次の方法で共有


Microsoft Sentinel ユーザー管理正規化スキーマのリファレンス (プレビュー)

Microsoft Sentinel ユーザー管理正規化スキーマを使用して、ユーザーまたはグループの作成、ユーザー属性の変更、グループへのユーザーの追加などのユーザー管理アクティビティを記述します。 このようなイベントは、たとえばオペレーティング システム、ディレクトリ サービス、ID 管理システム、およびローカル ユーザー管理アクティビティに関するその他のシステム レポートによって報告されます。

Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。

重要

現在、ユーザー管理正規化スキーマはプレビュー段階です。 この機能は、サービス レベル アグリーメントなしに提供されます。 運用環境のワークロード用にはお勧めしません。

Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

スキーマの概要

ASIM ユーザー管理スキーマでは、ユーザー管理アクティビティについて説明します。 通常、アクティビティには次のエンティティが含まれます。

  • アクター - 管理アクティビティを実行するユーザー。
  • 実行プロセス - アクターが管理アクティビティを実行するために使用するプロセス。
  • Src - アクティビティがネットワーク経由で実行される場合、アクティビティが開始されたソース デバイス。
  • ターゲット ユーザー - アカウントが管理対象となっているユーザー。
  • グループ - ターゲット ユーザーを追加、削除、または変更するグループ。

UserCreatedGroupCreatedUserModifiedGroupModified* などのいくつかのアクティビティで、ユーザー プロパティを設定または更新します。 設定または更新されたプロパティは、次のフィールドに記載されます。

スキーマの詳細

一般的な ASIM フィールド

重要

すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

特定のガイドラインを持つ共通フィールド

次の一覧には、プロセス アクティビティ イベントに関する具体的なガイドラインが含まれたフィールドを示しています。

フィールド クラス Type 説明
EventType Mandatory Enumerated レコードによって報告される操作を記述します。

ユーザー管理アクティビティの場合、サポートされている値は次のとおりです。
- UserCreated
- UserDeleted
- UserModified
- UserLocked
- UserUnlocked
- UserDisabled
- UserEnabled
- PasswordChanged
- PasswordReset
- GroupCreated
- GroupDeleted
- GroupModified
- UserAddedToGroup
- UserRemovedFromGroup
- GroupEnumerated
- UserRead
- GroupRead
EventSubType オプション Enumerated 次のサブタイプがサポートされています。
- UserRead: Password、Hash
- UserCreatedGroupCreatedUserModifiedGroupModified。 詳細については、「UpdatedPropertyName」を参照してください
EventResult Mandatory Enumerated 障害が発生する可能性はありますが、ほとんどのシステムは成功したユーザー管理イベントのみを報告します。 成功イベントに対して予期される値は Success です。
EventResultDetails 推奨 Enumerated 有効な値は、NotAuthorized および Other です。
EventSeverity Mandatory Enumerated 有効な重要度の値はすべて許可されますが、ユーザー管理イベントの重要度は通常 Informational です。
EventSchema Mandatory String ここに記載されているスキーマの名前は UserManagement です。
EventSchemaVersion Mandatory String スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.1 です。
Dvc フィールド ユーザー管理イベントの場合、デバイス フィールドはイベントを報告するシステムを指します。 通常、これはユーザーが管理対象となっているシステムです。

すべての共通フィールド

下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

クラス Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
推奨 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
オプション - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

更新されたプロパティ フィールド

フィールド クラス Type 説明
UpdatedPropertyName エイリアス イベントの種類が UserCreatedGroupCreatedUserModified、または GroupModified の場合、EventSubTypeのエイリアスになります。

サポートされる値は次のとおりです。
- MultipleProperties: アクティビティが複数のプロパティを更新するときに使用します
- Previous<PropertyName>。ここで、<PropertyName>UpdatedPropertyName でサポートされている値の 1 つです。
- New<PropertyName>。ここで、<PropertyName>UpdatedPropertyName でサポートされている値の 1 つです。
PreviousPropertyValue オプション String 指定したプロパティに格納されていた以前の値。
NewPropertyValue オプション String 指定したプロパティに格納される新しい値。

ターゲット ユーザーのフィールド

フィールド クラス Type 説明
TargetUserId オプション String コンピューターが判読できる、英数字で、ターゲット ユーザーを一意に表現したもの。

以下の形式と種類がサポートされています。
- - (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- - (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- - : 00urjk4znu3BcncfY0h7
- - : 72643944673

ID の種類は、TargetUserIdType フィールドに格納します。 他の ID が使用可能な場合は、フィールド名を TargetUserSidTargetUserUidTargetUserAADIDTargetUserOktaIdTargetUserAwsId にそれぞれ正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。

例: S-1-12
TargetUserIdType オプション Enumerated TargetUserId フィールドに格納されている ID の種類。

サポートされている値: SIDUIDAADIDOktaIdAWSId
TargetUsername オプション String ターゲット ユーザーのユーザー名 (使用可能な場合はドメイン情報を含む)。

以下のいずれかの形式と、以下の優先順位を使用します。
- - : johndow@contoso.com
- - : Contoso\johndow
- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- - : johndow。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。

ユーザー名の種類は、TargetUsernameType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を TargetUserUpnTargetUserWindowsTargetUserDn に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。

例: AlbertE
TargetUsernameType オプション Enumerated TargetUsername フィールドに格納されているユーザー名の種類を指定します。 サポートされている値: UPNWindowsDNSimple。 詳細については、「ユーザー エンティティ」を参照してください。

例: Windows
TargetUserType オプション Enumerated ターゲット ユーザーの種類。 サポートされている値は次のとおりです。
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、TargetOriginalUserType フィールドに格納します。
TargetOriginalUserType オプション String ソースによって提供されている場合、元のターゲット ユーザーの種類。

アクターのフィールド

フィールド クラス Type 説明
ActorUserId 省略可能 String コンピューターが判読できる、英数字で、アクターを一意に表現したもの。

以下の形式と種類がサポートされています。
- - (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- - (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- - : 00urjk4znu3BcncfY0h7
- - : 72643944673

ID の種類は、ActorUserIdType フィールドに格納します。 他の ID が使用可能な場合は、フィールド名を ActorUserSidActorUserUidActorUserAadIdActorUserOktaId、および ActorAwsId にそれぞれ正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。

例: S-1-12
ActorUserIdType オプション Enumerated ActorUserId フィールドに格納されている ID の種類。 サポートされている値: SIDUIDAADIDOktaIdAWSId
ActorUsername Mandatory String アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。

以下のいずれかの形式と、以下の優先順位を使用します。
- - : johndow@contoso.com
- - : Contoso\johndow
- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- - : johndow。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。

ユーザー名の種類は、ActorUsernameType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を ActorUserUpnActorUserWindowsActorUserDn に正規化することをお勧めします。

詳細については、「ユーザー エンティティ」を参照してください。

例: AlbertE
User エイリアス ActorUsername のエイリアス。
ActorUsernameType Mandatory Enumerated ActorUsername フィールドに格納されているユーザー名の種類を指定します。 サポートされている値: UPNWindowsDNSimple。 詳細については、「ユーザー エンティティ」を参照してください。

例: Windows
ActorUserType オプション Enumerated アクターの種類。 使用できる値は、以下のとおりです。
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、ActorOriginalUserType フィールドに格納します。
ActorOriginalUserType ソースによって提供されている場合、元のアクター ユーザーの種類。
ActorSessionId オプション String Actor のログイン セッションの一意の ID。

例: 999

: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。

Windows マシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。

フィールドをグループ化する

フィールド クラス Type 説明
GroupId オプション String グループに関連するアクティビティで、コンピューターが判読できる、英数字で、グループを一意に表現したもの。

以下の形式と種類がサポートされています。
- - (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- - (Linux): 4578

ID の種類は、GroupIdType フィールドに格納します。 他の ID を使用できる場合は、フィールド名をそれぞれ GroupSid または GroupUid に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。

例: S-1-12
GroupIdType オプション Enumerated GroupId フィールドに格納されている ID の種類。

サポートされている値は、SID および UID です。
GroupName オプション String グループに関連するアクティビティでのグループ名 (使用可能な場合はドメイン情報を含む)。

以下のいずれかの形式と、以下の優先順位を使用します。
- - : grp@contoso.com
- - : Contoso\grp
- - : CN=grp,OU=Sales,DC=Fabrikam,DC=COM
- - : grp。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。

グループ名の種類は、GroupNameType フィールドに格納 します。 他の ID を使用できる場合は、フィールド名を GroupUpnGorupNameWindowsGroupDn に正規化することをお勧めします。

例: Contoso\Finance
GroupNameType オプション Enumerated GroupName フィールドに格納されているグループ名の種類を指定 します。 サポートされている値: UPNWindowsDNSimple

例: Windows
GroupType オプション Enumerated グループに関連するアクティビティでの、グループの種類。 サポートされている値は次のとおりです。
- Local Distribution
- Local Security Enabled
- Global Distribution
- Global Security Enabled
- Universal Distribution
- Universal Security Enabled
- Other

: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、GroupOriginalType フィールドに格納 します。
GroupOriginalType オプション String ソースによって提供されている場合、元のグループの種類。

ソース フィールド

フィールド クラス Type 説明
Src 推奨 String ソース デバイスの一意識別子。

このフィールドは、SrcDvcIdSrcHostname、または SrcIpAddr フィールドのエイリアスになる場合があります。

例: 192.168.12.1
SrcIpAddr 推奨 IP アドレス ソース デバイスの IP アドレス。 SrcHostname が指定されている場合、この値は必須です。

例: 77.138.103.108
IpAddr エイリアス SrcIpAddr のエイリアス。
SrcHostname 推奨 String ドメイン情報を除いた、ソース デバイスのホスト名。

例: DESKTOP-1282V4D
SrcDomain 推奨 String ソース デバイスのドメイン。

例: Contoso
SrcDomainType 推奨 Enumerated SrcDomain の種類 (既知の場合)。 次の値を指定できます。
- Windows (contoso など)
- FQDN (microsoft.com など)

SrcDomain が使用されている場合は必須です。
SrcFQDN オプション String ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。

: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。

例: Contoso\DESKTOP-1282V4D
SrcDvcId オプション String レコードで報告されるソース デバイスの ID。

例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 省略可能 String デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcScope 省略可能 String デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcIdType オプション Enumerated SrcDvcId の種類 (既知の場合)。 次の値を指定できます。
- AzureResourceId
- MDEid

複数の ID を使用できる場合は、上のリストの最初のものを使用し、他のものはそれぞれ SrcDvcAzureResourceId および SrcDvcMDEid に格納します。

: SrcDvcId が使用されている場合、このフィールドは必須です。
SrcDeviceType オプション Enumerated ソース デバイスの種類。 次の値を指定できます。
- Computer
- Mobile Device
- IOT Device
- Other
SrcGeoCountry 省略可能 発信元 IP アドレスに関連付けられている国。

例: USA
SrcGeoRegion 省略可能 リージョン 発信元 IP アドレスに関連付けられているリージョン。

例: Vermont
SrcGeoCity オプション City 発信元 IP アドレスに関連付けられている都市。

例: Burlington
SrcGeoLatitude 省略可能 Latitude 発信元 IP アドレスに関連付けられている地理的座標の緯度。

例: 44.475833
SrcGeoLongitude 省略可能 Longitude 発信元 IP アドレスに関連付けられている地理的座標の経度。

例: 73.211944

代理アプリケーション

フィールド クラス Type 説明
ActingAppId オプション String プロセス、ブラウザー、サービスなどのアクティビティを実行するためにアクターが使用するアプリケーションの ID。

例: 0x12ae8
ActingAppName オプション String プロセス、ブラウザー、サービスなどのアクティビティを実行するためにアクターが使用するアプリケーションの名前。

例: C:\Windows\System32\svchost.exe
ActingAppType オプション Enumerated 代理アプリケーションの種類。 サポートされている値は
- Process
- Browser
- Resource
- Other
HttpUserAgent 省略可能 String HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。

例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

追加のフィールドとエイリアス

フィールド クラス Type 説明
hostname エイリアス DvcHostname のエイリアス。

次のステップ

詳細については、次を参照してください。