Masalah yang diketahui Advanced Security Information Model (ASIM) (Pratinjau umum)

Berikut ini adalah masalah dan batasan yang diketahui Advanced Security Information Model (ASIM):

Pemilih waktu diatur ke rentang kustom

Saat menggunakan pemfilteran pengurai ASIM (dengan awalan _Im, , imatau vim) di layar log, pemilih waktu akan berubah secara otomatis menjadi "diatur dalam kueri", yang akan menghasilkan kueri atas semua data dalam tabel yang relevan. Hasil kueri mungkin bukan hasil dan performa yang diharapkan mungkin lambat.

Untuk memastikan hasil yang benar dan tepat waktu, atur rentang waktu ke rentang pilihan Anda setelah berubah menjadi "diatur dalam kueri". Dalam kueri add-hoc, Anda mungkin ingin menggunakan pengurai non-pemfilteran (dengan awalan _ASim atau ASim).

Tantangan performa

Kueri berbasis ASIM dalam rentang waktu yang lama, dan yang tidak menggunakan parameter pemfilteran, mungkin lambat. Penguraian adalah operasi intensif sumber daya, dan ketika diterapkan ke himpunan data yang besar, tidak difilter, diperkirakan akan lambat.

Jika Anda mengalami masalah performa:

• Saat menggunakan kueri interaktif, pastikan untuk mengatur pemilih waktu ke rentang waktu yang diperlukan.
• Gunakan filter pengurai. Yang paling penting menggunakan starttime parameter filter dan endtime.

Fungsi ingest_time() tidak didukung

Fungsi melaporkan ingest_time() waktu di mana catatan diserap ke Microsoft Sentinel, yang mungkin berbeda dari TimeGenerated. Informasi ini umumnya digunakan dalam kueri yang mempertimbangkan penundaan penyerapan. ingest_time() harus digunakan dalam konteks tabel tertentu dan tidak berfungsi dengan fungsi ASIM, yang menyatukan banyak tabel yang berbeda.

Pesan informasi yang menyesatkan

Dalam beberapa kasus saat menggunakan fungsi pengurai ASIM, biasanya ketika tidak ada hasil untuk kueri, pesan informasi berikut ditampilkan.

Meskipun pesan mengkhawatirkan, itu hanya informasi, dan sistem berprilaku seperti yang diharapkan. Fungsi ASIM menggabungkan data dari banyak sumber, terlepas dari apakah tersedia di lingkungan Anda atau tidak. Pesan menunjukkan bahwa beberapa sumber tidak tersedia di lingkungan Anda.

Langkah berikutnya

Artikel ini membahas fungsi bantuan Model Informasi Keamanan Tingkat Lanjut (ASIM).

Untuk informasi selengkapnya, lihat:

• Tonton Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide
• Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Menggunakan Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Memodifikasi konten Microsoft Sentinel untuk menggunakan pengurai Model Information Keamanan Tingkat Lanjut (ASIM)