مشاركة عبر

المشكلات المعروفة لنموذج معلومات الأمان المتقدمة (ASIM)

فيما يلي المشكلات والقيود المعروفة لنموذج معلومات الأمان المتقدم (ASIM):

تعيين منتقي الوقت إلى نطاق مخصص

عند استخدام تصفية محللي ASIM (مع البادئات _Imأو imأو vim) في شاشة السجل، يتغير منتقي الوقت تلقائيا إلى "تعيين في الاستعلام"، مما سيؤدي إلى الاستعلام عن جميع البيانات في الجداول ذات الصلة. قد لا تكون نتائج الاستعلام هي النتائج المتوقعة وقد يكون الأداء بطيئا.

لقطة شاشة منتقي الوقت المخصص عند استخدام ASIM.

لضمان النتائج الصحيحة وفي الوقت المناسب، قم بتعيين النطاق الزمني إلى النطاق المفضل لديك بعد تغييره إلى "تعيين في الاستعلام". في الاستعلامات الإضافية، قد تحتاج إلى استخدام محللات غير تصفية (مع البادئات _ASim أو ASim).

تحديات الأداء

قد تكون الاستعلامات المستندة إلى ASIM عبر نطاق زمني طويل، والتي لا تستخدم معلمات التصفية، بطيئة. التحليل هو عملية كثيفة الموارد، وعند تطبيقها على مجموعة بيانات كبيرة وغير المصفة، من المتوقع أن تكون بطيئة.

إذا واجهت مشكلات في الأداء:

  • عند استخدام استعلام تفاعلي، تأكد من تعيين منتقي الوقت إلى النطاق الزمني المطلوب.
  • استخدم عوامل تصفية المحلل. والأهم من ذلك استخدام starttime معلمات عامل التصفية endtime و.

الدالة ingest_time() غير مدعومة

تقوم ingest_time() الدالة بالإبلاغ عن الوقت الذي تم فيه استيعاب سجل في Microsoft Sentinel، والذي قد يكون مختلفا عن TimeGenerated. تستخدم هذه المعلومات بشكل شائع في الاستعلامات التي تأخذ في الاعتبار تأخيرات الاستيعاب. ingest_time() يجب استخدام في سياق جدول معين ولا يعمل مع دالات ASIM، والتي تعمل على توحيد العديد من الجداول المختلفة.

رسالة إعلامية مضللة

في بعض الحالات عند استخدام دالات محلل ASIM، عادة عند عدم وجود نتائج للاستعلام، يتم عرض رسالة المعلومات التالية.

لقطة شاشة لرسالة إعلامية مضللة متعلقة ب ASIM.

في حين أن الرسالة مثيرة للقلق، إلا أنها إعلامية فقط، ويتصرف النظام كما هو متوقع. تجمع وظائف ASIM بين البيانات من العديد من المصادر، بغض النظر عما إذا كانت متوفرة في بيئتك أم لا. تشير الرسالة إلى أن بعض المصادر غير متوفرة في بيئتك.

الخطوات التالية

تتناول هذه المقالة وظائف التعليمات لنموذج معلومات الأمان المتقدم (ASIM).

لمزيد من المعلومات، راجع:

  • Last updated on