Microsoft Sentinelユーザー管理正規化スキーマは、ユーザーまたはグループの作成、ユーザー属性の変更、グループへのユーザーの追加などのユーザー管理アクティビティを記述するために使用されます。 このようなイベントは、たとえば、オペレーティング システム、ディレクトリ サービス、ID 管理システム、およびそのローカル ユーザー管理アクティビティに関するその他のシステム レポートによって報告されます。
Microsoft Sentinelでの正規化の詳細については、「正規化と高度なセキュリティ情報モデル (ASIM)」を参照してください。
スキーマの概要
ASIM ユーザー管理スキーマでは、ユーザー管理アクティビティについて説明します。 アクティビティには通常、次のエンティティが含まれます。
- アクター - 管理アクティビティを実行しているユーザー。
- 処理プロセス - アクターが管理アクティビティを実行するために使用するプロセス。
- Src - アクティビティがネットワーク経由で実行されると、アクティビティが開始されたソース デバイス。
- ターゲット ユーザー - アカウントが管理されているユーザー。
- ターゲット ユーザーが追加または削除されたグループ、または変更されるグループ。
UserCreated、GroupCreated、UserModified、GroupModified*などの一部のアクティビティでは、ユーザー プロパティを設定または更新します。 プロパティ セットまたは更新は、次のフィールドに記載されています。
- EventSubType - 設定または更新された値の名前。 UpdatedPropertyName は、 EventSubType が関連するイベントの種類の 1 つを参照する場合の EventSubType のエイリアスです。
- PreviousPropertyValue - プロパティの前の値。
- NewPropertyValue - プロパティの更新された値。
パーサー
ASIM パーサーの詳細については、 ASIM パーサーの概要に関するページを参照してください。
パーサー パラメーターのフィルター処理
ユーザー管理パーサーは、 フィルター パラメーターをサポートします。 これらのパラメーターは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | 日付型 | この時刻以降に発生したユーザー管理イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| endtime | 日付型 | この時刻以前に発生したユーザー管理イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| srcipaddr_has_any_prefix | 動的 | ソース IP アドレス プレフィックスが一覧表示されている値のいずれかと一致するユーザー管理イベントのみをフィルター処理します。 プレフィックスは、 .で終わる必要があります (例: 10.0.)。 |
| targetusername_has_any | 動的 | ターゲット ユーザー名に一覧表示されている値が含まれているユーザー管理イベントのみをフィルター処理します。 |
| actorusername_has_any | 動的 | アクター ユーザー名に一覧表示されている値が含まれるユーザー管理イベントのみをフィルター処理します。 |
| eventtype_in | 動的 | イベントの種類が、 UserCreated、 UserDeleted、 UserModified、 PasswordChanged、 GroupCreatedなど、一覧表示されている値のいずれかであるユーザー管理イベントのみをフィルター処理します。 |
たとえば、最後の日のユーザー作成イベントのみをフィルター処理するには、次を使用します。
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
スキーマの詳細
一般的な ASIM フィールド
重要
すべてのスキーマに共通のフィールドについては、 ASIM 共通フィールド に関する記事を参照してください。
特定のガイドラインを含む一般的なフィールド
次の一覧では、プロセス アクティビティ イベントに関する特定のガイドラインがあるフィールドについて説明します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| EventType | 必須 | 列挙 | レコードによって報告される操作について説明します。 User Management アクティビティの場合、サポートされる値は次のとおりです。 - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | 省略可能 | 列挙 | 次のサブタイプがサポートされています。 - UserRead: パスワード、ハッシュ- UserCreated, GroupCreated, UserModified, GroupModified. 詳細については、「UpdatedPropertyName」を参照してください。 |
| EventResult | 必須 | 列挙 | 失敗は可能ですが、ほとんどのシステムでは成功したユーザー管理イベントのみが報告されます。 成功したイベントの予期される値は Success。 |
| EventResultDetails | 推奨 | 列挙 | 有効な値は NotAuthorized され、 Otherされます。 |
| EventSeverity | 必須 | 列挙 | 有効な重大度の値は許可されますが、通常、ユーザー管理イベントの重大度は Informationalされます。 |
| EventSchema | 必須 | 列挙 | ここに記載されているスキーマの名前は UserManagement。 |
| EventSchemaVersion | 必須 | SchemaVersion (String) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.2。 |
| Dvc フィールド | ユーザー管理イベントの場合、デバイス フィールドはイベントを報告するシステムを参照します。 これは通常、ユーザーが管理されているシステムです。 |
すべての共通フィールド
次の表に示すフィールドは、すべての ASIM スキーマに共通です。 上記で指定したガイドラインは、フィールドの一般的なガイドラインをオーバーライドします。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、 ASIM 共通フィールド に関する記事を参照してください。
| クラス | フィールド |
|---|---|
| 必須 |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 省略可能 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
更新されたプロパティ フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| UpdatedPropertyName | Alias | イベントの種類がUserCreated、GroupCreated、UserModified、またはGroupModifiedの場合の EventSubType へのエイリアス。サポートされている値は次のとおりです。 - MultipleProperties: アクティビティが複数のプロパティを更新するときに使用されます- Previous<PropertyName>では、 <PropertyName> は、 UpdatedPropertyNameでサポートされている値の 1 つです。 - New<PropertyName>では、 <PropertyName> は、 UpdatedPropertyNameでサポートされている値の 1 つです。 |
|
| PreviousPropertyValue | 省略可能 | 文字列 | 指定したプロパティに格納された前の値。 |
| NewPropertyValue | 省略可能 | 文字列 | 指定したプロパティに格納されている新しい値。 |
ターゲット ユーザー フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| TargetUserId | 省略可能 | 文字列 | ターゲット ユーザーのコンピューターで読み取り可能な英数字の一意の表現。 サポートされている形式と型は次のとおりです。 - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673[ TargetUserIdType ] フィールドに ID 型を格納します。 他の ID が使用可能な場合は、フィールド名をそれぞれ TargetUserSid、 TargetUserUid、 TargetUserAADID、 TargetUserOktaId、 および TargetUserAwsId に正規化することをお勧めします。 詳細については、「 ユーザー エンティティ」を参照してください。 例: S-1-12 |
| TargetUserIdType | 条件 付き | 列挙 |
TargetUserId フィールドに格納されている ID の型。 サポートされる値は、 SID、 UID、 AADID、 OktaId、および AWSIdです。 |
| TargetUsername | 省略可能 | ユーザー名 (文字列) | ドメイン情報を含むターゲット ユーザー名 (使用可能な場合)。 次のいずれかの形式を使用し、次の優先順位で使用します。 - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Simple: johndow。 [単純] フォームは、ドメイン情報が使用できない場合にのみ使用します。[ユーザー名の種類] を [TargetUsernameType ] フィールドに格納します。 他の ID が使用可能な場合は、フィールド名を TargetUserUpn、TargetUserWindows、および TargetUserDn に正規化することをお勧めします。 詳細については、「 ユーザー エンティティ」を参照してください。 例: AlbertE |
| TargetUsernameType | 条件 付き | 列挙 |
[TargetUsername] フィールドに格納されているユーザー名の種類を指定します。 サポートされる値には、 UPN、 Windows、 DN、 Simpleが含まれます。 詳細については、「 ユーザー エンティティ」を参照してください。例: Windows |
| TargetUserType | 省略可能 | 列挙 | ターゲット ユーザーの種類。 サポートされている値は、次のとおりです。 - Regular- Machine- Admin- System- Application- Service Principal- Other注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 [ TargetOriginalUserType ] フィールドに元の値を格納します。 |
| TargetOriginalUserType | 省略可能 | 文字列 | ソースによって指定された場合は、元の宛先ユーザーの種類。 |
| TargetUserScope | 省略可能 | 文字列 | TargetUserId と TargetUsername が定義されているMicrosoft Entraテナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| TargetUserScopeId | 省略可能 | 文字列 | TargetUserId と TargetUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| TargetUserSessionId | 省略可能 | 文字列 | ターゲット ユーザーのログイン セッションの一意の ID。 例: 999 注: 型は、さまざまなシステムをサポートするために 文字列 として定義されていますが、Windows ではこの値は数値である必要があります。 Windows または Linux コンピューターを使用していて、別の種類を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
アクター フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActorUserId | 省略可能 | 文字列 | マシンが読み取り可能な英数字のアクターの一意の表現。 サポートされている形式と型は次のとおりです。 - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673[ ActorUserIdType ] フィールドに ID 型を格納します。 他の ID が使用可能な場合は、フィールド名をそれぞれ ActorUserSid、 ActorUserUid、 ActorUserAadId、 ActorUserOktaId、 ActorAwsId に正規化することをお勧めします。 詳細については、「 ユーザー エンティティ」を参照してください。 例: S-1-12 |
| ActorUserIdType | 条件 付き | 列挙 |
ActorUserId フィールドに格納されている ID の型。 サポートされる値には、 SID、 UID、 AADID、 OktaId、 AWSIdが含まれます。 |
| ActorUsername | 必須 | ユーザー名 (文字列) | アクターのユーザー名(使用可能な場合はドメイン情報を含む)。 次のいずれかの形式を使用し、次の優先順位で使用します。 - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Simple: johndow。 [単純] フォームは、ドメイン情報が使用できない場合にのみ使用します。[Username type]\(ユーザー名の種類\ ) を ActorUsernameType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を ActorUserUpn、ActorUserWindows、ActorUserDn に正規化することをお勧めします。 詳細については、「 ユーザー エンティティ」を参照してください。 例: AlbertE |
| ユーザー | Alias | ActorUsername へのエイリアス。 | |
| ActorUsernameType | 条件 付き | 列挙 |
ActorUsername フィールドに格納されているユーザー名の種類を指定します。 サポートされる値は、 UPN、 Windows、 DN、および Simpleです。 詳細については、「 ユーザー エンティティ」を参照してください。例: Windows |
| ActorUserType | 省略可能 | 列挙 | アクターの型。 有効な値は次のとおりです。 - Regular- Machine- Admin- System- Application- Service Principal- Other注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 元の値を ActorOriginalUserType フィールドに格納します。 |
| ActorOriginalUserType | 省略可能 | 文字列 | レポート デバイスによって指定された場合は、元の宛先ユーザーの種類。 |
| ActorOriginalUserType | ソースによって指定された場合は、元のアクター ユーザーの種類。 | ||
| ActorSessionId | 省略可能 | 文字列 | アクターのログイン セッションの一意の ID。 例: 999注: 型は、さまざまなシステムをサポートするために 文字列 として定義されていますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用していて、別の型を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| ActorScope | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra テナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| ActorScopeId | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScopeId を参照してください。 |
グループ フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| GroupId | 省略可能 | 文字列 | グループに関連するアクティビティに対して、コンピューターで読み取り可能な英数字のグループの一意の表現。 サポートされている形式と型は次のとおりです。 - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578[ GroupIdType ] フィールドに ID 型を格納します。 他の ID が使用可能な場合は、フィールド名をそれぞれ GroupSid または GroupUid に正規化することをお勧めします。 詳細については、「 ユーザー エンティティ」を参照してください。 例: S-1-12 |
| GroupIdType | 省略可能 | 列挙 |
GroupId フィールドに格納されている ID の型。 サポートされている値は、 SIDと UIDです。 |
| Groupname | 省略可能 | 文字列 | グループに関連するアクティビティのドメイン情報 (使用可能な場合) を含むグループ名。 次のいずれかの形式を使用し、次の優先順位で使用します。 - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Simple: grp。 [単純] フォームは、ドメイン情報が使用できない場合にのみ使用します。グループ名の種類を [GroupNameType ] フィールドに格納します。 他の ID を使用できる場合は、フィールド名を GroupUpn、 GroupNameWindows、 GroupDn に正規化することをお勧めします。 例: Contoso\Finance |
| GroupNameType | 省略可能 | 列挙 |
GroupName フィールドに格納されているグループ名の種類を指定します。 サポートされる値には、 UPN、 Windows、 DN、 Simpleが含まれます。例: Windows |
| GroupType | 省略可能 | 列挙 | グループに関連するアクティビティのグループの種類。 サポートされている値は、次のとおりです。 - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Other注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 元の値を GroupOriginalType フィールドに格納します。 |
| GroupOriginalType | 省略可能 | 文字列 | ソースによって指定された場合は、元のグループの種類。 |
ソース フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Src | 推奨 | 文字列 | ソース デバイスの一意識別子。 このフィールドは 、SrcDvcId、 SrcHostname、または SrcIpAddr フィールドに 別名を付けることができます。 例: 192.168.12.1 |
| SrcIpAddr | 推奨 | IP アドレス | ソース デバイスの IP アドレス。
SrcHostname が指定されている場合、この値は必須です。 例: 77.138.103.108 |
| IpAddr | Alias | SrcIpAddr へのエイリアス。 | |
| SrcPortNumber | 省略可能 | 整数 | 接続の送信元の IP ポート。 複数の接続を構成するセッションには関係ない場合があります。 例: 2335 |
| SrcMacAddr | 省略可能 | MAC アドレス (文字列) | 接続またはセッションの送信元のネットワーク インターフェイスの MAC アドレス。 例: 06:10:9f:eb:8f:14 |
| SrcDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| SrcHostname | 推奨 | 文字列 | ドメイン情報を除くソース デバイスのホスト名。 例: DESKTOP-1282V4D |
| SrcDomain | 推奨 | ドメイン (文字列) | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 推奨 | 列挙 |
SrcDomain の型 (既知の場合)。 次の値を指定できます。 - Windows ( contosoなど)- FQDN ( microsoft.comなど)SrcDomain を使用する場合は必須です。 |
| SrcFQDN | 省略可能 | FQDN (文字列) | ソース デバイスのホスト名(使用可能な場合はドメイン情報を含む)。 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 SrcDomainType フィールドには、使用される形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 省略可能 | 文字列 | レコードで報告されるソース デバイスの ID。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 SrcDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 SrcDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcIdType | 条件 付き | 列挙 |
SrcDvcId の型 (既知の場合)。 次の値を指定できます。 - AzureResourceId- MDEid複数の ID が使用可能な場合は、前の一覧の最初の ID を使用し、他の ID をそれぞれ SrcDvcAzureResourceId と SrcDvcMDEid に格納します。 注: SrcDvcId を使用する場合は、このフィールドが必要です。 |
| SrcDeviceType | 省略可能 | 列挙 | ソース デバイスの種類。 次の値を指定できます。 - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | 省略可能 | 国 | 送信元 IP アドレスに関連付けられている国/地域。 例: USA |
| SrcGeoRegion | 省略可能 | Region | ソース IP アドレスに関連付けられているリージョン。 例: Vermont |
| SrcGeoCity | 省略可能 | City | ソース IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | ソース IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | ソース IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| SrcRiskLevel | 省略可能 | 整数 | ソースに関連付けられているリスク レベル。 値は100する0の範囲に調整する必要があります。リスクが高い場合は問題のない100に0します。例: 90 |
| SrcOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるソースに関連付けられているリスク レベル。 例: Suspicious |
Acting Application
検査フィールド
次のフィールドは、EDR システムなどのセキュリティ システムによって実行される検査を表すために使用されます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| RuleName | 省略可能 | 文字列 | 検査結果に関連付けられたルールの名前または ID。 |
| RuleNumber | 省略可能 | 整数 | 検査結果に関連付けられているルールの番号。 |
| Rule | 条件 付き | 文字列 | kRuleName の値または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアの ID。 |
| ThreatName | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアの名前。 例: EICAR Test File |
| ThreatCategory | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアのカテゴリ。 例: Trojan |
| ThreatRiskLevel | 省略可能 | RiskLevel (整数) | 特定された脅威に関連付けられているリスク レベル。 レベルは 0 ~ 100 の数値 にする必要があります。 注: この値は、このスケールに正規化する必要がある別のスケールを使用してソース レコードに提供される場合があります。 元の値は ThreatOriginalRiskLevel に格納する必要があります。 |
| ThreatOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるリスク レベル。 |
| ThreatField | 省略可能 | 文字列 | 脅威が特定されたフィールド。 |
| ThreatConfidence | 省略可能 | ConfidenceLevel (整数) | 特定された脅威の信頼レベルを、0 から 100 の値に正規化します。 |
| ThreatOriginalConfidence | 省略可能 | 文字列 | レポート デバイスによって報告された、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | 省略可能 | ブール型 | True を指定すると、特定された脅威がアクティブな脅威と見なされます。 |
| ThreatFirstReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として識別された最後の時刻。 |
その他のフィールドとエイリアス
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ホスト | Alias | DvcHostname へのエイリアス。 |
スキーマの更新
スキーマのバージョン 0.1.2 の変更は次のとおりです。
- 検査フィールドを追加しました。
- ソース フィールド
SrcDescription、SrcMacAddr、SrcOriginalRiskLevel、SrcPortNumber、SrcRiskLevel、 - ターゲット フィールドを追加
TargetUserScope、TargetUserScopeId、TargetUserSessionId - アクター フィールドを追加
ActorOriginalUserType、ActorScope、ActorScopeId - 動作するアプリケーション フィールドを追加しました
ActingOriginalAppType
次の手順
詳細については、以下を参照してください。