進階安全性資訊模型 (ASIM) 已知問題 (公開預覽)

以下是進階安全性資訊模型 (ASIM) 已知問題和限制：

時間選擇器設定為自訂範圍

在記錄畫面中使用篩選 ASIM 剖析器 (前置詞 _Im 、 im 或 vim) 時，時間選擇器會自動變更為「在查詢中設定」，這會導致查詢相關資料表中的所有資料。 查詢結果可能不是預期的結果，效能可能會變慢。

若要確保正確且及時的結果，請在時間範圍變更為「在查詢中設定」之後，將時間範圍設定為慣用的範圍。 在增益集特定查詢中，您可能想要使用非篩選剖析器， (前置詞 _ASim 或 ASim) 。

效能挑戰

長時間範圍且不使用篩選參數的 ASIM 型查詢可能會變慢。 剖析是需要大量資源的作業，當套用至大型、未篩選的資料集時，預期會變慢。

如果您遇到效能問題：

• 使用互動式查詢時，請務必將時間選擇器設定為所需的時間範圍。
• 使用剖析器篩選。 最重要的是使用 starttime 和 endtime 篩選參數。

不支援 ingest_time() 函式

ingest_time() 函式會報告記錄擷取到 Microsoft Sentinel 的時間，這可能與 TimeGenerated 不同。 這項資訊通常用於考慮擷取延遲的查詢。 ingest_time() 必須用於特定資料表的內容中，而且不適用於可統一許多不同資料表的 ASIM 函式。

誤導性資訊訊息

在某些情況下，使用 ASIM 剖析器函式時，在查詢沒有結果時，通常會顯示下列資訊訊息。

當訊息提出警示時，其僅供參考，而且系統的行為會如預期般運作。 ASIM 函式會結合來自許多來源的資料，不論這些函式是否可在您的環境中使用。 此訊息會指出您的環境中無法使用某些來源。

後續步驟

本文討論進階安全性資訊模型 (ASIM) 協助程式函數。

如需詳細資訊，請參閱

• 請觀看有關 Microsoft Sentinel 正規化剖析器和正規化內容的深入探討網路研討會，或檢閱投影片
• 進階安全性資訊模型 (ASIM) 概觀
• 進階安全性資訊模型 (ASIM) 結構描述
• 進階安全性資訊模型 (ASIM) 剖析器
• 使用進階安全性資訊模型 (ASIM)
• 修改 Microsoft Sentinel 內容以使用進階安全性資訊模型 (ASIM) 剖析器