以下是進階安全性資訊模型 (ASIM) 已知問題和限制:
Sentinel 資料湖
湖泊探索器和 KQL 工作不支援 ASIM 查詢時間解析器。
效能挑戰
長時間範圍內的 ASIM 型查詢,且不使用篩選參數,可能會很慢。 剖析是一項耗用大量資源的作業,當套用至大型、未篩選的資料集時,預計會很慢。
如果您遇到效能問題:
- 使用互動式查詢時,請務必將時間選擇器設定為所需的時間範圍。
- 使用剖析器過濾器。 最重要的是,使用 和
starttimeendtime過濾器參數。
不支援 ingest_time() 函式
函 ingest_time() 式會報告記錄擷取至 Microsoft Sentinel 的時間,這可能與 TimeGenerated不同。 此資訊通常用於考慮擷取延遲的查詢中。 必須 ingest_time() 在特定資料表的內容中使用,而且無法與 ASIM 函式搭配使用,因為 ASIM 函式會統一許多不同的資料表。
誤導性資訊訊息
在某些情況下,使用 ASIM 剖析器函式時,通常當查詢沒有結果時,會顯示下列資訊訊息。
雖然該消息令人震驚,但它僅供參考,並且系統按預期運行。 ASIM 函數會結合來自許多來源的資料,無論您的環境中是否提供這些資料。 此訊息表示您的環境中無法使用某些來源。
後續步驟
本文討論進階安全性資訊模型 (ASIM) 說明函式。
如需詳細資訊,請參閱: