Utiliser le rapport de ressources de requête de repérage avancé

S’applique à :

  • Microsoft Defender XDR

Comprendre les quotas de chasse avancés et les paramètres d’utilisation

Pour que le service reste performant et réactif, la chasse avancée définit différents quotas et paramètres d’utilisation (également appelés « limites de service »). Ces quotas et paramètres s’appliquent séparément aux requêtes exécutées manuellement et aux requêtes exécutées à l’aide de règles de détection personnalisées. Les clients qui exécutent régulièrement plusieurs requêtes doivent être conscients de ces limites et appliquer les meilleures pratiques d’optimisation pour réduire les interruptions.

Reportez-vous au tableau suivant pour comprendre les quotas et les paramètres d’utilisation existants.

Quota ou paramètre Taille Cycle d’actualisation Description
Plage de dates 30 jours pour les données Defender XDR, sauf si elles sont diffusées via Microsoft Sentinel Chaque requête Chaque requête peut rechercher Defender XDR données des 30 derniers jours ou plus si elles sont diffusées via Microsoft Sentinel
Jeu de résultats 30 000 lignes Chaque requête Chaque requête peut retourner jusqu’à 30 000 enregistrements.
Délai d’expiration 10 minutes Chaque requête Chaque requête peut s’exécuter pendant 10 minutes. S’il ne se termine pas dans les 10 minutes, le service affiche une erreur.
Ressources processeur En fonction de la taille du client Toutes les 15 minutes Le portail affiche un avertissement chaque fois qu’une requête s’exécute et que le locataire consomme plus de 10 % des ressources allouées. Les requêtes sont bloquées si le locataire atteint 100 % jusqu’au terme du cycle de 15 minutes suivant.

Remarque

Un ensemble distinct de quotas et de paramètres s’applique aux requêtes de repérage avancées effectuées via l’API. En savoir plus sur les API de chasse avancées

Afficher le rapport des ressources de requête pour rechercher les requêtes inefficaces

Le rapport des ressources de requête indique la consommation de ressources processeur de votre organization pour la chasse en fonction des requêtes exécutées au cours des 30 derniers jours à l’aide de l’une des interfaces de chasse. Ce rapport est utile pour identifier les requêtes les plus gourmandes en ressources et comprendre comment empêcher la limitation due à une utilisation excessive.

Accéder au rapport des ressources de requête

Le rapport est accessible de deux manières :

  • Dans la page repérage avancé, sélectionnez Rapport de ressources de requête :

    bouton afficher le rapport des ressources de requête dans le portail AH

  • Dans la page Rapports, recherchez la nouvelle entrée de rapport dans la section Général

    afficher le rapport des ressources de requête dans la section Rapports

Tous les utilisateurs peuvent accéder aux rapports ; Toutefois, seuls les rôles Administrateur général Microsoft Entra, Administrateur de la sécurité Microsoft Entra et Lecteur de sécurité Microsoft Entra peuvent voir les requêtes effectuées par tous les utilisateurs dans toutes les interfaces. Tout autre utilisateur peut uniquement voir :

  • Requêtes exécutées via le portail
  • Requêtes d’API publiques qu’ils ont exécutées eux-mêmes et non via l’application
  • Détections personnalisées qu’ils ont créées

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Interroger le contenu du rapport de ressources

Par défaut, la table de rapport affiche les requêtes du dernier jour et est triée par utilisation des ressources pour vous aider à identifier facilement les requêtes qui ont consommé la plus grande quantité de ressources processeur.

Le rapport des ressources de requête contient toutes les requêtes exécutées, y compris des informations détaillées sur les ressources par requête :

  • Heure : heure à laquelle la requête a été exécutée
  • Interface : si la requête s’est exécutée dans le portail, dans des détections personnalisées ou via une requête d’API
  • Utilisateur/Application : l’utilisateur ou l’application qui a exécuté la requête
  • Utilisation des ressources : indicateur de la quantité de ressources processeur consommées par une requête (peut être Faible, Moyen ou Élevé, où High signifie que la requête a utilisé une grande quantité de ressources processeur et doit être améliorée pour être plus efficace).
  • État : indique si la requête a été terminée, a échoué ou a été limitée
  • Durée de la requête : durée d’exécution de la requête
  • Intervalle de temps : intervalle de temps utilisé dans la requête

Conseil

Si l’état de la requête est Échec, vous pouvez pointer le champ pour afficher la raison de l’échec de la requête.

afficher les requêtes inefficaces

Rechercher des requêtes gourmandes en ressources

Les requêtes avec une utilisation élevée des ressources ou une durée de requête longue peuvent probablement être optimisées pour empêcher la limitation via cette interface.

Le graphique affiche l’utilisation des ressources au fil du temps par interface. Vous pouvez facilement identifier une utilisation excessive et sélectionner les pics dans le graphique pour filtrer le tableau en conséquence. Une fois que vous avez sélectionné une entrée dans le graphique, la table est filtrée à cette date spécifique.

Vous pouvez identifier les requêtes qui ont utilisé le plus de ressources ce jour-là et prendre des mesures pour les améliorer en appliquant les meilleures pratiques de requête ou en informant l’utilisateur qui a exécuté la requête ou créé la règle de prendre en compte l’efficacité des requêtes et les ressources.

Pour afficher une requête, sélectionnez les trois points en regard de l’horodatage de la requête que vous souhaitez case activée, puis sélectionnez Ouvrir dans l’éditeur de requête.

Pour le mode guidé, l’utilisateur doit passer en mode avancé pour modifier la requête.

Le graphe prend en charge deux vues :

  • Utilisation moyenne par jour : utilisation moyenne des ressources par jour
  • Utilisation la plus élevée par jour : utilisation réelle la plus élevée des ressources par jour

Deux modes d’affichage pour le rapport de ressources de requête

Cela signifie que, pour instance, si, un jour donné, vous avez exécuté deux requêtes, l’une utilisant 50 % de vos ressources et l’autre 100 %, la valeur d’utilisation quotidienne moyenne affiche 75 %, tandis que l’utilisation quotidienne la plus élevée affiche 100 %.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.