Bekannte Probleme im erweiterten Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM) (öffentliche Vorschau)
Im Folgenden sind bekannte Probleme und Einschränkungen des ASIM (Advanced Security Information Model) aufgeführt:
Zeitauswahl auf einen benutzerdefinierten Bereich festgelegt
Wenn Sie im Protokollbildschirm filternde ASIM-Parser (mit den Präfixen _Im, im oder vim) verwenden, ändert sich die Zeitauswahl automatisch in „In Abfrage festgelegt“, was dazu führt, dass alle Daten in den relevanten Tabellen abfragt werden. Die Abfrage erzielt möglicherweise nicht die erwarteten Ergebnisse, und die Leistung kann beeinträchtigt sein.
Um korrekte und zeitgerechte Ergebnisse sicherzustellen, legen Sie den Zeitbereich auf Ihren bevorzugten Bereich fest, nachdem er in „In Abfrage festgelegt“ geändert wurde. In Ad-hoc-Abfragen kann es wünschenswert sein, nicht filternde Parser (mit den Präfixen _ASim oder ASim) zu verwenden.
Leistungsprobleme
Über einen langen Zeitraum durchgeführte ASIM-basierte Abfragen, die keine Filterparameter verwenden, sind möglicherweise langsam. Das Parsen ist ein ressourcenintensiver Vorgang, und wenn dieser auf ein großes, ungefiltertes Dataset angewendet wird, ist er erwartungsgemäß langsam.
Gehen Sie bei Leistungsproblemen folgendermaßen vor:
- Stellen Sie bei Verwendung einer interaktiven Abfrage sicher, dass die Zeitauswahl auf den erforderlichen Zeitbereich festgelegt wird.
- Verwenden Sie Parserfilter. Verwenden Sie vor allem die Filterparameter
starttimeundendtime.
Die Funktion „ingest_time()“ wird nicht unterstützt
Die Funktion ingest_time() meldet die Uhrzeit, zu der ein Datensatz in Microsoft Sentinel erfasst wurde. Diese unterscheidet sich möglicherweise von TimeGenerated. Diese Informationen werden häufig in Abfragen verwendet, die Erfassungsverzögerungen berücksichtigen. Die Funktion ingest_time() muss im Kontext einer bestimmten Tabelle verwendet werden und funktioniert nicht mit ASIM-Funktionen, die viele verschiedene Tabellen vereinheitlichen.
Irreführende Informationsmeldung
In einigen Fällen wird bei Verwendung von ASIM-Parserfunktionen die folgende Informationsmeldung angezeigt – in der Regel, wenn die Abfrage keine Ergebnisse erzielt.
Die Meldung klingt alarmierend, dient aber nur zu Ihrer Information, und das System verhält sich wie erwartet. ASIM-Funktionen kombinieren Daten aus vielen Quellen, unabhängig davon, ob sie in Ihrer Umgebung verfügbar sind oder nicht. Die Meldung weist darauf hin, dass einige der Quellen in Ihrer Umgebung nicht verfügbar sind.
Nächste Schritte
In diesem Artikel werden die Hilfefunktionen des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) erläutert.
Weitere Informationen finden Sie unter
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Verwenden des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)
- Ändern von Microsoft Sentinel-Inhalten zur Verwendung der ASIM-Parser (erweitertes Sicherheitsinformationsmodells)