Kända problem med Advanced Security Information Model (ASIM) (allmänt tillgänglig förhandsversion)

Följande är kända problem och begränsningar för Advanced Security Information Model (ASIM):

Tidsväljaren inställd på ett anpassat intervall

När du använder filtrering av ASIM-parser (med prefixen _Im, imeller vim) på loggskärmen ändras tidsväljaren automatiskt till "ange i fråga", vilket resulterar i frågor över alla data i relevanta tabeller. Frågeresultatet kanske inte är det förväntade resultatet och prestandan kan vara långsam.

För att säkerställa korrekta och aktuella resultat anger du tidsintervallet till önskat intervall när det har ändrats till "ange i fråga". I tilläggsfrågor kanske du vill använda icke-filtrerande parser (med prefixen _ASim eller ASim).

Prestandautmaningar

ASIM-baserade frågor över ett långt tidsintervall och som inte använder filtreringsparametrar kan vara långsamma. Parsning är en resursintensiv åtgärd, och när den tillämpas på en stor, ofiltrerad datauppsättning förväntas den vara långsam.

Om du stöter på prestandaproblem:

• När du använder en interaktiv fråga måste du ange tidsväljaren till det tidsintervall som behövs.
• Använd parsningsfilter. Det viktigaste är att starttime använda filterparametrarna och endtime .

Funktionen ingest_time() stöds inte

Funktionen ingest_time() rapporterar den tidpunkt då en post matades in i Microsoft Sentinel, vilket kan skilja sig från TimeGenerated. Den här informationen används ofta i frågor som tar hänsyn till inmatningsfördröjningar. ingest_time() måste användas i kontexten för en specifik tabell och fungerar inte med ASIM-funktioner, som förenar många olika tabeller.

Vilseledande informationsmeddelande

I vissa fall när du använder ASIM-parserfunktioner, vanligtvis när det inte finns några resultat för frågan, visas följande informationsmeddelande.

Även om budskapet är alarmerande är det endast information och systemet betedde sig som förväntat. ASIM-funktioner kombinerar data från många källor, oavsett om de är tillgängliga i din miljö eller inte. Meddelandet antyder att vissa av källorna inte är tillgängliga i din miljö.

Nästa steg

I den här artikeln beskrivs hjälpfunktionerna för Advanced Security Information Model (ASIM).

Mer information finns i:

• Titta på webbseminariet för djupdykning i Microsoft Sentinel, normalisera parser och normaliserat innehåll eller granska bilderna
• Översikt över Advanced Security Information Model (ASIM)
• ASIM-scheman (Advanced Security Information Model)
• Parser för Advanced Security Information Model (ASIM)
• Använda Advanced Security Information Model (ASIM)
• Ändra Microsoft Sentinel-innehåll till att använda ASIM-parser (Advanced Security Information Model)