Problemas conhecidos do Modelo Avançado de Informações de Segurança (ASIM) (versão prévia)
Veja a seguir os problemas e limitações conhecidos do Modelo Avançado de Informações de Segurança (ASIM):
Seletor de tempo definido como um intervalo personalizado
Ao usar analisadores ASIM de filtragem (com os prefixos _Im
, im
ou vim
) na tela de log, o seletor de tempo será alterado automaticamente para "definir na consulta", o que resultará na consulta sobre todos os dados nas tabelas relevantes. Os resultados da consulta podem não ser os resultados esperados e o desempenho pode ser lento.
Para garantir resultados corretos e oportunos, defina o intervalo de tempo para o intervalo preferido depois que ele for alterado para "definir na consulta". Em consultas ad-hoc, talvez você queira usar analisadores sem filtragem (com os prefixos _ASim
ou ASim
).
Desafios de desempenho
Consultas baseadas em ASIM em um longo intervalo de tempo e que não usam parâmetros de filtragem podem ser lentas. A análise é uma operação com uso intensivo de recursos e, quando aplicada a um conjunto de dados grande, não filtrado, espera-se que seja lenta.
Se você encontrar problemas de desempenho:
- Ao usar uma consulta interativa, certifique-se de definir o seletor de tempo como o intervalo de tempo necessário.
- Use filtros de analisador. O mais importante é usar os parâmetros de filtro
starttime
eendtime
.
Não há suporte para a função ingest_time()
A função ingest_time()
relata a hora em que um registro foi ingerido no Microsoft Sentinel, que pode ser diferente de TimeGenerated
. Essas informações são comumente usadas em consultas que levam em conta atrasos de ingestão.
ingest_time()
precisa ser usado no contexto de uma tabela específica e não funciona com funções ASIM, que unificam muitas tabelas diferentes.
Mensagem informativa enganosa
Em alguns casos, ao usar funções de analisador ASIM, geralmente quando não há resultados para a consulta, a mensagem de informações a seguir é exibida.
Embora a mensagem seja alarmante, ela é apenas informativa e o sistema se comportou conforme o esperado. As funções ASIM combinam dados de várias fontes, independentemente de estarem disponíveis em seu ambiente ou não. A mensagem sugere que algumas das fontes não estão disponíveis em seu ambiente.
Próximas etapas
Este artigo aborda as funções de ajuda do ASIM (Modelo de Informações de Segurança Avançado).
Para obter mais informações, consulte:
- Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Usando o ASIM (Modelo de Informações de Segurança Avançado)
- Modificando o conteúdo do Microsoft Sentinel para usar os analisadores do ASIM (Modelo de Informações de Segurança Avançado)