Bekende problemen met Advanced Security Information Model (ASIM) (openbare preview)

Hier volgen bekende problemen en beperkingen van het Advanced Security Information Model (ASIM):

Tijdkiezer ingesteld op een aangepast bereik

Bij het filteren van ASIM-parsers (met de voorvoegsels _Im, imof vim) in het logboekscherm, wordt de tijdkiezer automatisch gewijzigd in 'in query instellen', wat resulteert in het uitvoeren van query's op alle gegevens in de relevante tabellen. De queryresultaten zijn mogelijk niet de verwachte resultaten en de prestaties zijn mogelijk traag.

Als u de juiste en tijdige resultaten wilt garanderen, stelt u het tijdsbereik in op het gewenste bereik nadat het is gewijzigd in 'set in query'. In add-hocquery's kunt u niet-filterende parsers gebruiken (met de voorvoegsels _ASim of ASim).

Prestatieproblemen

Op ASIM gebaseerde query's over een lang tijdsbereik en die geen filterparameters gebruiken, kunnen traag zijn. Parseren is een resource-intensieve bewerking en wanneer deze wordt toegepast op een grote, ongefilterde gegevensset, is deze naar verwachting traag.

Als u prestatieproblemen ondervindt:

• Wanneer u een interactieve query gebruikt, moet u de tijdkiezer instellen op het benodigde tijdsbereik.
• Gebruik parserfilters. Het belangrijkste is dat u de starttime filterparameters en endtime gebruikt.

De functie ingest_time() wordt niet ondersteund

De ingest_time() functie rapporteert het tijdstip waarop een record is opgenomen in Microsoft Sentinel, wat kan afwijken van TimeGenerated. Deze informatie wordt vaak gebruikt in query's die rekening houden met vertragingen bij opname. De ingest_time() moet worden gebruikt in de context van een specifieke tabel en werkt niet met ASIM-functies, die veel verschillende tabellen samenvoegen.

Misleidende informatieve boodschap

In sommige gevallen wordt bij het gebruik van ASIM-parserfuncties, meestal wanneer er geen resultaten voor de query zijn, het volgende informatiebericht weergegeven.

Hoewel het bericht alarmerend is, is het alleen informatief en gedraagt het systeem zich zoals verwacht. ASIM-functies combineren gegevens uit veel bronnen, ongeacht of ze beschikbaar zijn in uw omgeving of niet. In het bericht wordt aangegeven dat sommige bronnen niet beschikbaar zijn in uw omgeving.

Volgende stappen

In dit artikel worden de Help-functies van ASIM (Advanced Security Information Model) besproken.

Zie voor meer informatie:

• Bekijk de Deep Dive-webinar op Microsoft Sentinel Parsers en genormaliseerde inhoud normaliseren of bekijk de dia's
• Overzicht van Advanced Security Information Model (ASIM)
• ASIM-schema's (Advanced Security Information Model)
• ASIM-parsers (Advanced Security Information Model)
• Het Advanced Security Information Model (ASIM) gebruiken
• Microsoft Sentinel-inhoud wijzigen voor het gebruik van de ASIM-parsers (Advanced Security Information Model)