Speciális biztonsági információs modell (ASIM) ismert problémái (nyilvános előzetes verzió)
Az alábbiakban az Advanced Security Information Model (ASIM) ismert problémáit és korlátozásait ismertetjük:
Az időválasztó egyéni tartományra van állítva
Ha ASIM-elemzőket használ (az előtagokkal _Im
, im
vagy vim
) a naplóképernyőn, az időválasztó automatikusan "be van állítva a lekérdezésben" értékre változik, ami a megfelelő táblák összes adatát lekérdezi. Előfordulhat, hogy a lekérdezés eredménye nem a várt eredmény, és a teljesítmény lassú lehet.
A helyes és időben elért eredmények biztosításához állítsa az időtartományt az előnyben részesített tartományra, miután a "lekérdezésben be van állítva" értékre változik. Az alkalmi lekérdezésekben érdemes lehet nem szűrőelemzőket használni (az előtagokkal vagy ASim
az előtagokkal_ASim
).
Teljesítménnyel kapcsolatos kihívások
Az ASIM-alapú lekérdezések hosszú időtartományon keresztül, és amelyek nem használnak szűrési paramétereket, lassúak lehetnek. Az elemzés erőforrás-igényes művelet, és nagy, szűretlen adathalmazra alkalmazva várhatóan lassú lesz.
Ha teljesítményproblémákba ütközik:
- Interaktív lekérdezés használatakor mindenképpen állítsa be az időválasztót a szükséges időtartományra.
- Használjon elemzőszűrőket. A legfontosabb, hogy a és a
starttime
endtime
szűrőparamétereket használja.
A ingest_time() függvény nem támogatott
A ingest_time()
függvény azt az időpontot jelenti, amikor egy rekordot a Microsoft Sentinelbe töltöttek be, ami eltérhet a következőtől TimeGenerated
: . Ezeket az információkat gyakran használják olyan lekérdezésekben, amelyek figyelembe veszik a betöltési késéseket. A ingest_time()
függvényt egy adott tábla kontextusában kell használni, és nem működik az ASIM-függvényekkel, amelyek számos különböző táblát egyesítenek.
Félrevezető tájékoztató üzenet
Bizonyos esetekben, amikor ASIM-elemző függvényeket használ, általában akkor, ha nincs eredmény a lekérdezésben, a következő információs üzenet jelenik meg.
Bár az üzenet riasztó, csak tájékoztató jellegű, és a rendszer a várt módon viselkedett. Az ASIM-függvények számos forrásból származó adatokat kombinálnak, függetlenül attól, hogy elérhetők-e a környezetben. Az üzenet azt sugallja, hogy egyes források nem érhetők el a környezetben.
Következő lépések
Ez a cikk az Advanced Security Information Model (ASIM) súgófüggvényeit ismerteti.
További információkért lásd:
- Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content webhelyen , vagy tekintse át a diákat
- Az Advanced Security Information Model (ASIM) áttekintése
- Speciális biztonsági információs modell (ASIM) sémái
- Advanced Security Information Model (ASIM) elemzők
- Az Advanced Security Information Model (ASIM) használata
- A Microsoft Sentinel-tartalom módosítása az Advanced Security Information Model (ASIM) elemzőinek használatára