Advanced Security Information Model (ASIM) の既知の問題 (パブリック プレビュー)

  • [アーティクル]

Advanced Security Information Model (ASIM) の既知の問題と制限事項を次に示します。

時刻の選択ツールをカスタム範囲に設定する

ログ画面でフィルタリング ASIM パーサー (プレフィックスは_Imimvim のいずれか) を使用すると、時刻の選択ツールが自動的に "クエリで設定" に変わり、関連するテーブル内のすべてのデータに対してクエリが実行されます。 クエリの結果が予想される結果ではない可能性があり、パフォーマンスが低下する可能性があります。

ASIM を使用するときのカスタム時刻の選択ツールのスクリーンショット。

正しくタイムリーな結果を得るには、時間範囲を "クエリで設定" に変更した後、希望する範囲に設定します。 アドホック クエリでは、フィルター処理されていないパーサー (プレフィックスは _ASim または ASim) を使用できます。

パフォーマンスの課題

ASIM ベースのクエリは、長い時間の範囲で、フィルター処理パラメーターを使用しない場合は、低速になる可能性があります。 解析はリソースを大量に消費する操作であり、フィルター処理されていない大規模なデータセットに適用すると、低速になることが予想されます。

パフォーマンスの問題が発生した場合:

  • 対話型クエリを使用する場合は、時間の選択ツールを必要な時間範囲に設定してください。
  • パーサー フィルターを使用します。 最も重要なのは、starttimeendtime フィルター パラメーターを使用することです。

ingest_time() 関数はサポートされていません

ingest_time() 関数は、レコードが Microsoft Sentinel に取り込まれた時刻を報告します。これは、TimeGenerated とは異なる場合があります。 この情報は、インジェストの遅延を考慮したクエリでよく使用されます。 ingest_time() は特定のテーブルのコンテキストで使用する必要があり、多くの異なるテーブルを統合する ASIM 関数では機能しません。

誤解を招く情報メッセージ

ASIM パーサー関数を使用するとき、通常はクエリに結果がない場合、次の情報メッセージが表示されることがあります。

ASIM 関連の誤解を招く情報メッセージのスクリーンショット。

メッセージは警告ですが、情報提供のみで、システムは期待どおりに動作します。 ASIM 関数は、環境内で使用できるかどうかに関係なく、多くのソースのデータを結合します。 このメッセージは、一部のソースが環境内で使用できないことを示唆しています。

次の手順

この記事では、Advanced Security Information Model (ASIM) ヘルプ関数について説明します。

詳細については、次を参照してください。