Použití sestavy prostředků rozšířeného dotazu proaktivního vyhledávání
Platí pro:
- Microsoft Defender XDR
Vysvětlení pokročilých kvót proaktivního vyhledávání a parametrů využití
Aby služba zůstala výkonná a responzivní, pokročilé proaktivní vyhledávání nastavuje různé kvóty a parametry využití (označované také jako limity služby). Tyto kvóty a parametry se vztahují samostatně na dotazy spouštěné ručně a na dotazy spouštěné pomocí vlastních pravidel detekce. Zákazníci, kteří pravidelně spouštějí více dotazů, by měli mít na tato omezení pozor a používat osvědčené postupy optimalizace , aby se minimalizovala přerušení.
Informace o existujících kvótách a parametrech využití najdete v následující tabulce.
| Kvóta nebo parametr | Velikost | Cyklus aktualizace | Popis |
|---|---|---|---|
| Oblast dat | 30 dní | Každý dotaz | Každý dotaz může vyhledat data za posledních 30 dnů. |
| Sada výsledků | 30 000 řádků | Každý dotaz | Každý dotaz může vrátit až 30 000 záznamů. |
| Časový limit | 10 minut | Každý dotaz | Každý dotaz může běžet až 10 minut. Pokud se nedokončí do 10 minut, služba zobrazí chybu. |
| Prostředky procesoru | Na základě velikosti tenanta | Každých 15 minut | Portál zobrazí chybu při každém spuštění dotazu a tenant spotřeboval více než 10 % přidělených prostředků. Dotazy se zablokují, pokud tenant dosáhne 100 % až po uplynutí dalšího 15minutového cyklu. |
Poznámka
Samostatná sada kvót a parametrů se vztahuje na pokročilé dotazy proaktivního vyhledávání prováděné prostřednictvím rozhraní API. Přečtěte si o pokročilých rozhraních API proaktivního proaktivního vyhledávání.
Zobrazení sestavy prostředků dotazů pro vyhledání neefektivních dotazů
Sestava prostředků dotazů ukazuje, jak vaše organizace využívá prostředky procesoru k proaktivnímu vyhledávání na základě dotazů spuštěných během posledních 30 dnů pomocí některého z rozhraní proaktivního vyhledávání. Tato sestava je užitečná při identifikaci dotazů náročných na prostředky a při pochopení toho, jak zabránit omezování kvůli nadměrnému používání.
Přístup k sestavě prostředků dotazu
Sestava je přístupná dvěma způsoby:
Na stránce rozšířeného proaktivního vyhledávání vyberte Dotazovat sestavu prostředků:
Na stránce Sestavy vyhledejte novou položku sestavy v části Obecné.
Všichni uživatelé mají přístup k sestavám, ale dotazy provedené všemi uživateli ve všech rozhraních uvidí jenom Microsoft Entra globální správce, správce Microsoft Entra zabezpečení a role čtenáře zabezpečení Microsoft Entra. Každý jiný uživatel může zobrazit jenom:
- Dotazy, které spustili prostřednictvím portálu
- Dotazy veřejného rozhraní API, které spustili sami, a ne prostřednictvím aplikace
- Vlastní detekce, které vytvořili
Dotazování na obsah sestavy prostředků
Ve výchozím nastavení se v tabulce sestavy zobrazují dotazy z posledního dne a jsou seřazené podle využití prostředků, abyste mohli snadno zjistit, které dotazy spotřebovávají největší množství prostředků procesoru.
Sestava prostředků dotazu obsahuje všechny spuštěné dotazy, včetně podrobných informací o prostředcích pro jednotlivé dotazy:
- Čas – kdy se dotaz spustil
- Rozhraní – jestli se dotaz spustil na portálu, ve vlastních detekcích nebo prostřednictvím dotazu rozhraní API.
- Uživatel/aplikace – uživatel nebo aplikace, která dotaz spustila.
- Využití prostředků – indikátor množství prostředků procesoru, které dotaz spotřeboval (může být Nízká, Střední nebo Vysoká, kde Vysoká znamená, že dotaz využíval velké množství prostředků procesoru a měl by se vylepšit, aby byl efektivnější).
- Stav – jestli byl dotaz dokončený, neúspěšný nebo omezený.
- Doba dotazu – jak dlouho trvalo spuštění dotazu
- Časový rozsah – časový rozsah použitý v dotazu
Tip
Pokud je dotaz ve stavu Selhání, můžete na pole najet myší a zobrazit důvod selhání dotazu.
Vyhledání dotazů náročných na prostředky
Dotazy s vysokým využitím prostředků nebo dlouhou dobou dotazování je pravděpodobně možné optimalizovat tak, aby se zabránilo omezování prostřednictvím tohoto rozhraní.
Graf zobrazuje využití prostředků v průběhu času na rozhraní. Můžete snadno identifikovat nadměrné využití a kliknout na špičky v grafu a odpovídajícím způsobem vyfiltrovat tabulku. Jakmile vyberete položku v grafu, tabulka se vyfiltruje na konkrétní datum.
Můžete identifikovat dotazy, které v daný den používaly nejvíce prostředků, a podniknout kroky k jejich vylepšení – použitím osvědčených postupů pro dotazy nebo vzděláváním uživatele, který dotaz spustil nebo vytvořil pravidlo, aby zohlednil efektivitu dotazů a prostředky. V režimu s asistencí musí uživatel přepnout do rozšířeného režimu , aby upravil dotaz.
Graf podporuje dvě zobrazení:
- Průměrné využití za den – průměrné využití zdrojů za den
- Nejvyšší využití za den – nejvyšší skutečné využití prostředků za den
To znamená, že pokud jste například v určitý den spustili dva dotazy, jeden z nich využil 50 % prostředků a jeden 100 %, průměrná denní hodnota využití by se zobrazila na 75 %, zatímco u nejvyššího denního využití 100 %.
Související témata
- Pokročilé osvědčené postupy proaktivního vyhledávání
- Zpracování chyb rozšířeného proaktivního vyhledávání
- Přehled rozšířeného proaktivní vyhledávání
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro