المشكلات المعروفة لنموذج معلومات الأمان المتقدم (ASIM) (إصدار أولي للاستخدام العام)

فيما يلي المشكلات والقيود المعروفة لنموذج معلومات الأمان المتقدم (ASIM):

تعيين منتقي الوقت إلى نطاق مخصص

عند استخدام تصفية محللات ASIM (مع البادئات _Imأو imأو vim) في شاشة السجل، سيتغير منتقي الوقت تلقائيا إلى "تعيين في الاستعلام"، ما سيؤدي إلى الاستعلام عن جميع البيانات في الجداول ذات الصلة. قد لا تكون نتائج الاستعلام هي النتائج المتوقعة وقد يكون الأداء بطيئا.

لضمان النتائج الصحيحة وفي الوقت المناسب، قم بتعيين النطاق الزمني إلى النطاق المفضل لديك بعد تغييره إلى "تعيين في الاستعلام". في الاستعلامات الإضافية، قد تحتاج إلى استخدام محللات غير تصفية (مع البادئات _ASim أو ASim).

تحديات الأداء

قد تكون الاستعلامات المستندة إلى ASIM عبر نطاق زمني طويل، والتي لا تستخدم معلمات التصفية، بطيئة. التحليل هو عملية كثيفة الموارد، وعند تطبيقها على مجموعة بيانات كبيرة وغير المصفة، من المتوقع أن تكون بطيئة.

إذا واجهت مشكلات في الأداء:

• عند استخدام استعلام تفاعلي، تأكد من تعيين منتقي الوقت إلى النطاق الزمني المطلوب.
• استخدم عوامل تصفية المحلل. الأهم من ذلك استخدام معلمات عامل التصفية starttime وendtime.

الدالة ingest_time() غير معتمدة

تبلغ الدالة ingest_time() عن الوقت الذي تم فيه استيعاب سجل في Microsoft Sentinel، والذي قد يكون مختلفًا عن TimeGenerated. تستخدم هذه المعلومات بشكل شائع في الاستعلامات التي تأخذ في الاعتبار تأخيرات الاستيعاب. يجب استخدام ingest_time() في سياق جدول معين ولا يعمل مع دالات ASIM، والتي تعمل على توحيد العديد من الجداول المختلفة.

رسالة إعلامية مضللة

في بعض الحالات عند استخدام دالات محلل ASIM، عادة عندما لا تكون هناك نتائج للاستعلام، يتم عرض رسالة المعلومات التالية.

وفي حين أن الرسالة مثيرة للقلق، إلا أنها إعلامية فقط، ويتصرف النظام كما هو متوقع. تجمع دوال ASIM البيانات من العديد من المصادر، بغض النظر عما إذا كانت متوفرة في بيئتك أم لا. تشير الرسالة إلى أن بعض المصادر غير متوفرة في بيئتك.

الخطوات التالية

تتناول هذه المقالة وظائف المساعدة لنموذج معلومات الأمان المتقدم (ASIM).

لمزيد من المعلومات، انظر:

• شاهد ندوة Deep Dive عبر الإنترنت حول أدوات تحليل التسوية والمحتوى الخاضع للتسوية في Microsoft Sentinel، أو راجع شرائح العرض التقديمي
• نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
• مخططات نموذج معلومات الأمان المتقدم (ASIM)
• أدوات تحليل نموذج معلومات الأمان المتقدم (ASIM)
• استخدام نموذج معلومات الأمان المتقدم (ASIM)
• تعديل محتوى Microsoft Sentinel لاستخدام أدوات تحليل نموذج معلومات الأمان المتقدم (ASIM)