Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Veja a seguir os problemas e limitações conhecidos do ASIM (Modelo avançado de informações de segurança):
Seletor de tempo definido como um intervalo personalizado
Ao usar a filtragem de analisadores ASIM (com os prefixos _Im, imou vim) na tela de log, o seletor de tempo muda automaticamente para "definir na consulta", o que resultará na consulta em todos os dados nas tabelas relevantes. Os resultados da consulta podem não ser os resultados esperados e o desempenho pode ser lento.
Para garantir resultados corretos e oportunos, defina o intervalo de tempo para o intervalo preferencial depois que ele for alterado para "definir na consulta". Em consultas add-hoc, talvez você queira usar analisadores não filtrantes (com os prefixos _ASim ou ASim).
Desafios de desempenho
Consultas baseadas em ASIM em um longo intervalo de tempo e que não usam parâmetros de filtragem podem ser lentas. A análise é uma operação com uso intensivo de recursos e, quando aplicada a um conjunto de dados grande, não filtrado, espera-se que seja lenta.
Se você encontrar problemas de desempenho:
- Ao usar uma consulta interativa, defina o seletor de tempo como o intervalo de tempo necessário.
- Use filtros de analisador. O mais importante é usar os
starttimeparâmetros e oendtimefiltro.
Não há suporte para a função ingest_time()
A ingest_time() função relata o momento em que um registro foi ingerido no Microsoft Sentinel, que pode ser diferente de TimeGenerated. Essas informações geralmente são usadas em consultas que levam em conta os atrasos de ingestão. Ele ingest_time() deve ser usado no contexto de uma tabela específica e não funciona com funções ASIM, que unificam muitas tabelas diferentes.
Mensagem informativa enganosa
Em alguns casos, ao usar funções de analisador ASIM, geralmente quando não há resultados para a consulta, a mensagem de informações a seguir é exibida.
Embora a mensagem seja alarmante, ela é apenas informativa e o sistema se comportou conforme o esperado. As funções ASIM combinam dados de várias fontes, independentemente de estarem disponíveis em seu ambiente ou não. A mensagem sugere que algumas das fontes não estão disponíveis em seu ambiente.
Próximas etapas
Este artigo discute as funções de ajuda do ASIM (Modelo avançado de informações de segurança).
Para obter mais informações, consulte:
- Assista ao Webinar de Aprofundamento no Microsoft Sentinel Normalizando Analisadores e Conteúdo Normalizado ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Usando o ASIM (Modelo avançado de informações de segurança)
- Modificando o conteúdo do Microsoft Sentinel para usar os analisadores do ASIM (Advanced Security Information Model)