Использование отчета о ресурсе расширенного запроса охоты

Область применения:

  • Microsoft Defender XDR

Общие сведения о квотах и параметрах использования расширенной охоты

Чтобы обеспечить производительность и быстродействие службы, расширенная охота устанавливает различные квоты и параметры использования (также известные как "ограничения службы"). Эти квоты и параметры применяются отдельно к запросам, выполняемым вручную, и к запросам, выполняемым с использованием пользовательских правил обнаружения. Клиенты, которые регулярно выполняют несколько запросов, должны помнить об этих ограничениях и применять рекомендации по оптимизации , чтобы свести к минимуму перерывы.

Сведения о существующих квотах и параметрах использования см. в следующей таблице.

Квота или параметр Размер Цикл обновления Описание
Диапазон дат 30 дней для Defender XDR данных, если они не передаются через Microsoft Sentinel Каждый запрос Каждый запрос может искать Defender XDR данные за последние 30 дней или дольше, если они передаются через Microsoft Sentinel
Результирующий набор 30 000 строк Каждый запрос Каждый запрос может возвращать до 30 000 записей.
Превышено время ожидания 10 минут Каждый запрос Каждый запрос может работать до 10 минут. Если он не будет завершен в течение 10 минут, служба отобразит ошибку.
Ресурсы ЦП Зависит от размера клиента Каждые 15 минут На портале отображается предупреждение каждый раз, когда выполняется запрос и клиент потребляет более 10 % выделенных ресурсов. Запросы блокируются, если клиент достигает 100 % до следующего 15-минутного цикла.

Примечание.

Отдельный набор квот и параметров применяется к расширенным охотничьим запросам, выполняемым через API. Ознакомьтесь с расширенными API охоты

Просмотр отчета о ресурсах запросов для поиска неэффективных запросов

В отчете о ресурсах запросов показано потребление ресурсов ЦП вашей организацией для поиска на основе запросов, которые выполнялись за последние 30 дней с помощью любого из интерфейсов поиска. Этот отчет полезен для определения наиболее ресурсоемких запросов и понимания того, как предотвратить регулирование из-за чрезмерного использования.

Доступ к отчету о ресурсах запроса

Доступ к отчету можно получить двумя способами:

  • На странице расширенной охоты выберите Запрос отчета о ресурсах:

    Кнопка просмотра отчета о ресурсах запроса на портале AH

  • На странице Отчеты найдите новую запись отчета в разделе Общие .

    Просмотр отчета о ресурсах запроса в разделе Отчеты

Все пользователи могут получить доступ к отчетам; однако только роли глобального администратора Microsoft Entra, Microsoft Entra администратора безопасности и Microsoft Entra читателя безопасности могут просматривать запросы, выполняемые всеми пользователями во всех интерфейсах. Любой другой пользователь может видеть только следующее:

  • Запросы, которые они выполняли через портал
  • Запросы общедоступных API, которые они выполняли сами, а не через приложение
  • Пользовательские обнаружения, которые они создали

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Запрос содержимого отчета о ресурсах

По умолчанию в таблице отчета отображаются запросы за последний день и она отсортирована по использованию ресурсов, чтобы легко определить, какие запросы потребляли наибольшее количество ресурсов ЦП.

Отчет о ресурсах запросов содержит все выполняемые запросы, включая подробные сведения о ресурсах для каждого запроса:

  • Время — время выполнения запроса
  • Интерфейс — выполняется ли запрос на портале, в пользовательских обнаружениях или через запрос API
  • Пользователь или приложение — пользователь или приложение, которые выполнили запрос.
  • Использование ресурсов — показатель объема ресурсов ЦП, потребляемых запросом (может быть низким, средним или высоким, где Высокий означает, что запрос использовал большой объем ресурсов ЦП и должен быть улучшен для повышения эффективности).
  • Состояние — был ли запрос завершен, выполнен сбой или был отрегулирован.
  • Время запроса — сколько времени потребовалось для выполнения запроса
  • Диапазон времени — диапазон времени, используемый в запросе.

Совет

Если запрос находится в состоянии Сбой, можно навести указатель мыши на поле, чтобы просмотреть причину сбоя запроса.

просмотр неэффективных запросов

Поиск ресурсоемких запросов

Запросы с высоким уровнем использования ресурсов или длительным временем выполнения запросов, вероятно, можно оптимизировать, чтобы предотвратить регулирование через этот интерфейс.

На графике отображается использование ресурсов с течением времени для каждого интерфейса. Вы можете легко определить чрезмерное использование и выбрать пики на графике, чтобы отфильтровать таблицу соответствующим образом. После выбора записи в графе таблица фильтруется по указанной дате.

Вы можете определить запросы, которые использовали больше всего ресурсов в этот день, и принять меры по их улучшению, применяя рекомендации по запросам или обучая пользователя, который выполнил запрос или создал правило, чтобы учитывать эффективность запросов и ресурсы.

Чтобы просмотреть запрос, выделите три точки рядом с меткой времени запроса, который нужно проверка, и выберите Открыть в редакторе запросов.

В интерактивном режиме пользователю необходимо переключиться в расширенный режим , чтобы изменить запрос.

Граф поддерживает два представления:

  • Среднее использование в день — среднее использование ресурсов в день
  • Наибольшее использование ресурсов в день — наибольшее фактическое использование ресурсов в день

Два режима просмотра для отчета о ресурсах запросов

Это означает, что, например, если в определенный день вы выполнили два запроса, один из них использовал 50 % ресурсов, а второй — 100 %, то среднее значение ежедневного использования будет показывать 75 %, а основное ежедневное использование — 100 %.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.