Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Raport zasobów zapytań przedstawia użycie zasobów procesora CPU w organizacji na potrzeby wyszukiwania zagrożeń na podstawie zapytań uruchomionych w ciągu ostatnich 30 dni przy użyciu dowolnego interfejsu wyszukiwania zagrożeń.
Ten raport jest przydatny do identyfikowania zapytań intensywnie korzystających z zasobów i zrozumienia, jak zapobiegać ograniczaniu przepustowości z powodu nadmiernego użycia.
Omówienie zaawansowanych limitów przydziałów zagrożeń i parametrów użycia
Aby usługa była wydajna i dynamiczna, zaawansowane wyszukiwanie zagrożeń ustawia różne limity przydziału i parametry użycia (nazywane również "limitami usługi"). Aby uzyskać więcej informacji, zobacz Limity przydziału i parametry użycia.
Uzyskiwanie dostępu do raportu zasobów zapytania
Dostęp do raportu można uzyskać na dwa sposoby:
Na stronie zaawansowanego wyszukiwania zagrożeń wybierz pozycję Raport zasobów zapytań:
Na stronie Raporty znajdź nowy wpis raportu w sekcji Ogólne .
Wszyscy użytkownicy mogą uzyskiwać dostęp do raportów. Jednak tylko role administratora globalnego Microsoft Entra, administratora Microsoft Entra zabezpieczeń i czytelnika zabezpieczeń Microsoft Entra mogą wyświetlać zapytania wykonywane przez wszystkich użytkowników we wszystkich interfejsach. Inni użytkownicy mogą zobaczyć tylko:
- Zapytania uruchamiane za pośrednictwem portalu
- Zapytania publicznego interfejsu API, które zostały uruchomione samodzielnie, a nie za pośrednictwem aplikacji
- Utworzone przez nie wykrywanie niestandardowe
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Wykonywanie zapytań o zawartość raportu zasobu
Domyślnie w tabeli raportów są wyświetlane zapytania z ostatniego dnia. Jest ona posortowana według użycia zasobów, dzięki czemu można łatwo zobaczyć, które zapytania używały większości zasobów procesora CPU.
Raport zasobów zapytania zawiera wszystkie uruchomione zapytania wraz ze szczegółowymi informacjami o zasobach dla każdego zapytania:
- Czas — kiedy zapytanie zostało uruchomione
- Interfejs — czy zapytanie zostało uruchomione w portalu, w wykrywaniu niestandardowym, czy za pośrednictwem zapytania interfejsu API
- Użytkownik/aplikacja — użytkownik lub aplikacja, która uruchomiła zapytanie
- Użycie zasobów — wskaźnik ilości zasobów procesora CPU używanych przez zapytanie. Może być niski, średni lub wysoki. Wysoki oznacza, że zapytanie używało dużej ilości zasobów procesora CPU i należy je ulepszyć, aby było bardziej wydajne.
- State — czy zapytanie zostało ukończone, zakończone niepowodzeniem, czy też zostało ograniczone
- Czas wykonywania zapytania — jak długo trwało uruchamianie zapytania
- Zakres czasu — zakres czasu używany w zapytaniu
Porada
Jeśli stan zapytania to Niepowodzenie, możesz wyświetlić przyczynę niepowodzenia zapytania, umieszczając kursor nad polem.
Znajdowanie zapytań z dużą ilością zasobów
Prawdopodobnie można zoptymalizować zapytania z wysokim użyciem zasobów lub długim czasem wykonywania zapytań, aby zapobiec ograniczaniu przepustowości.
Na wykresie jest wyświetlane użycie zasobów w czasie dla interfejsu. Możesz łatwo zidentyfikować nadmierne użycie i wybrać skoki na grafie, aby odpowiednio filtrować tabelę. Po wybraniu wpisu na grafie tabela filtruje tę konkretną datę.
Możesz zidentyfikować zapytania, które korzystały z największej ilości zasobów w tym dniu, i podjąć działania w celu ich ulepszenia. Zastosuj najlepsze rozwiązania dotyczące zapytań lub poinformuj użytkownika, który uruchomił zapytanie lub utworzył regułę, aby wziął pod uwagę wydajność zapytań i zasoby.
Aby wyświetlić zapytanie, wybierz trzy kropki obok znacznika czasu zapytania, które chcesz sprawdzić, i wybierz pozycję Otwórz w edytorze zapytań.
W przypadku trybu z przewodnikiem użytkownik musi przełączyć się do trybu zaawansowanego , aby edytować zapytanie.
Wykres obsługuje dwa widoki:
- Średnie użycie dziennie — średnie wykorzystanie zasobów dziennie
- Najwyższe użycie dziennie — najwyższe rzeczywiste wykorzystanie zasobów dziennie
Oznacza to, że jeśli na przykład w określonym dniu uruchomiono dwa zapytania, jedno zapytanie użyło 50% zasobów, a drugie 100%, średnia dzienna wartość użycia pokazuje 75%, podczas gdy dzienne użycie na najwyższym poziomie wynosi 100%.
Artykuły pokrewne
- Zaawansowane najlepsze rozwiązania dotyczące wyszukiwania zagrożeń
- Obsługa zaawansowanych błędów wyszukiwania zagrożeń
- Omówienie zaawansowanego wyszukiwania zagrożeń
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.