Advanced Security Information Model (ASIM) ネットワーク セッション正規化スキーマのリファレンス (パブリック プレビュー)
Microsoft Sentinelネットワークセッション正規化スキーマは、ネットワーク接続やネットワークセッションなどのIPネットワークアクティビティを表します。 そのようなイベントは、オペレーティングシステム、ルーター、ファイアウォール、侵入防止システムなどによって報告されます。
ネットワーク正規化スキーマは、任意の種類の IP ネットワーク セッションを表すことができますが、Netflow、ファイアウォール、侵入防止システムなどの一般的な種類のソースをサポートするように設計されています。
Microsoft Sentinel での正規化の詳細については、「正規化と Advanced Security Information Model (ASIM)」を参照してください。
この記事では、バージョン 0.2.x のネットワーク正規化スキーマについて説明します。 バージョン 0.1 は、ASIM が利用可能になる前にリリースされたため、いくつかの側面で ASIM と一致しません。 詳細については、ネットワーク正規化スキーマのバージョン間の相違点に関するページを参照してください。
重要
現在、ネットワーク正規化スキーマは "プレビュー" 段階です。 この機能は、サービス レベル アグリーメントなしに提供されます。 運用環境のワークロード用にはお勧めしません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
パーサー
ASIM パーサーの詳細については、ASIM パーサーの概要に関する各ページを参照してください。
統一パーサー
すべての ASIM のアウトオブザボックス パーサーを統一するパーサーを使用し、構成済みのソース全体で分析が確実に実行されるようにするには、_Im_NetworkSession フィルターパーサーまたは _ASim_NetworkSession パラメーターレス パーサーを使用します。
また、ワークスペースにデプロイされた ImNetworkSession と ASimNetworkSession パーサーを ImNetworkSessionからデプロイして使用することができます。
詳細については、組み込みの ASIM パーサーと、ワークスペースでデプロイされたパーサーに関するページを参照してください。
すぐに使える、ソース固有のパーサー
Microsoft Sentinel が提供するネットワーク セッションパーサーの一覧については、ASIM パーサーの一覧を参照してください
独自の正規化されたパーサーを追加する
ネットワーク セッション情報モデル用のカスタム パーサーを開発するときは、次の構文を使用して KQL 関数に名前を付けます。
vimNetworkSession<vendor><Product>(パラメーター化パーサーの場合)ASimNetworkSession<vendor><Product>(標準パーサーの場合)
ネットワーク セッション統一パーサーにカスタム パーサーを追加する方法については、ASIM パーサーの管理に関する記事を参照してください。
パーサー パラメーターのフィルター処理
ネットワーク セッション パーサーでは、フィルター処理パラメーターがサポートされています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター処理パラメーターを使用できます。
| 名前 | 種類 | 説明 |
|---|---|---|
| starttime | DATETIME | この時刻以降に開始されたネットワーク セッションのみをフィルター処理で抽出します。 |
| endtime | DATETIME | この時刻以前に実行が開始されたネットワーク セッションのみをフィルター処理で抽出します。 |
| srcipaddr_has_any_prefix | 動的 | ソース IP アドレス フィールドのプレフィックスが一覧にある値のいずれかであるネットワーク セッションのみをフィルター処理で抽出します。 プレフィックスの末尾は . にする必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されます。 |
| dstipaddr_has_any_prefix | 動的 | ターゲット IP アドレス フィールドのプレフィックスが一覧にある値のいずれかであるネットワーク セッションのみをフィルター処理で抽出します。 プレフィックスの末尾は . にする必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されます。 |
| ipaddr_has_any_prefix | 動的 | 宛先 IP アドレス フィールドまたは 送信元 IP アドレス フィールド のプレフィックスが一覧表示された値のいずれかにあるネットワーク セッションのみをフィルター処理します。 プレフィックスの末尾は . にする必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されます。フィールド ASimMatchingIpAddr は、一致するフィールドまたはフィールドを反映するために、 SrcIpAddr、DstIpAddr、またはBothのいずれかの値で設定されます。 |
| dstportnumber | int | 指定したターゲット ポート番号を持つネットワーク セッションのみをフィルター処理で抽出します。 |
| hostname_has_any | dynamic/string | ターゲット ホスト名フィールドの値が一覧にある値のいずれかであるネットワーク セッションのみをフィルター処理で抽出します。 リストの長さは 10,000 項目に制限されます。 フィールド ASimMatchingHostname は、一致するフィールドを反映するために、 SrcHostname、DstHostname、またはBothのいずれかの値で設定されます。 |
| dvcaction | dynamic/string | デバイス アクション フィールドの値が一覧にある値のいずれかであるネットワーク セッションのみをフィルター処理で抽出します。 |
| eventresult | String | 特定の EventResult 値を持つネットワーク セッションのみをフィルター処理で抽出します。 |
一部のパラメーターは、dynamic 型の値のリストまたは単一の文字列値の両方を受け取ることができます。 動的な値を期待するパラメーターにリテラル リストを渡すには、動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])
たとえば、指定したドメイン名の一覧に対応するネットワーク セッションのみをフィルター処理で抽出するには、以下を使用します。
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
ヒント
動的な値を期待するパラメーターにリテラル リストを渡すには、動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])。
正規化されたコンテンツ
正規化された DNS イベントを使用する分析ルールの完全な一覧については、「ネットワーク セッションのセキュリティ コンテンツ」を参照してください。
スキーマの概要
ネットワーク セッション情報モデルは、OSSEM ネットワーク エンティティ スキーマに対応しています。
ネットワーク セッション スキーマは、同じフィールドを共有するいくつかの種類の類似した異なるシナリオを提供します。 これらのシナリオは、EventType フィールドによって識別されます。
NetworkSession- ファイアウォール、ルーター、ネットワーク タップなど、ネットワークを監視している中間デバイスによって報告されるネットワーク セッション。L2NetworkSession- レイヤー 2 の情報のみを使用できるネットワーク セッション。 このようなイベントには MAC アドレスが含まれますが、IP アドレスは含まれません。Flow- 複数の同様のネットワーク セッション (通常は、Netflow イベントなど、定義済みの期間に実行) を報告する集計イベント。EndpointNetworkSession- クライアントとサーバーを含む、セッションのエンドポイントの 1 つによって報告されるネットワーク セッション。 このようなイベントでは、スキーマは別名フィールドremoteおよびlocalをサポートします。IDS- 疑わしいと報告されたネットワーク セッション。 このようなイベントでは、検査フィールドの一部が入力され、送信元または宛先の 1 つの IP アドレス フィールドだけ入力される場合があります。
通常、クエリでは、これらのイベントの種類のサブセットのみを選択する必要があり、ユース ケースの個別の固有の側面に対処する必要がある場合があります。 たとえば、IDS イベントはネットワーク ボリューム全体を反映せず、列ベースの分析は考慮しないようにする必要があります。
ネットワーク セッション イベントでは、記述子 Src および Dst を使用して、セッションに関係するデバイスおよび関連するユーザーとアプリケーションの役割を表します。 そのため、たとえば、ソース デバイスのホスト名と IP アドレスは、それぞれ SrcHostname と SrcIpAddr という名前になります。 その他の ASIM スキーマでは、通常、Dst ではなく Target が使用されます。
エンドポイントによって報告され、イベントの種類が EndpointNetworkSession であるイベントの場合、記述子 Local と Remote は、それぞれエンドポイント自体と、ネットワーク セッションのもう一方の端にあるデバイスを表します。
記述子 Dvc は、エンドポイントによって報告されるセッションの場合はレポート デバイス (ローカル システム) に、その他のネットワーク セッション イベントの場合は中間デバイス (ネットワーク タップ) に使用されます。
スキーマの詳細
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、ネットワーク セッション イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventCount | Mandatory | Integer | Netflow ソースでは集計がサポートされており、EventCount フィールドは、Netflow の FLOWS フィールドの値に設定する必要があります。 他のソースの場合は、通常、この値は 1 に設定されます。 |
| EventType | 必須 | Enumerated | レコードによってレポートされるシナリオを記述します。 ネットワーク セッション レコードの場合、有効な値は次のとおりです。 - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - Flowイベントの種類の詳細については、「スキーマの概要」を参照してください |
| EventSubType | オプション | String | イベントの種類の追加説明 (該当する場合)。 ネットワーク セッション レコードの場合、次の値がサポートされます。 - Start- Endこのフィールドは Flow イベントには関係ありません。 |
| EventResult | Mandatory | Enumerated | ソース デバイスからイベントの結果が提供されない場合、EventResult は DvcAction の値に基づいている必要があります。 DvcAction が Deny、Drop、Drop ICMP、Reset、Reset Source、または Reset Destination の場合、EventResult は Failure である必要があります。 それ以外の場合、EventResult は Success である必要があります。 |
| EventResultDetails | 推奨 | Enumerated | EventResult でレポートされた結果の理由または詳細。 サポートされる値は次のとおりです。 - フェールオーバー - 無効な TCP - 無効なトンネル - 最大再試行回数 - リセット - ルーティングの問題 - シミュレーション - Terminated - タイムアウト - 一時的なエラー - 不明 - NA。 ソースに固有である元の値は EventOriginalResultDetails フィールドに格納されます。 |
| EventSchema | Mandatory | String | ここに記載されているスキーマの名前は NetworkSession です。 |
| EventSchemaVersion | Mandatory | String | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.2.6 です。 |
| DvcAction | 推奨 | Enumerated | ネットワーク セッションで実行されたアクション。 サポートされる値は次のとおりです。 - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroute注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、DvcOriginalAction フィールドに格納する必要があります。 例: drop |
| EventSeverity | オプション | Enumerated | ソース デバイスからイベントの重大度が提供されない場合、EventSeverity は DvcAction の値に基づいている必要があります。 DvcAction が Deny、Drop、Drop ICMP、Reset、Reset Source、または Reset Destination の場合、EventSeverity は Low である必要があります。 それ以外の場合、EventSeverity は Informational である必要があります。 |
| DvcInterface | DvcInterface フィールドには、DvcInboundInterface または DvcOutboundInterface のいずれかのフィールドの別名を指定する必要があります。 | ||
| Dvc フィールド | ネットワーク セッション イベントの場合、デバイス フィールドは、ネットワーク セッション イベントを報告しているシステムを示します。 |
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| オプション | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
ネットワーク セッションのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| NetworkApplicationProtocol | オプション | String | 接続またはセッションで使用されるアプリケーション レイヤー プロトコル。 値はすべて大文字にする必要があります。 例: FTP |
| NetworkProtocol | 省略可能 | Enumerated | IANA プロトコルの割り当てに記載されている、接続またはセッションで使用される IP プロトコル (通常は TCP、UDP、または ICMP)。例: TCP |
| NetworkProtocolVersion | オプション | Enumerated | NetworkProtocol のバージョン。 IP バージョンを区別するために使用する場合、値 IPv4 と IPv6 を使用します。 |
| NetworkDirection | オプション | Enumerated | 接続またはセッションの方向: - EventType NetworkSession、 Flow 、または L2NetworkSessionの場合、 NetworkDirection は、組織またはクラウド環境の境界を基準とした方向を表します。 サポートされる値は、Inbound、Outbound、Local (組織に対する)、External (組織に対する)、または NA (適用外) です。- EventType EndpointNetworkSession の場合、 NetworkDirection はエンドポイントに対する相対的な方向を表します。 サポートされる値は、Inbound、Outbound、Local (システムに対する)、Listen または NA (適用外) です。 Listen 値は、デバイスでネットワーク接続の受け入れが開始された一方で、実際には必ずしも接続されていないことを示します。 |
| NetworkDuration | オプション | Integer | ネットワーク セッションまたは接続の完了にかかる時間 (ミリ秒単位)。 例: 1500 |
| Duration | エイリアス | NetworkDuration のエイリアス。 | |
| NetworkIcmpType | 省略可能 | String | ICMP メッセージの場合は、IPv4 ネットワーク接続の場合は RFC 2780 、IPv6 ネットワーク接続の場合は RFC 4443 で説明されているように、数値に関連付けられた ICMP タイプ名。 例: NetworkIcmpCode の Destination Unreachable3 |
| NetworkIcmpCode | オプション | Integer | ICMP メッセージの場合に ICMP コードを示す数値。IPv4 ネットワーク接続の場合は RFC 2780 で示されている値、IPv6 ネットワーク接続の場合は RFC 4443 で示されている値。 |
| NetworkConnectionHistory | オプション | String | TCP フラグとその他の使用される可能性がある IP ヘッダー情報。 |
| DstBytes | 推奨 | Long | 接続またはセッションで送信先から送信元に送信されたバイト数。 イベントが集計される場合、DstBytes は集計されたセッションの合計になります。 例: 32455 |
| SrcBytes | 推奨 | Long | 接続またはセッションで送信元から送信先に送信されたバイト数。 イベントが集計される場合、SrcBytes は集計されたセッションの合計になります。 例: 46536 |
| NetworkBytes | オプション | Long | 両方向に送信されたバイト数。 BytesReceived と BytesSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 イベントが集計される場合、NetworkBytes は集計されたセッションの合計になります。 例: 78991 |
| DstPackets | オプション | Long | 接続またはセッションで送信先から送信元に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、DstPackets は集計されたすべてのセッションの合計になります。 例: 446 |
| SrcPackets | オプション | Long | 接続またはセッションで送信元から送信先に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、SrcPackets は集計されたセッションの合計になります。 例: 6478 |
| NetworkPackets | オプション | Long | 両方向に送信されたパケット数。 PacketsReceived と PacketsSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、NetworkPackets は集計されたセッションの合計になります。 例: 6924 |
| NetworkSessionId | 省略可能 | string | レポート デバイスによって報告されたセッション識別子。 例: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | エイリアス | String | NetworkSessionId のエイリアス。 |
| TcpFlagsAck | オプション | ブール型 | 報告される TCP ACK フラグ。 受信確認フラグは、パケットを正常に受信したことを確認するために使われます。 上の図からわかるように、受信側は 3 ウェイ ハンドシェイク プロセスの第 2 段階で ACK と SYN を送信して、最初のパケットを受信したことを送信側に伝えます。 |
| TcpFlagsFin | オプション | ブール型 | 報告される TCP FIN フラグ。 完了フラグは、送信側からのデータがもうないことを意味します。 そのため、送信側から送信される最後のパケットで使われます。 |
| TcpFlagsSyn | オプション | ブール型 | 報告される TCP SYN フラグ。 同期フラグは、2 つのホスト間でスリー ウェイ ハンドシェイクを確立するための最初の手順として使われます。 送信側と受信側の両方からの最初のパケットにのみ、このフラグを設定するようにします。 |
| TcpFlagsUrg | オプション | ブール型 | 報告される TCP URG フラグ。 緊急フラグは、他のすべてのパケットを処理する前に、緊急パケットを処理するように受信側に通知するために使われます。 既知の緊急データがすべて受信されると、受信側にはその旨が通知されます。 詳細については、「RFC 6093」を参照してください。 |
| TcpFlagsPsh | オプション | ブール型 | 報告される TCP PSH フラグ。 プッシュ フラグは URG フラグと似ており、これらのパケットをバッファーリングするのではなく、受信した時点で処理するように受信側に指示するものです。 |
| TcpFlagsRst | オプション | ブール型 | 報告される TCP RST フラグ。 リセット フラグは、予期しない特定のホストにパケットが送信されたときに、受信側から送信側に送信されます。 |
| TcpFlagsEce | オプション | ブール型 | 報告される TCP ECE フラグ。 このフラグには、TCP ピアが ECN 対応かどうかを示す役割があります。 詳細については、「RFC 3168」を参照してください。 |
| TcpFlagsCwr | オプション | ブール型 | 報告される TCP CWR フラグ。 輻輳ウィンドウ縮小フラグは、ECE フラグが設定されたパケットを受信したことを示すために、送信側ホストによって使われます。 詳細については、「RFC 3168」を参照してください。 |
| TcpFlagsNs | オプション | ブール型 | 報告される TCP NS フラグ。 nonce sum フラグはまだ実験的なフラグであり、送信側からの偶発的な悪意のあるパケットの隠蔽から保護するために使われます。 詳細については、「RFC 3540」を参照してください。 |
ターゲット システムのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Dst | 推奨 | エイリアス | DNS 要求を受信するサーバーの一意識別子。 このフィールドは、DstDvcId、DstHostname、または DstIpAddr フィールドのエイリアスになる場合があります。 例: 192.168.12.1 |
| DstIpAddr | 推奨 | IP アドレス | 接続またはセッションのターゲットの IP アドレス。 セッションでネットワーク アドレス変換を使用する場合、DstIpAddr は公開アドレスであり、DstNatIpAddr に格納されているソースの元のアドレスではありません。例: 2001:db8::ff00:42:8329注: DstHostname が指定されている場合、この値は必須です。 |
| DstPortNumber | オプション | Integer | 送信先 IP ポート。 例: 443 |
| DstHostname | 推奨 | Hostname (ホスト名) | ドメイン情報を除いた、ターゲット デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 例: DESKTOP-1282V4D |
| DstDomain | 推奨 | String | ターゲット デバイスのドメイン。 例: Contoso |
| DstDomainType | 条件付き | Enumerated | DstDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 DstDomain が使用されている場合は必須です。 |
| DstFQDN | オプション | String | 使用可能な場合はドメイン情報を含む、ターゲット デバイスのホスト名。 例: Contoso\DESKTOP-1282V4D 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 DstDomainType フィールドには、使用されている形式が反映されます。 |
| DstDvcId | オプション | String | ターゲット デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド DstDvc<DvcIdType> に格納します。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | オプション | String | デバイスが属するクラウド プラットフォームのスコープ ID。 DstDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DstDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 DstDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DstDvcIdType | 条件付き | Enumerated | DstDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 DstDeviceId が使用されている場合は必須です。 |
| DstDeviceType | オプション | Enumerated | ターゲット デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| DstZone | オプション | String | レポート デバイスにより定義された、送信先のネットワーク ゾーン。 例: Dmz |
| DstInterfaceName | オプション | String | 送信先デバイスによる接続またはセッションに使用されるネットワーク インターフェイス。 例: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | オプション | String | ターゲット デバイスで使用されるネットワーク インターフェイスの GUID。 例: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | オプション | String | ターゲット デバイスによって接続またはセッションに使用される、ネットワーク インターフェイスの MAC アドレス。 例: 06:10:9f:eb:8f:14 |
| DstVlanId | オプション | String | ターゲット デバイスに関連する VLAN ID。 例: 130 |
| OuterVlanId | 省略可能 | エイリアス | DstVlanId のエイリアス。 多くの場合、VLAN はソースまたはターゲットとして特定できませんが、内部または外部として特徴付けられます。 このエイリアスは、VLAN が外部として特徴付けられている場合に DstVlanId を使用する必要があることを示します。 |
| DstSubscriptionId | オプション | String | ターゲット デバイスが属するクラウド プラットフォームのサブスクリプション ID。 DstSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DstGeoCountry | オプション | 国 | 宛先 IP アドレスに関連付けられている国/地域。 詳細については、「論理型」を参照してください。 例: USA |
| DstGeoRegion | 省略可能 | リージョン | ターゲット IP アドレスに関連付けられているリージョンまたは州。 詳細については、「論理型」を参照してください。 例: Vermont |
| DstGeoCity | オプション | City | ターゲット IP アドレスに関連付けられている都市。 詳細については、「論理型」を参照してください。 例: Burlington |
| DstGeoLatitude | 省略可能 | Latitude | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 詳細については、「論理型」を参照してください。 例: 44.475833 |
| DstGeoLongitude | 省略可能 | Longitude | ターゲット IP アドレスに関連付けられている地理的座標の経度。 詳細については、「論理型」を参照してください。 例: 73.211944 |
ターゲット ユーザー フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| DstUserId | オプション | String | ターゲット ユーザーの、コンピューターが判読できる英数字の一意表現。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 例: S-1-12 |
| DstUserScope | 省略可能 | String | DstUserId と DstUsername が定義されている Microsoft Entra テナントなどのスコープ。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| DstUserScopeId | 省略可能 | String | DstUserId と DstUsername が定義されている Microsoft Entra ディレクトリ ID などのスコープ ID。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| DstUserIdType | 条件付き | UserIdType | DstUserId フィールドに格納されている ID の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| DstUsername | オプション | String | 使用可能な場合はドメイン情報を含む、ターゲットのユーザー名。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。 ユーザー名の種類は、DstUsernameType フィールドに格納します。 他のユーザー名形式が使用可能な場合、それらをフィールド DstUsername<UsernameType> に格納します。例: AlbertE |
| User | エイリアス | DstUsername のエイリアス。 | |
| DstUsernameType | 条件付き | UsernameType | DstUsername フィールドに格納されているユーザー名の種類を指定します。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| DstUserType | オプション | UserType | ターゲット ユーザーの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserType」を参照してください。 注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は DstOriginalUserType フィールドに格納します。 |
| DstOriginalUserType | オプション | String | ソースによって提供されている場合、元のターゲット ユーザーの種類。 |
ターゲット アプリケーションのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| DstAppName | オプション | String | ターゲット アプリケーションの名前。 例: Facebook |
| DstAppId | オプション | String | レポート デバイスによって報告された、ターゲット アプリケーションの ID。DstAppType が Process の場合、DstAppId と DstProcessId は同じ値である必要があります。例 : 124 |
| DstAppType | オプション | AppType | ターゲット アプリケーションの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「AppType」を参照してください。 DstAppName または DstAppId が使用されている場合、このフィールドは必須です。 |
| DstProcessName | オプション | String | ネットワーク セッションを終了したプロセスのファイル名。 この名前は通常、プロセス名と見なされます。 例: C:\Windows\explorer.exe |
| Process | エイリアス | DstProcessName の別名 例 : C:\Windows\System32\rundll32.exe |
|
| DstProcessId | オプション | String | ネットワーク セッションを終了したプロセスのプロセス ID (PID)。 例: 48610176 注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows と Linux ではこの値は数値である必要があります。 Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| DstProcessGuid | オプション | String | ネットワーク セッションを終了したプロセスの生成された一意識別子 (GUID)。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ソース システム フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Src | エイリアス | ソース デバイスの一意識別子。 このフィールドは、SrcDvcId、SrcHostname、または SrcIpAddr フィールドのエイリアスになる場合があります。 例: 192.168.12.1 |
|
| SrcIpAddr | 推奨 | IP アドレス | 接続またはセッションの開始元の IP アドレス。 SrcHostname が指定されている場合、この値は必須です。 セッションでネットワーク アドレス変換を使用する場合、SrcIpAddr は公開アドレスであり、SrcNatIpAddr に格納されているソースの元のアドレスではありません。例: 77.138.103.108 |
| SrcPortNumber | オプション | Integer | 接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。 例: 2335 |
| SrcHostname | 推奨 | Hostname (ホスト名) | ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 例: DESKTOP-1282V4D |
| SrcDomain | 推奨 | String | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件付き | DomainType | SrcDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 SrcDomain が使用されている場合は必須です。 |
| SrcFQDN | オプション | String | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | オプション | String | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド SrcDvc<DvcIdType> に格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcIdType | 条件付き | DvcIdType | SrcDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
| SrcDeviceType | オプション | DeviceType | ソース デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| SrcZone | オプション | String | レポート デバイスにより定義された、送信元のネットワーク ゾーン。 例: Internet |
| SrcInterfaceName | オプション | String | 送信元デバイスで接続またはセッションに使用されるネットワーク インターフェイス。 例: eth01 |
| SrcInterfaceGuid | オプション | String | ソース デバイスで使用されるネットワーク インターフェイスの GUID。 例: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | オプション | String | 接続またはセッションの開始元のネットワーク インターフェイスの MAC アドレス。 例: 06:10:9f:eb:8f:14 |
| SrcVlanId | オプション | String | ソース デバイスに関連する VLAN ID。 例: 130 |
| InnerVlanId | 省略可能 | エイリアス | SrcVlanId のエイリアス。 多くの場合、VLAN はソースまたはターゲットとして特定できませんが、内部または外部として特徴付けられます。 このエイリアスは、VLAN が内部として特徴付けられている場合に SrcVlanId を使用する必要があることを示します。 |
| SrcSubscriptionId | オプション | String | ソース デバイスが属するクラウド プラットフォームのサブスクリプション ID。 SrcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcGeoCountry | 省略可能 | 国 | 送信元 IP アドレスに関連付けられている国/地域。 例: USA |
| SrcGeoRegion | 省略可能 | リージョン | 発信元 IP アドレスに関連付けられているリージョン。 例: Vermont |
| SrcGeoCity | オプション | City | 発信元 IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | 発信元 IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
ソース ユーザー フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| SrcUserId | オプション | String | ソース ユーザーの、コンピューターが判読できる英数字の一意表現。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 例: S-1-12 |
| SrcUserScope | 省略可能 | String | SrcUserId と SrcUsername が定義されている Microsoft Entra テナントなどのスコープ。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| SrcUserScopeId | オプション | String | SrcUserId と SrcUsername が定義されている Microsoft Entra ディレクトリ ID などのスコープ ID。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| SrcUserIdType | 条件付き | UserIdType | SrcUserId フィールドに格納されている ID の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| SrcUsername | オプション | String | 使用可能な場合はドメイン情報を含む、ソースのユーザー名。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。 ユーザー名の種類は、SrcUsernameType フィールドに格納します。 他のユーザー名形式が使用可能な場合、それらをフィールド SrcUsername<UsernameType> に格納します。例: AlbertE |
| SrcUsernameType | 条件付き | UsernameType | SrcUsername フィールドに格納されているユーザー名の種類を指定します。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| SrcUserType | オプション | UserType | ソース ユーザーの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserType」を参照してください。 注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は SrcOriginalUserType フィールドに格納します。 |
| SrcOriginalUserType | オプション | String | レポート デバイスによって提供されている場合、元のターゲット ユーザーの種類。 |
ソース アプリケーション フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| SrcAppName | オプション | String | ソース アプリケーションの名前。 例: filezilla.exe |
| SrcAppId | オプション | String | レポートデバイスによって報告された、ソースアプリケーションのID。 SrcAppType が Process の場合、SrcAppId と SrcProcessId は同じ値である必要があります。例 : 124 |
| SrcAppType | オプション | AppType | ソース アプリケーションの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「AppType」を参照してください。 SrcAppName または SrcAppId が使用されている場合、このフィールドは必須です。 |
| SrcProcessName | オプション | String | ネットワーク セッションを開始したプロセスのファイル名。 この名前は通常、プロセス名と見なされます。 例: C:\Windows\explorer.exe |
| SrcProcessId | オプション | String | ネットワーク セッションを開始したプロセスのプロセス ID (PID)。 例: 48610176 注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows と Linux ではこの値は数値である必要があります。 Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| SrcProcessGuid | オプション | String | ネットワーク セッションを開始したプロセスの生成された一意識別子 (GUID)。 例 : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ローカルとリモートの別名
これまでに挙げたすべてのソース ターゲットとターゲット フィールドについて、必要に応じて、同じ名前のフィールドと記述子 Local および Remote を使用して別名を指定できます。 通常、これが役立つのは、エンドポイントによって報告され、イベントの種類が EndpointNetworkSession であるイベントの場合です。
このようなイベントの場合、記述子 Local はエンドポイント自体を表し、Remote はネットワーク セッションのもう一方の端にあるデバイスを表します。 インバウンド接続の場合、ローカル システムがターゲットであり、Local フィールドは Dst フィールドの別名であり、"Remote" フィールドは Src フィールドの別名です。 反対に、アウトバウンド接続の場合、ローカル システムがソースであり、Local フィールドは Src フィールドの別名であり、Remote フィールドは Dst フィールドの別名です。
たとえば、インバウンド イベントの場合、フィールド LocalIpAddr は DstIpAddr の別名であり、フィールド RemoteIpAddr は SrcIpAddr の別名です。
ホスト名と IP アドレスの別名
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| hostname | エイリアス | - イベントの種類が NetworkSession、Flow、またはL2NetworkSession の場合、Hostname は DstHostname の別名です。- イベントの種類が EndpointNetworkSession の場合、Hostname は RemoteHostname の別名であり、これによって、NetworkDirection に応じて、EndpointNetworkSession または RemoteHostname のいずれかの別名を指定できます。 |
|
| IpAddr | エイリアス | - イベントの種類が NetworkSession、Flow、または L2NetworkSession の場合、IpAddr は SrcIpAddr の別名です。- イベントの種類が EndpointNetworkSession の場合、IpAddr は LocalIpAddr の別名であり、これによって、NetworkDirection に応じて、SrcIpAddr または DstIpAddr のいずれかの別名を指定できます。 |
中間デバイス フィールドとネット ワークアドレス変換 (NAT) フィールド
次のフィールドは、ネットワーク セッションを中継するファイアウォールやプロキシなどの中間デバイスに関する情報がレコードに含まれる場合に便利です。
多くの場合、中間システムではアドレス変換を使用するため、元のアドレスと外部に公開されるアドレスは同じではありません。 このような場合、SrcIPAddr や DstIpAddr などのプライマリ アドレス フィールドは外部に公開されるアドレスを表す一方、NAT アドレス フィールド SrcNatIpAddr および DstNatIpAddr は変換前の元のデバイスの内部アドレスを表します。
検査のフィールド
次のフィールドは、ファイアウォール、IPS、Web セキュリティ ゲートウェイなどのセキュリティ デバイスによって実行された検査を表すために使用されます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| NetworkRuleName | オプション | String | DvcAction が決定されたときに使用されたルールの名前または ID。 例: AnyAnyDrop |
| NetworkRuleNumber | オプション | Integer | DvcAction が決定されたときに使用されたルールの番号。 例: 23 |
| Rule | エイリアス | String | NetworkRuleNameの値または NetworkRuleNumber の値のいずれか。 NetworkRuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | オプション | String | ネットワーク セッションで識別された脅威またはマルウェアの ID。 例: Tr.124 |
| ThreatName | オプション | String | ネットワーク セッションで識別された脅威またはマルウェアの名前。 例: EICAR Test File |
| ThreatCategory | 省略可能 | String | ネットワーク セッションで識別された脅威またはマルウェアのカテゴリ。 例: Trojan |
| ThreatRiskLevel | オプション | Integer | セッションに関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 注: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | オプション | String | レポート デバイスによって報告されたリスク レベル。 |
| ThreatIpAddr | 省略可能 | IP アドレス | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
| ThreatField | 条件付き | Enumerated | 脅威が特定されたフィールド。 値は SrcIpAddr または DstIpAddr です。 |
| ThreatConfidence | 省略可能 | Integer | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatOriginalConfidence | 省略可能 | String | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | オプション | ブール型 | 特定された脅威がアクティブな脅威と見なされる場合は True。 |
| ThreatFirstReportedTime | オプション | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | オプション | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
その他のフィールド
イベントがネットワーク セッションのいずれかのエンドポイントによって報告された場合、セッションを開始または終了したプロセスに関する情報が含まれる場合があります。 このような場合は、ASIM プロセス イベント スキーマを使用してこの情報を正規化します。
スキーマの更新
スキーマのバージョン 0.2.1 の変更点を次に示します。
SrcとDstがソースと送信先のシステムの先頭の識別子に別名として追加されました。- フィールド
NetworkConnectionHistory、SrcVlanId、DstVlanId、InnerVlanId、OuterVlanIdが追加されました。
スキーマのバージョン 0.2.2 の変更点を次に示します。
RemoteとLocalの別名が追加されました。- イベントの種類
EndpointNetworkSessionが追加されました。 - イベントの種類が
EndpointNetworkSessionの場合に、HostnameとIpAddrがそれぞれRemoteHostnameとLocalIpAddrの別名として定義されました。 DvcInterfaceがDvcInboundInterfaceまたはDvcOutboundInterfaceの別名として定義されました。SrcBytes、DstBytes、NetworkBytes、SrcPackets、DstPackets、NetworkPacketsの各フィールドのデータ型が Integer から Long に変更されました。- フィールド
NetworkProtocolVersion、SrcSubscriptionId、DstSubscriptionIdが追加されました。 DstUserDomainとSrcUserDomainが非推奨になりました。
スキーマのバージョン 0.2.3 の変更点を次に示します。
ipaddr_has_any_prefixフィルター パラメータを追加しました。hostname_has_anyフィルター パラメータが、送信元ホスト名または宛先ホスト名のいずれかと一致するようになりました。- フィール ド
ASimMatchingHostnameとASimMatchingIpAddrが追加されました。
スキーマのバージョン 0.2.4 の変更点を次に示します。
- フィールド
TcpFlagsを追加しました。 NetworkIcpmTypeとNetworkIcmpCodeを更新し、両方に数値を反映しました。- 新しい検査フィールドを追加しました。
- ASIM の規約に合わせてフィールド 'ThreatRiskLevelOriginal' の名前を
ThreatOriginalRiskLevelに変更しました。 既存の Microsoft パーサーは、2023 年 5 月 1 日までThreatRiskLevelOriginalを残します。 EventResultDetailsを推奨としてマークし、許容値を指定しました。
スキーマのバージョン 0.2.5 の変更点を次に示します。
- フィールド
DstUserScope、SrcUserScope、SrcDvcScopeId、SrcDvcScope、DstDvcScopeId、DstDvcScope、DvcScopeId、DvcScopeが追加されました。
スキーマのバージョン 0.2.6 の変更点を次に示します。
- イベントの種類として IDS を追加しました
次のステップ
詳細については、次を参照してください。