Znane problemy z zaawansowanym modelem informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)

Poniżej przedstawiono znane problemy i ograniczenia dotyczące zaawansowanego modelu informacji o zabezpieczeniach zabezpieczeń (ASIM):

Selektor czasu ustawiony na zakres niestandardowy

W przypadku korzystania z analizatorów ASIM filtrowania (z prefiksami _Im, imlub vim) na ekranie dziennika selektor czasu zmieni się automatycznie na "ustaw w zapytaniu", co spowoduje wykonywanie zapytań względem wszystkich danych w odpowiednich tabelach. Wyniki zapytania mogą nie być oczekiwanym wynikiem, a wydajność może być niska.

Aby zapewnić poprawne i terminowe wyniki, ustaw zakres czasu na preferowany zakres po zmianie na "ustaw w zapytaniu". W zapytaniach add hoc możesz użyć analizatorów niefiltrujących (z prefiksami _ASim lub ASim).

Wyzwania związane z wydajnością

Zapytania oparte na aSIM w długim zakresie czasu i które nie używają parametrów filtrowania, mogą być powolne. Analizowanie jest operacją intensywnie obciążającą zasoby, a w przypadku zastosowania do dużego, niefiltrowanego zestawu danych oczekuje się, że będzie powolne.

Jeśli wystąpią problemy z wydajnością:

• W przypadku korzystania z zapytania interakcyjnego upewnij się, że jest ustawiony selektor czasu na wymagany zakres czasu.
• Użyj filtrów analizatora. Co najważniejsze, należy użyć parametrów filtru starttimeendtime i .

Funkcja ingest_time() nie jest obsługiwana

Funkcja ingest_time() zgłasza czas pozyskiwania rekordu do usługi Microsoft Sentinel, co może się różnić od TimeGenerated. Te informacje są często używane w zapytaniach, które uwzględniają opóźnienia pozyskiwania. Element ingest_time() musi być używany w kontekście określonej tabeli i nie działa z funkcjami ASIM, które ujmują wiele różnych tabel.

Wprowadzający w błąd komunikat informacyjny

W niektórych przypadkach w przypadku korzystania z funkcji analizatora ASIM, zwykle gdy nie ma wyników zapytania, zostanie wyświetlony następujący komunikat o informacjach.

Podczas gdy komunikat jest alarmujący, jest tylko informacyjny, a system zachowywał się zgodnie z oczekiwaniami. Funkcje ASIM łączą dane z wielu źródeł, niezależnie od tego, czy są dostępne w danym środowisku, czy nie. Komunikat sugeruje, że niektóre źródła nie są dostępne w danym środowisku.

Następne kroki

W tym artykule omówiono funkcje pomocy usługi Advanced Security Information Model (ASIM).

Aby uzyskać więcej informacji, zobacz:

• Obejrzyj seminarium internetowe Szczegółowe informacje na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
• Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Modyfikowanie zawartości usługi Microsoft Sentinel w celu korzystania z analizatorów advanced Security Information Model (ASIM)