다음은 ASIM(Advanced Security Information Model)의 알려진 문제 및 제한 사항입니다.
Sentinel 데이터 레이크
ASIM 쿼리 시간 파서는 레이크 탐색기 및 KQL 작업에 지원되지 않습니다.
성능 문제
오랜 시간 범위에서 필터링 매개 변수를 사용하지 않는 ASIM 기반 쿼리는 느려질 수 있습니다. 구문 분석은 리소스를 많이 사용하는 작업이며 필터링되지 않은 대규모 데이터 세트에 적용하면 속도가 느려질 것으로 예상됩니다.
성능 문제가 발생하는 경우:
- 대화형 쿼리를 사용하는 경우 시간 선택기를 필요한 시간 범위로 설정해야 합니다.
- 파서 필터를 사용합니다. 가장 중요한 것은 필터 매개 변수와 필터를 사용하는
starttime것입니다endtime.
ingest_time() 함수는 지원되지 않습니다.
이 함수는 ingest_time() 레코드가 Microsoft Sentinel에 수집된 시간을 보고하며, 이는 다를 TimeGenerated수 있습니다. 이 정보는 수집 지연을 고려하는 쿼리에서 일반적으로 사용됩니다.
ingest_time() 특정 테이블의 컨텍스트에서 사용해야 하며 다양한 테이블을 통합하는 ASIM 함수에서는 작동하지 않습니다.
잘못된 정보 메시지
ASIM 파서 함수를 사용하는 경우 일반적으로 쿼리에 대한 결과가 없는 경우 다음 정보 메시지가 표시됩니다.
메시지는 놀랍지만 정보 제공 전용이며 시스템이 예상대로 동작했습니다. ASIM 함수는 사용자 환경에서 사용할 수 있는지 여부에 관계없이 많은 원본의 데이터를 결합합니다. 이 메시지는 일부 원본을 사용자 환경에서 사용할 수 없음을 시사합니다.
다음 단계
이 문서에서는 ASIM(Advanced Security Information Model) 도움말 함수에 대해 설명합니다.
자세한 내용은 다음을 참조하세요.