Microsoft Sentinel ネットワーク セッション正規化スキーマは、ネットワーク接続やネットワーク セッションなどの IP ネットワーク アクティビティを表します。 このようなイベントは、オペレーティング システム、ルーター、ファイアウォール、侵入防止システムなどによって報告されます。
ネットワーク正規化スキーマは、任意の種類の IP ネットワーク セッションを表すことができますが、Netflow、ファイアウォール、侵入防止システムなどの一般的なソースの種類をサポートするように設計されています。
Microsoft Sentinelでの正規化の詳細については、「正規化と高度なセキュリティ情報モデル (ASIM)」を参照してください。
パーサー
ASIM パーサーの詳細については、 ASIM パーサーの概要に関するページを参照してください。
パーサーの統合
すべての ASIM アウト オブ ザ ボックス パーサーを統合し、構成されているすべてのソースで分析が実行されるようにするパーサーを使用するには、 _Im_NetworkSession パーサーを使用します。
すぐに使用するソース固有のパーサー
すぐに使用できるネットワーク セッション パーサー Microsoft Sentinel一覧については、ASIM パーサーの一覧を参照してください。
独自の正規化されたパーサーを追加する
ネットワーク セッション情報モデルの カスタム パーサーを開発 する場合は、次の構文を使用して KQL 関数に名前を付けます。
-
vimNetworkSession<vendor><Product>パラメーター化されたパーサーの場合 -
ASimNetworkSession<vendor><Product>通常のパーサーの場合
カスタム パーサーをネットワーク セッションに追加してパーサーを統合する方法については、 ASIM パーサーの管理 に関する記事を参照してください。
パーサー パラメーターのフィルター処理
ネットワーク セッション パーサーでは、 フィルター パラメーターがサポートされています。 これらのパラメーターは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | 日付型 | この時刻以降に 開始 されたネットワーク セッションのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| endtime | 日付型 | この時刻以前に実行を 開始 したネットワーク セッションのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| srcipaddr_has_any_prefix | 動的 |
ソース IP アドレス フィールド プレフィックスが一覧表示されている値のいずれかに含まれるネットワーク セッションのみをフィルター処理します。 プレフィックスは、 .で終わる必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されています。 |
| dstipaddr_has_any_prefix | 動的 |
宛先 IP アドレス フィールド プレフィックスが一覧表示されている値のいずれかに含まれるネットワーク セッションのみをフィルター処理します。 プレフィックスは、 .で終わる必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されています。 |
| ipaddr_has_any_prefix | 動的 |
宛先 IP アドレス フィールドまたは送信元 IP アドレス フィールド プレフィックスが一覧表示されている値のいずれかに含まれるネットワーク セッションのみをフィルター処理します。 プレフィックスは、 .で終わる必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されています。フィールド ASimMatchingIpAddr は、一致するフィールドまたはフィールドを反映するために、 SrcIpAddr、 DstIpAddr、または Both のいずれかの値で設定されます。 |
| dstportnumber | Int | 指定した宛先ポート番号を持つネットワーク セッションのみをフィルター処理します。 |
| hostname_has_any | dynamic/string |
宛先ホスト名フィールドに一覧表示されている値が含まれるネットワーク セッションのみをフィルター処理します。 リストの長さは 10,000 項目に制限されています。 フィールド ASimMatchingHostname は、一致するフィールドまたはフィールドを反映するために、 SrcHostname、 DstHostname、または Both のいずれかの値で設定されます。 |
| dvcaction | dynamic/string | [デバイス アクション] フィールドが一覧表示されている値のいずれかであるネットワーク セッションのみをフィルター処理します。 |
| eventresult | 文字列 | 特定の EventResult 値を持つネットワーク セッションのみをフィルター処理します。 |
一部のパラメーターでは、 dynamic 型の値の両方のリストまたは単一の文字列値を受け取ることができます。 動的な値が必要なパラメーターにリテラル リストを渡すには、 動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])
たとえば、ドメイン名の指定したリストに対してネットワーク セッションのみをフィルター処理するには、次を使用します。
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
ヒント
動的な値が必要なパラメーターにリテラル リストを渡すには、 動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])。
正規化されたコンテンツ
正規化された DNS イベントを使用する分析ルールの完全な一覧については、「 ネットワーク セッションセキュリティコンテンツ」を参照してください。
スキーマの概要
ネットワーク セッション情報モデルは、 OSSEM ネットワーク エンティティ スキーマに合わせて調整されます。
ネットワーク セッション スキーマは、同じフィールドを共有する、類似するが異なるシナリオのいくつかの種類を提供します。 これらのシナリオは、EventType フィールドによって識別されます。
-
NetworkSession- ファイアウォール、ルーター、ネットワーク タップなど、ネットワークを監視している中間デバイスによって報告されるネットワーク セッション。 -
L2NetworkSession- レイヤー 2 の情報のみを使用できるネットワーク セッション。 このようなイベントには MAC アドレスが含まれますが、IP アドレスは含まれません。 -
Flow- Netflow イベントなど、通常は定義済みの期間にわたって、複数の同様のネットワーク セッションを報告する集計イベント。 -
EndpointNetworkSession- クライアントとサーバーを含む、セッションのエンドポイントの 1 つによって報告されるネットワーク セッション。 このようなイベントの場合、スキーマでは、remoteとlocalエイリアス フィールドがサポートされます。 -
IDS- 疑わしいと報告されたネットワーク セッション。 このようなイベントには、一部の検査フィールドが設定され、送信元または宛先の IP アドレス フィールドが 1 つだけ設定される場合があります。
通常、クエリでは、これらのイベントの種類のサブセットのみを選択する必要があり、ユース ケースの個別の一意の側面に対処する必要がある場合があります。 たとえば、IDS イベントはネットワーク ボリューム全体を反映せず、列ベースの分析では考慮しないでください。
ネットワーク セッション イベントでは、記述子 Src と Dst を使用して、セッションに関連するデバイスと関連するユーザーとアプリケーションの役割を表します。 そのため、たとえば、ソース デバイスのホスト名と IP アドレスは SrcHostname と SrcIpAddr という名前になります。 通常、他の ASIM スキーマでは、DstではなくTargetが使用されます。
エンドポイントによって報告され、イベントの種類が EndpointNetworkSessionされるイベントの場合、記述子 Local と Remote は、それぞれ、ネットワーク セッションのもう一方の端にあるエンドポイント自体とデバイスを表します。
記述子 Dvc は、エンドポイントによって報告されるセッションのローカル システムであるレポート デバイスと、他のネットワーク セッション イベントの中継デバイスまたはネットワーク タップに使用されます。
スキーマの詳細
一般的な ASIM フィールド
重要
すべてのスキーマに共通のフィールドについては、 ASIM 共通フィールド に関する記事を参照してください。
特定のガイドラインを含む一般的なフィールド
次の一覧では、ネットワーク セッション イベントに関する特定のガイドラインがあるフィールドについて説明します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| EventCount | 必須 | 整数 | Netflow ソースは集計をサポートしており、 EventCount フィールドは Netflow FLOWS フィールドの値に設定する必要があります。 その他のソースの場合、値は通常、 1に設定されます。 |
| Eventtype | 必須 | 列挙 | レコードによって報告されるシナリオについて説明します。 ネットワーク セッション レコードの場合、許可される値は次のとおりです。 - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - Flowイベントの種類の詳細については、スキーマの概要に関するページを参照してください。 |
| EventSubType | 省略可能 | 列挙 | 該当する場合は、イベントの種類の追加の説明。 ネットワーク セッション レコードの場合、サポートされる値は次のとおりです。 - Start- Endこのフィールドは、 Flow イベントには関係ありません。 |
| EventResult | 必須 | 列挙 | ソース デバイスがイベントの結果を提供しない場合、 EventResult は DvcAction の値に基づいている必要があります。
DvcAction がDeny、Drop、Drop ICMP、Reset、Reset Source、またはReset Destination、EventResult を Failureする必要があります。 それ以外の場合は、 EventResult を Successする必要があります。 |
| EventResultDetails | 推奨 | 列挙 |
EventResult フィールドで報告された結果の理由または詳細。 サポートされている値は次のとおりです。 -フェールオーバー - 無効な TCP - 無効なトンネル - 最大再試行回数 -リセット - ルーティングの問題 -シミュレーション -終了 -タイムアウト - 一時的なエラー - Unknown -Na。 元のソース固有の値は、 EventOriginalResultDetails フィールドに 格納されます。 |
| EventSchema | 必須 | 列挙 | ここに記載されているスキーマの名前は NetworkSession。 |
| EventSchemaVersion | 必須 | SchemaVersion (String) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.2.7。 |
| DvcAction | 推奨 | 列挙 | ネットワーク セッションで実行されるアクション。 サポートされている値は次のとおりです。 - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroute注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 元の値は DvcOriginalAction フィールドに格納する必要があります。 例: drop |
| EventSeverity | 省略可能 | 列挙 | ソース デバイスがイベントの重大度を提供しない場合、 EventSeverity は DvcAction の値に基づいている必要があります。
DvcAction がDeny、Drop、Drop ICMP、Reset、Reset Source、またはReset Destination、EventSeverity を Lowする必要があります。 それ以外の場合は、 EventSeverity を Informationalする必要があります。 |
| DvcInterface | DvcInterface フィールドは、 DvcInboundInterface フィールドまたは DvcOutboundInterface フィールドのいずれかにエイリアスを設定する必要があります。 | ||
| Dvc フィールド | ネットワーク セッション イベントの場合、デバイス フィールドはネットワーク セッション イベントを報告するシステムを参照します。 |
すべての共通フィールド
次の表に示すフィールドは、すべての ASIM スキーマに共通です。 上記で指定したガイドラインは、フィールドの一般的なガイドラインをオーバーライドします。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、 ASIM 共通フィールド に関する記事を参照してください。
| クラス | フィールド |
|---|---|
| 必須 |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 省略可能 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
ネットワーク セッション フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| NetworkApplicationProtocol | 省略可能 | 文字列 | 接続またはセッションで使用されるアプリケーション層プロトコル。 値はすべて大文字にする必要があります。 例: FTP |
| NetworkProtocol | 省略可能 | 列挙 |
IANA プロトコルの割り当てに記載されている接続またはセッションで使用される IP プロトコル 。通常はTCP、UDP、またはICMP。例: TCP |
| NetworkProtocolVersion | 省略可能 | 列挙 |
NetworkProtocol のバージョン。 IP バージョンを区別するために使用する場合は、 IPv4 と IPv6の値を使用します。 |
| NetworkDirection | 省略可能 | 列挙 | 接続またはセッションの方向: - EventType NetworkSession、FlowまたはL2NetworkSessionの場合、NetworkDirection は、organizationまたはクラウド環境の境界を基準とした方向を表します。 サポートされる値は、Inbound、Outbound、Local (organization)、External (organization)、またはNA (該当なし) です。- EventType EndpointNetworkSession の 場合、NetworkDirection はエンドポイントを基準とした方向を表します。 サポートされる値は、 Inbound、 Outbound、 Local (システム)、 Listen 、または NA (該当なし) です。
Listen値は、デバイスがネットワーク接続の受け入れを開始したが、実際には接続されていないことを示します。 |
| NetworkDuration | 省略可能 | 整数 | ネットワーク セッションまたは接続が完了するまでの時間 (ミリ秒単位)。 例: 1500 |
| Duration | Alias | NetworkDuration へのエイリアス。 | |
| NetworkIcmpType | 省略可能 | 文字列 | ICMP メッセージの場合、IPv4 ネットワーク接続の 場合は RFC 2780 、IPv6 ネットワーク接続の 場合は RFC 4443 で説明されているように、数値に関連付けられた ICMP 型名。 例: NetworkIcmpCode の Destination Unreachable3 |
| NetworkIcmpCode | 省略可能 | 整数 | ICMP メッセージの場合は、IPv4 ネットワーク接続の 場合は RFC 2780 、IPv6 ネットワーク接続の場合は RFC 4443 で説明されている ICMP コード番号。 |
| NetworkConnectionHistory | 省略可能 | 文字列 | TCP フラグおよびその他の潜在的な IP ヘッダー情報。 |
| DstBytes | 推奨 | Long | 接続先から接続またはセッションのソースに送信されるバイト数。 イベントが集計される場合、 DstBytes はすべての集約されたセッションの合計である必要があります。 例: 32455 |
| SrcBytes | 推奨 | Long | ソースから接続またはセッションの宛先に送信されたバイト数。 イベントが集計される場合、 SrcBytes はすべての集約されたセッションの合計である必要があります。 例: 46536 |
| NetworkBytes | 省略可能 | Long | 双方向に送信されたバイト数。
BytesReceived と BytesSent の両方が存在する場合、BytesTotal はその合計と等しい必要があります。 イベントが集計される場合、 NetworkBytes はすべての集約されたセッションの合計である必要があります。 例: 78991 |
| DstPackets | 省略可能 | Long | 接続先から接続またはセッションの送信元に送信されるパケットの数。 パケットの意味は、レポート デバイスによって定義されます。 イベントが集計される場合、 DstPackets はすべての集約されたセッションの合計である必要があります。 例: 446 |
| SrcPackets | 省略可能 | Long | 送信元から接続またはセッションの宛先に送信されるパケットの数。 パケットの意味は、レポート デバイスによって定義されます。 イベントが集計される場合、 SrcPackets はすべての集約されたセッションの合計である必要があります。 例: 6478 |
| NetworkPackets | 省略可能 | Long | 双方向に送信されるパケットの数。
PacketsReceived と PacketsSent の両方が存在する場合、PacketsTotal はその合計と等しい必要があります。 パケットの意味は、レポート デバイスによって定義されます。 イベントが集計される場合、 NetworkPackets はすべての集約されたセッションの合計である必要があります。 例: 6924 |
| NetworkSessionId | 省略可能 | string | レポート デバイスによって報告されるセッション識別子。 例: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Alias | 文字列 | NetworkSessionId へのエイリアス。 |
| TcpFlagsAck | 省略可能 | ブール型 | TCP ACK フラグが報告されました。 受信確認フラグは、パケットの受信が成功したことを確認するために使用されます。 上の図からわかるように、受信側は、3 方向ハンドシェイク プロセスの 2 番目の手順で ACK と SYN を送信し、最初のパケットを受信したことを送信者に伝えます。 |
| TcpFlagsFin | 省略可能 | ブール型 | TCP FIN フラグが報告されました。 完了したフラグは、送信者からのデータがそれ以上ないことを意味します。 したがって、送信者から送信された最後のパケットで使用されます。 |
| TcpFlagsSyn | 省略可能 | ブール型 | TCP SYN フラグが報告されました。 同期フラグは、2 つのホスト間で 3 方向ハンドシェイクを確立するための最初の手順として使用されます。 このフラグを設定するのは、送信側と受信側の両方からの最初のパケットのみです。 |
| TcpFlagsUrg | 省略可能 | ブール型 | TCP URG フラグが報告されました。 緊急フラグは、他のすべてのパケットを処理する前に緊急パケットを処理するように受信側に通知するために使用されます。 既知のすべての緊急データが受信されると、受信側に通知されます。 詳細については 、RFC 6093 を参照してください。 |
| TcpFlagsPsh | 省略可能 | ブール型 | TCP PSH フラグが報告されました。 プッシュ フラグは URG フラグに似ています。これらのパケットをバッファリングするのではなく、受信したパケットを処理するように受信側に指示します。 |
| TcpFlagsRst | 省略可能 | ブール型 | TCP RST フラグが報告されました。 リセット フラグは、パケットが予期しない特定のホストに送信されると、受信側から送信者に送信されます。 |
| TcpFlagsEce | 省略可能 | ブール型 | TCP ECE フラグが報告されました。 このフラグは、TCP ピアが ECN に対応しているかどうかを示す役割を担います。 詳細については 、RFC 3168 を参照してください。 |
| TcpFlagsCwr | 省略可能 | ブール型 | TCP CWR フラグが報告されました。 輻輳ウィンドウ縮小フラグは、ECE フラグが設定されたパケットを受信したことを示すために、送信側ホストによって使用されます。 詳細については 、RFC 3168 を参照してください。 |
| TcpFlagsNs | 省略可能 | ブール型 | TCP NS フラグが報告されました。 nonce sum フラグは、送信者からのパケットの偶発的な悪意のある隠ぺいから保護するために使用される実験的フラグです。 詳細については 、RFC 3540 を参照してください |
宛先システム フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Dst | Alias | DNS 要求を受け取るサーバーの一意識別子。 このフィールドは、 DstDvcId、 DstHostname、または DstIpAddr フィールドに 別名を付けることができます。 例: 192.168.12.1 |
|
| DstIpAddr | 推奨 | IP アドレス | 接続またはセッションの宛先の IP アドレス。 セッションでネットワーク アドレス変換を使用する場合、DstIpAddrはパブリックに表示されるアドレスであり、DstNatIpAddr に格納されているソースの元のアドレスではありません例: 2001:db8::ff00:42:8329注: DstHostname が指定されている場合、この値は必須です。 |
| DstPortNumber | 省略可能 | 整数 | 宛先 IP ポート。 例: 443 |
| DstHostname | 推奨 | Hostname (String) | ドメイン情報を除く宛先デバイスのホスト名。 使用可能なデバイス名がない場合は、このフィールドに関連する IP アドレスを格納します。 例: DESKTOP-1282V4D |
| DstDomain | 推奨 | ドメイン (文字列) | 宛先デバイスのドメイン。 例: Contoso |
| DstDomainType | 条件 付き | 列挙 |
DstDomain の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DomainType を参照してください。 DstDomain を使用する場合は必須です。 |
| DstFQDN | 省略可能 | FQDN (文字列) | ドメイン情報 (使用可能な場合) を含む宛先デバイスのホスト名。 例: Contoso\DESKTOP-1282V4D 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 DstDomainType には、使用される形式が反映されます。 |
| DstDvcId | 省略可能 | 文字列 | 宛先デバイスの ID。 複数の ID が使用可能な場合は、最も重要な ID を使用し、他の ID を DstDvc<DvcIdType>フィールドに格納します。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 DstDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| DstDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 DstDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| DstDvcIdType | 条件 付き | 列挙 |
DstDvcId の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DvcIdType を参照してください。 DstDeviceId を使用する場合は必須です。 |
| DstDeviceType | 省略可能 | 列挙 | 宛先デバイスの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DeviceType を参照してください。 |
| DstZone | 省略可能 | 文字列 | レポート デバイスによって定義された宛先のネットワーク ゾーン。 例: Dmz |
| DstInterfaceName | 省略可能 | 文字列 | 接続先デバイスによる接続またはセッションに使用されるネットワーク インターフェイス。 例: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | 省略可能 | GUID (文字列) | 宛先デバイスで使用されるネットワーク インターフェイスの GUID。 例: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | 省略可能 | MAC アドレス (文字列) | 接続先デバイスによる接続またはセッションに使用されるネットワーク インターフェイスの MAC アドレス。 例: 06:10:9f:eb:8f:14 |
| DstVlanId | 省略可能 | 文字列 | 宛先デバイスに関連する VLAN ID。 例: 130 |
| OuterVlanId | Alias |
DstVlanId へのエイリアス。 多くの場合、VLAN は送信元または宛先として決定できませんが、内部または外部として特徴付けられます。 このエイリアスは、VLAN が外部として特徴付けされている場合に DstVlanId を使用する必要があることを示します。 |
|
| DstGeoCountry | 省略可能 | 国 | 宛先 IP アドレスに関連付けられている国/地域。 詳細については、「 論理型」を参照してください。 例: USA |
| DstGeoRegion | 省略可能 | Region | 宛先 IP アドレスに関連付けられているリージョン (状態)。 詳細については、「 論理型」を参照してください。 例: Vermont |
| DstGeoCity | 省略可能 | City | 宛先 IP アドレスに関連付けられている都市。 詳細については、「 論理型」を参照してください。 例: Burlington |
| DstGeoLatitude | 省略可能 | Latitude | 宛先 IP アドレスに関連付けられている地理的座標の緯度。 詳細については、「 論理型」を参照してください。 例: 44.475833 |
| DstGeoLongitude | 省略可能 | Longitude | 宛先 IP アドレスに関連付けられている地理的座標の経度。 詳細については、「 論理型」を参照してください。 例: 73.211944 |
| DstDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
宛先ユーザー フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| DstUserId | 省略可能 | 文字列 | マシンが読み取り可能な英数字の、宛先ユーザーの一意の表現。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 例: S-1-12 |
| DstUserScope | 省略可能 | 文字列 | DstUserId と DstUsername が定義されているMicrosoft Entraテナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| DstUserScopeId | 省略可能 | 文字列 | DstUserId と DstUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| DstUserIdType | 条件 付き | UserIdType | DstUserId フィールドに格納されている ID の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserIdType を参照してください。 |
| DstUsername | 省略可能 | ユーザー名 (文字列) | ドメイン情報 (使用可能な場合) を含む宛先ユーザー名。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 ドメイン情報が使用できない場合にのみ、単純なフォームを使用します。 [ユーザー名の種類] を [DstUsernameType ] フィールドに格納します。 他のユーザー名形式を使用できる場合は、 DstUsername<UsernameType>フィールドに保存します。例: AlbertE |
| ユーザー | Alias | DstUsername へのエイリアス。 | |
| DstUsernameType | 条件 付き | UsernameType |
DstUsername フィールドに格納されているユーザー名の種類を指定します。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UsernameType を参照してください。 例: Windows |
| DstUserType | 省略可能 | UserType | 宛先ユーザーの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserType を参照してください。 注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 元の値を DstOriginalUserType フィールドに格納します。 |
| DstOriginalUserType | 省略可能 | 文字列 | ソースによって指定された場合は、元の宛先ユーザーの種類。 |
変換先のアプリケーション フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| DstAppName | 省略可能 | 文字列 | 宛先アプリケーションの名前。 例: Facebook |
| DstAppId | 省略可能 | 文字列 | レポート デバイスによって報告される宛先アプリケーションの ID。
DstAppType がProcessされている場合、DstAppIdとDstProcessIdの値は同じである必要があります。例: 124 |
| DstAppType | 省略可能 | AppType | 宛先アプリケーションの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の AppType を参照してください。 DstAppName または DstAppId を使用する場合、このフィールドは必須です。 |
| DstProcessName | 省略可能 | 文字列 | ネットワーク セッションを終了したプロセスのファイル名。 通常、この名前はプロセス名と見なされます。 例: C:\Windows\explorer.exe |
| プロセス | Alias |
DstProcessName のエイリアス 例: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | 省略可能 | 文字列 | ネットワーク セッションを終了したプロセスのプロセス ID (PID)。 例: 48610176 注: 型は、さまざまなシステムをサポートするために文字列として定義されていますが、Windows では、この値Linux数値にする必要があります。 Windows または Linux コンピューターを使用していて、別の種類を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| DstProcessGuid | 省略可能 | 文字列 | ネットワーク セッションを終了したプロセスの生成された一意識別子 (GUID)。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ソース システムフィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Src | Alias | ソース デバイスの一意識別子。 このフィールドは 、SrcDvcId、 SrcHostname、または SrcIpAddr フィールドに 別名を付けることができます。 例: 192.168.12.1 |
|
| SrcIpAddr | 推奨 | IP アドレス | 接続またはセッションの送信元の IP アドレス。
SrcHostname が指定されている場合、この値は必須です。 セッションでネットワーク アドレス変換を使用する場合、SrcIpAddrはパブリックに表示されるアドレスであり、SrcNatIpAddr に格納されているソースの元のアドレスではありません。例: 77.138.103.108 |
| SrcPortNumber | 省略可能 | 整数 | 接続の送信元の IP ポート。 複数の接続を構成するセッションには関係ない場合があります。 例: 2335 |
| SrcHostname | 推奨 | Hostname (String) | ドメイン情報を除くソース デバイスのホスト名。 使用可能なデバイス名がない場合は、このフィールドに関連する IP アドレスを格納します。 例: DESKTOP-1282V4D |
| SrcDomain | 推奨 | ドメイン (文字列) | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件 付き | DomainType |
SrcDomain の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DomainType を参照してください。 SrcDomain を使用する場合は必須です。 |
| SrcFQDN | 省略可能 | FQDN (文字列) | ソース デバイスのホスト名(使用可能な場合はドメイン情報を含む)。 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 SrcDomainType フィールドには、使用される形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 省略可能 | 文字列 | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要な ID を使用し、他の ID を SrcDvc<DvcIdType>フィールドに格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 SrcDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 SrcDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcIdType | 条件 付き | DvcIdType |
SrcDvcId の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DvcIdType を参照してください。 注: SrcDvcId を使用する場合は、このフィールドが必要です。 |
| SrcDeviceType | 省略可能 | DeviceType | ソース デバイスの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DeviceType を参照してください。 |
| SrcZone | 省略可能 | 文字列 | レポート デバイスによって定義されたソースのネットワーク ゾーン。 例: Internet |
| SrcInterfaceName | 省略可能 | 文字列 | ソース デバイスによる接続またはセッションに使用されるネットワーク インターフェイス。 例: eth01 |
| SrcInterfaceGuid | 省略可能 | GUID (文字列) | ソース デバイスで使用されるネットワーク インターフェイスの GUID。 例: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | 省略可能 | MAC アドレス (文字列) | 接続またはセッションの送信元のネットワーク インターフェイスの MAC アドレス。 例: 06:10:9f:eb:8f:14 |
| SrcVlanId | 省略可能 | 文字列 | 送信元デバイスに関連する VLAN ID。 例: 130 |
| InnerVlanId | Alias |
SrcVlanId へのエイリアス。 多くの場合、VLAN は送信元または宛先として決定できませんが、内部または外部として特徴付けられます。 このエイリアスは、VLAN が内部として特徴付けされている場合に SrcVlanId を使用する必要があることを示します。 |
|
| SrcGeoCountry | 省略可能 | 国 | 送信元 IP アドレスに関連付けられている国/地域。 例: USA |
| SrcGeoRegion | 省略可能 | Region | ソース IP アドレスに関連付けられているリージョン。 例: Vermont |
| SrcGeoCity | 省略可能 | City | ソース IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | ソース IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | ソース IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| SrcDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
ソース ユーザー フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| SrcUserId | 省略可能 | 文字列 | ソース ユーザーのコンピューターで読み取り可能な英数字の一意の表現。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 例: S-1-12 |
| SrcUserScope | 省略可能 | 文字列 | SrcUserId と SrcUsername が定義されているMicrosoft Entraテナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| SrcUserScopeId | 省略可能 | 文字列 | SrcUserId と SrcUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| SrcUserIdType | 条件 付き | UserIdType | SrcUserId フィールドに格納されている ID の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserIdType を参照してください。 |
| SrcUsername | 省略可能 | ユーザー名 (文字列) | 使用可能な場合はドメイン情報を含むソース ユーザー名。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 ドメイン情報が使用できない場合にのみ、単純なフォームを使用します。 [ユーザー名の種類] を [SrcUsernameType ] フィールドに格納します。 他のユーザー名形式を使用できる場合は、 SrcUsername<UsernameType>フィールドに保存します。例: AlbertE |
| SrcUsernameType | 条件 付き | UsernameType |
SrcUsername フィールドに格納されているユーザー名の種類を指定します。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UsernameType を参照してください。 例: Windows |
| SrcUserType | 省略可能 | UserType | ソース ユーザーの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserType を参照してください。 注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 SrcOriginalUserType フィールドに元の値を格納します。 |
| SrcOriginalUserType | 省略可能 | 文字列 | レポート デバイスによって指定された場合は、元の宛先ユーザーの種類。 |
ソース アプリケーション フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| SrcAppName | 省略可能 | 文字列 | ソース アプリケーションの名前。 例: filezilla.exe |
| SrcAppId | 省略可能 | 文字列 | レポート デバイスによって報告されるソース アプリケーションの ID。
SrcAppType がProcessされている場合、SrcAppIdとSrcProcessIdの値は同じである必要があります。例: 124 |
| SrcAppType | 省略可能 | AppType | ソース アプリケーションの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の AppType を参照してください。 SrcAppName または SrcAppId が使用されている場合、このフィールドは必須です。 |
| SrcProcessName | 省略可能 | 文字列 | ネットワーク セッションを開始したプロセスのファイル名。 通常、この名前はプロセス名と見なされます。 例: C:\Windows\explorer.exe |
| SrcProcessId | 省略可能 | 文字列 | ネットワーク セッションを開始したプロセスのプロセス ID (PID)。 例: 48610176 注: 型は、さまざまなシステムをサポートするために文字列として定義されていますが、Windows では、この値Linux数値にする必要があります。 Windows または Linux コンピューターを使用していて、別の種類を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| SrcProcessGuid | 省略可能 | 文字列 | ネットワーク セッションを開始したプロセスの生成された一意識別子 (GUID)。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ローカルエイリアスとリモートエイリアス
上記のすべてのソースフィールドと宛先フィールドは、必要に応じて、同じ名前のフィールドと記述子 Local および Remoteによってエイリアス化できます。 これは通常、エンドポイントによって報告され、イベントの種類が EndpointNetworkSessionされるイベントに役立ちます。
このようなイベントの場合、記述子 Local と Remote は、それぞれネットワーク セッションのもう一方の端にあるエンドポイント自体とデバイスを表します。 インバウンド接続の場合、ローカル・システムは宛先、 Local ・フィールドは Dst ・フィールドの別名であり、「リモート」フィールドは Src ・フィールドの別名です。 逆に、送信接続の場合、ローカル システムはソース、 Local フィールドは Src フィールドのエイリアス、 Remote フィールドは Dst フィールドのエイリアスです。
たとえば、受信イベントの場合、フィールド LocalIpAddr は DstIpAddr のエイリアスであり、フィールド RemoteIpAddr は SrcIpAddrのエイリアスです。
ホスト名と IP アドレスのエイリアス
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ホスト | Alias | - イベントの種類が NetworkSession、 Flow 、または L2NetworkSessionの場合、Hostname は DstHostname のエイリアスです。- イベントの種類が EndpointNetworkSessionの場合、Hostname はRemoteHostnameのエイリアスであり、NetworkDirection に応じて DstHostname または SrcHostName の別名を指定できます |
|
| IpAddr | Alias | - イベントの種類が NetworkSession、 Flow 、または L2NetworkSessionの場合、IpAddr は SrcIpAddr のエイリアスです。- イベントの種類が EndpointNetworkSessionの場合、IpAddr はLocalIpAddrのエイリアスであり、NetworkDirection に応じて SrcIpAddr または DstIpAddr の別名を設定できます。 |
中間デバイスとネットワーク アドレス変換 (NAT) フィールド
次のフィールドは、ネットワーク セッションを中継するファイアウォールやプロキシなどの中間デバイスに関する情報がレコードに含まれている場合に役立ちます。
中間システムでは、多くの場合、アドレス変換が使用されるため、元のアドレスと外部で観察されたアドレスは同じではありません。 このような場合、 SrcIPAddr や DstIpAddr などのプライマリ アドレス フィールドは外部で監視されるアドレスを表し、NAT アドレス フィールド SrcNatIpAddr と DstNatIpAddr は変換前の元のデバイスの内部アドレスを表します。
検査フィールド
次のフィールドは、ファイアウォール、IPS、Web セキュリティ ゲートウェイなどのセキュリティ デバイスが実行した検査を表すために使用されます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| NetworkRuleName | 省略可能 | 文字列 |
DvcAction が決定されたルールの名前または ID。 例: AnyAnyDrop |
| NetworkRuleNumber | 省略可能 | 整数 |
DvcAction が決定されたルールの数。 例: 23 |
| Rule | Alias | 文字列 | NetworkRuleName の値または NetworkRuleNumber の値のいずれか。 NetworkRuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | 省略可能 | 文字列 | ネットワーク セッションで特定された脅威またはマルウェアの ID。 例: Tr.124 |
| ThreatName | 省略可能 | 文字列 | ネットワーク セッションで特定された脅威またはマルウェアの名前。 例: EICAR Test File |
| ThreatCategory | 省略可能 | 文字列 | ネットワーク セッションで特定された脅威またはマルウェアのカテゴリ。 例: Trojan |
| ThreatRiskLevel | 省略可能 | RiskLevel (整数) | セッションに関連付けられているリスク レベル。 レベルは 0 ~ 100 の数値 にする必要があります。 注: この値は、このスケールに正規化する必要がある別のスケールを使用してソース レコードに提供される場合があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるリスク レベル。 |
| ThreatIpAddr | 省略可能 | IP アドレス | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
| ThreatField | 条件 付き | 列挙 | 脅威が特定されたフィールド。 値は SrcIpAddr または DstIpAddrです。 |
| ThreatConfidence | 省略可能 | ConfidenceLevel (整数) | 特定された脅威の信頼レベルを、0 から 100 の値に正規化します。 |
| ThreatOriginalConfidence | 省略可能 | 文字列 | レポート デバイスによって報告された、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | 省略可能 | ブール型 | True を指定すると、特定された脅威がアクティブな脅威と見なされます。 |
| ThreatFirstReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として識別された最後の時刻。 |
その他のフィールド
イベントがネットワーク セッションのいずれかのエンドポイントによって報告された場合、セッションを開始または終了したプロセスに関する情報が含まれる場合があります。 このような場合、この情報を正規化するために ASIM プロセス イベント スキーマ が使用されます。
スキーマの更新
スキーマのバージョン 0.2.1 の変更を次に示します。
-
SrcとDstをエイリアスとして、移行元と移行先のシステムの先頭の識別子に追加しました。 - フィールド
NetworkConnectionHistory、SrcVlanId、DstVlanId、InnerVlanId、OuterVlanIdを追加しました。
スキーマのバージョン 0.2.2 の変更を次に示します。
-
RemoteとLocalエイリアスを追加しました。 - イベントの種類
EndpointNetworkSessionを追加しました。 - イベントの種類が
EndpointNetworkSessionの場合、HostnameとIpAddrをそれぞれRemoteHostnameとLocalIpAddrのエイリアスとして定義します。 -
DvcInboundInterfaceまたはDvcOutboundInterfaceのエイリアスとしてDvcInterface定義されます。 - 次のフィールドの種類を Integer から Long に変更しました。
SrcBytes、DstBytes、NetworkBytes、SrcPackets、DstPackets、NetworkPackets。 - フィールド
NetworkProtocolVersionを追加しました。 - 非推奨の
DstUserDomainとSrcUserDomain。
スキーマのバージョン 0.2.3 の変更点を次に示します。
-
ipaddr_has_any_prefixフィルター処理パラメーターを追加しました。 -
hostname_has_anyフィルター処理パラメーターが、ソースまたは宛先のホスト名と一致するようになりました。 - フィールドの
ASimMatchingHostnameとASimMatchingIpAddrを追加しました。
スキーマのバージョン 0.2.4 の変更を次に示します。
-
TcpFlagsフィールドを追加しました。 -
NetworkIcpmTypeとNetworkIcmpCodeを更新し、両方の数値を反映しました。 - 検査フィールドを追加しました。
- フィールド 'ThreatRiskLevelOriginal' の名前が ASIM 規則に合わせて
ThreatOriginalRiskLevelに変更されました。 既存の Microsoft パーサーは、2023 年 5 月 1 日までThreatRiskLevelOriginalを維持します。 -
EventResultDetailsを推奨としてマークし、許可される値を指定しました。
スキーマのバージョン 0.2.5 の変更点を次に示します。
- フィールド
DstUserScope、SrcUserScope、SrcDvcScopeId、SrcDvcScope、DstDvcScopeId、DstDvcScope、DvcScopeId、DvcScopeを追加しました。
スキーマのバージョン 0.2.6 の変更を次に示します。
- イベントの種類として IDS を追加しました
スキーマのバージョン 0.2.7 の変更点を次に示します。
-
DstDescriptionフィールドを追加し、SrcDescription
次の手順
詳細については、以下を参照してください。