Problèmes connus de l’Advanced SIEM Information Model (ASIM) (préversion publique)

Voici les problèmes et les limitations connus du modèle d’information de sécurité avancée (ASIM) :

Sélecteur de temps défini sur une plage personnalisée

Quand vous utilisez des analyseurs ASIM de filtrage (avec les préfixes _Im, im ou vim) dans l’écran du journal, le sélecteur de temps passe automatiquement à « défini dans la requête », ce qui aboutit à une interrogation sur toutes les données des tables pertinentes. Les résultats de la requête peuvent ne pas être les résultats attendus et les performances peuvent être lentes.

Pour garantir des résultats corrects et opportuns, définissez l’intervalle de temps sur votre plage préférée après qu’il passe à « Défini dans la requête ». Dans les requêtes ad hoc, vous pouvez utiliser des analyseurs sans filtrage (avec les préfixes _ASim ou ASim).

Défis en matière de performances

Les requêtes basées sur ASIM sur une longue plage de temps et qui n’utilisent pas de paramètres de filtrage peuvent être lentes. L’analyse est une opération gourmande en ressources et, lorsqu’elle est appliquée à un jeu de données volumineux, non filtré, il devrait être lent.

Si vous rencontrez des problèmes de performances :

• Lorsque vous utilisez une requête interactive, veillez à définir le sélecteur de temps sur l’intervalle de temps nécessaire.
• Utilisez des filtres d’analyseur. Utilisez surtout les paramètres de filtre starttime et endtime.

La fonction ingest_time() n’est pas prise en charge

La fonction ingest_time() signale l’heure à laquelle un enregistrement a été ingéré dans Microsoft Sentinel, qui peut être différent de TimeGenerated. Ces informations sont couramment utilisées dans les requêtes qui prennent en compte les retards d’ingestion. ingest_time() doit être utilisé dans le contexte d’une table spécifique et ne fonctionne pas avec les fonctions ASIM, qui unifient de nombreuses tables différentes.

Message d’information trompeur

Dans certains cas, lorsque vous utilisez des fonctions d’analyseur ASIM, généralement lorsqu’il n’existe aucun résultat à la requête, le message d’informations suivant s’affiche.

Bien que le message soit alarmant, il s’agit uniquement d’information et le système se comporte comme prévu. Les fonctions ASIM combinent des données de nombreuses sources, qu’elles soient disponibles ou non dans votre environnement. Le message suggère que certaines des sources ne sont pas disponibles dans votre environnement.

Étapes suivantes

Cet article présente les fonctions d’aide du modèle ASIM (Advanced Security Information Model).

Pour plus d'informations, consultez les pages suivantes :

• Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
• Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
• Schémas de l’Advanced SIEM Information Model (ASIM)
• Analyseurs de l’Advanced SIEM Information Model (ASIM)
• Utilisation du modèle Advanced Security Information Model (ASIM)
• Modification du contenu Microsoft Sentinel pour utiliser les analyseurs du modèle ASIM (Advanced Security Information Model)