高度なセキュリティ情報モデル (ASIM) の既知の問題と制限事項を次に示します。
Sentinel Data Lake
ASIM クエリ時間パーサーは、Lake Explorer ジョブと KQL ジョブではサポートされていません。
パフォーマンスの課題
時間範囲が長く、フィルター 処理パラメーターを使用しない ASIM ベースのクエリは、低速になる可能性があります。 解析はリソースを大量に消費する操作であり、フィルター処理されていない大規模なデータセットに適用すると、低速であることが予想されます。
パフォーマンスの問題が発生した場合:
- 対話型クエリを使用する場合は、時間ピッカーを必要な時間範囲に設定してください。
- パーサー フィルターを使用します。 最も重要なのは、
starttimeとendtimeフィルター パラメーターを使用する方法です。
ingest_time() 関数はサポートされていません
ingest_time()関数は、レコードが Microsoft Sentinel に取り込まれた時刻を報告します。これは、TimeGeneratedとは異なる場合があります。 この情報は、インジェストの遅延を考慮したクエリでよく使用されます。
ingest_time()は、特定のテーブルのコンテキストで使用する必要があり、多くの異なるテーブルを統合する ASIM 関数では機能しません。
誤解を招く情報メッセージ
ASIM パーサー関数を使用する場合、通常、クエリに結果がない場合は、次の情報メッセージが表示されます。
メッセージが警告している間は情報のみであり、システムは想定どおりに動作しました。 ASIM 関数は、環境内で使用できるかどうかに関係なく、多くのソースのデータを結合します。 このメッセージは、一部のソースが環境内で使用できないことを示しています。
次のステップ
この記事では、高度なセキュリティ情報モデル (ASIM) のヘルプ機能について説明します。
詳細については、以下を参照してください。
- Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳細なウェビナーを見る、またはスライドを確認する
- Advanced Security Information Model (ASIM) の概要
- Advanced Security Information Model (ASIM) スキーマ
- Advanced Security Information Model (ASIM) のパーサー
- 高度なセキュリティ情報モデル (ASIM) の使用
- 高度なセキュリティ情報モデル (ASIM) パーサーを使用するように Microsoft Sentinel コンテンツを変更する