Známé problémy s modelem ASIM (Advanced Security Information Model) (Public Preview)

Níže jsou uvedené známé problémy a omezení modelu ASIM (Advanced Security Information Model):

Výběr času nastavený na vlastní rozsah

Při použití analyzátorů ASIM (s předponami _Im, imnebo vim) na obrazovce protokolu se výběr času automaticky změní na "nastavit v dotazu", což způsobí dotazování na všechna data v příslušných tabulkách. Výsledky dotazu nemusí být očekávané a výkon může být pomalý.

Pokud chcete zajistit správné a včasné výsledky, nastavte časový rozsah na upřednostňovaný rozsah po změně na "set in query". V doplňovacích dotazech můžete použít nefiltrované analyzátory (s předponami _ASim nebo ASim).

Problémy s výkonem

Dotazy založené na ASIM v dlouhém časovém rozsahu, které nepoužívají parametry filtrování, můžou být pomalé. Analýza je operace náročná na prostředky a při použití u velké nefiltrované datové sady se očekává, že bude pomalá.

Pokud narazíte na problémy s výkonem:

• Při použití interaktivního dotazu nezapomeňte nastavit výběr času na požadovaný časový rozsah.
• Použijte filtry analyzátoru. Nejdůležitější je použít starttime parametry filtru a endtime .

Funkce ingest_time() se nepodporuje.

Funkce ingest_time() hlásí čas, kdy byl záznam přijat do služby Microsoft Sentinel, který se může lišit od TimeGenerated. Tyto informace se běžně používají v dotazech, které zohledňují zpoždění příjmu dat. Nástroj ingest_time() musí být použit v kontextu konkrétní tabulky a nefunguje s funkcemi ASIM, které sjednocují mnoho různých tabulek.

Zavádějící informační zpráva

V některých případech při použití funkcí analyzátoru ASIM, obvykle pokud dotaz neobsahuje žádné výsledky, se zobrazí následující informační zpráva.

I když je zpráva alarmující, je pouze informativní a systém se choval podle očekávání. Funkce ASIM kombinují data z mnoha zdrojů bez ohledu na to, jestli jsou ve vašem prostředí k dispozici nebo ne. Zpráva naznačuje, že některé zdroje nejsou ve vašem prostředí k dispozici.

Další kroky

Tento článek popisuje funkce nápovědy k modelu ASIM (Advanced Security Information Model).

Další informace naleznete v tématu:

• Podívejte se na podrobný webinář o normalizačních parserech a normalizovaném obsahu služby Microsoft Sentinel nebo si prohlédněte snímky.
• Přehled advanced Security Information Model (ASIM)
• Schémata ASIM (Advanced Security Information Model)
• Analyzátory ASIM (Advanced Security Information Model)
• Použití modelu ASIM (Advanced Security Information Model)
• Úprava obsahu služby Microsoft Sentinel tak, aby používal analyzátory ASIM (Advanced Security Information Model)