次の方法で共有


Advanced Security Information Model (ASIM) 監査イベント正規化スキーマのリファレンス (パブリック プレビュー)

Microsoft Sentinel 監査イベント正規化スキーマは、情報システムの監査証跡に関連付けられたイベントを表します。 監査証跡には、システム構成のアクティビティとポリシーの変更が記録されます。 このような変更は、多くの場合、システム管理者によって行なわれますが、ユーザーが自分のアプリケーションの設定を構成するときにも行なわれます。

すべてのシステムは、コア アクティビティ ログと共に監査イベントをログ記録します。 たとえば、ファイアウォールによって、プロセス中のネットワーク セッションに関するイベントと、ファイアウォール自体に適用された構成変更に関する監査イベントがログに記録されます。

Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。

重要

監査イベント正規化スキーマは、現在は"プレビュー"段階です。 この機能は、サービス レベル アグリーメントなしに提供されます。 運用環境のワークロード用にはお勧めしません。

Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

スキーマの概要

監査イベントの主なフィールドは次のとおりです。

  • Object フィールドで表される、イベントが注目するオブジェクト (管理対象リソースやポリシー ルールなど)。 ObjectType フィールドは、オブジェクトの型を指定します。
  • オブジェクトのアプリケーション コンテキスト。TargetAppName フィールドで表され、Application によってエイリアス化される。
  • オブジェクトに対して実行される操作。EventType フィールドと Operation フィールドで表される。 Operation はソースによって報告される値ですが、EventType は、複数のソース間での一貫性の高い正規化されたバージョンです。
  • オブジェクトの古い値と新しい値 (該当する場合)。それぞれ OldValueNewValue で表されます。

監査イベントでは、構成操作に関連する次のエンティティも参照されます。

  • Actor - 構成操作を実行しているユーザー。
  • TargetApp - 構成操作が適用されるアプリケーションまたはシステム。
  • ターゲット - Taregtapp* が実行されているシステム。
  • ActingApp - Actor が構成操作を実行するために使用するアプリケーション。
  • Src - Actor が構成操作を開始するために使用するシステム (Target と異なる場合)。

記述子 Dvc は、エンドポイントによって報告されるセッションの場合はレポート デバイス (ローカル システム) に、その他の場合は中間デバイスまたはセキュリティ デバイスに使用されます。

パーサー

監査イベント パーサーのデプロイと使用

ASIM 監査イベント パーサーを Microsoft Sentinel GitHub リポジトリからデプロイします。 すべての監査イベント ソースでクエリを実行するには、クエリのテーブル名として統一パーサー imAuditEvent を使用します。

ASIM パーサーの使用方法の詳細については、ASIM パーサーの概要に関する各ページを参照してください。 Microsoft Sentinel が提供する監査イベント パーサーの一覧については、ASIM パーサーの一覧を参照してください

独自の正規化されたパーサーを追加する

ファイル イベント情報モデルにカスタム パーサーを実装するときは、imAuditEvent<vendor><Product> の構文を使用して KQL 関数に名前を付けます。 監査イベント統一パーサーにカスタム パーサーを追加する方法については、ASIM パーサーの管理に関する記事を参照してください。

パーサー パラメーターのフィルター処理

監査イベント パーサーは、フィルター処理パラメーターをサポートしています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。

次のフィルター処理パラメーターを使用できます。

名前 種類 説明
starttime DATETIME この時間以降に実行されたイベントのみをフィルター処理します。 このパラメーターでは、 イベントの時間指定子として TimeGenerated フィールドが使用されます。
endtime DATETIME この時間以前に実行が完了したイベントのみをフィルター処理します。 このパラメーターでは、 イベントの時間指定子として TimeGenerated フィールドが使用されます。
srcipaddr_has_any_prefix 動的 SrcIpAddr フィールドに表されているように、このソース IP アドレスからのイベントのみをフィルター処理します。
eventtype_in string EventType フィールドで表されているように、イベントの種類が、指定されたいずれかの用語であるイベントのみをフィルター処理します。
eventresult string EventResult フィールドで表されているように、イベントの結果がパラメーター値と等しいイベントのみをフィルター処理します。
actorusername_has_any dynamic/string 指定された用語のいずれかが ActorUsername に含まれるイベントのみをフィルター処理します。
operation_has_any dynamic/string 指定された用語のいずれかが Operation フィールドに含まれるイベントのみをフィルター処理します。
object_has_any dynamic/string 指定された用語のいずれかが Object フィールドに含まれるイベントのみをフィルター処理します。
newvalue_has_any dynamic/string 指定された用語のいずれかが NewValue フィールドに含まれるイベントのみをフィルター処理します。

一部のパラメーターには、dynamic 型の値のリストと、単一の文字列値のどちらも使用できます。 動的な値を期待するパラメーターにリテラル リストを渡すには、動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])

たとえば、用語 install または updateOperation フィールドにある、最後の日の監査イベントのみをフィルター処理するには、以下を使用します。

imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())

スキーマの詳細

一般的な ASIM フィールド

重要

すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

特定のガイドラインを持つ共通フィールド

次の一覧には、監査イベントに関する具体的なガイドラインが含まれたフィールドを示しています。

フィールド クラス Type 説明
EventType 必須 Enumerated イベントによって監査される操作を、正規化された値を使用して記述します。 EventSubType を使用して、正規化された値では伝えられない詳細情報を提供し、Operation を使用して、 報告デバイスによって報告された操作を格納します。

監査イベント レコードの場合、許可される値は次のとおりです。
- Set
- Read
- Create
- Delete
- Execute
- Install
- Clear
- Enable
- Disable
- Other

監査イベントはさまざまな操作を表し、Other の値によって、対応する EventType を持たないマッピング操作が可能になります。 ただし、Other を使用すると、イベントの使いやすさが制限されるため、可能であれば、使用を避ける必要があります。
EventSubType 省略可能 String EventType の正規化された値では伝えられない詳細情報を提供します。
EventSchema Mandatory String ここに記載されているスキーマの名前は AuditEvent です。
EventSchemaVersion Mandatory String スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1 です。

すべての共通フィールド

表に示すフィールドは、すべての ASIM スキーマに共通です。 このドキュメントで指定されたガイドラインはすべて、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

クラス Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
推奨 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
オプション - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

監査フィールド

フィールド クラス Type 説明
Operation Mandatory String レポート デバイスによって報告された、監査された操作。
Object Mandatory String EventType によって識別される操作が実行されるオブジェクトの名前。
ObjectType Mandatory Enumerated Object の種類。 使用できる値は、以下のとおりです。
- Cloud Resource
- Configuration Atom
- Policy Rule
- その他
OldValue 省略可能 String 操作の前の Object の古い値 (該当する場合)。
NewValue 省略可能 String 操作が実行された後の Object の新しい値 (該当する場合)。
Value エイリアス NewValue のエイリアス
ValueType 条件付き Enumerated 古い値と新しい値の型。 次の値を使用できます
- その他

アクターのフィールド

フィールド クラス Type 説明
ActorUserId 省略可能 String コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 詳細とその他の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。

例: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope オプション String ActorUserIdActorUsername が定義されているスコープ (Microsoft Entra ドメイン名など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。
ActorScopeId 省略可能 String ActorUserIdActorUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。
ActorUserIdType 条件付き UserIdType ActorUserId フィールドに格納されている ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。
ActorUsername 推奨 ユーザー名 アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 詳細については、「ユーザー エンティティ」を参照してください。

例: AlbertE
User エイリアス ActorUsername のエイリアス
ActorUsernameType 条件付き UsernameType ActorUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。

例: Windows
ActorUserType オプション UserType アクターの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。

例: Guest
ActorOriginalUserType オプション UserType レポート デバイスによって報告されたユーザー タイプ。
ActorSessionId オプション String アクターのサインイン セッションの一意の ID。

例: 102pTUgC3p8RIqHvzxLCHnFlg

ターゲット アプリケーション フィールド

フィールド クラス Type 説明
TargetAppId オプション String イベントが適用されるアプリケーション (プロセス、ブラウザー、またはサービスを含む) の ID。

例: 89162
TargetAppName 省略可能 String イベントが適用されるアプリケーション (サービス、URL、SaaS アプリケーションを含む) の名前。

例: Exchange 365
Application エイリアス TargetAppName のエイリアス
TargetAppType オプション AppType アクターに代わって承認するアプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。
TargetUrl オプション URL ターゲット アプリケーションに関連する URL。

例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b

ターゲット システム フィールド

フィールド クラス Type 説明
Dst エイリアス String 認証対象の一意の識別子。

このフィールドは、TargerDvcIdTargetHostnameTargetIpAddrTargetAppId、またはTargetAppName の各フィールドの別名になる可能性があります。

例: 192.168.12.1
TargetHostname 推奨 Hostname (ホスト名) ドメイン情報を除いた、ターゲット デバイスのホスト名。

例: DESKTOP-1282V4D
TargetDomain 推奨 String ターゲット デバイスのドメイン。

例: Contoso
TargetDomainType 条件付き Enumerated Targetdomainの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。

Targetdomainを使用する場合は必須です。
TargetFQDN オプション String ターゲット デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。

例: Contoso\DESKTOP-1282V4D

: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 TargetDomainType フィールドには、使用されている形式が反映されます。
TargetDescription 省略可能 String デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。
TargetDvcId オプション String ターゲット デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド TargetDvc<DvcIdType> に格納します。

例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId 省略可能 String デバイスが属するクラウド プラットフォームのスコープ ID。 TargetDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
TargetDvcScope 省略可能 String デバイスが属するクラウド プラットフォームのスコープ。 TargetDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
TargetDvcIdType 条件付き Enumerated Targetdvcid の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。

Targetdeviceid を使用する場合は必須です。
TargetDeviceType オプション Enumerated ターゲット デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。
TargetIpAddr オプション IP アドレス ターゲット デバイスの IP アドレス。

例: 2.2.2.2
TargetDvcOs オプション String ターゲット デバイスの OS。

例: Windows 10
TargetPortNumber 省略可能 Integer ターゲット デバイスのポート。

代理アプリケーション フィールド

フィールド クラス Type 説明
ActingAppId オプション String プロセス、ブラウザー、サービスなど、報告されたアクティビティを開始したアプリケーションの ID。

例: 0x12ae8
ActiveAppName 省略可能 String サービス、URL、SaaS アプリケーションなど、報告されたアクティビティを開始したアプリケーションの名前。

例: C:\Windows\System32\svchost.exe
ActingAppType オプション AppType 代理アプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。
HttpUserAgent 省略可能 String HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。

例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

ソース システム フィールド

フィールド クラス Type 説明
Src エイリアス String ソース デバイスの一意識別子。

このフィールドは、SrcDvcIdSrcHostname、または SrcIpAddr フィールドのエイリアスになる場合があります。

例: 192.168.12.1
SrcIpAddr 推奨 IP アドレス 接続またはセッションの開始元の IP アドレス。

例: 77.138.103.108
IpAddr エイリアス SrcIpAddr の別名。または SrcIpAddr が指定されていない場合は TargetIpAddr の別名。
SrcPortNumber オプション Integer 接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。

例: 2335
SrcHostname 推奨 Hostname (ホスト名) ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。

例: DESKTOP-1282V4D
SrcDomain 推奨 String ソース デバイスのドメイン。

例: Contoso
SrcDomainType 条件付き DomainType SrcDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。

SrcDomain が使用されている場合は必須です。
SrcFQDN オプション String ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。

: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。

例: Contoso\DESKTOP-1282V4D
SrcDescription 省略可能 String デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。
SrcDvcId オプション String ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド SrcDvc<DvcIdType> に格納します。

例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 省略可能 String デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcScope 省略可能 String デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcIdType 条件付き DvcIdType SrcDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。

: SrcDvcId が使用されている場合、このフィールドは必須です。
SrcDeviceType オプション DeviceType ソース デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。
SrcSubscriptionId オプション String ソース デバイスが属するクラウド プラットフォームのサブスクリプション ID。 SrcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcGeoCountry 省略可能 発信元 IP アドレスに関連付けられている国。

例: USA
SrcGeoRegion 省略可能 リージョン 発信元 IP アドレスに関連付けられている国内の地域。

例: Vermont
SrcGeoCity オプション City 発信元 IP アドレスに関連付けられている都市。

例: Burlington
SrcGeoLatitude 省略可能 Latitude 発信元 IP アドレスに関連付けられている地理的座標の緯度。

例: 44.475833
SrcGeoLongitude 省略可能 Longitude 発信元 IP アドレスに関連付けられている地理的座標の経度。

例: 73.211944

検査のフィールド

次のフィールドは、セキュリティ システムによって実行される検査を表すために使用されます。

フィールド クラス Type 説明
RuleName 省略可能 String 検査結果に関連付けられたルールの名前または ID。
RuleNumber 省略可能 Integer 検査結果に関連付けられたルールの番号。
Rule エイリアス String RuleName の値と RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。
ThreatId オプション String 監査アクティビティで識別された脅威またはマルウェアの ID。
ThreatName オプション String 監査アクティビティで識別された脅威またはマルウェアの名前。
ThreatCategory 省略可能 String 監査ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。
ThreatRiskLevel オプション Integer 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。

: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。
ThreatOriginalRiskLevel オプション String レポート デバイスによって報告されたリスク レベル。
ThreatConfidence 省略可能 Integer 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。
ThreatOriginalConfidence 省略可能 String レポート デバイスによって報告される、特定された脅威の元の信頼レベル。
ThreatIsActive オプション ブール型 特定された脅威がアクティブな脅威と見なされる場合は True。
ThreatFirstReportedTime オプション DATETIME IP アドレスまたはドメインが脅威として初めて識別された場合。
ThreatLastReportedTime オプション DATETIME 最後に IP アドレスまたはドメインが脅威として識別された時刻。
ThreatIpAddr 省略可能 IP アドレス 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。
ThreatField 省略可能 Enumerated 脅威が特定されたフィールド。 値は SrcIpAddr または TargetIpAddr です。

次のステップ

詳細については、次を参照してください。