進階安全性資訊模型 (ASIM) 已知問題 (公開預覽)
以下是進階安全性資訊模型 (ASIM) 已知問題和限制:
時間選擇器設定為自訂範圍
在記錄畫面中使用篩選 ASIM 剖析器 (前置詞 _Im 、 im 或 vim) 時,時間選擇器會自動變更為「在查詢中設定」,這會導致查詢相關資料表中的所有資料。 查詢結果可能不是預期的結果,效能可能會變慢。
若要確保正確且及時的結果,請在時間範圍變更為「在查詢中設定」之後,將時間範圍設定為慣用的範圍。 在增益集特定查詢中,您可能想要使用非篩選剖析器, (前置詞 _ASim 或 ASim) 。
效能挑戰
長時間範圍且不使用篩選參數的 ASIM 型查詢可能會變慢。 剖析是需要大量資源的作業,當套用至大型、未篩選的資料集時,預期會變慢。
如果您遇到效能問題:
- 使用互動式查詢時,請務必將時間選擇器設定為所需的時間範圍。
- 使用剖析器篩選。 最重要的是使用
starttime和endtime篩選參數。
不支援 ingest_time() 函式
ingest_time() 函式會報告記錄擷取到 Microsoft Sentinel 的時間,這可能與 TimeGenerated 不同。 這項資訊通常用於考慮擷取延遲的查詢。
ingest_time() 必須用於特定資料表的內容中,而且不適用於可統一許多不同資料表的 ASIM 函式。
誤導性資訊訊息
在某些情況下,使用 ASIM 剖析器函式時,在查詢沒有結果時,通常會顯示下列資訊訊息。
當訊息提出警示時,其僅供參考,而且系統的行為會如預期般運作。 ASIM 函式會結合來自許多來源的資料,不論這些函式是否可在您的環境中使用。 此訊息會指出您的環境中無法使用某些來源。
後續步驟
本文討論進階安全性資訊模型 (ASIM) 協助程式函數。
如需詳細資訊,請參閱