Microsoft Sentinel認証スキーマは、ユーザー認証、サインイン、サインアウトに関連するイベントを記述するために使用されます。認証イベントは、多くのレポート デバイスによって送信されます。通常は、他のイベントと共にイベント ストリームの一部として送信されます。 たとえば、Windows は、他の OS アクティビティ イベントと共にいくつかの認証イベントを送信します。
認証イベントには、VPN ゲートウェイやドメイン コントローラーなどの認証に重点を置くシステムからのイベントと、コンピューターやファイアウォールなどのエンド システムへの直接認証の両方が含まれます。
Microsoft Sentinelでの正規化の詳細については、「正規化と高度なセキュリティ情報モデル (ASIM)」を参照してください。
パーサー
Microsoft Sentinel GitHub リポジトリから ASIM 認証パーサーをデプロイします。 ASIM パーサーの詳細については、 ASIM パーサーの概要に関する記事を参照してください。
パーサーの統合
すべての ASIM アウトオブザボックス パーサーを統合し、構成されているすべてのソースで分析が実行されるようにするパーサーを使用するには、 imAuthentication フィルター処理パーサーまたはパラメーターのない ASimAuthentication パーサーを使用します。
ソース固有のパーサー
Microsoft Sentinelが提供する認証パーサーの一覧については、ASIM パーサーの一覧を参照してください。
独自の正規化されたパーサーを追加する
認証情報モデルにカスタム パーサーを実装する場合は、次の構文を使用して KQL 関数に名前を付けます。
-
vimAuthentication<vendor><Product>パーサーのフィルター処理用 -
ASimAuthentication<vendor><Product>パラメーターレス パーサーの場合
統合パーサーにカスタム パーサーを追加する方法については、「 ASIM パーサーの管理」を参照してください。
パーサー パラメーターのフィルター処理
im および vim* パーサーでは、フィルター 処理パラメーターがサポートされています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | 日付型 | この時刻以降に実行された認証イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| endtime | 日付型 | この時刻以前に実行が完了した認証イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| targetusername_has | string | 表示されているユーザー名を持つ認証イベントのみをフィルター処理します。 |
たとえば、最後の日から特定のユーザーへの認証イベントのみをフィルター処理するには、次を使用します。
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
ヒント
動的な値が必要なパラメーターにリテラル リストを渡すには、 動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])。
正規化されたコンテンツ
正規化された認証分析ルールは、ソース間の攻撃を検出する一意のルールです。 そのため、たとえば、ユーザーが国や地域によって異なる関連のない異なるシステムにログインした場合、Microsoft Sentinelはこの脅威を検出します。
正規化された認証イベントを使用する分析ルールの完全な一覧については、「 認証スキーマのセキュリティ コンテンツ」を参照してください。
スキーマの概要
認証情報モデルは、 OSSEM ログオン エンティティ スキーマに合わせて調整されます。
次の表に示すフィールドは認証イベントに固有ですが、他のスキーマのフィールドと似ていますが、同様の名前付け規則に従います。
認証イベントは、次のエンティティを参照します。
- TargetUser - システムに対する認証に使用されるユーザー情報。 TargetSystem は認証イベントの主要なサブジェクトであり、エイリアス User は TargetUser が識別したエイリアスです。
- TargetApp - 認証先のアプリケーション。
- Target - TargetApp* が実行されているシステム。
- アクター - 認証を開始するユーザー ( TargetUser と異なる場合)。
- ActingApp - 認証を実行するために アクター によって使用されるアプリケーション。
- Src - 認証を開始するために アクター によって使用されるシステム。
これらのエンティティ間の関係は、次のように示すのが最適です。
ソース システム Src で動作するアプリケーション ActingApp を実行しているアクターは、ターゲット システム TargetDvc 上のターゲット アプリケーション TargetApp に対して TargetUser として認証を試みます。
スキーマの詳細
次の表では、 Type は論理型を参照しています。 詳細については、「 論理型」を参照してください。
一般的な ASIM フィールド
重要
すべてのスキーマに共通のフィールドについては、 ASIM 共通フィールド に関する記事を参照してください。
特定のガイドラインを含む一般的なフィールド
次の一覧では、認証イベントに関する特定のガイドラインがあるフィールドについて説明します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| EventType | 必須 | 列挙 | レコードによって報告される操作について説明します。 認証レコードの場合、サポートされる値は次のとおりです。 - Logon - Logoff- Elevate |
| EventResultDetails | 推奨 | 列挙 | イベントの結果に関連付けられている詳細。 このフィールドは、通常、結果が失敗した場合に設定されます。 許可される値は次のとおりです。 - No such user or password. この値は、元のイベントで、パスワードを参照せずに、そのようなユーザーがいないと報告する場合にも使用する必要があります。- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. この値は、元のイベントが報告する場合に使用する必要があります。たとえば、MFA が必要な場合、勤務時間外にログオンする場合、条件付きアクセス制限、または試行回数が多すぎます。- Session expired- Other値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに指定できます。 元の値は、EventOriginalResultDetails フィールドに格納する必要があります |
| EventSubType | 省略可能 | 列挙 | サインインの種類。 許可される値は次のとおりです。 - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - リモート サインインの種類が不明な場合に使用します。- AssumeRole - 通常、イベントの種類が Elevateされるときに使用されます。 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに指定できます。 元の値は、 EventOriginalSubType フィールドに格納する必要があります。 |
| EventSchemaVersion | 必須 | SchemaVersion (String) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは次のとおりです。 0.1.4 |
| EventSchema | 必須 | 列挙 | ここに記載されているスキーマの名前は 認証です。 |
| Dvc フィールド | - | - | 認証イベントの場合、デバイス フィールドはイベントを報告するシステムを参照します。 |
すべての共通フィールド
次の表に示すフィールドは、すべての ASIM スキーマに共通です。 上記で指定したガイドラインは、フィールドの一般的なガイドラインをオーバーライドします。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、 ASIM 共通フィールド に関する記事を参照してください。
| クラス | フィールド |
|---|---|
| 必須 |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 省略可能 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
認証固有のフィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| LogonMethod | 省略可能 | 文字列 | 認証の実行に使用されるメソッド。 使用できる値は、 Managed Identity、 Service Principal、 Username & Password、 Multi factor authentication、 Passwordless、 PKI、 PAM、 Otherです。 例: Managed Identity |
| LogonProtocol | 省略可能 | 文字列 | 認証の実行に使用されるプロトコル。 例: NTLM |
アクター フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActorUserId | 省略可能 | 文字列 | マシンが読み取り可能な英数字のアクターの一意の表現。 詳細および追加の ID の代替フィールドについては、「 ユーザー エンティティ」を参照してください。 例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra テナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| ActorScopeId | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| ActorUserIdType | 条件 付き | UserIdType | ActorUserId フィールドに格納されている ID の型。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| ActorUsername | 省略可能 | ユーザー名 (文字列) | アクターのユーザー名(使用可能な場合はドメイン情報を含む)。 詳細については、「 ユーザー エンティティ」を参照してください。 例: AlbertE |
| ActorUsernameType | 条件 付き | UsernameType |
ActorUsername フィールドに格納されているユーザー名の種類を指定します。 許可される値の詳細と一覧については、スキーマの概要に関する記事の UsernameType に関する記事を参照してください。 例: Windows |
| ActorUserType | 省略可能 | UserType | アクターの型。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Guest |
| ActorOriginalUserType | 省略可能 | 文字列 | レポート デバイスによって報告されるユーザーの種類。 |
| ActorSessionId | 省略可能 | 文字列 | アクターのサインイン セッションの一意の ID。 例: 102pTUgC3p8RIqHvzxLCHnFlg |
[Acting Application]\(動作アプリケーション\) フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActingAppId | 省略可能 | 文字列 | プロセス、ブラウザー、またはサービスを含む、アクターに代わって承認するアプリケーションの ID。 例: 0x12ae8 |
| ActingAppName | 省略可能 | 文字列 | プロセス、ブラウザー、サービスなど、アクターに代わって承認するアプリケーションの名前。 例: C:\Windows\System32\svchost.exe |
| ActingAppType | 省略可能 | AppType | 動作するアプリケーションの種類。 値の詳細と許可される一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| ActingOriginalAppType | 省略可能 | 文字列 | レポート デバイスによって報告される動作アプリケーションの種類。 |
| HttpUserAgent | 省略可能 | 文字列 | 認証が HTTP または HTTPS 経由で実行される場合、このフィールドの値は、認証の実行時に動作するアプリケーションによって提供されるuser_agent HTTP ヘッダーです。 例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
ターゲット ユーザー フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| TargetUserId | 省略可能 | 文字列 | ターゲット ユーザーのコンピューターで読み取り可能な英数字の一意の表現。 詳細および追加の ID の代替フィールドについては、「 ユーザー エンティティ」を参照してください。 例: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | 省略可能 | 文字列 | TargetUserId と TargetUsername が定義されているMicrosoft Entraテナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| TargetUserScopeId | 省略可能 | 文字列 | TargetUserId と TargetUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| TargetUserIdType | 条件 付き | UserIdType |
TargetUserId フィールドに格納されているユーザー ID の型。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 例: SID |
| TargetUsername | 省略可能 | ユーザー名 (文字列) | ドメイン情報を含むターゲット ユーザーのユーザー名 (使用可能な場合)。 詳細については、「 ユーザー エンティティ」を参照してください。 例: MarieC |
| TargetUsernameType | 条件 付き | UsernameType | [TargetUsername] フィールドに格納されているユーザー名の種類を指定します。 許可される値の詳細と一覧については、スキーマの概要に関する記事の UsernameType を参照してください。 |
| TargetUserType | 省略可能 | UserType | ターゲット ユーザーの種類。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Member |
| TargetSessionId | 省略可能 | 文字列 | ソース デバイス上の TargetUser のサインイン セッション識別子。 |
| TargetOriginalUserType | 省略可能 | 文字列 | レポート デバイスによって報告されるユーザーの種類。 |
| ユーザー | Alias | ユーザー名 (文字列) |
TargetUsername が定義されていない場合は TargetUsername または TargetUserId のエイリアス。 例: CONTOSO\dadmin |
ソース システムフィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Src | 推奨 | 文字列 | ソース デバイスの一意識別子。 このフィールドは 、SrcDvcId、 SrcHostname、または SrcIpAddr フィールドに別名を付 けることができます。 例: 192.168.12.1 |
| SrcDvcId | 省略可能 | 文字列 | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要な ID を使用し、他の ID を SrcDvc<DvcIdType>フィールドに格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 SrcDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 SrcDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcIdType | 条件 付き | DvcIdType |
SrcDvcId の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DvcIdType を参照してください。 注: SrcDvcId を使用する場合は、このフィールドが必要です。 |
| SrcDeviceType | 省略可能 | DeviceType | ソース デバイスの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| SrcHostname | 省略可能 | ホスト名 | ドメイン情報を除くソース デバイスのホスト名。 使用可能なデバイス名がない場合は、このフィールドに関連する IP アドレスを格納します。 例: DESKTOP-1282V4D |
| SrcDomain | 省略可能 | ドメイン (文字列) | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件 付き | DomainType |
SrcDomain の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DomainType を参照してください。 SrcDomain を使用する場合は必須です。 |
| SrcFQDN | 省略可能 | FQDN (文字列) | ソース デバイスのホスト名(使用可能な場合はドメイン情報を含む)。 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 SrcDomainType フィールドには、使用される形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| SrcIpAddr | 推奨 | IP アドレス | ソース デバイスの IP アドレス。 例: 2.2.2.2 |
| SrcPortNumber | 省略可能 | 整数 | 接続の送信元の IP ポート。 例: 2335 |
| SrcDvcOs | 省略可能 | 文字列 | ソース デバイスの OS。 例: Windows 10 |
| IpAddr | Alias | SrcIpAddr へのエイリアス | |
| SrcIsp | 省略可能 | 文字列 | インターネットに接続するためにソース デバイスによって使用されるインターネット サービス プロバイダー (ISP)。 例: corpconnect |
| SrcGeoCountry | 省略可能 | 国 | 例: Canada 詳細については、「 論理型」を参照してください。 |
| SrcGeoCity | 省略可能 | City | 例: Montreal 詳細については、「 論理型」を参照してください。 |
| SrcGeoRegion | 省略可能 | Region | 例: Quebec 詳細については、「 論理型」を参照してください。 |
| SrcGeoLongitude | 省略可能 | Longitude | 例: -73.614830 詳細については、「 論理型」を参照してください。 |
| SrcGeoLatitude | 省略可能 | Latitude | 例: 45.505918 詳細については、「 論理型」を参照してください。 |
| SrcRiskLevel | 省略可能 | 整数 | ソースに関連付けられているリスク レベル。 値は100する0の範囲に調整する必要があります。リスクが高い場合は問題のない100に0します。例: 90 |
| SrcOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるソースに関連付けられているリスク レベル。 例: Suspicious |
ターゲット アプリケーション フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| TargetAppId | 省略可能 | 文字列 | 承認が必要なアプリケーションの ID 。多くの場合、レポート デバイスによって割り当てられます。 例: 89162 |
| TargetAppName | 省略可能 | 文字列 | サービス、URL、SaaS アプリケーションなど、承認が必要なアプリケーションの名前。 例: Saleforce |
| アプリケーション | Alias | TargetAppName へのエイリアス。 | |
| TargetAppType | 条件 付き | AppType | アクターの代わりに承認するアプリケーションの種類。 値の詳細と許可される一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| TargetOriginalAppType | 省略可能 | 文字列 | レポート デバイスによって報告されるアクターに代わって承認するアプリケーションの種類。 |
| TargetUrl | 省略可能 | URL | ターゲット アプリケーションに関連付けられている URL。 例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | TargetAppName、TargetUrl、または TargetHostname のエイリアス。認証ターゲットを最も適切に記述するフィールド。 |
ターゲット システム フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Dst | Alias | 文字列 | 認証ターゲットの一意識別子。 このフィールドは、 TargetDvcId、 TargetHostname、 TargetIpAddr、 TargetAppId、または TargetAppName フィールドに別名を付けることができます。 例: 192.168.12.1 |
| TargetHostname | 推奨 | ホスト名 | ドメイン情報を除くターゲット デバイスのホスト名。 例: DESKTOP-1282V4D |
| TargetDomain | 推奨 | ドメイン (文字列) | ターゲット デバイスのドメイン。 例: Contoso |
| TargetDomainType | 条件 付き | 列挙 |
TargetDomain の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DomainType を参照してください。 TargetDomain を使用する場合は必須です。 |
| TargetFQDN | 省略可能 | FQDN (文字列) | ターゲット デバイスのホスト名(使用可能な場合はドメイン情報を含む)。 例: Contoso\DESKTOP-1282V4D 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 TargetDomainType には、使用される形式が反映されます。 |
| TargetDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| TargetDvcId | 省略可能 | 文字列 | ターゲット デバイスの ID。 複数の ID が使用可能な場合は、最も重要な ID を使用し、他の ID を TargetDvc<DvcIdType>フィールドに格納します。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 TargetDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| TargetDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 TargetDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| TargetDvcIdType | 条件 付き | 列挙 |
TargetDvcId の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DvcIdType を参照してください。 TargetDeviceId を使用する場合は必須です。 |
| TargetDeviceType | 省略可能 | 列挙 | ターゲット デバイスの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| TargetIpAddr | 省略可能 | IP アドレス | ターゲット デバイスの IP アドレス。 例: 2.2.2.2 |
| TargetDvcOs | 省略可能 | 文字列 | ターゲット デバイスの OS。 例: Windows 10 |
| TargetPortNumber | 省略可能 | 整数 | ターゲット デバイスのポート。 |
| TargetGeoCountry | 省略可能 | 国 | ターゲット IP アドレスに関連付けられている国/地域。 例: USA |
| TargetGeoRegion | 省略可能 | Region | ターゲット IP アドレスに関連付けられているリージョン。 例: Vermont |
| TargetGeoCity | 省略可能 | City | ターゲット IP アドレスに関連付けられている都市。 例: Burlington |
| TargetGeoLatitude | 省略可能 | Latitude | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| TargetGeoLongitude | 省略可能 | Longitude | ターゲット IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| TargetRiskLevel | 省略可能 | 整数 | ターゲットに関連付けられているリスク レベル。 値は100する0の範囲に調整する必要があります。リスクが高い場合は問題のない100に0します。例: 90 |
| TargetOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告される、ターゲットに関連付けられているリスク レベル。 例: Suspicious |
検査フィールド
次のフィールドは、セキュリティ システムによって実行される検査を表すために使用されます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| RuleName | 省略可能 | 文字列 | 検査結果に関連付けられたルールの名前または ID。 |
| RuleNumber | 省略可能 | 整数 | 検査結果に関連付けられているルールの番号。 |
| Rule | Alias | 文字列 | RuleName の値、または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | 省略可能 | 文字列 | 監査アクティビティで特定された脅威またはマルウェアの ID。 |
| ThreatName | 省略可能 | 文字列 | 監査アクティビティで特定された脅威またはマルウェアの名前。 |
| ThreatCategory | 省略可能 | 文字列 | 監査ファイル アクティビティで特定された脅威またはマルウェアのカテゴリ。 |
| ThreatRiskLevel | 省略可能 | RiskLevel (整数) | 特定された脅威に関連付けられているリスク レベル。 レベルは 0 ~ 100 の数値 にする必要があります。 注: この値は、このスケールに正規化する必要がある別のスケールを使用してソース レコードに提供される場合があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるリスク レベル。 |
| ThreatConfidence | 省略可能 | ConfidenceLevel (整数) | 特定された脅威の信頼レベルを、0 から 100 の値に正規化します。 |
| ThreatOriginalConfidence | 省略可能 | 文字列 | レポート デバイスによって報告された、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | 省略可能 | ブール型 | True を指定すると、特定された脅威がアクティブな脅威と見なされます。 |
| ThreatFirstReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として識別された最後の時刻。 |
| ThreatIpAddr | 省略可能 | IP アドレス | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
| ThreatField | 条件 付き | 列挙 | 脅威が特定されたフィールド。 値は SrcIpAddr または TargetIpAddrです。 |
スキーマの更新
スキーマのバージョン 0.1.1 の変更点を次に示します。
- 他のスキーマと一致するようにユーザーエンティティフィールドとデバイスエンティティフィールドを更新しました。
- 現在の ASIM ガイドラインに合わせて、
TargetDvcの名前を変更し、SrcDvcをそれぞれTargetとSrcに変更しました。 名前が変更されたフィールドは、2022 年 7 月 1 日までエイリアスとして実装されます。 これらのフィールドには、SrcDvcHostname、SrcDvcHostnameType、SrcDvcType、SrcDvcIpAddr、TargetDvcHostname、TargetDvcHostnameType、TargetDvcType、TargetDvcIpAddr、TargetDvcが含まれます。 - エイリアスの
SrcとDstを追加しました。 - フィールド
SrcDvcIdType、SrcDeviceType、TargetDvcIdType、TargetDeviceType、およびEventSchemaを追加しました。
スキーマのバージョン 0.1.2 の変更点を次に示します。
- フィールド
ActorScope、TargetUserScope、SrcDvcScopeId、SrcDvcScope、TargetDvcScopeId、TargetDvcScope、DvcScopeId、DvcScopeを追加しました。
スキーマのバージョン 0.1.3 の変更点を次に示します。
- フィールド
SrcPortNumber、ActorOriginalUserType、ActorScopeId、TargetOriginalUserType、TargetUserScopeId、SrcDescription、SrcRiskLevel、SrcOriginalRiskLevel、TargetDescriptionを追加しました。 - 検査フィールドを追加しました
- ターゲット システムの地理的位置フィールドを追加しました。
スキーマのバージョン 0.1.4 の変更点を次に示します。
- フィールドの
ActingOriginalAppTypeとTargetOriginalAppTypeを追加しました。 - エイリアス
Applicationを追加しました。
次の手順
詳細については、以下を参照してください。