一部のフィールドは、すべての ASIM スキーマに共通です。 各スキーマでは、特定のスキーマのコンテキストで一部の共通フィールドを使用するためのガイドラインが追加される場合があります。 たとえば、 EventType フィールドの許可される値は、 EventSchemaVersion フィールドの値と同様に、スキーマごとに異なる場合があります。
Standard Log Analytics フィールド
Log Analytics では、ほとんどの場合、レコードごとに次のフィールドが生成されます。 カスタム コネクタを作成するときにオーバーライドできます。
| フィールド | 種類 | ディスカッション |
|---|---|---|
| TimeGenerated | 日付/時刻 | レポート デバイスによってイベントが生成された時刻。 |
| Type | 文字列 | レコードがフェッチされた元のテーブル。 このフィールドは、同じイベントを複数のチャネルから異なるテーブルに受信でき、 EventVendor と EventProduct の値が同じである場合に便利です。 たとえば、Sysmon イベントは、 Event テーブルまたは WindowsEvent テーブルのいずれかに収集できます。 |
注:
Log Analytics では、セキュリティ ユース ケースにあまり関係のない他のフィールドも追加されます。 詳細については、「Azure モニター ログの列をStandardする」を参照してください。
一般的な ASIM フィールド
次のフィールドは、すべてのスキーマに対して ASIM によって定義されます。
イベント フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| EventMessage | 省略可能 | 文字列 | レコードに含まれるか、レコードから生成された一般的なメッセージまたは説明。 |
| EventCount | 必須 | 整数 | レコードによって記述されたイベントの数。 この値は、ソースが集計をサポートしていて、1 つのレコードが複数のイベントを表している場合に使用されます。 その他のソースの場合は、[ 1] に設定します。 |
| EventStartTime | 必須 | 日付/時刻 | イベントが開始された時刻。 ソースが集計をサポートし、レコードが複数のイベントを表す場合、最初のイベントが生成された時刻。 ソース レコードによって指定されていない場合、このフィールドは TimeGenerated フィールドに別名を付けます。 |
| EventEndTime | 必須 | 日付/時刻 | イベントが終了した時刻。 ソースが集計をサポートし、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されていない場合、このフィールドは TimeGenerated フィールドに別名を付けます。 |
| Eventtype | 必須 | 列挙 | レコードによって報告される操作について説明します。 各スキーマは、このフィールドに有効な値の一覧を文書化します。 元のソース固有の値は、 EventOriginalType フィールドに格納されます。 |
| EventSubType | 省略可能 | 列挙 | EventType フィールドで報告される操作の下位区分について説明します。 各スキーマは、このフィールドに有効な値の一覧を文書化します。 元のソース固有の値は、 EventOriginalSubType フィールドに格納されます。 |
| EventResult | 必須 | 列挙 | 次のいずれかの値: Success、 Partial、 Failure、 NA (該当なし)。 値は、これらの値に正規化する必要がある異なる用語を使用して、ソース レコードに提供される場合があります。 または、ソースが EventResultDetails フィールドのみを提供する場合があります。このフィールドは、EventResult 値を派生させるために分析する必要があります。 例: Success |
| EventResultDetails | 推奨 | 列挙 |
EventResult フィールドで報告された結果の理由または詳細。 各スキーマは、このフィールドに有効な値の一覧を文書化します。 元のソース固有の値は、 EventOriginalResultDetails フィールドに 格納されます。 例: NXDOMAIN |
| EventUid | 推奨 | 文字列 | Microsoft Sentinelによって割り当てられたレコードの一意の ID。 このフィールドは通常、 _ItemId Log Analytics フィールドにマップされます。 |
| EventOriginalUid | 省略可能 | 文字列 | ソースによって指定された場合は、元のレコードの一意の ID。 例: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | 省略可能 | 文字列 | ソースによって指定された場合は、元のイベントの種類または ID。 たとえば、このフィールドは元の Windows イベント ID を格納するために使用されます。 この値は EventType を派生させるために使用されます。この値は、スキーマごとに文書化されている値の 1 つだけである必要があります。 例: 4624 |
| EventOriginalSubType | 省略可能 | 文字列 | ソースによって指定された場合は、元のイベント サブタイプまたは ID。 たとえば、このフィールドは、元の Windows ログオンの種類を格納するために使用されます。 この値は EventSubType を派生させるために使用されます。この値は、スキーマごとに文書化されている値の 1 つだけである必要があります。 例: 2 |
| EventOriginalResultDetails | 省略可能 | 文字列 | ソースによって提供される元の結果の詳細。 この値は 、EventResultDetails を派生させるために使用されます。この値は、スキーマごとに文書化されている値の 1 つだけである必要があります。 |
| EventSeverity | 推奨 | 列挙 | イベントの重大度。 有効な値は、 Informational、 Low、 Medium、または Highです。 |
| EventOriginalSeverity | 省略可能 | 文字列 | レポート デバイスによって提供される元の重大度。 この値は、 EventSeverity を派生させるために使用されます。 |
| EventProduct | 必須 | 文字列 | イベントを生成する製品。 値は、 仕入先と製品に記載されている値のいずれかである必要があります。 例: Sysmon |
| EventProductVersion | 省略可能 | 文字列 | イベントを生成する製品のバージョン。 例: 12.1 |
| EventVendor | 必須 | 文字列 | イベントを生成する製品のベンダー。 値は、 仕入先と製品に記載されている値のいずれかである必要があります。 例: Microsoft |
| EventSchema | 必須 | 列挙 | イベントが正規化されるスキーマ。 各スキーマは、そのスキーマ名を文書化します。 |
| EventSchemaVersion | 必須 | SchemaVersion (String) | スキーマのバージョン。 各スキーマは、現在のバージョンを文書化します。 |
| EventReportUrl | 省略可能 | URL (文字列) | イベントに関する詳細情報を提供するリソースのイベントで提供される URL。 |
| EventOwner | 省略可能 | 文字列 | イベントの所有者。これは通常、イベントが生成された部門または子会社です。 |
デバイス フィールド
デバイス フィールドのロールは、スキーマとイベントの種類によって異なります。 例:
- ネットワーク セッション イベントの場合、通常、デバイス フィールドはイベントを生成したデバイスに関する情報を提供します
- Process イベントの場合、デバイス フィールドは、プロセスが実行されるデバイスに関する情報を提供します。
各スキーマ ドキュメントは、スキーマのデバイスのロールを指定します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Dvc | Alias | 文字列 | スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスの一意識別子。 このフィールドは、DvcFQDN、DvcId、DvcHostname、または DvcIpAddr フィールドに別名を付けることができます。 明らかなデバイスがないクラウド ソースの場合は、 Event Product フィールドと同じ値を使用します。 |
| DvcIpAddr | 推奨 | IP アドレス | スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスの IP アドレス。 例: 45.21.42.12 |
| DvcHostname | 推奨 | ホスト名 | スキーマに応じて、イベントが発生したデバイスのホスト名、またはイベントを報告したホスト名。 例: ContosoDc |
| DvcDomain | 推奨 | ドメイン (文字列) | スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスのドメイン。 例: Contoso |
| DvcDomainType | 条件 付き | 列挙 |
DvcDomain の型。 許可される値の一覧と詳細については、「 DomainType」を参照してください。 注: DvcDomain フィールドを使用する場合、このフィールドは必須です。 |
| DvcFQDN | 省略可能 | FQDN (文字列) | スキーマに応じて、イベントが発生したデバイスのホスト名、またはイベントを報告したホスト名。 例: Contoso\DESKTOP-1282V4D注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 DvcDomainType フィールドには、使用される形式が反映されます。 |
| DvcDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| DvcId | 省略可能 | 文字列 | スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。 例: 41502da5-21b7-48ec-81c9-baeea8d7d669複数の ID が使用可能な場合は、リストの最初の ID を使用し、 フィールド名 DvcAzureResourceId、 DvcMDEid などを使用して他の ID を格納します。 |
| DvcIdType | 条件 付き | 列挙 |
DvcId の型。 許可される値の一覧は、 AzureResourceId、 MDEid、 MD4IoTid、 VMConnectionId、 AwsVpcId、 VectraId、 AppGateId、 FQDN、および Otherです。
FQDNをデバイス ID として使用すると、ホスト名を再利用することを意味します。 最後の手段としてのみ使用してください。注: DvcId フィールドを使用する場合、このフィールドは必須です。 |
| DvcMacAddr | 省略可能 | MAC アドレス | イベントが発生したデバイス、またはイベントを報告したデバイスの MAC アドレス。 例: 00:1B:44:11:3A:B7 |
| DvcZone | 省略可能 | 文字列 | スキーマに応じて、イベントが発生したネットワーク、またはイベントを報告したネットワーク。 ゾーンは、レポート デバイスによって定義されます。 例: Dmz |
| DvcOs | 省略可能 | 文字列 | イベントが発生したデバイスまたはイベントを報告したデバイスで実行されているオペレーティング システム。 例: Windows |
| DvcOsVersion | 省略可能 | 文字列 | イベントが発生した、またはイベントを報告したデバイス上のオペレーティング システムのバージョン。 例: 10 |
| DvcAction | 省略可能 | 文字列 | セキュリティ システムを報告する場合は、該当する場合にシステムによって実行されるアクション。 例: Blocked |
| DvcOriginalAction | 省略可能 | 文字列 | レポート デバイスによって提供される元の DvcAction 。 |
| DvcInterface | 省略可能 | 文字列 | データがキャプチャされたネットワーク インターフェイス。 このフィールドは通常、中間デバイスまたはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連します。 |
| DvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 DvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| DvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 DvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
その他のフィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| AdditionalFields | 省略可能 | Dynamic | ソースが保持する価値のある追加情報を提供する場合は、元のフィールド名と共に保持するか、動的 な AdditionalFields フィールドを作成し、追加情報をキーと値のペアとして追加します。 |
スキーマの更新
-
EventOwnerフィールドは、2022 年 12 月 1 日に共通フィールドに追加されたため、すべてのスキーマに追加されました。 -
EventUidフィールドは、2022 年 12 月 26 日に共通フィールドに追加されたため、すべてのスキーマに追加されました。
ベンダーと製品
整合性を維持するために、許可されるベンダーと製品の一覧は ASIM の一部として設定され、ソースから送信された値 (使用可能な場合) に直接対応しない場合があります。
EventVendor フィールドと EventProduct フィールドで使用されているベンダーと製品の現在サポートされている一覧は次のとおりです。
| ベンダー | 製品 |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
ここに記載されていないベンダーまたは製品のパーサーを開発している場合は、Microsoft Sentinel チームに問い合わせて、許可される新しいベンダーと製品の指定子を割り当てます。
次の手順
詳細については、以下を参照してください。