Problemi noti di Advanced Security Information Model (ASIM) (anteprima pubblica)
Di seguito sono riportati i problemi noti e le limitazioni del modello ASIM (Advanced Security Information Model):
Selezione ora impostata su un intervallo personalizzato
Quando si usano i parser ASIM (con i prefissi _Im, imo vim) nella schermata del log, la selezione ora cambierà automaticamente in "set in query", che comporterà l'esecuzione di query su tutti i dati nelle tabelle pertinenti. I risultati della query potrebbero non essere i risultati previsti e le prestazioni potrebbero risultare lente.
Per garantire risultati corretti e tempestivi, impostare l'intervallo di tempo sull'intervallo preferito dopo che viene modificato in "set in query". Nelle query ad hoc è possibile usare parser non di filtro (con i prefissi _ASim o ASim).
Problemi di prestazioni
Le query basate su ASIM in un intervallo di tempo lungo e che non usano parametri di filtro possono essere lente. L'analisi è un'operazione a elevato utilizzo di risorse e, se applicata a un set di dati di grandi dimensioni, non filtrata, è previsto un rallentamento.
Se si verificano problemi di prestazioni:
- Quando si usa una query interattiva, assicurarsi di impostare la selezione ora sull'intervallo di tempo necessario.
- Usare i filtri del parser. In particolare, usare i
starttimeparametri di filtro eendtime.
La funzione ingest_time() non è supportata
La ingest_time() funzione segnala l'ora in cui un record è stato inserito in Microsoft Sentinel, che può essere diverso da TimeGenerated. Queste informazioni vengono comunemente usate nelle query che prendono in considerazione i ritardi di inserimento. Deve ingest_time() essere usato nel contesto di una tabella specifica e non funziona con le funzioni ASIM, che unificano molte tabelle diverse.
Messaggio informativo fuorviante
In alcuni casi quando si usano funzioni parser ASIM, in genere quando non sono presenti risultati per la query, viene visualizzato il messaggio di informazioni seguente.
Mentre il messaggio è allarmante, è solo informativo e il sistema si comporta come previsto. Le funzioni ASIM combinano i dati di molte origini, indipendentemente dal fatto che siano disponibili nell'ambiente o meno. Il messaggio suggerisce che alcune origini non sono disponibili nell'ambiente in uso.
Passaggi successivi
Questo articolo illustra le funzioni della Guida di Advanced Security Information Model (ASIM).
Per altre informazioni, vedere:
- Guardare il webinar di approfondimento sulla normalizzazione dei parser e sul contenuto normalizzato di Microsoft Sentinel o esaminare le diapositive
- Panoramica di Advanced Security Information Model (ASIM)
- Schemi ASIM (Advanced Security Information Model)
- Parser ASIM (Advanced Security Information Model)
- Uso del modello ASIM (Advanced Security Information Model)
- Modifica del contenuto di Microsoft Sentinel per l'uso dei parser ASIM (Advanced Security Information Model)