Problemas conocidos del Modelo avanzado de información de seguridad (ASIM) (versión preliminar pública)

A continuación se muestran los problemas y limitaciones conocidos del Modelo avanzado de información de seguridad (ASIM):

Selector de hora establecido en un intervalo personalizado

Al usar analizadores ASIM de filtrado (con los prefijos _Im, im y vim) en la pantalla de registro, el selector de hora cambiará automáticamente a "establecer en consulta", lo que dará lugar a consultas sobre todos los datos de las tablas pertinentes. Es posible que los resultados de la consulta no sean los esperados y que el rendimiento sea lento.

Para garantizar los resultados correctos y oportunos, establezca el intervalo de tiempo en el intervalo preferido después de que cambie a "establecer en la consulta". En las consultas ad hoc, le recomendamos que use analizadores que no son de filtrado (con los prefijos _ASim o ASim).

Desafíos de rendimiento

Las consultas basadas en ASIM durante un largo intervalo de tiempo, y que no usan parámetros de filtrado, pueden ser lentas. El análisis es una operación que consume muchos recursos y, cuando se aplica a un conjunto de datos grande y sin filtrar, se espera que sea lento.

Si se producen problemas de rendimiento:

• Al usar una consulta interactiva, asegúrese de establecer el selector de hora en el intervalo de tiempo necesario.
• Use filtros de analizador. Lo más importante es usar starttime y los parámetros de filtro endtime.

No se admite el uso de la función ingest_time()

La función ingest_time() notifica la hora de ingesta de un registro en Microsoft Sentinel, que puede ser diferente de TimeGenerated. Esta información se usa normalmente en las consultas que tienen en cuenta los retrasos en la ingesta. ingest_time() se debe usar en el contexto de una tabla específica y no funciona con funciones de ASIM, que unifican muchas tablas diferentes.

Mensajes informativos engañosos

En algunos casos, al usar funciones de analizador de ASIM, normalmente cuando no hay resultados en la consulta, se muestra el siguiente mensaje de información.

Aunque el mensaje es preocupante, es simplemente informativo y el sistema se comporta según lo previsto. Las funciones de ASIM combinan datos de muchos orígenes, independientemente de si están disponibles en el entorno o no. El mensaje sugiere que algunos de los orígenes no están disponibles en el entorno.

Pasos siguientes

En este artículo se abordan las funciones de ayuda del modelo de información de seguridad avanzado (ASIM).

Para más información, consulte:

• Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
• Introducción al Modelo avanzado de información de seguridad (ASIM)
• Esquemas del Modelo avanzado de información de seguridad (ASIM)
• Analizadores del Modelo avanzado de información de seguridad (ASIM)
• Uso del modelo avanzado de información de seguridad (ASIM)
• Modificación del contenido de Microsoft Sentinel para usar los analizadores del Modelo avanzado de información de seguridad (ASIM)