Gelişmiş Güvenlik Bilgileri Modeli (ASIM) bilinen sorunlar (Genel önizleme)
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ile ilgili bilinen sorunlar ve sınırlamalar şunlardır:
Zaman seçici özel bir aralığa ayarlanmış
AsIM ayrıştırıcılarını (ön ekleri _Im
, im
veya vim
) günlük ekranında kullanırken, zaman seçici otomatik olarak "sorguda ayarla" olarak değiştirilir ve bu da ilgili tablolardaki tüm verilerin sorgulanmasıyla sonuçlanır. Sorgu sonuçları beklenen sonuçlar olmayabilir ve performans yavaş olabilir.
Doğru ve zamanında sonuçlar elde etmek için, "sorguda ayarla" olarak değiştirildikten sonra zaman aralığını tercih ettiğiniz aralık olarak ayarlayın. Geçici ekleme sorgularında, filtrelemeyen ayrıştırıcılar kullanmak isteyebilirsiniz (ön eklerle _ASim
veya ASim
).
Performans zorlukları
Uzun bir zaman aralığındaki ve filtreleme parametrelerini kullanmayan ASIM tabanlı sorgular yavaş olabilir. Ayrıştırma yoğun kaynak gerektiren bir işlemdir ve büyük, filtrelenmemiş bir veri kümesine uygulandığında yavaş olması beklenir.
Performans sorunlarıyla karşılaşırsanız:
- Etkileşimli sorgu kullanırken, zaman seçiciyi gereken zaman aralığına ayarladığınızdan emin olun.
- Ayrıştırıcı filtrelerini kullanın. En önemlisi ve
endtime
filtre parametrelerini kullanınstarttime
.
ingest_time() işlevi desteklenmiyor
İşlev, ingest_time()
bir kaydın Microsoft Sentinel'e alındığı saati bildirir ve bu da uygulamasından TimeGenerated
farklı olabilir. Bu bilgiler genellikle alım gecikmelerini dikkate alan sorgularda kullanılır. belirli ingest_time()
bir tablo bağlamında kullanılmalıdır ve birçok farklı tabloyu birleştiren ASIM işlevleriyle çalışmaz.
Yanıltıcı bilgilendirme iletisi
Bazı durumlarda ASIM ayrıştırıcı işlevleri kullanılırken, genellikle sorguda sonuç olmadığında aşağıdaki bilgi iletisi görüntülenir.
İleti endişe verici olsa da, yalnızca bilgilendirme amaçlıdır ve sistem beklendiği gibi davranır. ASIM işlevleri, ortamınızda kullanılabilir olup olmadıklarına bakılmaksızın birçok kaynaktan gelen verileri birleştirir. İleti, bazı kaynakların ortamınızda kullanılamadığını gösterir.
Sonraki adımlar
Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) yardım işlevleri ele alınmaktadır.
Daha fazla bilgi için bkz.
- Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeli'ne (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) kullanma
- Microsoft Sentinel içeriğini Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarını kullanacak şekilde değiştirme