重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
瞭解進階搜捕配額和使用參數
為了保持服務效能和回應,進階搜捕會設定各種配額和使用參數 (也稱為「服務限制」) 。 這些配額和參數會個別套用至手動執行的查詢,以及使用 自訂偵測規則執行的查詢。 定期執行多個查詢的客戶應注意這些限制,並 套用最佳化最佳實務 ,以將中斷降到最低。
請參閱下表,以瞭解現有的配額和使用參數。
| 配額或參數 | 大小 | 重新整理循環 | 描述 |
|---|---|---|---|
| 日期範圍 | Defender 全面偵測回應資料的 30 天,除非透過 Microsoft Sentinel 串流 | 每個查詢 | 每個查詢都可以查閱過去 30 天的 Defender 全面偵測回應數據,如果透過 Microsoft Sentinel 串流,則可以查閱更長的時間 |
| 結果集 | 100,000 列 | 每個查詢 | 每個查詢最多可以傳回 100,000 筆記錄。 |
| 逾時 | 10 分鐘 | 每個查詢 | 每個查詢最多只能執行 10 分鐘。 如果 10 分鐘內未完成,服務會顯示錯誤。 |
| CPU 資源 | 根據租用戶大小 | 每 15 分鐘 | 每當查詢執行且租用戶耗用超過 10% 的已配置資源時,入口網站都會顯示警告。 如果租用戶達到 100%,則會封鎖查詢,直到下一個 15 分鐘週期之後。 |
在統一的 Microsoft Defender 入口網站中,您可以上線工作區,以針對 Microsoft Sentinel 資料表執行查詢。 因此,Log Analytics 工作區限制也適用。
如需多租用戶組織中的進階搜捕,請參閱 多租用戶管理中進階搜捕中的配額。
注意事項
一組個別的配額和參數適用於透過 API 執行的進階搜捕查詢。 閱讀進階搜捕 API
檢視查詢資源報告以尋找效率低下的查詢
查詢資源報告會根據過去 30 天內使用任何搜捕介面執行的查詢,顯示貴組織用於搜捕的 CPU 資源耗用量。 此報告有助於識別最耗用資源的查詢,並瞭解如何防止因過度使用而導致節流。
存取查詢資源報告
您可以透過兩種方式存取報告:
在進階搜捕頁面中,選取 [查詢資源報表]:
![檢視 AH 入口網站中的 [查詢資源報表] 按鈕](media/advanced-hunting-limits/view-query-resources report.png)
在 「報告」 頁面中,在「 一般」 區段中找到新的報告項目
![檢視 AH 入口網站中的 [查詢資源報表] 按鈕](media/advanced-hunting-limits/view-query-resources report.png#lightbox)
所有使用者都可以存取報告;不過,只有 Microsoft Entra 全域系統管理員、Microsoft Entra 安全性系統管理員和 Microsoft Entra 安全性讀取者角色才能看到所有介面中所有使用者所完成的查詢。 任何其他使用者只能看到:
- 他們透過入口網站執行的查詢
- 他們自己執行的公用 API 查詢,而不是透過應用程式執行
- 他們建立的自訂偵測
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
查詢資源報表內容
根據預設,報表表格會顯示最後一天的查詢,並依資源使用量排序,以協助您輕鬆識別哪些查詢耗用了最多的 CPU 資源。
查詢資源報告包含所有執行的查詢,包括每個查詢的詳細資源資訊:
- 時間 — 執行查詢的時間
- 介面 – 查詢是在入口網站、自訂偵測中執行,還是透過 API 查詢執行
- 使用者/應用程式 – 執行查詢的使用者或應用程式
- 資源使用量 — 查詢所 (耗用 CPU 資源量的指標,可以是低、中或高,其中高表示查詢使用了大量 CPU 資源,應該進行改進以提高效率)
- 狀態 — 查詢是否已完成、失敗或已節流
- 查詢時間 — 執行查詢所花費的時間
- 時間範圍 — 查詢中使用的時間範圍
提示
如果查詢狀態為 失敗,您可以將滑鼠停留在欄位上,以檢視查詢失敗的原因。
尋找大量資源的查詢
資源使用量高或查詢時間較長的查詢可能可以最佳化,以防止透過此介面進行節流。
此圖表會顯示每個介面一段時間內的資源使用量。 您可以輕鬆識別過度使用,並選取圖表中的尖峰,以據此篩選表格。 選取圖表中的項目後,表格會篩選至該特定日期。
您可以識別當天使用最多資源的查詢,並採取動作來改善它們 - 套用查詢最佳實務 ,或教育執行查詢或建立規則的使用者,以考慮查詢效率和資源。
若要檢視查詢,請選取您要檢查之查詢時間戳記旁的三個點,然後選取 [ 在查詢編輯器中開啟]。
對於引導模式,使用者需要 切換到進階模式 才能編輯查詢。
此圖表支援兩個檢視:
- 每天平均使用量 — 每天資源的平均使用量
- 每日最高使用量 — 每天資源的最高實際使用量
這表示,例如,如果您在特定日期執行兩個查詢,一個使用了 50% 的資源,另一個使用了 100%,則平均每日使用值將顯示 75%,而最高每日使用量將顯示 100%。
相關文章
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。