Megosztás a következőn keresztül:

A speciális veszélyforrás-keresési lekérdezési erőforrás jelentésének használata

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

A speciális veszélyforrás-keresési kvóták és használati paraméterek ismertetése

A szolgáltatás hatékony és rugalmas állapotának megőrzése érdekében a speciális veszélyforrás-keresés különböző kvótákat és használati paramétereket (más néven "szolgáltatási korlátokat") állít be. Ezek a kvóták és paraméterek külön vonatkoznak a manuálisan futtatott lekérdezésekre és az egyéni észlelési szabályokkal futtatott lekérdezésekre. A több lekérdezést rendszeresen futtató ügyfeleknek figyelembe kell venniük ezeket a korlátokat, és optimalizálási ajánlott eljárásokat kell alkalmazniuk a fennakadások minimalizálása érdekében.

A meglévő kvóták és használati paraméterek megismeréséhez tekintse meg az alábbi táblázatot.

Kvóta vagy paraméter Méret Frissítési ciklus Leírás
Dátumtartomány 30 nap Defender XDR adatok esetében, kivéve, ha Microsoft Sentinel Minden lekérdezés Az egyes lekérdezések Defender XDR adatokat kereshetnek az elmúlt 30 napban, vagy hosszabb ideig, ha Microsoft Sentinel
Eredményhalmaz 30 000 sor Minden lekérdezés Minden lekérdezés legfeljebb 30 000 rekordot adhat vissza.
Időkorlát 10 perc Minden lekérdezés Minden lekérdezés legfeljebb 10 percig futhat. Ha 10 percen belül nem fejeződik be, a szolgáltatás hibaüzenetet jelenít meg.
CPU-erőforrások A bérlő mérete alapján 15 percenként A portál figyelmeztetést jelenít meg, amikor egy lekérdezés fut, és a bérlő a lefoglalt erőforrások több mint 10%-át használja fel. A lekérdezések le lesznek tiltva , ha a bérlő eléri a 100%-ot a következő 15 perces ciklusig.

Az egyesített Microsoft Defender portálon egy munkaterület előkészítésével lekérdezéseket futtathat Microsoft Sentinel táblákon. Ezért a Log Analytics-munkaterület korlátai is érvényesek.

Megjegyzés:

Az API-val végrehajtott speciális veszélyforrás-keresési lekérdezésekre külön kvóták és paraméterek vonatkoznak. További információ a speciális veszélyforrás-keresési API-król

A lekérdezési erőforrások jelentésének megtekintése a nem hatékony lekérdezések kereséséhez

A lekérdezési erőforrások jelentés az elmúlt 30 napban a veszélyforrás-keresési felületek használatával futtatott lekérdezések alapján jeleníti meg a szervezet által a veszélyforrás-kereséshez használt CPU-erőforrásokat. Ez a jelentés hasznos a leginkább erőforrás-igényes lekérdezések azonosításához és a túlzott használat miatti szabályozás megelőzésének megértéséhez.

A lekérdezési erőforrások jelentésének elérése

A jelentés kétféleképpen érhető el:

  • A speciális veszélyforrás-keresés oldalon válassza az Erőforrások lekérdezése jelentés lehetőséget:

    a lekérdezési erőforrások jelentés gombjának megtekintése az AH-portálon

  • A Jelentések lapon keresse meg az új jelentésbejegyzést az Általános szakaszban

    a lekérdezési erőforrások jelentésének megtekintése a Jelentések szakaszban

Minden felhasználó hozzáférhet a jelentésekhez; Azonban csak a Microsoft Entra globális rendszergazda, Microsoft Entra biztonsági rendszergazda és Microsoft Entra Biztonsági olvasó szerepkörök láthatják az összes felhasználó által az összes felületen végrehajtott lekérdezéseket. Bármely más felhasználó csak a következőt látja:

  • A portálon keresztül futtatott lekérdezések
  • A nyilvános API-lekérdezések magukat futtatták, nem az alkalmazáson keresztül
  • Az általuk létrehozott egyéni észlelések

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Erőforrásjelentés tartalmának lekérdezése

Alapértelmezés szerint a jelentéstábla az utolsó nap lekérdezéseit jeleníti meg, és erőforrás-használat szerint van rendezve, így könnyen azonosíthatja, hogy mely lekérdezések használták fel a legnagyobb cpu-erőforrásokat.

A lekérdezési erőforrások jelentés tartalmazza az összes futtatott lekérdezést, beleértve a lekérdezésenkénti részletes erőforrás-információkat:

  • Idő – a lekérdezés futtatásának időpontja
  • Interfész – azt jelzi, hogy a lekérdezés a portálon, egyéni észlelésekben vagy API-lekérdezésen keresztül futott-e
  • Felhasználó/alkalmazás – a lekérdezést futtató felhasználó vagy alkalmazás
  • Erőforrás-használat – a lekérdezés által felhasznált CPU-erőforrások mennyiségének mutatója (lehet alacsony, közepes vagy magas, ahol a Magas azt jelenti, hogy a lekérdezés nagy mennyiségű CPU-erőforrást használt, és a hatékonyabb működés érdekében javítani kell)
  • Állapot – azt jelzi, hogy a lekérdezés befejeződött, sikertelen vagy szabályozva lett-e
  • Lekérdezési idő – a lekérdezés futtatásának időtartama
  • Időtartomány – a lekérdezésben használt időtartomány

Tipp

Ha a lekérdezés állapota Sikertelen, a mezőre mutatva megtekintheti a lekérdezési hiba okát.

nem hatékony lekérdezések megtekintése

Erőforrásigényes lekérdezések keresése

A magas erőforrás-használattal vagy hosszú lekérdezési idővel rendelkező lekérdezések valószínűleg optimalizálhatók, hogy megakadályozzák a szabályozást ezen a felületen.

A gráf az erőforrás-használatot jeleníti meg a felületenkénti idő függvényében. Egyszerűen azonosíthatja a túlzott használatot, és kiválaszthatja a gráf csúcsait a tábla megfelelő szűréséhez. Miután kiválasztott egy bejegyzést a grafikonon, a táblázat az adott dátumra lesz szűrve.

Azonosíthatja azokat a lekérdezéseket, amelyek az adott napon a legtöbb erőforrást használták, és lépéseket tehet azok javítása érdekében– a lekérdezések ajánlott eljárásainak alkalmazásával , vagy a lekérdezést végrehajtó felhasználó oktatásával vagy a szabály létrehozásával, hogy figyelembe vegye a lekérdezés hatékonyságát és erőforrásait.

Egy lekérdezés megtekintéséhez jelölje ki az ellenőrizni kívánt lekérdezés időbélyege melletti három elemet, majd válassza a Megnyitás a lekérdezésszerkesztőben lehetőséget.

Irányított mód esetén a felhasználónak speciális módra kell váltania a lekérdezés szerkesztéséhez.

A gráf két nézetet támogat:

  • Átlagos napi használat – az erőforrások napi átlagos használata
  • A legnagyobb napi használat – az erőforrások napi legnagyobb tényleges használata

Két nézetmód a lekérdezési erőforrások jelentéséhez

Ez azt jelenti, hogy ha például egy adott napon két lekérdezést futtatott, az egyik az erőforrások 50%-át használta fel, egy pedig 100%-ot, az átlagos napi használati érték 75%, a legmagasabb napi használat pedig 100%.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.