Problemas conhecidos do Modelo de Informação de Segurança Avançada (ASIM) (Pré-visualização pública)

Seguem-se os problemas e limitações conhecidos do Modelo de Informação de Segurança Avançada (ASIM):

Seletor de tempo definido para um intervalo personalizado

Ao utilizar a filtragem de analisadores ASIM (com os prefixos _Im, imou vim) no ecrã de registo, o seletor de tempo será alterado automaticamente para "definir na consulta", o que resultará na consulta de todos os dados nas tabelas relevantes. Os resultados da consulta podem não ser os resultados esperados e o desempenho pode ser lento.

Para garantir resultados corretos e oportunos, defina o intervalo de tempo para o intervalo preferencial depois de este ser alterado para "definir na consulta". Em consultas add-hoc, poderá querer utilizar parsers não filtrantes (com os prefixos _ASim ou ASim).

Desafios de desempenho

As consultas baseadas em ASIM num intervalo de tempo longo e que não utilizam parâmetros de filtragem podem ser lentas. A análise é uma operação de utilização intensiva de recursos e, quando aplicada a um conjunto de dados grande, não filtrado, espera-se que seja lento.

Se encontrar problemas de desempenho:

• Ao utilizar uma consulta interativa, certifique-se de que define o seletor de tempo para o intervalo de tempo necessário.
• Utilize filtros de analisador. O mais importante é utilizar os starttime parâmetros e do endtime filtro.

A função ingest_time() não é suportada

A ingest_time() função comunica o momento em que um registo foi ingerido no Microsoft Sentinel, que pode ser diferente de TimeGenerated. Estas informações são frequentemente utilizadas em consultas que têm em conta os atrasos de ingestão. O ingest_time() tem de ser utilizado no contexto de uma tabela específica e não funciona com funções ASIM, que unificam muitas tabelas diferentes.

Mensagem informativa enganosa

Em alguns casos, ao utilizar funções de analisador ASIM, normalmente, quando não existem resultados na consulta, é apresentada a seguinte mensagem de informação.

Embora a mensagem seja alarmante, é apenas informativa e o sistema comportou-se conforme esperado. As funções ASIM combinam dados de muitas origens, independentemente de estarem ou não disponíveis no seu ambiente. A mensagem sugere que algumas das origens não estão disponíveis no seu ambiente.

Passos seguintes

Este artigo aborda as funções de ajuda do Advanced Security Information Model (ASIM).

Para obter mais informações, consulte:

• Veja o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Os Analisadores e o Conteúdo Normalizado ) ou reveja os diapositivos
• Descrição geral do Advanced Security Information Model (ASIM)
• Esquemas do Advanced Security Information Model (ASIM)
• Analisadores do Advanced Security Information Model (ASIM)
• Utilizar o Modelo Avançado de Informações de Segurança (ASIM)
• Modificar conteúdos do Microsoft Sentinel para utilizar os analisadores do Modelo de Informação de Segurança Avançada (ASIM)