Известные проблемы в модели расширенной информации о безопасности (ASIM) (общедоступная предварительная версия)

Далее приведены известные проблемы и ограничения модели расширенной информации о безопасности (ASIM):

Выбран настраиваемый диапазон

При использовании фильтрующих средств синтаксического анализа ASIM (с префиксами _Im, imили vim) на экране журнала средство выбора времени автоматически изменится на "задать в запросе", что приведет к запросу всех данных в соответствующих таблицах. Результаты запроса могут оказаться неожиданными, и производительность может быть низкой.

Чтобы обеспечить правильные и своевременные результаты, задайте желаемый диапазон времени, когда значение изменится на "Задать значение в запросе". В нерегламентированных запросах надстроек может потребоваться использовать нефильтрованные средства синтаксического анализа (с префиксами _ASim или ASim).

Проблемы с производительностью

Запросы на основе ASIM, охватывающие длительный диапазона времени, которые не используют параметры фильтрации, могут выполняться медленно. Синтаксический анализ — это ресурсоемкая операция, и если она выполняется с большим набором данных без использования фильтров, то для нее потребуется достаточно продолжительное время.

При возникновении проблем с производительностью:

• При использовании интерактивного запроса обязательно задайте в необходимый диапазон времени в средстве выбора.
• Используйте фильтры средства синтаксического анализа. Самое главное — используйте параметры фильтра starttime и endtime.

Функция ingest_time() не поддерживается

Функция ingest_time() сообщает время приема записи в Microsoft Sentinel, которое может отличаться от TimeGenerated. Эти данные часто используются в запросах, которые учитывают задержки во время приема данных. Функция ingest_time() должна использоваться в контексте конкретной таблицы и не работает с функциями ASIM, которые объединяют множество различных таблиц.

Вводящее в заблуждение информационное сообщение

В некоторых случаях при использовании функций синтаксического анализа ASIM (обычно при отсутствии результатов запроса) отображается следующее информационное сообщение.

Хотя сообщение содержит предупреждение, оно является только информационным, и система ведет себя должным образом. Функции ASIM объединяют данные из многих источников независимо от того, доступны ли они в вашей среде. В сообщении указано, что некоторые источники недоступны в вашей среде.

Дальнейшие шаги

В этой статье рассматриваются вспомогательные функции расширенной информационной модели безопасности (ASIM).

Дополнительные сведения см. в разделе:

• Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
• Обзор расширенной информационной модели безопасности (ASIM)
• Схемы расширенной информационной модели безопасности (ASIM)
• Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
• Использование расширенной информационной модели безопасности (ASIM)
• Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа модели расширенной информации о безопасности (ASIM)