重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度なハンティング クォータと使用パラメーターについて理解する
サービスのパフォーマンスと応答性を維持するために、高度なハンティングでは、さまざまなクォータと使用パラメーター ("サービス制限" とも呼ばれます) が設定されます。 これらのクォータとパラメーターは、手動で実行されるクエリと 、カスタム検出ルールを使用して実行されるクエリに個別に適用されます。 複数のクエリを定期的に実行するお客様は、これらの制限に注意し、中断を最小限に抑えるための 最適化のベスト プラクティスを適用 する必要があります。
既存のクォータと使用パラメーターについては、次の表を参照してください。
| クォータまたはパラメーター | Size | 更新サイクル | Description |
|---|---|---|---|
| 日付範囲 | Microsoft Sentinel 経由でストリーミングされない限り、Defender XDR データの 30 日間 | すべてのクエリ | 各クエリは、過去 30 日間までのDefender XDRデータを検索できます。Microsoft Sentinel を介してストリーミングされた場合は、より長くなります |
| 結果セット | 100,000 行 | すべてのクエリ | 各クエリは、最大 100,000 件のレコードを返すことができます。 |
| Timeout | 10 分 | すべてのクエリ | 各クエリは最大 10 分間実行できます。 10 分以内に完了しない場合、サービスはエラーを表示します。 |
| CPU リソース | テナントのサイズに基づく | 15 分ごと | クエリが実行され、テナントが割り当てられたリソースの 10% 以上を消費するたびに、ポータルに警告が表示されます。 テナントが次の 15 分のサイクルの後まで 100% に達した場合、クエリはブロックされます。 |
統合Microsoft Defender ポータルでは、ワークスペースをオンボードすることで、Microsoft Sentinel テーブルに対してクエリを実行できます。 そのため、ログ分析ワークスペースの制限も適用されます。
マルチテナント組織での高度なハンティングについては、「マルチテナント 管理での高度なハンティングのクォータ」を参照してください。
注:
別のクォータとパラメーターのセットは、API を介して実行される高度なハンティング クエリに適用されます。 高度なハンティング API について読む
クエリ リソース レポートを表示して非効率的なクエリを見つける
クエリ リソース レポートには、ハンティング インターフェイスのいずれかを使用して過去 30 日間に実行されたクエリに基づいて、ハンティング用の CPU リソースのorganizationの消費量が表示されます。 このレポートは、リソースが最も多いクエリを特定し、過剰な使用による調整を防ぐ方法を理解するのに役立ちます。
クエリ リソース レポートにアクセスする
レポートには、次の 2 つの方法でアクセスできます。
高度なハンティング ページで、[ リソース レポートのクエリ] を選択します。
![AH ポータルの [クエリ リソース レポート] ボタンを表示する](media/advanced-hunting-limits/view-query-resources report.png)
[ レポート ] ページで、[ 全般 ] セクションで新しいレポート エントリを見つけます
![[レポート] セクションでクエリ リソース レポートを表示する](media/advanced-hunting-limits/reports-general-query-resources.png)
![AH ポータルの [クエリ リソース レポート] ボタンを表示する](media/advanced-hunting-limits/view-query-resources report.png#lightbox)
![[レポート] セクションでクエリ リソース レポートを表示する](media/advanced-hunting-limits/reports-general-query-resources.png#lightbox)
すべてのユーザーがレポートにアクセスできます。ただし、すべてのインターフェイスのすべてのユーザーによって実行されるクエリを表示できるのは、Microsoft Entraグローバル管理者、Microsoft Entra セキュリティ管理者、およびセキュリティ閲覧者ロールMicrosoft Entraのみです。 その他のユーザーには、次の情報のみが表示されます。
- ポータルを介して実行されたクエリ
- アプリケーションを介してではなく、自分で実行したパブリック API クエリ
- 作成したカスタム検出
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
リソース レポートの内容を照会する
既定では、レポート テーブルには、最後の日のクエリが表示され、リソース使用量で並べ替えられます。これにより、CPU リソースの使用量が最も多いクエリを簡単に特定できます。
クエリ リソース レポートには、クエリごとの詳細なリソース情報を含め、実行されたすべてのクエリが含まれます。
- 時刻 – クエリが実行されたとき
- インターフェイス – クエリがポータル、カスタム検出、または API クエリを使用して実行されたかどうか
- ユーザー/アプリ – クエリを実行したユーザーまたはアプリ
- リソース使用量 – クエリが消費した CPU リソースの量を示すインジケーター (低、中、高のいずれかです。高は、クエリが大量の CPU リソースを使用したことを意味し、より効率的に改善する必要があります)
- 状態 – クエリが完了したか、失敗したか、調整されたか
- クエリ時間 – クエリ の実行にかかった時間
- 時間範囲 – クエリで使用される時間範囲
ヒント
クエリの状態が [失敗] の場合は、フィールドをポイントしてクエリエラーの理由を表示できます。
リソースが多いクエリを検索する
リソース使用量が多いクエリやクエリ時間が長いクエリは、おそらく、このインターフェイスを介した調整を防ぐために最適化できます。
グラフには、インターフェイスごとの時間の経過に伴うリソース使用量が表示されます。 過剰な使用量を簡単に特定し、グラフのスパイクを選択して、それに応じてテーブルをフィルター処理できます。 グラフ内のエントリを選択すると、テーブルはその特定の日付にフィルター処理されます。
その日に最も多くのリソースを使用したクエリを特定し、 クエリのベスト プラクティスを適用するか、クエリを 実行したユーザーを教育したり、クエリの効率とリソースを考慮するルールを作成したりすることで、それらを改善するためのアクションを実行できます。
クエリを表示するには、チェックするクエリのタイムスタンプの横にある 3 つのドットを選択し、[クエリ エディターで開く] を選択します。
ガイド 付きモードの場合、ユーザーは 詳細モードに切り替えて クエリを編集する必要があります。
グラフでは、次の 2 つのビューがサポートされています。
- 1 日あたりの平均使用量 – 1 日あたりのリソースの平均使用量
- 1 日あたりの使用率が最も高い – 1 日あたりのリソースの実際の使用率が最も高い
つまり、たとえば、特定の日に 2 つのクエリを実行し、1 つはリソースの 50% を使用し、1 つは 100% を使用した場合、1 日の平均使用量の値は 75%、一日の使用量の上位は 100% になります。
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。