 dakikada bir | Portal, bir sorgu çalıştırıldığında ve kiracı ayrılan kaynakların %10'undan fazla tükettiğinde bir hata görüntüler . Kiracı sonraki 15 dakikalık döngüden sonraya kadar %100'e ulaşırsa sorgular engellenir. |
Not
API aracılığıyla gerçekleştirilen gelişmiş tehdit avcılığı sorguları için ayrı bir kota ve parametre kümesi geçerlidir. Gelişmiş avcılık API'leri hakkında bilgi edinin
Verimsiz sorguları bulmak için sorgu kaynakları raporunu görüntüleme
Sorgu kaynakları raporu, kuruluşunuzun tehdit avcılığı arabirimlerinden herhangi birini kullanarak son 30 gün içinde çalıştırdığı sorgulara göre tehdit avcılığı için CPU kaynakları tüketimini gösterir. Bu rapor, yoğun kaynak kullanan sorguları belirlemek ve aşırı kullanım nedeniyle azaltmayı nasıl önleyebilmek için yararlı olur.
Sorgu kaynakları raporuna erişme
Rapora iki şekilde erişilebilir:
Gelişmiş tehdit avcılığı sayfasında Sorgu kaynakları raporu'na tıklayın:
Raporlar sayfasında, Genel bölümünde yeni rapor girdisini bulun
Tüm kullanıcılar raporlara erişebilir; ancak, tüm arabirimlerde tüm kullanıcılar tarafından yapılan sorguları yalnızca Microsoft Entra Genel Yöneticisi, Microsoft Entra Güvenlik Yöneticisi ve Microsoft Entra Güvenlik Okuyucusu rolleri görebilir. Diğer tüm kullanıcılar yalnızca şu verileri görebilir:
- Portal üzerinden çalıştırdıkları sorgular
- Uygulama üzerinden değil, kendi kendilerine çalıştırdıkları Genel API sorguları
- Oluşturdukları özel algılamalar
Önemli
Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.
Kaynak raporu içeriğini sorgulama
Varsayılan olarak, rapor tablosu son güne ait sorguları görüntüler ve en yüksek CPU kaynağı miktarını tüketen sorguları kolayca belirlemenize yardımcı olmak için Kaynak kullanımına göre sıralanır.
Sorgu kaynakları raporu, sorgu başına ayrıntılı kaynak bilgileri de dahil olmak üzere çalıştırılan tüm sorguları içerir:
- Zaman – sorgunun çalıştırıldığı zaman
- Arabirim – sorgunun portalda, özel algılamalarda veya API sorgusu aracılığıyla çalıştırılıp çalıştırılmadığı
- Kullanıcı/Uygulama – sorguyu çalıştıran kullanıcı veya uygulama
- Kaynak kullanımı : Sorgunun tüketilen CPU kaynağı miktarının göstergesidir (Düşük, Orta veya Yüksek olabilir; Burada Yüksek, sorgunun çok miktarda CPU kaynağı kullandığı ve daha verimli olacak şekilde geliştirilmesi gerektiği anlamına gelir)
- Durum – sorgunun tamamlanıp tamamlanmadığı, başarısız olup olmadığı veya kısıtlanıp kısıtlanmamış olduğu
- Sorgu süresi – sorgunun çalıştırılması ne kadar sürdü?
- Zaman aralığı – sorguda kullanılan zaman aralığı
İpucu
Sorgu durumu Başarısız ise, sorgu hatasının nedenini görüntülemek için alanın üzerine gelebilirsiniz.
Kaynak ağırlıklı sorguları bulma
Yüksek kaynak kullanımına veya uzun sorgu süresine sahip sorgular büyük olasılıkla bu arabirim aracılığıyla azaltmayı önlemek için iyileştirilebilir.
Grafik, arabirim başına zaman içindeki kaynak kullanımını görüntüler. Aşırı kullanımı kolayca belirleyebilir ve tabloyu uygun şekilde filtrelemek için grafikteki ani artışları seçebilirsiniz. Grafikte bir girdi seçtiğinizde tablo bu tarihe göre filtrelenmiş olur.
Sorgunun en iyi yöntemlerini uygulayarak veya sorgu verimliliğini ve kaynakları dikkate almak için sorguyu çalıştıran veya kuralı oluşturan kullanıcıyı eğiterek, o gün en çok kaynak kullanan sorguları tanımlayabilir ve bunları geliştirmek için eylem gerçekleştirebilirsiniz. Kılavuzlu mod için kullanıcının sorguyu düzenlemek için gelişmiş moda geçmesi gerekir.
Grafik iki görünümü destekler:
- Günlük ortalama kullanım – kaynakların günlük ortalama kullanımı
- Günde en yüksek kullanım – kaynakların günde en yüksek gerçek kullanımı
Bu, örneğin belirli bir günde iki sorgu çalıştırdığınızda biri kaynaklarınızın %50'sini, biri %100'ünün kullanılması durumunda ortalama günlük kullanım değerinin %75'i, en yüksek günlük kullanımın ise %100'ünün göstereceği anlamına gelir.
İlgili makaleler
- Gelişmiş avcılık en iyi yöntemleri
- Gelişmiş tehdit avcılığı hatalarını işleme
- Gelişmiş avcılığa genel bakış
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin