Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Der Abfrageressourcenbericht zeigt den Verbrauch Ihrer organization an CPU-Ressourcen für die Suche basierend auf Abfragen, die in den letzten 30 Tagen ausgeführt wurden, mithilfe einer der Huntingschnittstellen.
Dieser Bericht ist nützlich, um die ressourcenintensivsten Abfragen zu identifizieren und zu verstehen, wie eine Drosselung aufgrund übermäßiger Nutzung verhindert werden kann.
Grundlegendes zu erweiterten Huntingkontingenten und Verwendungsparametern
Um den Dienst leistungsfähig und reaktionsfähig zu halten, legt die erweiterte Suche verschiedene Kontingente und Nutzungsparameter (auch als "Dienstgrenzwerte" bezeichnet) fest. Weitere Informationen finden Sie unter Kontingente und Nutzungsparameter.
Zugreifen auf den Bericht zu Abfrageressourcen
Sie können auf zwei Arten auf den Bericht zugreifen:
Wählen Sie auf der Seite Erweiterte Suche die Option Ressourcenbericht abfragen aus:
Suchen Sie auf der Seite Berichte den neuen Berichtseintrag im Abschnitt Allgemein .
Alle Benutzer können auf die Berichte zugreifen. Allerdings können nur die Rollen Microsoft Entra Globaler Administrator, Microsoft Entra Sicherheitsadministrator und Microsoft Entra Sicherheitsleseberechtigter Abfragen sehen, die von allen Benutzern an allen Schnittstellen ausgeführt wurden. Andere Benutzer können nur Folgendes sehen:
- Abfragen, die sie über das Portal ausgeführt haben
- Öffentliche API-Abfragen, die sie selbst ausgeführt haben und nicht über die Anwendung
- Von ihnen erstellte benutzerdefinierte Erkennungen
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Inhalt des Abfrageressourcenberichts
Standardmäßig werden in der Berichtstabelle Abfragen vom letzten Tag angezeigt. Sie ist nach Ressourcennutzung sortiert, sodass Sie leicht erkennen können, welche Abfragen die meisten CPU-Ressourcen verwendet haben.
Der Abfrageressourcenbericht enthält alle ausgeführten Abfragen sowie detaillierte Ressourceninformationen für jede Abfrage:
- Uhrzeit : Wann die Abfrage ausgeführt wurde
- Schnittstelle – ob die Abfrage im Portal, in benutzerdefinierten Erkennungen oder über eine API-Abfrage ausgeführt wurde
- Benutzer/App : Der Benutzer oder die App, die die Abfrage ausgeführt hat
- Ressourcennutzung : Ein Indikator für die Menge der VON einer Abfrage verwendeten CPU-Ressourcen. Dies kann niedrig, mittel oder hoch sein. Hoch bedeutet, dass die Abfrage eine große Menge an CPU-Ressourcen verbraucht hat, und Sie sollten sie verbessern, um effizienter zu sein.
- Status : Gibt an, ob die Abfrage abgeschlossen, fehlgeschlagen ist oder gedrosselt wurde.
- Abfragezeit : Wie lange die Ausführung der Abfrage gedauert hat
- Zeitbereich – der in der Abfrage verwendete Zeitbereich
Tipp
Wenn der Abfragestatus Fehler lautet, können Sie den Grund für den Abfragefehler anzeigen, indem Sie auf das Feld zeigen.
Suchen ressourcenintensiver Abfragen
Sie können Abfragen wahrscheinlich mit hoher Ressourcenauslastung oder einer langen Abfragezeit optimieren, um eine Drosselung zu verhindern.
Das Diagramm zeigt die Ressourcennutzung im Zeitverlauf pro Schnittstelle an. Sie können eine übermäßige Nutzung leicht identifizieren und die Spitzen im Diagramm auswählen, um die Tabelle entsprechend zu filtern. Wenn Sie einen Eintrag im Diagramm auswählen, filtert die Tabelle nach diesem bestimmten Datum.
Sie können die Abfragen identifizieren, die an diesem Tag die meisten Ressourcen verbraucht haben, und Maßnahmen ergreifen, um sie zu verbessern. Wenden Sie bewährte Methoden für Abfragen an, oder informieren Sie den Benutzer, der die Abfrage ausgeführt oder die Regel erstellt hat, um die Abfrageeffizienz und -ressourcen zu berücksichtigen.
Um eine Abfrage anzuzeigen, wählen Sie die drei Punkte neben dem Zeitstempel der Abfrage aus, die Sie überprüfen möchten, und wählen Sie Im Abfrage-Editor öffnen aus.
Für den geführten Modus muss der Benutzer in den erweiterten Modus wechseln , um die Abfrage zu bearbeiten.
Das Diagramm unterstützt zwei Ansichten:
- Durchschnittliche Nutzung pro Tag – die durchschnittliche Ressourcennutzung pro Tag
- Höchste Nutzung pro Tag – die höchste tatsächliche Ressourcennutzung pro Tag
Dies bedeutet, dass für instance, wenn sie an einem bestimmten Tag zwei Abfragen ausgeführt haben, eine Abfrage 50 % Ihrer Ressourcen und die andere Abfrage 100 % verwendet hat, der durchschnittliche tägliche Nutzungswert 75 % anzeigt, während die höchste tägliche Nutzung 100 % anzeigt.
Verwandte Artikel
- Bewährte Methoden für die erweiterte Suche
- Behandeln von Fehlern bei der erweiterten Suche
- Übersicht über die erweiterte Suche
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.