Microsoft Sentinel監査イベント正規化スキーマは、情報システムの監査証跡に関連付けられたイベントを表します。 監査証跡は、システム構成アクティビティとポリシーの変更をログに記録します。 このような変更は、多くの場合、システム管理者によって実行されますが、独自のアプリケーションの設定を構成するときにユーザーが実行することもできます。
すべてのシステムは、コア アクティビティ ログと共に監査イベントをログに記録します。 たとえば、ファイアウォールはネットワーク セッションに関するイベントをプロセスとしてログに記録し、ファイアウォール自体に適用される構成変更に関するイベントを監査します。
Microsoft Sentinelでの正規化の詳細については、「正規化と高度なセキュリティ情報モデル (ASIM)」を参照してください。
スキーマの概要
監査イベントの主なフィールドは次のとおりです。
- オブジェクト (たとえば、マネージド リソースやポリシー ルールなど) は、フィールド Object で表されるイベントに焦点を当てます。 ObjectType フィールドは、オブジェクトの型を指定します。
- オブジェクトのアプリケーション コンテキスト。 TargetAppName フィールドで表されます。これは Application によってエイリアス化されます。
- EventType フィールドと Operation フィールドで表されるオブジェクトに対して実行される操作。 Operation はソースが報告した値ですが、EventType は、ソース間でより一貫性のある正規化されたバージョンです。
- オブジェクトの古い値と新しい値 (該当する場合) はそれぞれ OldValue と NewValue で表されます。
監査イベントは、構成操作に関連する次のエンティティも参照します。
- アクター - 構成操作を実行しているユーザー。
- TargetApp - 構成操作が適用されるアプリケーションまたはシステム。
- Target - TargetApp* が実行されているシステム。
- ActingApp - 構成操作を実行するために アクター によって使用されるアプリケーション。
- Src - 構成操作を開始するために アクター によって使用されるシステム ( Target と異なる場合)。
記述子 Dvc は、エンドポイントによって報告されるセッションのローカル システムであるレポート デバイスと、他の場合は中継デバイスまたはセキュリティ デバイスに使用されます。
パーサー
監査イベント パーサーのデプロイと使用
Microsoft Sentinel GitHub リポジトリから ASIM 監査イベント パーサーをデプロイします。 すべての監査イベント ソース間でクエリを実行するには、統合パーサー imAuditEvent をクエリのテーブル名として使用します。
ASIM パーサーの使用の詳細については、 ASIM パーサーの概要に関するページを参照してください。 すぐに使用できる監査イベント パーサー Microsoft Sentinel一覧については、ASIM パーサーの一覧を参照してください。
独自の正規化されたパーサーを追加する
ファイル イベント情報モデルにカスタム パーサーを実装する場合は、次の構文を使用して KQL 関数に名前を付けます: imAuditEvent<vendor><Product>。 カスタム パーサーを監査イベント統合パーサーに追加する方法については、 ASIM パーサーの管理 に関する記事を参照してください。
パーサー パラメーターのフィルター処理
監査イベント パーサーは、 フィルター パラメーターをサポートします。 これらのパラメーターは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | 日付型 | この時刻以降に実行されたイベントのみをフィルター処理します。 このパラメーターは、イベントの時刻指定子として TimeGenerated フィールドを使用します。 |
| endtime | 日付型 | この時刻以前に実行が完了したイベント クエリのみをフィルター処理します。 このパラメーターは、イベントの時刻指定子として TimeGenerated フィールドを使用します。 |
| srcipaddr_has_any_prefix | 動的 | SrcIpAddr フィールドで表されているように、このソース IP アドレスからのイベントのみをフィルター処理します。 |
| eventtype_in | string | EventType フィールドで表されるイベントの種類が指定された用語のいずれかであるイベントのみをフィルター処理します。 |
| eventresult | string | EventResult フィールドで表されているように、イベントの結果がパラメーター値と等しいイベントのみをフィルター処理します。 |
| actorusername_has_any | dynamic/string | ActorUsername に指定された用語のいずれかが含まれているイベントのみをフィルター処理します。 |
| operation_has_any | dynamic/string | [操作] フィールドに指定された用語のいずれかが含まれているイベントのみをフィルター処理します。 |
| object_has_any | dynamic/string | [オブジェクト] フィールドに指定された用語のいずれかが含まれているイベントのみをフィルター処理します。 |
| newvalue_has_any | dynamic/string | NewValue フィールドに指定された用語のいずれかが含まれるイベントのみをフィルター処理します。 |
一部のパラメーターでは、 dynamic 型の値の両方のリストまたは単一の文字列値を受け取ることができます。 動的な値が必要なパラメーターにリテラル リストを渡すには、 動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])
たとえば、[操作] フィールドにinstallまたはupdateという用語を含む監査イベントのみをフィルター処理するには、最後の日から次を使用します。
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
スキーマの詳細
一般的な ASIM フィールド
重要
すべてのスキーマに共通のフィールドについては、 ASIM 共通フィールド に関する記事を参照してください。
特定のガイドラインを含む一般的なフィールド
次の一覧には、監査イベントに関する特定のガイドラインがあるフィールドが記載されています。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Eventtype | 必須 | 列挙 | 正規化された値を使用してイベントによって監査される操作について説明します。
EventSubType を使用して、正規化された値が伝達しない詳細と Operation を指定します。 を使用して、レポート デバイスによって報告された操作を格納します。 Audit イベント レコードの場合、許可される値は次のとおりです。 - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other 監査イベントはさまざまな操作を表し、 Other 値を使用すると、対応する EventTypeのないマッピング操作が有効になります。 ただし、 Other を使用すると、イベントの使いやすさが制限され、可能な場合は避ける必要があります。 |
| EventSubType | 省略可能 | 文字列 | EventType の正規化された値が伝達しない詳細を提供します。 |
| EventSchema | 必須 | 列挙 | ここに記載されているスキーマの名前は AuditEvent。 |
| EventSchemaVersion | 必須 | SchemaVersion (String) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.2。 |
すべての共通フィールド
テーブルに表示されるフィールドは、すべての ASIM スキーマに共通です。 このドキュメントで指定されているガイドラインは、フィールドの一般的なガイドラインよりも優先されます。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、 ASIM 共通フィールド に関する記事を参照してください。
| クラス | フィールド |
|---|---|
| 必須 |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 省略可能 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
監査フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| 操作 | 必須 | 文字列 | レポート デバイスによって報告されたとおりに監査された操作。 |
| オブジェクト | 必須 | 文字列 | EventType によって識別される操作が実行されるオブジェクトの名前。 |
| Objectid | 省略可能 | 文字列 | EventType によって識別される操作が実行されるオブジェクトの ID。 |
| ObjectType | 条件 付き | 列挙 |
Object の型。 有効な値は次のとおりです。 - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | 省略可能 | 文字列 | レポート システムによって報告される オブジェクト の種類 |
| Oldvalue | 省略可能 | 文字列 | 操作の前の Object の古い値 (該当する場合)。 |
| NewValue | 推奨 | 文字列 | 操作が実行された後の Object の新しい値 (該当する場合)。 |
| 値 | Alias | Alias to NewValue | |
| Valuetype | 条件 付き | 列挙 | 古い値と新しい値の型。 使用できる値は次のとおりです。 -他 |
アクター フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActorUserId | 省略可能 | 文字列 | マシンが読み取り可能な英数字のアクターの一意の表現。 詳細および他の ID の代替フィールドについては、「 ユーザー エンティティ」を参照してください。 例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entraドメイン名などのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| ActorScopeId | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| ActorUserIdType | 条件 付き | 列挙 | ActorUserId フィールドに格納されている ID の型。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| ActorUsername | 推奨 | ユーザー名 (文字列) | アクターのユーザー名(使用可能な場合はドメイン情報を含む)。 詳細については、「 ユーザー エンティティ」を参照してください。 例: AlbertE |
| ユーザー | Alias | ActorUsername へのエイリアス | |
| ActorUsernameType | 条件 付き | UsernameType |
ActorUsername フィールドに格納されているユーザー名の種類を指定します。 許可される値の詳細と一覧については、スキーマの概要に関する記事の UsernameType に関する記事を参照してください。 例: Windows |
| ActorUserType | 省略可能 | UserType | アクターの型。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Guest |
| ActorOriginalUserType | 省略可能 | 文字列 | レポート デバイスによって報告されるユーザーの種類。 |
| ActorSessionId | 省略可能 | 文字列 | アクターのサインイン セッションの一意の ID。 例: 102pTUgC3p8RIqHvzxLCHnFlg |
ターゲット アプリケーション フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| TargetAppId | 省略可能 | 文字列 | プロセス、ブラウザー、サービスなど、イベントが適用されるアプリケーションの ID。 例: 89162 |
| TargetAppName | 省略可能 | 文字列 | サービス、URL、SaaS アプリケーションなど、イベントが適用されるアプリケーションの名前。 例: Exchange 365 |
| アプリケーション | Alias | TargetAppName へのエイリアス | |
| TargetAppType | 条件 付き | AppType | アクターの代わりに承認するアプリケーションの種類。 値の詳細と許可される一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| TargetOriginalAppType | 省略可能 | 文字列 | レポート デバイスによって報告されるイベントの対象となるアプリケーションの種類。 |
| TargetUrl | 省略可能 | URL | ターゲット アプリケーションに関連付けられている URL。 例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
ターゲット システム フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Dst | Alias | 文字列 | 認証ターゲットの一意識別子。 このフィールドは、 TargetDvcId、 TargetHostname、 TargetIpAddr、 TargetAppId、または TargetAppName フィールドに別名を付けることができます。 例: 192.168.12.1 |
| TargetHostname | 推奨 | ホスト名 | ドメイン情報を除くターゲット デバイスのホスト名。 例: DESKTOP-1282V4D |
| TargetDomain | 省略可能 | Domain(String) | ターゲット デバイスのドメイン。 例: Contoso |
| TargetDomainType | 条件 付き | 列挙 |
TargetDomain の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DomainType を参照してください。 TargetDomain を使用する場合は必須です。 |
| TargetFQDN | 省略可能 | FQDN (文字列) | ターゲット デバイスのホスト名(使用可能な場合はドメイン情報を含む)。 例: Contoso\DESKTOP-1282V4D 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 TargetDomainType には、使用される形式が反映されます。 |
| TargetDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| TargetDvcId | 省略可能 | 文字列 | ターゲット デバイスの ID。 複数の ID が使用可能な場合は、最も重要な ID を使用し、他の ID を TargetDvc<DvcIdType>フィールドに格納します。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 TargetDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| TargetDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 TargetDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| TargetDvcIdType | 条件 付き | 列挙 |
TargetDvcId の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DvcIdType を参照してください。 TargetDeviceId を使用する場合は必須です。 |
| TargetDeviceType | 省略可能 | 列挙 | ターゲット デバイスの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DeviceType を参照してください。 |
| TargetIpAddr | 推奨 | IP アドレス | ターゲット デバイスの IP アドレス。 例: 2.2.2.2 |
| TargetDvcOs | 省略可能 | 文字列 | ターゲット デバイスの OS。 例: Windows 10 |
| TargetPortNumber | 省略可能 | 整数 | ターゲット デバイスのポート。 |
| TargetGeoCountry | 省略可能 | 国 | ターゲット IP アドレスに関連付けられている国/地域。 例: USA |
| TargetGeoRegion | 省略可能 | Region | ターゲット IP アドレスに関連付けられている国/地域内のリージョン。 例: Vermont |
| TargetGeoCity | 省略可能 | City | ターゲット IP アドレスに関連付けられている都市。 例: Burlington |
| TargetGeoLatitude | 省略可能 | Latitude | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| TargetGeoLongitude | 省略可能 | Longitude | ターゲット IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| TargetRiskLevel | 省略可能 | 整数 | ターゲットに関連付けられているリスク レベル。 値は100する0の範囲に調整する必要があります。リスクが高い場合は問題のない100に0します。例: 90 |
| TargetOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告される、ターゲットに関連付けられているリスク レベル。 例: Suspicious |
[Acting Application]\(動作アプリケーション\) フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActingAppId | 省略可能 | 文字列 | 報告されたアクティビティを開始したアプリケーションの ID (プロセス、ブラウザー、サービスなど)。 例: 0x12ae8 |
| ActingAppName | 省略可能 | 文字列 | 報告されたアクティビティを開始したアプリケーションの名前 (サービス、URL、SaaS アプリケーションなど)。 例: C:\Windows\System32\svchost.exe |
| ActingAppType | 省略可能 | AppType | 動作するアプリケーションの種類。 値の詳細と許可される一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| ActingOriginalAppType | 省略可能 | 文字列 | レポート デバイスによって報告されるアクティビティを開始したアプリケーションの種類。 |
| HttpUserAgent | 省略可能 | 文字列 | 認証が HTTP または HTTPS 経由で実行される場合、このフィールドの値は、認証の実行時に動作するアプリケーションによって提供されるuser_agent HTTP ヘッダーです。 例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
ソース システムフィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Src | Alias | 文字列 | ソース デバイスの一意識別子。 このフィールドは 、SrcDvcId、 SrcHostname、または SrcIpAddr フィールドに 別名を付けることができます。 例: 192.168.12.1 |
| SrcIpAddr | 推奨 | IP アドレス | 接続またはセッションの送信元の IP アドレス。 例: 77.138.103.108 |
| IpAddr | Alias | SrcIpAddr への別名、または SrcIpAddr が指定されていない場合は TargetIpAddr への別名。 | |
| SrcPortNumber | 省略可能 | 整数 | 接続の送信元の IP ポート。 複数の接続を構成するセッションには関係ない場合があります。 例: 2335 |
| SrcHostname | 省略可能 | ホスト名 | ドメイン情報を除くソース デバイスのホスト名。 使用可能なデバイス名がない場合は、このフィールドに関連する IP アドレスを格納します。 例: DESKTOP-1282V4D |
| SrcDomain | 省略可能 | ドメイン (文字列) | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件 付き | DomainType |
SrcDomain の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DomainType を参照してください。 SrcDomain を使用する場合は必須です。 |
| SrcFQDN | 省略可能 | FQDN (文字列) | ソース デバイスのホスト名(使用可能な場合はドメイン情報を含む)。 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 SrcDomainType フィールドには、使用される形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| SrcDvcId | 省略可能 | 文字列 | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要な ID を使用し、他の ID を SrcDvc<DvcIdType>フィールドに格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 SrcDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 SrcDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcIdType | 条件 付き | DvcIdType |
SrcDvcId の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DvcIdType を参照してください。 注: SrcDvcId を使用する場合は、このフィールドが必要です。 |
| SrcDeviceType | 省略可能 | DeviceType | ソース デバイスの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DeviceType を参照してください。 |
| SrcGeoCountry | 省略可能 | 国 | 送信元 IP アドレスに関連付けられている国/地域。 例: USA |
| SrcGeoRegion | 省略可能 | Region | 送信元 IP アドレスに関連付けられている国/リージョン内のリージョン。 例: Vermont |
| SrcGeoCity | 省略可能 | City | ソース IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | ソース IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | ソース IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| SrcRiskLevel | 省略可能 | 整数 | ソースに関連付けられているリスク レベル。 値は100する0の範囲に調整する必要があります。リスクが高い場合は問題のない100に0します。例: 90 |
| SrcOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるソースに関連付けられているリスク レベル。 例: Suspicious |
検査フィールド
次のフィールドは、セキュリティ システムによって実行される検査を表すために使用されます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| RuleName | 省略可能 | 文字列 | 検査結果に関連付けられたルールの名前または ID。 |
| RuleNumber | 省略可能 | 整数 | 検査結果に関連付けられているルールの番号。 |
| Rule | Alias | 文字列 | RuleName の値、または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | 省略可能 | 文字列 | 監査アクティビティで特定された脅威またはマルウェアの ID。 |
| ThreatName | 省略可能 | 文字列 | 監査アクティビティで特定された脅威またはマルウェアの名前。 |
| ThreatCategory | 省略可能 | 文字列 | 監査ファイル アクティビティで特定された脅威またはマルウェアのカテゴリ。 |
| ThreatRiskLevel | 省略可能 | RiskLevel (整数) | 特定された脅威に関連付けられているリスク レベル。 レベルは 0 ~ 100 の数値 にする必要があります。 注: この値は、このスケールに正規化する必要がある別のスケールを使用してソース レコードに提供される場合があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるリスク レベル。 |
| ThreatConfidence | 省略可能 | ConfidenceLevel (整数) | 特定された脅威の信頼レベルを、0 から 100 の値に正規化します。 |
| ThreatOriginalConfidence | 省略可能 | 文字列 | レポート デバイスによって報告された、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | 省略可能 | ブール型 | True を指定すると、特定された脅威がアクティブな脅威と見なされます。 |
| ThreatFirstReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として識別された最後の時刻。 |
| ThreatIpAddr | 省略可能 | IP アドレス | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
| ThreatField | 条件 付き | 列挙 | 脅威が特定されたフィールド。 値は SrcIpAddr または TargetIpAddrです。 |
スキーマの更新
スキーマのバージョン 0.1.1 の変更は次のとおりです。
- フィールドの
ObjectIdとOriginalObjectTypeを追加しました。
スキーマのバージョン 0.1.2 の変更は次のとおりです。
- フィールド
ActingOriginalAppType、OriginalObjectType、SrcOriginalRiskLevel、SrcRiskLevel、TargetGeoCity、TargetGeoCountry、TargetGeoLatitude、TargetGeoLongitude、TargetGeoRegion、TargetOriginalAppType、TargetOriginalRiskLevel、TargetRiskLevel
次の手順
詳細については、以下を参照してください。