高级安全信息模型 (ASIM) 的已知问题(公共预览版)

以下是高级安全信息模型 (ASIM) 的已知问题和限制:

时间选取器设置为自定义范围

在日志屏幕中使用筛选 ASIM 分析程序(前缀为 _Imimvim)时,时间选取器将自动更改为“在查询中设置”,这将导致对相关表中的所有数据进行查询。 查询结果可能不是预期结果,并且性能可能较慢。

使用 ASIM 时自定义时间选取器的屏幕截图。

为了确保正确及时地获取结果,请在将时间范围更改为“在查询中设置”后将其设置为你的首选范围。 在即席查询中,你可能希望使用非筛选分析程序(前缀为 _ASimASim)。

性能挑战

基于 ASIM 对较长的时间范围进行查询(不使用筛选参数)速度可能很慢。 分析是一项资源密集型操作,当应用于未经筛选的大型数据集时,预计分析速度会很慢。

如果遇到性能问题:

  • 使用交互式查询时,请确保将时间选取器设置为所需的时间范围。
  • 使用分析程序筛选器。 最重要的是使用 starttimeendtime 筛选器参数。

不支持 ingest_time() 函数

ingest_time() 函数报告将记录引入 Microsoft Sentinel 的时间,可能与 TimeGenerated 不同。 此信息通常用于考虑引入延迟的查询。 ingest_time() 必须在特定表的上下文中使用,并且不适用于统一许多不同表的 ASIM 函数。

误导性信息性消息

在使用 ASIM 分析程序函数的某些情况下,当查询没有结果时,通常会显示以下信息消息。

ASIM 相关误导性信息性消息的屏幕截图。

虽然消息令人担忧,但它只是提供信息,并且系统的行为符合预期。 ASIM 函数合并了来自许多源的数据(无论它们在环境中是否可用)。 该消息表明某些源在你的环境中不可用。

后续步骤

本文介绍高级安全信息模型 (ASIM) 帮助函数。

有关详细信息,请参阅: