高度なセキュリティ情報モデル (ASIM) アラート スキーマ リファレンス
Microsoft Sentinel アラート スキーマは、さまざまな製品からのセキュリティ関連のアラートを、Microsoft Advanced Security Information Model (ASIM) 内の標準化された形式に正規化するように設計されています。 このスキーマは、セキュリティ イベントのみに焦点を当て、さまざまなデータ ソース間で一貫性のある効率的な分析を保証します。
アラート スキーマは、脅威、疑わしいアクティビティ、ユーザーの行動の異常、コンプライアンス違反など、さまざまな種類のセキュリティ アラートを表します。 これらのアラートは、EDR、ウイルス対策ソフトウェア、侵入検出システム、データ損失防止ツールなど、さまざまなセキュリティ製品やシステムによって報告されます。これらに限定されません。
Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。
重要
アラート正規化スキーマは現在、 previewにあります。 この機能は、サービス レベル アグリーメントなしに提供されます。 運用環境のワークロード用にはお勧めしません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
パーサー
ASIM パーサーの詳細については、ASIM パーサーの概要に関する各ページを参照してください。
パーサーの統合
すべての ASIM Out-of-the-box パーサーを統合し、構成されているすべてのソースで分析が確実に実行されるようにするパーサーを使用するには、 _Im_AlertEvent フィルター パーサーまたはパラメーターのない _ASim_AlertEvent パーサーを使用します。 また、ワークスペースにデプロイされた imAlertEvent と ASimAlertEvent パーサーを imAlertEventからデプロイして使用することができます。
詳細については、組み込みの ASIM パーサーと、ワークスペースでデプロイされたパーサーに関するページを参照してください。
すぐに使用するソース固有のパーサー
Microsoft Sentinel がすぐに使用できるアラート パーサーの一覧については、 ASIM パーサーの一覧を参照してください。
独自の正規化されたパーサーを追加する
アラート情報モデルカスタム パーサーデベロピングする場合は、次の構文を使用して KQL 関数に名前を付けます。
-
vimAlertEvent<vendor><Product>パラメーター化されたパーサーの場合 -
ASimAlertEvent<vendor><Product>(標準パーサーの場合)
カスタム パーサーをアラート統合パーサーに追加する方法については、 ASIM パーサーの管理 に関する記事を参照してください。
パーサー パラメーターのフィルター処理
アラート パーサーは、クエリのパフォーマンスを向上させるために、さまざまな フィルター パラメーター をサポートしています。 これらのパラメーターは省略可能ですが、クエリのパフォーマンスを向上させることができます。 次のフィルター処理パラメーターを使用できます。
| 名前 | 種類 | 説明 |
|---|---|---|
| starttime | datetime | この時刻以降に開始されたアラートのみをフィルター処理します。 |
| endtime | datetime | この時刻以前に開始されたアラートのみをフィルター処理します。 |
| ipaddr_has_any_prefix | 動的 | 'DvcIpAddr' フィールドが一覧の値のいずれかに含まれているアラートのみをフィルター処理します。 |
| hostname_has_any | 動的 | 'DvcHostname' フィールドがリストされている値のいずれかに含まれているアラートのみをフィルター処理します。 |
| username_has_any | 動的 | 'Username' フィールドが一覧表示されている値のいずれかに含まれているアラートのみをフィルター処理します。 |
| attacktactics_has_any | 動的 | 'AttackTactics' フィールドが一覧表示されている値のいずれかに含まれているアラートのみをフィルター処理します。 |
| attacktechniques_has_any | 動的 | 'AttackTechniques' フィールドが一覧表示されている値のいずれかに含まれているアラートのみをフィルター処理します。 |
| threatcategory_has_any | 動的 | 'ThreatCategory' フィールドが一覧表示されている値のいずれかに含まれているアラートのみをフィルター処理します。 |
| alertverdict_has_any | 動的 | 'AlertVerdict' フィールドが一覧表示されている値のいずれかに含まれるアラートのみをフィルター処理します。 |
| eventseverity_has_any | 動的 | 'EventSeverity' フィールドが一覧表示されている値のいずれかに含まれるアラートのみをフィルター処理します。 |
スキーマの概要
アラート スキーマは、同じフィールドを共有するいくつかの種類のセキュリティ イベントを提供します。 これらのイベントは、EventType フィールドによって識別されます。
- 脅威情報: マルウェア、フィッシング、ランサムウェア、その他のサイバー脅威など、さまざまな種類の悪意のあるアクティビティに関連するアラート。
- 疑わしいアクティビティ: 必ずしも脅威が確認されていないが疑わしいアクティビティに対するアラート。ログイン試行の失敗や制限されたファイルへのアクセスなど、さらなる調査が必要です。
- ユーザー動作の異常: 異常なログイン時間や異常なデータ アクセス パターンなど、セキュリティの問題を示唆する可能性がある異常または予期しないユーザーの動作を示すアラート。
- コンプライアンス違反: 規制または内部ポリシーに対するコンプライアンス違反に関連するアラート。 たとえば、攻撃に対して脆弱なオープン パブリック ポートで公開されている VM (Cloud Security Alert) などです。
重要
アラート スキーマの関連性と有効性を維持するには、セキュリティ関連のアラートのみをマップする必要があります。
アラート スキーマは、アラートに関する詳細をキャプチャするために次のエンティティを参照します。
-
Dvc フィールドは、アラートに関連付けられているホストまたは IP に関する詳細をキャプチャするために使用されます
-
ユーザー フィールドは、アラートに関連付けられているユーザーに関する詳細をキャプチャするために使用されます。
- 同様に、 Process、 File、 Url、 Registry および Email フィールドは、アラートに関連付けられているプロセス、ファイル、URL、レジストリ、電子メールに関するキーの詳細のみをキャプチャするために使用されます。
重要
- 製品固有のパーサーを構築するときは、アラートにセキュリティ インシデントまたは潜在的な脅威に関する情報が含まれており、プライマリの詳細を使用可能なアラート スキーマ フィールドに直接マップできる場合は、ASIM アラート スキーマを使用します。 アラート スキーマは、エンティティ固有の広範なフィールドを使用せずに概要情報をキャプチャするのに最適です。
- ただし、直接フィールドの一致がないために 'AdditionalFields' に必須フィールドを配置している場合は、より特殊なスキーマを検討してください。 たとえば、アラートに複数の IP アドレス (SrcIpAdr、DstIpAddr、PortNumber など) などのネットワーク関連の詳細が含まれている場合は、アラート スキーマを使用して NetworkSession スキーマを選択できます。 また、特殊なスキーマでは、脅威に関連する情報をキャプチャし、データの品質を向上させ、効率的な分析を容易にする専用のフィールドも提供されます。
スキーマの詳細
一般的な ASIM フィールド
次の一覧では、アラート イベントに関する特定のガイドラインを持つフィールドについて説明します。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | イベントの種類。 サポートされる値は次のとおりです。 - Alert |
| EventSubType | 推奨 | Enumerated | アラート イベントのサブタイプまたはカテゴリを指定し、より広範なイベント分類の詳細を提供します。 このフィールドは、検出された問題の性質を区別し、インシデントの優先順位付けと対応戦略を改善するのに役立ちます。 サポートされている値は次のとおりです。 - Threat (システムまたはネットワークを侵害する可能性のある、確認済みまたは可能性の高い悪意のあるアクティビティを表します)- Suspicious Activity (悪意のあるものとしてまだ確認されていないが、異常または疑わしいと思われる動作またはイベントにフラグを設定します)- Anomaly (潜在的なセキュリティ リスクまたは運用上の問題を示す可能性がある通常のパターンからの逸脱を識別します)- Compliance Violation (規制、ポリシー、またはコンプライアンス標準に違反するアクティビティを強調します) |
| EventUid | Mandatory | string | システム内のアラートを一意に識別する、コンピューターが読み取り可能な英数字文字列。 例: A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | オプション | string | コンテキスト、原因、潜在的な影響など、アラートに関する詳細情報。 例: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | エイリアス | フィールドのエイリアスまたはフレンドリ名 DvcIpAddr 。 |
|
| hostname | エイリアス | フィールドのエイリアスまたはフレンドリ名 DvcHostname 。 |
|
| EventSchema | Mandatory | string | イベントに使用されるスキーマ。 ここに記載されているスキーマは AlertEvent。 |
| EventSchemaVersion | Mandatory | string | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1 です。 |
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | フィールド |
|---|---|
| Mandatory |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| 推奨 |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| 省略可能 |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
検査フィールド
次の表では、アラートに関連付けられているルールと脅威に関する重要な分析情報を提供するフィールドについて説明します。 一緒に、アラートのコンテキストを強化し、セキュリティ アナリストがその起源と重要性を簡単に理解できるようにします。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| AlertId | エイリアス | string | フィールドのエイリアスまたはフレンドリ名 EventUid 。 |
| AlertName | 推奨 | string | アラートのタイトルまたは名前。 例: Possible use of the Rubeus kerberoasting tool |
| AlertDescription | エイリアス | string | フィールドのエイリアスまたはフレンドリ名 EventMessage 。 |
| AlertVerdict | 省略可能 | Enumerated | アラートが脅威として確認されたか、疑わしいと見なされたか、誤検知として解決されたかを示す、アラートの最終的な決定または結果。 サポートされる値は次のとおりです。 - True Positive (正当な脅威として確認)- False Positive (脅威として正しく識別されない)- Benign Positive (イベントが無害であると判断された場合)- Unknown (不確実または未確定の状態) |
| AlertStatus | 省略可能 | Enumerated | アラートの現在の状態または進行状況を示します。 サポートされる値は次のとおりです。 - Active- Closed |
| AlertOriginalStatus | 省略可能 | string | 発生元システムによって報告されたアラートの状態。 |
| DetectionMethod | 省略可能 | Enumerated | アラートの生成に寄与した特定の検出方法、テクノロジ、またはデータ ソースに関する詳細情報を提供します。 このフィールドでは、アラートが検出またはトリガーされた方法に関するより深い分析情報が提供され、検出コンテキストと信頼性の理解に役立ちます。 サポートされている値は次のとおりです。 - EDR: エンドポイントアクティビティを監視および分析して脅威を特定するエンドポイント検出および対応システム。- Behavioral Analytics: ユーザー、デバイス、またはシステムの動作の異常なパターンを検出する手法。- Reputation: IP アドレス、ドメイン、またはファイルの評判に基づく脅威検出。- Threat Intelligence: 既知の脅威や敵対者の戦術に関するデータを提供する外部または内部のインテリジェンス フィード。- Intrusion Detection: 侵入や攻撃の兆候がないか、ネットワーク トラフィックまたはアクティビティを監視するシステム。- Automated Investigation:アラートを分析および調査し、手動のワークロードを削減する自動化されたシステム。- Antivirus: 署名とヒューリスティックに基づいてマルウェアを検出する従来のウイルス対策エンジン。- Data Loss Prevention: 不正なデータ転送や漏洩の防止に重点を置いたソリューション。- User Defined Blocked List: 特定の IP、ドメイン、またはファイルをブロックするためにユーザーが定義したカスタム リスト。- Cloud Security Posture Management: クラウド環境のセキュリティ リスクを評価および管理するツール。- Cloud Application Security: クラウド アプリケーションとデータをセキュリティで保護するソリューション。- Scheduled Alerts: 定義済みのスケジュールまたはしきい値に基づいて生成されたアラート。- Other:上記のカテゴリでカバーされていないその他の検出方法。 |
| Rule | エイリアス | string | RuleName の値と RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| RuleNumber | 省略可能 | int | アラートに関連付けられているルールの数。 例: 123456 |
| RuleName | 省略可能 | string | アラートに関連付けられているルールの名前または ID。 例: Server PSEXEC Execution via Remote Access |
| RuleDescription | 省略可能 | string | アラートに関連付けられているルールの説明。 例: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | オプション | string | アラートで識別された脅威またはマルウェアの ID。 例: 1234567891011121314 |
| ThreatName | オプション | string | アラートで識別された脅威またはマルウェアの名前。 例: Init.exe |
| ThreatFirstReportedTime | オプション | datetime | 脅威が最初に報告された日時。 例: 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | オプション | datetime | 脅威が最後に報告された日時。 例: 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | 推奨 | Enumerated | アラートで識別された脅威またはマルウェアのカテゴリ。 サポートされる値は、 Malware、 Ransomware、 Trojan、 Virus、 Worm、 Adware、 Spyware、 Rootkit、 Cryptominor、 Phishing、 Spam、 MaliciousUrl、 Spoofing、 Security Policy Violation、 Unknown |
| ThreatOriginalCategory | 省略可能 | string | 送信元システムによって報告される脅威のカテゴリ。 |
| ThreatIsActive | 省略可能 | [bool] | 脅威が現在アクティブかどうかを示します。 サポートされている値: True、 False |
| ThreatRiskLevel | 省略可能 | int | 脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 注: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | オプション | string | 発生元システムによって報告されるリスク レベル。 |
| ThreatConfidence | 省略可能 | int | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatOriginalConfidence | 省略可能 | string | 元のシステムによって報告される信頼度レベル。 |
| IndicatorType | 推奨 | Enumerated | インジケーターの種類またはカテゴリ サポートされる値は次のとおりです。 - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | 省略可能 | Enumerated | インジケーターが脅威にリンクされているか、直接影響を受けるかを指定します。 サポートされる値は次のとおりです。 - Associated- Targeted |
| AttackTactics | 推奨 | string | アラートに関連付けられている攻撃戦術 (名前、ID、またはその両方)。 推奨される形式: 例: Persistence, Privilege Escalation |
| AttackTechniques | 推奨 | string | アラートに関連付けられている攻撃手法 (名前、ID、またはその両方)。 推奨される形式: 例: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | 推奨 | string | 特定された攻撃または脅威を軽減または修復するための推奨されるアクションまたは手順。 例: 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
User Fields
このセクションでは、アラートに関連付けられているユーザーの識別と分類に関連するフィールドを定義し、影響を受けるユーザーとその ID の形式を明確にします。 アラートに、ここにマップされている内容を超える複数のユーザー関連フィールドが含まれている場合は、認証イベント スキーマなどの特殊なスキーマが、データを完全に表現するのに適しているかどうかを検討できます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| UserId | オプション | string | アラートに関連付けられているユーザーの、コンピューターで読み取り可能な英数字の一意の表現。 例: A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | 条件付き | Enumerated | ユーザー ID の種類 ( GUID、 SID、 Emailなど)。サポートされる値は次のとおりです。 - GUID- SID- Email- Username- Phone- Other |
| ユーザー名 | 推奨 | string | アラートに関連付けられているユーザーの名前 (使用可能な場合はドメイン情報を含む)。 例: Contoso\JSmith または john.smith@contoso.com |
| User | エイリアス | string | フィールドのエイリアスまたはフレンドリ名 Username 。 |
| UsernameType | 条件付き | UsernameType |
Username フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。例: Windows |
| UserType | オプション | UserType | アクターの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Guest |
| OriginalUserType | オプション | string | レポート デバイスによって報告されたユーザー タイプ。 |
| UserSessionId | 省略可能 | string | アラートに関連付けられているユーザーのセッションの一意の ID。 例: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | 省略可能 | string | UserId とユーザー名が定義されているスコープ ID (Microsoft Entra Directory ID など)。 例: a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | 省略可能 | string | UserId とユーザー名が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 例: Contoso Directory |
プロセス フィールド
このセクションでは、指定したフィールドを使用して、アラートに関連するプロセス エンティティに関連する詳細をキャプチャできます。 ここでマップされている内容を超える追加の詳細なプロセス関連フィールドがアラートに含まれている場合は、プロセス イベント スキーマなどの特殊なスキーマが、データを完全に表現するのに適しているかどうかを検討できます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ProcessId | 省略可能 | string | アラートに関連付けられているプロセス ID (PID)。 例: 12345678 |
| ProcessCommandLine | 省略可能 | string | プロセスを開始するために使用されるコマンド ライン。 例: "choco.exe" -v |
| ProcessName | 省略可能 | string | プロセスの名前。 例: C:\Windows\explorer.exe |
| ProcessFileCompany | 省略可能 | string | プロセス イメージ ファイルを作成した会社。 例: Microsoft |
ファイル フィールド
このセクションでは、アラートに関連するファイル エンティティに関連する詳細をキャプチャできます。 アラートに、ここにマップされている内容を超える詳細なファイル関連フィールドが含まれている場合は、ファイル イベント スキーマなどの特殊なスキーマが、データを完全に表現するのに適しているかどうかを検討できます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| FileName | オプション | string | パスまたは場所を指定せずに、アラートに関連付けられているファイルの名前。 例: Notepad.exe |
| FilePath | 省略可能 | string | フォルダーまたは場所、ファイル名、拡張子など、ターゲット ファイルの完全な正規化されたパス。 例: C:\Windows\System32\notepad.exe |
| FileSHA1 | 省略可能 | string | ファイルの SHA1 ハッシュ。 例: j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | 省略可能 | string | ファイルの SHA256 ハッシュ。 例: a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | 省略可能 | string | ファイルの MD5 ハッシュ。 例: j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | オプション | long | ファイルのサイズ (バイト単位)。 例: 123456 |
URL フィールド
アラートに URL エンティティに関する情報が含まれている場合は、次のフィールドで URL 関連のデータをキャプチャできます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Url | 省略可能 | string | アラートでキャプチャされた URL 文字列。 例: https://contoso.com/fo/?k=v&q=u#f |
レジストリ フィールド
アラートにレジストリ エンティティに関する詳細が含まれている場合は、次のフィールドを使用して、特定のレジストリ関連の情報をキャプチャします。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| RegistryKey | 省略可能 | string | アラートに関連付けられたレジストリ キー。標準のルート キーの名前付け規則に正規化されます。 例: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | 省略可能 | string | レジストリ値。 例: ImagePath |
| RegistryValueData | 省略可能 | string | レジストリ値のデータ。 例: C:\Windows\system32;C:\Windows; |
| RegistryValueType | 省略可能 | Enumerated | レジストリ値の型。 例: Reg_Expand_Sz |
電子メール フィールド
アラートに電子メール エンティティに関する情報が含まれている場合は、次のフィールドを使用して、特定の電子メール関連の詳細をキャプチャします。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EmailMessageId | 省略可能 | string | アラートに関連付けられた電子メール メッセージの一意の識別子。 例: Request for Invoice Access |
| EmailSubject | 省略可能 | string | メールの件名。 例: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
スキーマの更新
スキーマのさまざまなバージョンでの変更点を次に示します。
- バージョン 0.1: 初期リリース。