Advanced Security Information Model (ASIM) 監査イベント正規化スキーマのリファレンス (パブリック プレビュー)
Microsoft Sentinel 監査イベント正規化スキーマは、情報システムの監査証跡に関連付けられたイベントを表します。 監査証跡には、システム構成のアクティビティとポリシーの変更が記録されます。 このような変更は、多くの場合、システム管理者によって行なわれますが、ユーザーが自分のアプリケーションの設定を構成するときにも行なわれます。
すべてのシステムは、コア アクティビティ ログと共に監査イベントをログ記録します。 たとえば、ファイアウォールによって、プロセス中のネットワーク セッションに関するイベントと、ファイアウォール自体に適用された構成変更に関する監査イベントがログに記録されます。
Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。
重要
監査イベント正規化スキーマは、現在は"プレビュー"段階です。 この機能は、サービス レベル アグリーメントなしに提供されます。 運用環境のワークロード用にはお勧めしません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
スキーマの概要
監査イベントの主なフィールドは次のとおりです。
- Object フィールドで表される、イベントが注目するオブジェクト (管理対象リソースやポリシー ルールなど)。 ObjectType フィールドは、オブジェクトの型を指定します。
- オブジェクトのアプリケーション コンテキスト。TargetAppName フィールドで表され、Application によってエイリアス化される。
- オブジェクトに対して実行される操作。EventType フィールドと Operation フィールドで表される。 Operation はソースによって報告される値ですが、EventType は、複数のソース間での一貫性の高い正規化されたバージョンです。
- オブジェクトの古い値と新しい値 (該当する場合)。それぞれ OldValue と NewValue で表されます。
監査イベントでは、構成操作に関連する次のエンティティも参照されます。
- Actor - 構成操作を実行しているユーザー。
- TargetApp - 構成操作が適用されるアプリケーションまたはシステム。
- ターゲット - Taregtapp* が実行されているシステム。
- ActingApp - Actor が構成操作を実行するために使用するアプリケーション。
- Src - Actor が構成操作を開始するために使用するシステム (Target と異なる場合)。
記述子 Dvc は、エンドポイントによって報告されるセッションの場合はレポート デバイス (ローカル システム) に、その他の場合は中間デバイスまたはセキュリティ デバイスに使用されます。
パーサー
監査イベント パーサーのデプロイと使用
ASIM 監査イベント パーサーを Microsoft Sentinel GitHub リポジトリからデプロイします。 すべての監査イベント ソースでクエリを実行するには、クエリのテーブル名として統一パーサー imAuditEvent を使用します。
ASIM パーサーの使用方法の詳細については、ASIM パーサーの概要に関する各ページを参照してください。 Microsoft Sentinel が提供する監査イベント パーサーの一覧については、ASIM パーサーの一覧を参照してください
独自の正規化されたパーサーを追加する
ファイル イベント情報モデルにカスタム パーサーを実装するときは、imAuditEvent<vendor><Product> の構文を使用して KQL 関数に名前を付けます。 監査イベント統一パーサーにカスタム パーサーを追加する方法については、ASIM パーサーの管理に関する記事を参照してください。
パーサー パラメーターのフィルター処理
監査イベント パーサーは、フィルター処理パラメーターをサポートしています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター処理パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | DATETIME | この時間以降に実行されたイベントのみをフィルター処理します。 このパラメーターでは、 イベントの時間指定子として TimeGenerated フィールドが使用されます。 |
| endtime | DATETIME | この時間以前に実行が完了したイベントのみをフィルター処理します。 このパラメーターでは、 イベントの時間指定子として TimeGenerated フィールドが使用されます。 |
| srcipaddr_has_any_prefix | 動的 | SrcIpAddr フィールドに表されているように、このソース IP アドレスからのイベントのみをフィルター処理します。 |
| eventtype_in | string | EventType フィールドで表されているように、イベントの種類が、指定されたいずれかの用語であるイベントのみをフィルター処理します。 |
| eventresult | string | EventResult フィールドで表されているように、イベントの結果がパラメーター値と等しいイベントのみをフィルター処理します。 |
| actorusername_has_any | dynamic/string | 指定された用語のいずれかが ActorUsername に含まれるイベントのみをフィルター処理します。 |
| operation_has_any | dynamic/string | 指定された用語のいずれかが Operation フィールドに含まれるイベントのみをフィルター処理します。 |
| object_has_any | dynamic/string | 指定された用語のいずれかが Object フィールドに含まれるイベントのみをフィルター処理します。 |
| newvalue_has_any | dynamic/string | 指定された用語のいずれかが NewValue フィールドに含まれるイベントのみをフィルター処理します。 |
一部のパラメーターには、dynamic 型の値のリストと、単一の文字列値のどちらも使用できます。 動的な値を期待するパラメーターにリテラル リストを渡すには、動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])
たとえば、用語 install または update が Operation フィールドにある、最後の日の監査イベントのみをフィルター処理するには、以下を使用します。
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
スキーマの詳細
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、監査イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | イベントによって監査される操作を、正規化された値を使用して記述します。 EventSubType を使用して、正規化された値では伝えられない詳細情報を提供し、Operation を使用して、 報告デバイスによって報告された操作を格納します。 監査イベント レコードの場合、許可される値は次のとおりです。 - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other 監査イベントはさまざまな操作を表し、 Other の値によって、対応する EventType を持たないマッピング操作が可能になります。 ただし、Other を使用すると、イベントの使いやすさが制限されるため、可能であれば、使用を避ける必要があります。 |
| EventSubType | オプション | String | EventType の正規化された値では伝えられない詳細情報を提供します。 |
| EventSchema | Mandatory | String | ここに記載されているスキーマの名前は AuditEvent です。 |
| EventSchemaVersion | Mandatory | String | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1 です。 |
すべての共通フィールド
表に示すフィールドは、すべての ASIM スキーマに共通です。 このドキュメントで指定されたガイドラインはすべて、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| オプション | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
監査フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Operation | Mandatory | String | レポート デバイスによって報告された、監査された操作。 |
| Object | Mandatory | String | EventType によって識別される操作が実行されるオブジェクトの名前。 |
| ObjectType | Mandatory | Enumerated | Object の種類。 使用できる値は、以下のとおりです。 - Cloud Resource- Configuration Atom- Policy Rule- その他 |
| OldValue | 省略可能 | String | 操作の前の Object の古い値 (該当する場合)。 |
| NewValue | 省略可能 | String | 操作が実行された後の Object の新しい値 (該当する場合)。 |
| Value | エイリアス | NewValue のエイリアス | |
| ValueType | 条件付き | Enumerated | 古い値と新しい値の型。 次の値を使用できます - その他 |
アクターのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ActorUserId | 省略可能 | String | コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 詳細とその他の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。 例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | オプション | String | ActorUserId と ActorUsername が定義されているスコープ (Microsoft Entra ドメイン名など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| ActorScopeId | 省略可能 | String | ActorUserId と ActorUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| ActorUserIdType | 条件付き | UserIdType | ActorUserId フィールドに格納されている ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| ActorUsername | 推奨 | ユーザー名 | アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
| User | エイリアス | ActorUsername のエイリアス | |
| ActorUsernameType | 条件付き | UsernameType | ActorUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| ActorUserType | オプション | UserType | アクターの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Guest |
| ActorOriginalUserType | オプション | UserType | レポート デバイスによって報告されたユーザー タイプ。 |
| ActorSessionId | オプション | String | アクターのサインイン セッションの一意の ID。 例: 102pTUgC3p8RIqHvzxLCHnFlg |
ターゲット アプリケーション フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| TargetAppId | オプション | String | イベントが適用されるアプリケーション (プロセス、ブラウザー、またはサービスを含む) の ID。 例: 89162 |
| TargetAppName | 省略可能 | String | イベントが適用されるアプリケーション (サービス、URL、SaaS アプリケーションを含む) の名前。 例: Exchange 365 |
| Application | エイリアス | TargetAppName のエイリアス | |
| TargetAppType | オプション | AppType | アクターに代わって承認するアプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| TargetUrl | オプション | URL | ターゲット アプリケーションに関連する URL。 例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
ターゲット システム フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Dst | エイリアス | String | 認証対象の一意の識別子。 このフィールドは、TargerDvcId、TargetHostname、TargetIpAddr、TargetAppId、またはTargetAppName の各フィールドの別名になる可能性があります。 例: 192.168.12.1 |
| TargetHostname | 推奨 | Hostname (ホスト名) | ドメイン情報を除いた、ターゲット デバイスのホスト名。 例: DESKTOP-1282V4D |
| TargetDomain | 推奨 | String | ターゲット デバイスのドメイン。 例: Contoso |
| TargetDomainType | 条件付き | Enumerated | Targetdomainの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 Targetdomainを使用する場合は必須です。 |
| TargetFQDN | オプション | String | ターゲット デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 例: Contoso\DESKTOP-1282V4D 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 TargetDomainType フィールドには、使用されている形式が反映されます。 |
| TargetDescription | 省略可能 | String | デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。 |
| TargetDvcId | オプション | String | ターゲット デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド TargetDvc<DvcIdType> に格納します。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 TargetDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| TargetDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 TargetDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| TargetDvcIdType | 条件付き | Enumerated | Targetdvcid の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 Targetdeviceid を使用する場合は必須です。 |
| TargetDeviceType | オプション | Enumerated | ターゲット デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| TargetIpAddr | オプション | IP アドレス | ターゲット デバイスの IP アドレス。 例: 2.2.2.2 |
| TargetDvcOs | オプション | String | ターゲット デバイスの OS。 例: Windows 10 |
| TargetPortNumber | 省略可能 | Integer | ターゲット デバイスのポート。 |
代理アプリケーション フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ActingAppId | オプション | String | プロセス、ブラウザー、サービスなど、報告されたアクティビティを開始したアプリケーションの ID。 例: 0x12ae8 |
| ActiveAppName | 省略可能 | String | サービス、URL、SaaS アプリケーションなど、報告されたアクティビティを開始したアプリケーションの名前。 例: C:\Windows\System32\svchost.exe |
| ActingAppType | オプション | AppType | 代理アプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| HttpUserAgent | 省略可能 | String | HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。 例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
ソース システム フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Src | エイリアス | String | ソース デバイスの一意識別子。 このフィールドは、SrcDvcId、SrcHostname、または SrcIpAddr フィールドのエイリアスになる場合があります。 例: 192.168.12.1 |
| SrcIpAddr | 推奨 | IP アドレス | 接続またはセッションの開始元の IP アドレス。 例: 77.138.103.108 |
| IpAddr | エイリアス | SrcIpAddr の別名。または SrcIpAddr が指定されていない場合は TargetIpAddr の別名。 | |
| SrcPortNumber | オプション | Integer | 接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。 例: 2335 |
| SrcHostname | 推奨 | Hostname (ホスト名) | ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 例: DESKTOP-1282V4D |
| SrcDomain | 推奨 | String | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件付き | DomainType | SrcDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 SrcDomain が使用されている場合は必須です。 |
| SrcFQDN | オプション | String | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 省略可能 | String | デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。 |
| SrcDvcId | オプション | String | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド SrcDvc<DvcIdType> に格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcIdType | 条件付き | DvcIdType | SrcDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
| SrcDeviceType | オプション | DeviceType | ソース デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| SrcSubscriptionId | オプション | String | ソース デバイスが属するクラウド プラットフォームのサブスクリプション ID。 SrcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcGeoCountry | 省略可能 | 国 | 発信元 IP アドレスに関連付けられている国。 例: USA |
| SrcGeoRegion | 省略可能 | リージョン | 発信元 IP アドレスに関連付けられている国内の地域。 例: Vermont |
| SrcGeoCity | オプション | City | 発信元 IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | 発信元 IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
検査のフィールド
次のフィールドは、セキュリティ システムによって実行される検査を表すために使用されます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| RuleName | 省略可能 | String | 検査結果に関連付けられたルールの名前または ID。 |
| RuleNumber | 省略可能 | Integer | 検査結果に関連付けられたルールの番号。 |
| Rule | エイリアス | String | RuleName の値と RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | オプション | String | 監査アクティビティで識別された脅威またはマルウェアの ID。 |
| ThreatName | オプション | String | 監査アクティビティで識別された脅威またはマルウェアの名前。 |
| ThreatCategory | 省略可能 | String | 監査ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。 |
| ThreatRiskLevel | オプション | Integer | 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 注: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | オプション | String | レポート デバイスによって報告されたリスク レベル。 |
| ThreatConfidence | 省略可能 | Integer | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatOriginalConfidence | 省略可能 | String | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | オプション | ブール型 | 特定された脅威がアクティブな脅威と見なされる場合は True。 |
| ThreatFirstReportedTime | オプション | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | オプション | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatIpAddr | 省略可能 | IP アドレス | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
| ThreatField | 省略可能 | Enumerated | 脅威が特定されたフィールド。 値は SrcIpAddr または TargetIpAddr です。 |
次のステップ
詳細については、次を参照してください。