Advanced Security Information Model (ASIM) 認証正規化スキーマのリファレンス (パブリック プレビュー)
Microsoft Sentinel 認証スキーマは、ユーザー認証、サインイン、サインアウトに関連するイベントを記述するために使用されます。認証イベントは数多くのレポート デバイスによって、通常はイベント ストリームの一部として、他のイベントと共に送信されます。 たとえば、Windows は、いくつかの認証イベントを、他の OS アクティビティ イベントと共に送信します。
認証イベントには、VPN ゲートウェイやドメイン コントローラーなどの認証に重点を置いたシステムからのイベントと、コンピューターやファイアウォールなどのエンド システムへの直接認証の両方が含まれます。
Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。
重要
現在、認証正規化スキーマはプレビュー段階です。 この機能は、サービス レベル アグリーメントなしで提供されており、運用環境のワークロード用には推奨されていません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
パーサー
ASIM 認証パーサーを Microsoft Sentinel GitHub リポジトリからデプロイします。 ASIM パーサーの詳細については、記事 「ASIM パーサーの概要」を参照してください。
統一パーサー
すべての ASIM のアウトオブザボックス パーサーを統一するパーサーを使用し、構成済みのソース全体で分析が確実に実行されるようにするには、imAuthentication フィルターパーサーまたは ASimAuthentication パラメーターレス パーサーを使用します。
ソース固有のパーサー
Microsoft Sentinel が提供する認証パーサーの一覧については、ASIM パーサーの一覧を参照してください。
独自の正規化されたパーサーを追加する
認証情報モデル用のカスタム パーサーを実装するときは、次の構文を使用して KQL 関数に名前を付けます。
vimAuthentication<vendor><Product>フィルターパーサーの場合ASimAuthentication<vendor><Product>パラメーターレス パーサーの場合
統合パーサーにカスタム パーサーを追加する方法の詳細については、「ASIM パーサーの管理」を参照してください。
パーサー パラメーターのフィルター処理
im および vim* パーサーでは、imがサポートされています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター処理パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | DATETIME | この時間以降に実行された認証イベントのみをフィルター処理します。 |
| endtime | DATETIME | この時間以前に実行が完了した認証イベントのみをフィルター処理します。 |
| targetusername_has | string | 一覧表示されたユーザー名のいずれかを持つ認証イベントのみをフィルター処理します。 |
たとえば、過去 1 日の認証イベントのみを特定のユーザーにフィルター処理するには、以下を使用します。
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
ヒント
動的な値を期待するパラメーターにリテラル リストを渡すには、動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])。
正規化されたコンテンツ
正規化された認証分析規則は、複数のソースにまたがる攻撃を検出する点において、独特です。 そのため、たとえば、ユーザーが別の国/リージョンから、関連性のない異なるシステムにログインした場合、Microsoft Azure Sentinel によってこの脅威が検出されるようになります。
正規化された認証イベントを使用する分析規則の完全な一覧については、「認証スキーマのセキュリティ コンテンツ」を参照してください。
スキーマの概要
認証情報モデルは、OSSEM ログオン エンティティ スキーマに合わせて調整されています。
以下の表に示すフィールドは認証イベントに固有ですが、他のスキーマのフィールドに類似しており、同様の名前付け規則に従います。
認証イベントは、次のエンティティを参照します。
- Targetuser - システムへの認証に使用されるユーザー情報。 Targetsystemは、認証イベントの主な対象であり、エイリアスのユーザーは識別されたTargetUserにエイリアスを付けます。
- Targetapp - 認証されたアプリケーション。
- ターゲット - Taregtapp* が実行されているシステム。
- アクター - 認証を開始するユーザー (Targetuserと異なる場合)。
- Actingapp - アクターが認証を実行するために使用するアプリケーション。
- Src - 認証を開始するためにアクター が使用するシステム。
これらのエンティティ間のリレーションシップは、次のように示されます。
"ソース システム" (Src) 上の "代理アプリケーション" (ActingApp) を実行しているアクターは、"ターゲット システム" (TargetDvc) 上の "ターゲット アプリケーション" (TargetApp) に対する TargetUser の認証を試みます。
スキーマの詳細
以降の表では、"型" は論理型を指しています。 詳細については、「論理型」を参照してください。
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、認証イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | レコードによって報告される操作を記述します。 認証レコードの場合、サポートされる値は次のとおりです。 - Logon - Logoff- Elevate |
| EventResultDetails | 推奨 | String | イベントの結果に関連付けられている詳細。 結果が失敗だった場合、このフィールドは通常設定されています。 使用できる値は、以下のとおりです。 - No such user or password。 この値は、元のイベントが、パスワードへの参照なしでそのようなユーザーがいないことを報告するときにも使用する必要があります。- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy。 この値は、元のイベントが、たとえば、MFA が必要なこと、勤務時間外のログオン、条件付きアクセス制限、過剰な試行回数などを報告するときに使用する必要があります。- Session expired- Otherソース レコードでは、異なる用語を使用して値が指定されている場合があります。それを、これらの値に正規化する必要があります。 元の値は EventOriginalResultDetails フィールドに格納する必要があります。 |
| EventSubType | オプション | String | サインインの種類。 使用できる値は、以下のとおりです。 - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - リモート サインインの種類が不明な場合に使用します。- AssumeRole - 通常、イベントの種類が Elevate の場合に使用します。 ソース レコードでは、異なる用語を使用して値が指定されている場合があります。それを、これらの値に正規化する必要があります。 元の値は、EventOriginalSubType フィールドに保存する必要があります。 |
| EventSchemaVersion | Mandatory | String | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.3 です |
| EventSchema | Mandatory | String | ここに記載されているスキーマの名前は Dhcp です。 |
| Dvc フィールド | - | - | 認証イベントの場合、デバイス フィールドはイベントを報告するシステムを指します。 |
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| オプション | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
認証固有のフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| LogonMethod | オプション | String | 認証を実行するために使用されるメソッド。 例: Username & Password、PKI |
| LogonProtocol | オプション | String | 認証を実行するために使用されるプロトコル。 例: NTLM |
アクターのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ActorUserId | 省略可能 | String | コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 詳細と追加の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。 例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | オプション | String | ActorUserId と ActorUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| ActorScopeId | 省略可能 | String | ActorUserId と ActorUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| ActorUserIdType | 条件付き | UserIdType | ActorUserId フィールドに格納されている ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| ActorUsername | オプション | ユーザー名 | アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
| ActorUsernameType | 条件付き | UsernameType | ActorUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| ActorUserType | オプション | UserType | アクターの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Guest |
| ActorOriginalUserType | オプション | UserType | レポート デバイスによって報告されたユーザー タイプ。 |
| ActorSessionId | オプション | String | アクターのサインイン セッションの一意の ID。 例: 102pTUgC3p8RIqHvzxLCHnFlg |
代理アプリケーション フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ActingAppId | オプション | String | アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の ID。 例: 0x12ae8 |
| ActingAppName | オプション | String | アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の名前。 例: C:\Windows\System32\svchost.exe |
| ActingAppType | オプション | AppType | 代理アプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| HttpUserAgent | 省略可能 | String | HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。 例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
ターゲット ユーザーのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| TargetUserId | オプション | UserId | コンピューターが判読できる、英数字で、ターゲット ユーザーを一意に表現したもの。 詳細と追加の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。 例: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | 省略可能 | String | TargetUserId と TargetUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| TargetUserScopeId | 省略可能 | String | TargetUserId と TargetUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| TargetUserIdType | 条件付き | UserIdType | TargetUserId フィールドに格納されているユーザー ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 例: SID |
| TargetUsername | オプション | ユーザー名 | ターゲット ユーザーのユーザー名 (使用可能な場合はドメイン情報を含む)。 詳細については、「ユーザー エンティティ」を参照してください。 例: MarieC |
| TargetUsernameType | 条件付き | UsernameType | TargetUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。 |
| TargetUserType | オプション | UserType | ターゲット ユーザーの型です。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Member |
| TargetSessionId | オプション | String | ソース デバイス上の TargetUser のサインイン セッション識別子。 |
| TargetOriginalUserType | オプション | UserType | レポート デバイスによって報告されたユーザー タイプ。 |
| User | エイリアス | ユーザー名 | TargetUsername の別名。または、TargetUsername が定義されていない場合は TargetUserId の別名。 例: CONTOSO\dadmin |
ソース システム フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Src | 推奨 | String | ソース デバイスの一意識別子。 このフィールドは、SrcDvcId、SrcHostname、または SrcIpAddr フィールドの別名になる可能性があります。 例: 192.168.12.1 |
| SrcDvcId | オプション | String | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド SrcDvc<DvcIdType> に格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcIdType | 条件付き | DvcIdType | SrcDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
| SrcDeviceType | オプション | DeviceType | ソース デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| SrcHostname | 推奨 | Hostname (ホスト名) | ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 例: DESKTOP-1282V4D |
| SrcDomain | 推奨 | String | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件付き | DomainType | SrcDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 SrcDomain が使用されている場合は必須です。 |
| SrcFQDN | オプション | String | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 省略可能 | String | デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。 |
| SrcIpAddr | オプション | IP アドレス | ソース デバイスの IP アドレス。 例: 2.2.2.2 |
| SrcPortNumber | オプション | Integer | 接続元の IP ポート。 例: 2335 |
| SrcDvcOs | オプション | String | ソース デバイスの OS。 例: Windows 10 |
| IpAddr | エイリアス | SrcIpAddr の別名 | |
| SrcIsp | オプション | String | ソース デバイスがインターネットに接続するために使用するインターネット サービス プロバイダー (ISP)。 例: corpconnect |
| SrcGeoCountry | 省略可能 | Country | 例: Canada 詳細については、「論理型」を参照してください。 |
| SrcGeoCity | オプション | City | 例: Montreal 詳細については、「論理型」を参照してください。 |
| SrcGeoRegion | 省略可能 | リージョン | 例: Quebec 詳細については、「論理型」を参照してください。 |
| SrcGeoLongtitude | 省略可能 | Longitude | 例: -73.614830 詳細については、「論理型」を参照してください。 |
| SrcGeoLatitude | 省略可能 | Latitude | 例: 45.505918 詳細については、「論理型」を参照してください。 |
| SrcRiskLevel | オプション | Integer | ソースに関連付けられているリスク レベル。 この値は、0 から 100 の範囲に調整する必要があります。0 は問題なし、100 は高リスクを意味します。例: 90 |
| SrcOriginalRiskLevel | オプション | Integer | レポート デバイスによって報告された、ソースに関連付けられているリスク レベル。 例: Suspicious |
ターゲット アプリケーション フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| TargetAppId | オプション | String | 認可を必要とするアプリケーションの ID。多くの場合、レポート デバイスによって割り当てられます。 例: 89162 |
| TargetAppName | 省略可能 | String | 認可を必要とするアプリケーションの名前 (サービス、URL、SaaS アプリケーションなど)。 例: Saleforce |
| TargetAppType | オプション | AppType | アクターに代わって承認するアプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| TargetUrl | オプション | URL | ターゲット アプリケーションに関連する URL。 例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | エイリアス | TargetAppName、TargetUrl、または TargetHostname のいずれかで、認証ターゲットを最もよく表すフィールドのエイリアス。 |
ターゲット システム フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Dst | エイリアス | String | 認証対象の一意の識別子。 このフィールドは、TargerDvcId、TargetHostname、TargetIpAddr、TargetAppId、またはTargetAppName の各フィールドの別名になる可能性があります。 例: 192.168.12.1 |
| TargetHostname | 推奨 | Hostname (ホスト名) | ドメイン情報を除いた、ターゲット デバイスのホスト名。 例: DESKTOP-1282V4D |
| TargetDomain | 推奨 | String | ターゲット デバイスのドメイン。 例: Contoso |
| TargetDomainType | 条件付き | Enumerated | Targetdomainの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 Targetdomainを使用する場合は必須です。 |
| TargetFQDN | オプション | String | ターゲット デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 例: Contoso\DESKTOP-1282V4D 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 TargetDomainType フィールドには、使用されている形式が反映されます。 |
| TargetDescription | 省略可能 | String | デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。 |
| TargetDvcId | オプション | String | ターゲット デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド TargetDvc<DvcIdType> に格納します。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 TargetDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| TargerDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 TargetDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| TargetDvcIdType | 条件付き | Enumerated | Targetdvcid の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 Targetdeviceid を使用する場合は必須です。 |
| TargetDeviceType | オプション | Enumerated | ターゲット デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| TargetIpAddr | オプション | IP アドレス | ターゲット デバイスの IP アドレス。 例: 2.2.2.2 |
| TargetDvcOs | オプション | String | ターゲット デバイスの OS。 例: Windows 10 |
| TargetPortNumber | 省略可能 | Integer | ターゲット デバイスのポート。 |
| TargetGeoCountry | 省略可能 | 国 | ターゲット IP アドレスに関連付けられている国。 例: USA |
| TargetGeoRegion | 省略可能 | リージョン | ターゲット IP アドレスに関連付けられているリージョン。 例: Vermont |
| TargetGeoCity | 省略可能 | City | ターゲット IP アドレスに関連付けられている都市。 例: Burlington |
| TargetGeoLatitude | 省略可能 | Latitude | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| TargetGeoLongitude | 省略可能 | Longitude | ターゲット IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| TargetRiskLevel | 省略可能 | Integer | ターゲットに関連付けられているリスク レベル。 この値は、0 から 100 の範囲に調整する必要があります。0 は問題なし、100 は高リスクを意味します。例: 90 |
| TargetOriginalRiskLevel | 省略可能 | Integer | レポート デバイスによって報告された、ターゲットに関連付けられているリスク レベル。 例: Suspicious |
検査のフィールド
次のフィールドは、セキュリティ システムによって実行される検査を表すために使用されます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| RuleName | 省略可能 | String | 検査結果に関連付けられたルールの名前または ID。 |
| RuleNumber | 省略可能 | Integer | 検査結果に関連付けられたルールの番号。 |
| Rule | エイリアス | String | RuleName の値と RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | オプション | String | 監査アクティビティで識別された脅威またはマルウェアの ID。 |
| ThreatName | オプション | String | 監査アクティビティで識別された脅威またはマルウェアの名前。 |
| ThreatCategory | 省略可能 | String | 監査ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。 |
| ThreatRiskLevel | オプション | Integer | 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 注: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | オプション | String | レポート デバイスによって報告されたリスク レベル。 |
| ThreatConfidence | 省略可能 | Integer | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatOriginalConfidence | 省略可能 | String | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | オプション | ブール型 | 特定された脅威がアクティブな脅威と見なされる場合は True。 |
| ThreatFirstReportedTime | オプション | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | オプション | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatIpAddr | 省略可能 | IP アドレス | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
| ThreatField | 省略可能 | Enumerated | 脅威が特定されたフィールド。 値は SrcIpAddr または TargetIpAddr です。 |
スキーマの更新
バージョン 0.1.1 のスキーマの変更点を次に示します。
- 他のスキーマと一致するように、ユーザーとデバイスのエンティティ フィールドを更新しました。
- 現在の ASIM ガイドラインに合わせて、
TargetDvcとSrcDvcの名前をそれぞれTargetとSrcに変更しました。 名前が変更されたフィールドは、2022年7月1日までエイリアスとして実装されます。 これらのフィールドには、SrcDvcHostname、SrcDvcHostnameType、SrcDvcType、SrcDvcIpAddr、TargetDvcHostname、TargetDvcHostnameType、TargetDvcType、TargetDvcIpAddr、TargetDvcがあります。 SrcとDstにエイリアスが追加されました。- フィールド
SrcDvcIdType、SrcDeviceType、TargetDvcIdType、TargetDeviceType、EventSchemaが追加されました。
スキーマのバージョン 0.1.2 の変更は次のとおりです。
- フィールド
ActorScope、TargetUserScope、SrcDvcScopeId、SrcDvcScope、TargetDvcScopeId、TargetDvcScope、DvcScopeId、DvcScopeが追加されました。
スキーマのバージョン 0.1.3 の変更は次のとおりです。
- フィールド
SrcPortNumber、ActorOriginalUserType、ActorScopeId、TargetOriginalUserType、TargetUserScopeId、SrcDescription、SrcRiskLevel、SrcOriginalRiskLevel、TargetDescriptionが追加されました。 - 検査フィールドが追加されました
- ターゲット システムの地理的な位置フィールドが追加されました。
次のステップ
詳細については、次を参照してください。