高度なハンティング クエリ リソース レポートを使用する
適用対象:
- Microsoft Defender XDR
高度なハンティング クォータと使用パラメーターについて理解する
サービスのパフォーマンスと応答性を維持するために、高度なハンティングでは、さまざまなクォータと使用パラメーター ("サービス制限" とも呼ばれます) が設定されます。 これらのクォータとパラメーターは、手動で実行されるクエリと 、カスタム検出ルールを使用して実行されるクエリに個別に適用されます。 複数のクエリを定期的に実行するお客様は、これらの制限に注意し、中断を最小限に抑えるための 最適化のベスト プラクティスを適用 する必要があります。
既存のクォータと使用パラメーターについては、次の表を参照してください。
| クォータまたはパラメーター | Size | 更新サイクル | 説明 |
|---|---|---|---|
| データ範囲 | 30 日間 | すべてのクエリ | 各クエリは、過去 30 日間までのデータを検索できます。 |
| 結果セット | 30,000 行 | すべてのクエリ | 各クエリは、最大 30,000 個のレコードを返すことができます。 |
| Timeout | 10 分 | すべてのクエリ | 各クエリは最大 10 分間実行できます。 10 分以内に完了しなかった場合、サービスにエラーが表示されます。 |
| CPU リソース | テナントのサイズに基づく | 15 分ごと | クエリが実行され、テナントが割り当てられたリソースの 10% を超えて消費されるたびに 、ポータルにエラーが表示 されます。 テナントが 100% に達した場合、次の 15 分のサイクル終了までクエリはブロックされます。 |
注:
別のクォータとパラメーターのセットは、API を介して実行される高度なハンティング クエリに適用されます。 高度なハンティング API について読む
クエリ リソース レポートを表示して非効率的なクエリを見つける
クエリ リソース レポートには、ハンティング インターフェイスのいずれかを使用して過去 30 日間に実行されたクエリに基づいて、ハンティング用の CPU リソースのorganizationの消費量が表示されます。 このレポートは、リソースが最も多いクエリを特定し、過剰な使用による調整を防ぐ方法を理解するのに役立ちます。
クエリ リソース レポートにアクセスする
レポートには、次の 2 つの方法でアクセスできます。
高度なハンティング ページで、[ リソース レポートのクエリ] を選択します。
![AH ポータルの [クエリ リソース レポート] ボタンを表示する](/ja-jp/defender/media/ah-query-resources/view-query-resources report.png)
[ レポート ] ページで、[ 全般 ] セクションで新しいレポート エントリを見つけます
![[レポート] セクションでクエリ リソース レポートを表示する](/ja-jp/defender/media/ah-query-resources/reports-general-query-resources.png)
![AH ポータルの [クエリ リソース レポート] ボタンを表示する](/ja-jp/defender/media/ah-query-resources/view-query-resources report.png#lightbox)
![[レポート] セクションでクエリ リソース レポートを表示する](/ja-jp/defender/media/ah-query-resources/reports-general-query-resources.png#lightbox)
ただし、すべてのユーザーがレポートにアクセスできるのは、Microsoft Entraグローバル管理者、Microsoft Entra セキュリティ管理者、およびセキュリティ 閲覧者ロールMicrosoft Entraのみです。すべてのインターフェイスですべてのユーザーが実行したクエリを確認できます。 その他のユーザーには、次の情報のみが表示されます。
- ポータルを介して実行されたクエリ
- アプリケーションを介してではなく、自分で実行したパブリック API クエリ
- 作成したカスタム検出
リソース レポートの内容を照会する
既定では、レポート テーブルには、最後の日のクエリが表示され、リソース使用量で並べ替えられます。これにより、CPU リソースの使用量が最も多いクエリを簡単に特定できます。
クエリ リソース レポートには、クエリごとの詳細なリソース情報を含め、実行されたすべてのクエリが含まれます。
- 時刻 – クエリが実行されたとき
- インターフェイス – クエリがポータル、カスタム検出、または API クエリを使用して実行されたかどうか
- ユーザー/アプリ – クエリを実行したユーザーまたはアプリ
- リソース使用量 – クエリが消費した CPU リソースの量を示すインジケーター (低、中、高のいずれかです。高は、クエリが大量の CPU リソースを使用したことを意味し、より効率的に改善する必要があります)
- 状態 – クエリが完了したか、失敗したか、調整されたか
- クエリ時間 – クエリ の実行にかかった時間
- 時間範囲 – クエリで使用される時間範囲
ヒント
クエリの状態が [失敗] の場合は、フィールドをポイントしてクエリエラーの理由を表示できます。
リソースが多いクエリを検索する
リソース使用量が多いクエリやクエリ時間が長いクエリは、おそらく、このインターフェイスを介した調整を防ぐために最適化できます。
グラフには、インターフェイスごとの時間の経過に伴うリソース使用量が表示されます。 過剰な使用量を簡単に特定し、グラフ内のスパイクをクリックして、それに応じてテーブルをフィルター処理できます。 グラフ内のエントリを選択すると、テーブルはその特定の日付にフィルター処理されます。
その日に最も多くのリソースを使用したクエリを特定し、 クエリのベスト プラクティスを適用するか、クエリを 実行したユーザーを教育したり、クエリの効率とリソースを考慮するルールを作成したりすることで、それらを改善するためのアクションを実行できます。 ガイド 付きモードの場合、ユーザーは 詳細モードに切り替えて クエリを編集する必要があります。
グラフでは、次の 2 つのビューがサポートされています。
- 1 日あたりの平均使用量 – 1 日あたりのリソースの平均使用量
- 1 日あたりの使用率が最も高い – 1 日あたりのリソースの実際の使用率が最も高い
つまり、たとえば、特定の日に 2 つのクエリを実行し、1 つはリソースの 50% を使用し、1 つは 100% を使用した場合、1 日の平均使用量の値は 75%、一日の使用量の上位は 100% になります。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示