Speciális biztonsági információs modell (ASIM) ismert problémái (nyilvános előzetes verzió)

Az alábbiakban az Advanced Security Information Model (ASIM) ismert problémáit és korlátozásait ismertetjük:

Az időválasztó egyéni tartományra van állítva

Ha ASIM-elemzőket használ (az előtagokkal _Im, imvagy vim) a naplóképernyőn, az időválasztó automatikusan "be van állítva a lekérdezésben" értékre változik, ami a megfelelő táblák összes adatát lekérdezi. Előfordulhat, hogy a lekérdezés eredménye nem a várt eredmény, és a teljesítmény lassú lehet.

A helyes és időben elért eredmények biztosításához állítsa az időtartományt az előnyben részesített tartományra, miután a "lekérdezésben be van állítva" értékre változik. Az alkalmi lekérdezésekben érdemes lehet nem szűrőelemzőket használni (az előtagokkal vagy ASimaz előtagokkal_ASim).

Teljesítménnyel kapcsolatos kihívások

Az ASIM-alapú lekérdezések hosszú időtartományon keresztül, és amelyek nem használnak szűrési paramétereket, lassúak lehetnek. Az elemzés erőforrás-igényes művelet, és nagy, szűretlen adathalmazra alkalmazva várhatóan lassú lesz.

Ha teljesítményproblémákba ütközik:

• Interaktív lekérdezés használatakor mindenképpen állítsa be az időválasztót a szükséges időtartományra.
• Használjon elemzőszűrőket. A legfontosabb, hogy a és a starttimeendtime szűrőparamétereket használja.

A ingest_time() függvény nem támogatott

A ingest_time() függvény azt az időpontot jelenti, amikor egy rekordot a Microsoft Sentinelbe töltöttek be, ami eltérhet a következőtől TimeGenerated: . Ezeket az információkat gyakran használják olyan lekérdezésekben, amelyek figyelembe veszik a betöltési késéseket. A ingest_time() függvényt egy adott tábla kontextusában kell használni, és nem működik az ASIM-függvényekkel, amelyek számos különböző táblát egyesítenek.

Félrevezető tájékoztató üzenet

Bizonyos esetekben, amikor ASIM-elemző függvényeket használ, általában akkor, ha nincs eredmény a lekérdezésben, a következő információs üzenet jelenik meg.

Bár az üzenet riasztó, csak tájékoztató jellegű, és a rendszer a várt módon viselkedett. Az ASIM-függvények számos forrásból származó adatokat kombinálnak, függetlenül attól, hogy elérhetők-e a környezetben. Az üzenet azt sugallja, hogy egyes források nem érhetők el a környezetben.

Következő lépések

Ez a cikk az Advanced Security Information Model (ASIM) súgófüggvényeit ismerteti.

További információkért lásd:

• Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content webhelyen , vagy tekintse át a diákat
• Az Advanced Security Information Model (ASIM) áttekintése
• Speciális biztonsági információs modell (ASIM) sémái
• Advanced Security Information Model (ASIM) elemzők
• Az Advanced Security Information Model (ASIM) használata
• A Microsoft Sentinel-tartalom módosítása az Advanced Security Information Model (ASIM) elemzőinek használatára