Advanced Security Information Model (ASIM) 共通スキーマ フィールド参照 (プレビュー)
一部のフィールドは、すべての ASIM スキーマに共通です。 各スキーマによって、共通フィールドの一部を特定のスキーマのコンテキストで使うためのガイドラインが追加されることがあります。 たとえば、EventType フィールドに使用できる値はスキーマごとに異なる可能性があり、EventSchemaVersion フィールドの値も同様に異なる可能性があります。
標準 Log Analytics フィールド
次のフィールドは、ほとんどの場合、Log Analytics によってレコードごとに生成されます。 これらは、カスタム コネクタを作成するときにオーバーライドできます。
| フィールド | Type | 考察 (Discussion) |
|---|---|---|
| TimeGenerated | DATETIME | イベントがレポート デバイスによって生成された時刻。 |
| Type | String | レコードがフェッチされた元のテーブル。 このフィールドは、同じイベントを異なるテーブルに対して複数のチャネルを通じて受信でき、同じ EventVendor 値と EventProduct 値を持つ場合に便利です。 たとえば、Sysmon イベントは、 Event テーブルまたは WindowsEvent テーブルのいずれかに収集できます。 |
注意
Log Analytics では、セキュリティのユース ケースとあまり関連しない他のフィールドも追加します。 詳細については、「Azure Monitor ログ内の標準列」を参照してください。
一般的な ASIM フィールド
次のフィールドは、すべてのスキーマに対して ASIM によって定義されます。
イベント フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventMessage | オプション | String | レコードに含まれるか、レコードから生成された一般的なメッセージまたは説明。 |
| EventCount | Mandatory | Integer | レコードによって記述されるイベントの数。 この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す可能性があるときに使用されます。 その他のソースの場合は、 1 に設定します。 |
| EventStartTime | Mandatory | 日付/時刻 | イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| EventEndTime | Mandatory | 日付/時刻 | イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| EventType | Mandatory | Enumerated | レコードによってレポートされる操作を記述します。 各スキーマには、このフィールドに対して有効な値の一覧が文書化されています。 ソースに固有である元の値は EventOriginalType フィールドに格納されます。 |
| EventSubType | オプション | Enumerated | EventType フィールドでレポートされた操作を細分化して記述します。 各スキーマには、このフィールドに対して有効な値の一覧が文書化されています。 ソースに固有である元の値は EventOriginalSubType フィールドに格納されます。 |
| EventResult | Mandatory | Enumerated | 以下の値のいずれかです。Success、Partial、Failure、NA (該当なし)。 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 また、ソースで EventResultDetails フィールドのみが提供される場合もあり、これを分析して EventResult 値を導き出す必要があります。 例: Success |
| EventResultDetails | 推奨 | Enumerated | EventResult でレポートされた結果の理由または詳細。 各スキーマには、このフィールドに対して有効な値の一覧が文書化されています。 ソースに固有である元の値は EventOriginalResultDetails フィールドに格納されます。 例: NXDOMAIN |
| EventUid | 推奨 | String | Microsoft Sentinel によって割り当てられた、レコードの一意の ID。 このフィールドは通常、_ItemId Log Analytics フィールドにマップされます。 |
| EventOriginalUid | オプション | String | 元のレコードの一意の ID (ソースによって提供されている場合)。 例: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | オプション | String | 元のイベントの種類または ID (ソースによって提供されている場合)。 たとえば、このフィールドは元の Windows イベント ID を格納するために使用されます。 この値は EventType を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 例: 4624 |
| EventOriginalSubType | オプション | String | 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 たとえば、このフィールドは元の Windows ログオン タイプを格納するために使用されます。 この値は EventSubType を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 例: 2 |
| EventOriginalResultDetails | オプション | String | ソースによって提供される元の結果の詳細。 この値は EventResultDetails を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 |
| EventSeverity | 推奨 | Enumerated | イベントの重大度。 有効な値は Informational、Low、Medium、または High です。 |
| EventOriginalSeverity | オプション | String | レポート デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
| EventProduct | Mandatory | String | イベントを生成している製品。 値は、ベンダーと製品に表示されている値のいずれかである必要があります。 例: Sysmon |
| EventProductVersion | オプション | String | イベントを生成している製品のバージョン。 例: 12.1 |
| EventVendor | Mandatory | String | イベントを生成している製品のベンダー。 値は、ベンダーと製品に表示されている値のいずれかである必要があります。 例: Microsoft |
| EventSchema | Mandatory | String | イベントの正規化先のスキーマ。 各スキーマは、そのスキーマ名を文書化します。 |
| EventSchemaVersion | Mandatory | String | スキーマのバージョン。 各スキーマは、その現在のバージョンを文書化します。 |
| EventReportUrl | オプション | String | リソースのイベントで提供された、そのイベントに関する他の情報を提供する URL。 |
| EventOwner | オプション | String | イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
デバイス フィールド
デバイス フィールドの役割は、スキーマとイベントの種類ごとに異なります。 次に例を示します。
- ネットワーク セッション イベントの場合、デバイス フィールドは通常、イベントを生成したデバイスに関する情報を提供します
- Process イベントの場合、デバイス フィールドは、プロセスが実行されるデバイスに関する情報を提供します。
各スキーマ ドキュメントでは、スキーマに応じたデバイスの役割を指定します。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Dvc | エイリアス | String | イベントが発生した、またはイベントを報告したデバイスの一意の識別子 (スキーマによって異なります)。 このフィールドは、DvcFQDN、DvcId、DvcHostname、または DvcIpAddr フィールドの別名である可能性があります。 明確なデバイスがないクラウド リソースの場合は、Event Product フィールドと同じ値を使用します。 |
| DvcIpAddr | 推奨 | IP アドレス | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) の IP アドレス。 例: 45.21.42.12 |
| DvcHostname | 推奨 | Hostname (ホスト名) | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のホスト名。 例: ContosoDc |
| DvcDomain | 推奨 | String | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のドメイン。 例: Contoso |
| DvcDomainType | 条件付き | Enumerated | DvcDomain の種類。 有効な値の一覧とその他の情報については「DomainType」を参照してください。 注: DvcDomain フィールドが使用されている場合、このフィールドは必須です。 |
| DvcFQDN | オプション | String | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のホスト名。 例: Contoso\DESKTOP-1282V4D注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 DvcDomainType フィールドには、使用されている形式が反映されます。 |
| DvcDescription | オプション | String | デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。 |
| DvcId | オプション | String | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) の一意の ID。 例 : 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | 条件付き | Enumerated | DvcId の種類。 有効な値の一覧とその他の情報については「DvcIdType」を参照してください。 - MDEid複数の ID を使用できる場合は、リストの最初のものを使用し、他のものはそれぞれフィールド名 DvcAzureResourceId および DvcMDEid を使用して格納します。 注: DvcId フィールドが使用されている場合、このフィールドは必須です。 |
| DvcMacAddr | オプション | MAC | イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 例: 00:1B:44:11:3A:B7 |
| DvcZone | オプション | String | イベントが発生した、またはイベントを報告したネットワーク (スキーマによって異なります)。 ゾーンは、レポート デバイスによって定義されます。 例: Dmz |
| DvcOs | オプション | String | イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。 例: Windows |
| DvcOsVersion | オプション | String | イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。 例: 10 |
| DvcAction | 推奨 | String | レポート セキュリティ システムについて、該当する場合にシステムによって実行されるアクション。 例: Blocked |
| DvcOriginalAction | オプション | String | レポート デバイスによって提供された元の DvcAction。 |
| DvcInterface | オプション | String | データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。 |
| DvcScopeId | オプション | String | デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
その他のフィールド
スキーマの更新
EventOwnerフィールドは、2022 年 12 月 1 日に共通フィールドに追加されているため、すべてのスキーマに追加されています。EventUidフィールドは、2022 年 12 月 26 日に共通フィールドに追加されているため、すべてのスキーマに追加されています。
ベンダーと製品
一貫性を維持するために、許可されているベンダーと製品の一覧が ASIM の一部として設定されます。また、利用可能になったときに、ソースによって送信された値に直接対応していない場合もあります。
EventVendor と EventProduct フィールドでそれぞれ使用される、現在サポートされているベンダーと製品の一覧は次のとおりです。
| ベンダー | 製品 |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linu x- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
ここに記載されていないベンダーまたは製品のパーサーを開発している場合は、Microsoft Sentinel チームに問い合わせて、ベンダーと製品の新しい許可指定子を割り当てるように依頼してください。
次のステップ
詳細については、次を参照してください。