使用高级搜寻查询资源报表
适用于:
- Microsoft Defender XDR
了解高级搜寻配额和使用参数
为了保持服务的性能和响应能力,高级搜寻设置各种配额和使用参数 (也称为“服务限制”) 。 这些配额和参数分别应用于手动运行的查询和使用 自定义检测规则运行的查询。 定期运行多个查询的客户应注意这些限制,并 应用优化最佳做法 来最大程度地减少中断。
请参阅下表,了解现有配额和使用情况参数。
| Quota 或参数 | Size | 刷新周期 | 说明 |
|---|---|---|---|
| 日期范围 | 除非通过Microsoft Sentinel流式传输,否则Defender XDR数据 30 天 | 每个查询 | 每个查询都可以查找过去 30 天内的Defender XDR数据,如果通过流式传输,则Microsoft Sentinel |
| 结果集 | 30,000 行 | 每个查询 | 每个查询最多可以返回 30,000 条记录。 |
| Timeout | 10 分钟 | 每个查询 | 每个查询最多可以运行 10 分钟。 如果在 10 分钟内未完成,则该服务会显示错误。 |
| CPU 资源 | 基于租户大小 | 每 15 分钟 | 每当查询运行且租户使用超过 10% 的已分配资源时,门户会显示警告。 如果租户达到 100%, 直到下一个 15 分钟周期后,查询将被阻止。 |
注意
一组单独的配额和参数适用于通过 API 执行的高级搜寻查询。 阅读有关高级搜寻 API 的信息
查看查询资源报表以查找低效查询
查询资源报表根据过去 30 天内使用任何搜寻接口运行的查询显示组织用于搜寻的 CPU 资源消耗情况。 此报告有助于识别资源消耗量最大的查询,并了解如何防止由于过度使用而导致的限制。
访问查询资源报表
可以通过两种方式访问报表:
在高级搜寻页中,选择“ 查询资源报告”:
在 “报表 ”页中,在“ 常规 ”部分找到新的报表条目
所有用户都可以访问报表;但是,只有Microsoft Entra全局管理员、Microsoft Entra安全管理员和Microsoft Entra安全读取者角色才能在所有界面中查看所有用户执行的查询。 任何其他用户只能看到:
- 他们通过门户运行的查询
- 公共 API 查询,它们自己运行,而不是通过应用程序运行
- 他们创建的自定义检测
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
查询资源报表内容
默认情况下,报表表显示过去一天的查询,并按资源使用情况排序,以帮助轻松确定哪些查询消耗了最高 CPU 资源量。
查询资源报表包含运行的所有查询,包括每个查询的详细资源信息:
- 时间 – 运行查询的时间
- 接口 - 查询是在门户、自定义检测中还是通过 API 查询运行
- 用户/应用 – 运行查询的用户或应用
- 资源使用情况 - (查询消耗的 CPU 资源量的指标可以是低、中或高,其中 High 表示查询使用了大量 CPU 资源,应进行改进以提高效率)
- 状态 - 查询是已完成、失败还是受到限制
- 查询时间 - 运行查询所需的时间
- 时间范围 – 查询中使用的时间范围
提示
如果查询状态为 “失败”,则可以将字段悬停在一起以查看查询失败的原因。
查找资源密集型查询
资源使用率较高或查询时间较长的查询可以进行优化,以防止通过此接口进行限制。
该图显示每个接口随时间推移的资源使用情况。 可以轻松识别过度使用,并选择图形中的峰值来相应地筛选表。 在图形中选择一个条目后,表格将筛选为该特定日期。
可以通过 应用查询最佳做法 或教育运行查询或创建规则的用户考虑查询效率和资源来识别当天使用最多资源的查询并采取措施进行改进。
若要查看查询,请选择要检查的查询时间戳旁边的三个点,然后选择“在查询编辑器中打开”。
对于引导模式,用户需要 切换到高级模式 才能编辑查询。
该图支持两种视图:
- 每日平均使用量 - 每天资源的平均使用量
- 每天使用率最高 - 每天资源的实际使用率最高
这意味着,例如,如果你在特定日期运行了两个查询,其中一个使用了 50% 的资源,一个使用了 100%,则平均每日使用值将显示 75%,而每日使用率最高的查询将显示 100%。
相关文章
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。