Známé problémy s modelem ASIM (Advanced Security Information Model)

Níže jsou uvedené známé problémy a omezení modelu ASIM (Advanced Security Information Model):

Sentinel Data Lake

Analyzátory času dotazů ASIM se nepodporují pro úlohy Lake Explorer a KQL.

Problémy s výkonem

Dotazy založené na ASIM v dlouhém časovém rozsahu, které nepoužívají parametry filtrování, můžou být pomalé. Parsování je operace náročná na prostředky a při použití u velké nefiltrované datové sady se očekává, že bude pomalá.

Pokud narazíte na problémy s výkonem:

  • Při použití interaktivního dotazu nezapomeňte nastavit výběr času na požadovaný časový rozsah.
  • Použijte filtry analyzátoru. Nejdůležitější je použít starttime parametry filtru a endtime .

Funkce ingest_time() se nepodporuje.

Funkce ingest_time() hlásí čas, kdy byl záznam přijat do Microsoft Sentinel, který se může lišit od TimeGenerated. Tyto informace se běžně používají v dotazech, které zohledňují zpoždění příjmu dat. Nástroj ingest_time() musí být použit v kontextu konkrétní tabulky a nefunguje s funkcemi ASIM, které sjednocují mnoho různých tabulek.

Zavádějící informační zpráva

V některých případech při použití funkcí analyzátoru ASIM se obvykle zobrazí následující informační zpráva, pokud dotaz neobsahuje žádné výsledky.

Snímek obrazovky se zavádějící informační zprávou související s ASIM

I když je zpráva alarmující, je pouze informativní a systém se choval podle očekávání. Funkce ASIM kombinují data z mnoha zdrojů bez ohledu na to, jestli jsou ve vašem prostředí dostupné nebo ne. Zpráva naznačuje, že některé zdroje nejsou ve vašem prostředí dostupné.

Další kroky

Tento článek popisuje funkce nápovědy modelu ASIM (Advanced Security Information Model).

Další informace najdete tady:

  • Last updated on