ASIM(고급 보안 정보 모델) 알려진 문제(공개 미리 보기)

ASIM(고급 보안 정보 모델)의 알려진 문제 및 제한 사항은 다음과 같습니다.

시간 선택기가 사용자 지정 범위로 설정됨

로그 화면에서 필터링 ASIM 파서(접두사 _Im, im 또는 vim 포함)를 사용하는 경우 시간 선택기는 자동으로 "쿼리에서 설정"으로 변경되어 관련 테이블의 모든 데이터를 쿼리하게 됩니다. 쿼리 결과가 예상 결과가 아닐 수 있으며 성능이 느릴 수 있습니다.

정확하고 시기 적절한 결과를 보장하려면 시간 범위를 "쿼리에서 설정"으로 변경한 후 원하는 범위로 설정합니다. 추가 쿼리에서 비필터링 파서(접두사 _ASim 또는 ASim 포함)를 사용할 수 있습니다.

성능 문제

오랜 시간 범위에서 필터링 매개 변수를 사용하지 않는 ASIM 기반 쿼리는 느릴 수 있습니다. 구문 분석은 리소스를 많이 사용하는 작업이며, 필터링되지 않은 큰 데이터 세트에 적용하면 속도가 느려질 것으로 예상됩니다.

성능 문제가 발생하는 경우:

• 대화형 쿼리를 사용하면 시간 선택기를 필요한 시간 범위로 설정해야 합니다.
• 파서 필터를 사용합니다. 가장 중요한 것은 starttime 및 endtime 필터 매개 변수를 사용하는 것입니다.

ingest_time() 함수는 지원되지 않음

ingest_time() 함수는 레코드가 Microsoft Sentinel에 수집된 시간을 보고하며 이는 TimeGenerated와 다를 수 있습니다. 이 정보는 일반적으로 수집 지연을 고려하는 쿼리에서 사용됩니다. ingest_time()은 특정 테이블의 컨텍스트에서 사용해야 하며, 많은 다른 테이블을 통합하는 ASIM 함수에서는 작동하지 않습니다.

잘못된 정보 메시지

ASIM 파서 함수를 사용하는 경우 일반적으로 쿼리에 대한 결과가 없으면 다음과 같은 정보 메시지가 표시되는 경우가 있습니다.

메시지에서 경고하지만 정보 제공에 불과하며, 시스템은 예상대로 작동합니다. ASIM 함수는 환경에서 사용할 수 있는지 여부에 관계없이 많은 원본의 데이터를 결합합니다. 이 메시지는 환경에서 일부 원본을 사용할 수 없음을 나타냅니다.

다음 단계

이 문서에서는 ASIM(고급 보안 정보 모델) 문서 함수에 대해 설명합니다.

자세한 내용은 다음을 참조하세요.

• Microsoft Sentinel 정규화 파서 및 정규화된 콘텐츠에 대한 심층 분석 웹 세미나를 시청하거나 슬라이드를 검토하세요.
• ASIM(고급 보안 정보 모델) 개요
• ASIM(고급 보안 정보 모델) 스키마
• ASIM(고급 보안 정보 모델) 파서
• ASIM(고급 보안 정보 모델) 사용
• ASIM(고급 보안 정보 모델) 파서를 사용하도록 Microsoft Sentinel 콘텐츠 수정