Gelişmiş tehdit avcılığı sorgusu kaynak raporunu kullanma

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Gelişmiş tehdit avcılığı kotalarını ve kullanım parametrelerini anlama

Gelişmiş avcılık, hizmetin performansını ve yanıt verme hızını korumak için çeşitli kotaları ve kullanım parametrelerini ("hizmet sınırları" olarak da bilinir) ayarlar. Bu kotalar ve parametreler, el ile çalıştırılacak sorgulara ve özel algılama kuralları kullanılarak çalıştırılacak sorgulara ayrı ayrı uygulanır. Düzenli olarak birden çok sorgu çalıştıran müşterilerin bu sınırlara dikkat etmesi ve kesintileri en aza indirmek için en iyi iyileştirme yöntemlerini uygulaması gerekir.

Mevcut kotaları ve kullanım parametrelerini anlamak için aşağıdaki tabloya bakın.

Kota veya parametre Boyut Yenileme döngüsü Açıklama
Tarih aralığı Microsoft Sentinel üzerinden akış yapılmadığı sürece Defender XDR veriler için 30 gün Her sorgu Her sorgu son 30 güne kadar Defender XDR verileri arayabilir veya Microsoft Sentinel üzerinden akışla aktarıldıysa daha uzun sürebilir
Sonuç kümesi 30.000 satır Her sorgu Her sorgu en fazla 30.000 kayıt döndürebilir.
Zaman aşımı 10 dakika Her sorgu Her sorgu 10 dakikaya kadar çalıştırılabilir. 10 dakika içinde tamamlanmazsa hizmet bir hata görüntüler.
CPU kaynakları Kiracı boyutuna göre Her 15 dakikada bir Portal, bir sorgu çalıştırıldığında ve kiracı ayrılan kaynakların %10'undan fazla tükettiğinde bir uyarı görüntüler. Kiracı sonraki 15 dakikalık döngüden sonraya kadar %100'e ulaşırsa sorgular engellenir.

Not

API aracılığıyla gerçekleştirilen gelişmiş tehdit avcılığı sorguları için ayrı bir kota ve parametre kümesi geçerlidir. Gelişmiş avcılık API'leri hakkında bilgi edinin

Verimsiz sorguları bulmak için sorgu kaynakları raporunu görüntüleme

Sorgu kaynakları raporu, kuruluşunuzun tehdit avcılığı arabirimlerinden herhangi birini kullanarak son 30 gün içinde çalıştırdığı sorgulara göre tehdit avcılığı için CPU kaynakları tüketimini gösterir. Bu rapor, yoğun kaynak kullanan sorguları belirlemek ve aşırı kullanım nedeniyle azaltmayı nasıl önleyebilmek için yararlı olur.

Sorgu kaynakları raporuna erişme

Rapora iki şekilde erişilebilir:

  • Gelişmiş tehdit avcılığı sayfasında Sorgu kaynakları raporu'na tıklayın:

    AH portalında sorgu kaynakları rapor düğmesini görüntüleme

  • Raporlar sayfasında, Genel bölümünde yeni rapor girdisini bulun

    Raporlar bölümünde sorgu kaynakları raporunu görüntüleme

Tüm kullanıcılar raporlara erişebilir; ancak yalnızca Microsoft Entra Genel Yöneticisi, Microsoft Entra Güvenlik Yöneticisi ve Microsoft Entra Güvenlik Okuyucusu rolleri tüm arabirimlerdeki tüm kullanıcılar tarafından yapılan sorguları görebilir. Diğer tüm kullanıcılar yalnızca şu verileri görebilir:

  • Portal üzerinden çalıştırdıkları sorgular
  • Uygulama üzerinden değil, kendi kendilerine çalıştırdıkları Genel API sorguları
  • Oluşturdukları özel algılamalar

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Kaynak raporu içeriğini sorgulama

Varsayılan olarak, rapor tablosu son güne ait sorguları görüntüler ve en yüksek CPU kaynağı miktarını tüketen sorguları kolayca belirlemenize yardımcı olmak için Kaynak kullanımına göre sıralanır.

Sorgu kaynakları raporu, sorgu başına ayrıntılı kaynak bilgileri de dahil olmak üzere çalıştırılan tüm sorguları içerir:

  • Zaman – sorgunun çalıştırıldığı zaman
  • Arabirim – sorgunun portalda, özel algılamalarda veya API sorgusu aracılığıyla çalıştırılıp çalıştırılmadığı
  • Kullanıcı/Uygulama – sorguyu çalıştıran kullanıcı veya uygulama
  • Kaynak kullanımı : Sorgunun tüketilen CPU kaynağı miktarının göstergesidir (Düşük, Orta veya Yüksek olabilir; Burada Yüksek, sorgunun çok miktarda CPU kaynağı kullandığı ve daha verimli olacak şekilde geliştirilmesi gerektiği anlamına gelir)
  • Durum – sorgunun tamamlanıp tamamlanmadığı, başarısız olup olmadığı veya kısıtlanıp kısıtlanmamış olduğu
  • Sorgu süresi – sorgunun çalıştırılması ne kadar sürdü?
  • Zaman aralığı – sorguda kullanılan zaman aralığı

İpucu

Sorgu durumu Başarısız ise, sorgu hatasının nedenini görüntülemek için alanın üzerine gelebilirsiniz.

verimli olmayan sorguları görüntüleme

Kaynak ağırlıklı sorguları bulma

Yüksek kaynak kullanımına veya uzun sorgu süresine sahip sorgular büyük olasılıkla bu arabirim aracılığıyla azaltmayı önlemek için iyileştirilebilir.

Grafik, arabirim başına zaman içindeki kaynak kullanımını görüntüler. Aşırı kullanımı kolayca belirleyebilir ve tabloyu uygun şekilde filtrelemek için grafikteki ani artışları seçebilirsiniz. Grafikte bir girdi seçtiğinizde tablo bu tarihe göre filtrelenmiş olur.

Sorgunun en iyi yöntemlerini uygulayarak veya sorgu verimliliğini ve kaynakları dikkate almak için sorguyu çalıştıran veya kuralı oluşturan kullanıcıyı eğiterek, o gün en çok kaynak kullanan sorguları tanımlayabilir ve bunları geliştirmek için eylem gerçekleştirebilirsiniz.

Sorguyu görüntülemek için, denetlemek istediğiniz sorgunun zaman damgasının yanındaki üç noktayı seçin ve ardından Sorgu düzenleyicisinde aç'ı seçin.

Kılavuzlu mod için kullanıcının sorguyu düzenlemek için gelişmiş moda geçmesi gerekir.

Grafik iki görünümü destekler:

  • Günlük ortalama kullanım – kaynakların günlük ortalama kullanımı
  • Günde en yüksek kullanım – kaynakların günde en yüksek gerçek kullanımı

Sorgu kaynakları raporu için iki görünüm modu

Bu, örneğin belirli bir günde iki sorgu çalıştırdığınızda biri kaynaklarınızın %50'sini, biri %100'ünün kullanılması durumunda ortalama günlük kullanım değerinin %75'i, en yüksek günlük kullanımın ise %100'ünün göstereceği anlamına gelir.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.