次の方法で共有


Advanced Security Information Model (ASIM) 認証正規化スキーマのリファレンス (パブリック プレビュー)

Microsoft Sentinel 認証スキーマは、ユーザー認証、サインイン、サインアウトに関連するイベントを記述するために使用されます。認証イベントは数多くのレポート デバイスによって、通常はイベント ストリームの一部として、他のイベントと共に送信されます。 たとえば、Windows は、いくつかの認証イベントを、他の OS アクティビティ イベントと共に送信します。

認証イベントには、VPN ゲートウェイやドメイン コントローラーなどの認証に重点を置いたシステムからのイベントと、コンピューターやファイアウォールなどのエンド システムへの直接認証の両方が含まれます。

Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。

重要

現在、認証正規化スキーマはプレビュー段階です。 この機能は、サービス レベル アグリーメントなしで提供されており、運用環境のワークロード用には推奨されていません。

Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

パーサー

ASIM 認証パーサーを Microsoft Sentinel GitHub リポジトリからデプロイします。 ASIM パーサーの詳細については、記事 「ASIM パーサーの概要」を参照してください。

統一パーサー

すべての ASIM のアウトオブザボックス パーサーを統一するパーサーを使用し、構成済みのソース全体で分析が確実に実行されるようにするには、imAuthentication フィルターパーサーまたは ASimAuthentication パラメーターレス パーサーを使用します。

ソース固有のパーサー

Microsoft Sentinel が提供する認証パーサーの一覧については、ASIM パーサーの一覧を参照してください。

独自の正規化されたパーサーを追加する

認証情報モデル用のカスタム パーサーを実装するときは、次の構文を使用して KQL 関数に名前を付けます。

  • vimAuthentication<vendor><Product>フィルターパーサーの場合
  • ASimAuthentication<vendor><Product>パラメーターレス パーサーの場合

統合パーサーにカスタム パーサーを追加する方法の詳細については、「ASIM パーサーの管理」を参照してください。

パーサー パラメーターのフィルター処理

im および vim* パーサーでは、imがサポートされています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。

次のフィルター処理パラメーターを使用できます。

名前 種類 説明
starttime DATETIME この時間以降に実行された認証イベントのみをフィルター処理します。
endtime DATETIME この時間以前に実行が完了した認証イベントのみをフィルター処理します。
targetusername_has string 一覧表示されたユーザー名のいずれかを持つ認証イベントのみをフィルター処理します。

たとえば、過去 1 日の認証イベントのみを特定のユーザーにフィルター処理するには、以下を使用します。

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

ヒント

動的な値を期待するパラメーターにリテラル リストを渡すには、動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])

正規化されたコンテンツ

正規化された認証分析規則は、複数のソースにまたがる攻撃を検出する点において、独特です。 そのため、たとえば、ユーザーが別の国/リージョンから、関連性のない異なるシステムにログインした場合、Microsoft Azure Sentinel によってこの脅威が検出されるようになります。

正規化された認証イベントを使用する分析規則の完全な一覧については、「認証スキーマのセキュリティ コンテンツ」を参照してください。

スキーマの概要

認証情報モデルは、OSSEM ログオン エンティティ スキーマに合わせて調整されています。

以下の表に示すフィールドは認証イベントに固有ですが、他のスキーマのフィールドに類似しており、同様の名前付け規則に従います。

認証イベントは、次のエンティティを参照します。

  • Targetuser - システムへの認証に使用されるユーザー情報。 Targetsystemは、認証イベントの主な対象であり、エイリアスのユーザーは識別されたTargetUserにエイリアスを付けます。
  • Targetapp - 認証されたアプリケーション。
  • Target - TargetApp* が実行されているシステム。
  • アクター - 認証を開始するユーザー (Targetuserと異なる場合)。
  • Actingapp - アクターが認証を実行するために使用するアプリケーション。
  • Src - 認証を開始するためにアクター が使用するシステム。

これらのエンティティ間のリレーションシップは、次のように示されます。

"ソース システム" (Src) 上の "代理アプリケーション" (ActingApp) を実行しているアクターは、"ターゲット システム" (TargetDvc) 上の "ターゲット アプリケーション" (TargetApp) に対する TargetUser の認証を試みます。

スキーマの詳細

以降の表では、"" は論理型を指しています。 詳細については、「論理型」を参照してください。

一般的な ASIM フィールド

重要

すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

特定のガイドラインを持つ共通フィールド

次の一覧には、認証イベントに関する具体的なガイドラインが含まれたフィールドを示しています。

フィールド クラス Type 説明
EventType Mandatory Enumerated レコードによって報告される操作を記述します。

認証レコードの場合、サポートされる値は次のとおりです。
- Logon
- Logoff
- Elevate
EventResultDetails 推奨 String イベントの結果に関連付けられている詳細。 結果が失敗だった場合、このフィールドは通常設定されています。

使用できる値は、以下のとおりです。
- No such user or password. この値は、元のイベントが、パスワードへの参照なしでそのようなユーザーがいないことを報告するときにも使用する必要があります。
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. この値は、元のイベントが、たとえば、MFA が必要なこと、勤務時間外のログオン、条件付きアクセス制限、過剰な試行回数などを報告するときに使用する必要があります。
- Session expired
- Other

ソース レコードでは、異なる用語を使用して値が指定されている場合があります。それを、これらの値に正規化する必要があります。 元の値は EventOriginalResultDetails フィールドに格納する必要があります。
EventSubType オプション String サインインの種類。 使用できる値は、以下のとおりです。
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote - リモート サインインの種類が不明な場合に使用します。
- AssumeRole - 通常、イベントの種類が Elevate の場合に使用します。

ソース レコードでは、異なる用語を使用して値が指定されている場合があります。それを、これらの値に正規化する必要があります。 元の値は、EventOriginalSubType フィールドに保存する必要があります。
EventSchemaVersion Mandatory String スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.3 です
EventSchema Mandatory String ここに記載されているスキーマの名前は Dhcp です。
Dvc フィールド - - 認証イベントの場合、デバイス フィールドはイベントを報告するシステムを指します。

すべての共通フィールド

下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

クラス Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
推奨 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
オプション - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

認証固有のフィールド

フィールド クラス Type 説明
LogonMethod オプション String 認証を実行するために使用されるメソッド。

例: Username & PasswordPKI
LogonProtocol オプション String 認証を実行するために使用されるプロトコル。

例: NTLM

アクターのフィールド

フィールド クラス Type 説明
ActorUserId 省略可能 String コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 詳細と追加の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。

例: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope オプション String ActorUserIdActorUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。
ActorScopeId 省略可能 String ActorUserIdActorUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。
ActorUserIdType 条件付き UserIdType ActorUserId フィールドに格納されている ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。
ActorUsername オプション ユーザー名 アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 詳細については、「ユーザー エンティティ」を参照してください。

例: AlbertE
ActorUsernameType 条件付き UsernameType ActorUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。

例: Windows
ActorUserType オプション UserType アクターの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。

例: Guest
ActorOriginalUserType オプション UserType レポート デバイスによって報告されたユーザー タイプ。
ActorSessionId オプション String アクターのサインイン セッションの一意の ID。

例: 102pTUgC3p8RIqHvzxLCHnFlg

代理アプリケーション フィールド

フィールド クラス Type 説明
ActingAppId オプション String アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の ID。

例: 0x12ae8
ActingAppName オプション String アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の名前。

例: C:\Windows\System32\svchost.exe
ActingAppType オプション AppType 代理アプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。
HttpUserAgent 省略可能 String HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。

例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

ターゲット ユーザーのフィールド

フィールド クラス Type 説明
TargetUserId 省略可能 UserId コンピューターが判読できる、英数字で、ターゲット ユーザーを一意に表現したもの。 詳細と追加の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。

例: 00urjk4znu3BcncfY0h7
TargetUserScope 省略可能 String TargetUserIdTargetUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。
TargetUserScopeId 省略可能 String TargetUserIdTargetUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。
TargetUserIdType 条件付き UserIdType TargetUserId フィールドに格納されているユーザー ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。

例: SID
TargetUsername オプション ユーザー名 ターゲット ユーザーのユーザー名 (使用可能な場合はドメイン情報を含む)。 詳細については、「ユーザー エンティティ」を参照してください。

例: MarieC
TargetUsernameType 条件付き UsernameType TargetUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。
TargetUserType オプション UserType ターゲット ユーザーの型です。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。

例: Member
TargetSessionId オプション String ソース デバイス上の TargetUser のサインイン セッション識別子。
TargetOriginalUserType オプション UserType レポート デバイスによって報告されたユーザー タイプ。
User エイリアス ユーザー名 TargetUsername の別名。または、TargetUsername が定義されていない場合は TargetUserId の別名。

例: CONTOSO\dadmin

ソース システム フィールド

フィールド クラス Type 説明
Src 推奨 String ソース デバイスの一意識別子。

このフィールドは、SrcDvcIdSrcHostname、または SrcIpAddr フィールドの別名になる可能性があります。

例: 192.168.12.1
SrcDvcId オプション String ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド SrcDvc<DvcIdType> に格納します。

例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 省略可能 String デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcScope 省略可能 String デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcIdType 条件付き DvcIdType SrcDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。

: SrcDvcId が使用されている場合、このフィールドは必須です。
SrcDeviceType オプション DeviceType ソース デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。
SrcHostname 推奨 Hostname (ホスト名) ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。

例: DESKTOP-1282V4D
SrcDomain 推奨 String ソース デバイスのドメイン。

例: Contoso
SrcDomainType 条件付き DomainType SrcDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。

SrcDomain が使用されている場合は必須です。
SrcFQDN オプション String ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。

: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。

例: Contoso\DESKTOP-1282V4D
SrcDescription 省略可能 String デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。
SrcIpAddr オプション IP アドレス ソース デバイスの IP アドレス。

例: 2.2.2.2
SrcPortNumber オプション Integer 接続元の IP ポート。

例: 2335
SrcDvcOs オプション String ソース デバイスの OS。

例: Windows 10
IpAddr エイリアス SrcIpAddr の別名
SrcIsp オプション String ソース デバイスがインターネットに接続するために使用するインターネット サービス プロバイダー (ISP)。

例: corpconnect
SrcGeoCountry 省略可能 Country 例: Canada

詳細については、「論理型」を参照してください。
SrcGeoCity オプション City 例: Montreal

詳細については、「論理型」を参照してください。
SrcGeoRegion 省略可能 リージョン 例: Quebec

詳細については、「論理型」を参照してください。
SrcGeoLongitude 省略可能 Longitude 例: -73.614830

詳細については、「論理型」を参照してください。
SrcGeoLatitude 省略可能 Latitude 例: 45.505918

詳細については、「論理型」を参照してください。
SrcRiskLevel オプション Integer ソースに関連付けられているリスク レベル。 この値は、0 から 100 の範囲に調整する必要があります。0 は問題なし、100 は高リスクを意味します。

例: 90
SrcOriginalRiskLevel オプション Integer レポート デバイスによって報告された、ソースに関連付けられているリスク レベル。

例: Suspicious

ターゲット アプリケーション フィールド

フィールド クラス Type 説明
TargetAppId オプション String 認可を必要とするアプリケーションの ID。多くの場合、レポート デバイスによって割り当てられます。

例: 89162
TargetAppName 省略可能 String 認可を必要とするアプリケーションの名前 (サービス、URL、SaaS アプリケーションなど)。

例: Saleforce
TargetAppType オプション AppType アクターに代わって承認するアプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。
TargetUrl オプション URL ターゲット アプリケーションに関連する URL。

例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget エイリアス TargetAppNameTargetUrl、または TargetHostname のいずれかで、認証ターゲットを最もよく表すフィールドのエイリアス。

ターゲット システム フィールド

フィールド クラス Type 説明
Dst エイリアス String 認証対象の一意の識別子。

このフィールドは、 TargetDvcIdTargetHostnameTargetIpAddrTargetAppId、または TargetAppName フィールドに別名を付けることができます。

例: 192.168.12.1
TargetHostname 推奨 Hostname (ホスト名) ドメイン情報を除いた、ターゲット デバイスのホスト名。

例: DESKTOP-1282V4D
TargetDomain 推奨 String ターゲット デバイスのドメイン。

例: Contoso
TargetDomainType 条件付き Enumerated Targetdomainの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。

Targetdomainを使用する場合は必須です。
TargetFQDN オプション String ターゲット デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。

例: Contoso\DESKTOP-1282V4D

: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 TargetDomainType フィールドには、使用されている形式が反映されます。
TargetDescription 省略可能 String デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。
TargetDvcId オプション String ターゲット デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド TargetDvc<DvcIdType> に格納します。

例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId 省略可能 String デバイスが属するクラウド プラットフォームのスコープ ID。 TargetDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
TargetDvcScope 省略可能 String デバイスが属するクラウド プラットフォームのスコープ。 TargetDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
TargetDvcIdType 条件付き Enumerated Targetdvcid の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。

Targetdeviceid を使用する場合は必須です。
TargetDeviceType オプション Enumerated ターゲット デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。
TargetIpAddr オプション IP アドレス ターゲット デバイスの IP アドレス。

例: 2.2.2.2
TargetDvcOs オプション String ターゲット デバイスの OS。

例: Windows 10
TargetPortNumber 省略可能 Integer ターゲット デバイスのポート。
TargetGeoCountry 省略可能 ターゲット IP アドレスに関連付けられている国/地域。

例: USA
TargetGeoRegion 省略可能 リージョン ターゲット IP アドレスに関連付けられているリージョン。

例: Vermont
TargetGeoCity 省略可能 City ターゲット IP アドレスに関連付けられている都市。

例: Burlington
TargetGeoLatitude 省略可能 Latitude ターゲット IP アドレスに関連付けられている地理的座標の緯度。

例: 44.475833
TargetGeoLongitude 省略可能 Longitude ターゲット IP アドレスに関連付けられている地理的座標の経度。

例: 73.211944
TargetRiskLevel 省略可能 Integer ターゲットに関連付けられているリスク レベル。 この値は、0 から 100 の範囲に調整する必要があります。0 は問題なし、100 は高リスクを意味します。

例: 90
TargetOriginalRiskLevel 省略可能 Integer レポート デバイスによって報告された、ターゲットに関連付けられているリスク レベル。

例: Suspicious

検査のフィールド

次のフィールドは、セキュリティ システムによって実行される検査を表すために使用されます。

フィールド クラス Type 説明
RuleName 省略可能 String 検査結果に関連付けられたルールの名前または ID。
RuleNumber 省略可能 Integer 検査結果に関連付けられたルールの番号。
Rule エイリアス String RuleName の値と RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。
ThreatId オプション String 監査アクティビティで識別された脅威またはマルウェアの ID。
ThreatName オプション String 監査アクティビティで識別された脅威またはマルウェアの名前。
ThreatCategory 省略可能 String 監査ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。
ThreatRiskLevel オプション Integer 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。

: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。
ThreatOriginalRiskLevel オプション String レポート デバイスによって報告されたリスク レベル。
ThreatConfidence 省略可能 Integer 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。
ThreatOriginalConfidence 省略可能 String レポート デバイスによって報告される、特定された脅威の元の信頼レベル。
ThreatIsActive オプション ブール型 特定された脅威がアクティブな脅威と見なされる場合は True。
ThreatFirstReportedTime オプション DATETIME IP アドレスまたはドメインが脅威として初めて識別された場合。
ThreatLastReportedTime オプション DATETIME 最後に IP アドレスまたはドメインが脅威として識別された時刻。
ThreatIpAddr 省略可能 IP アドレス 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。
ThreatField 省略可能 Enumerated 脅威が特定されたフィールド。 値は SrcIpAddr または TargetIpAddr です。

スキーマの更新

バージョン 0.1.1 のスキーマの変更点を次に示します。

  • 他のスキーマと一致するように、ユーザーとデバイスのエンティティ フィールドを更新しました。
  • 現在の ASIM ガイドラインに合わせて、TargetDvcSrcDvcの名前をそれぞれTargetSrcに変更しました。 名前が変更されたフィールドは、2022年7月1日までエイリアスとして実装されます。 これらのフィールドには、SrcDvcHostnameSrcDvcHostnameTypeSrcDvcTypeSrcDvcIpAddrTargetDvcHostnameTargetDvcHostnameTypeTargetDvcTypeTargetDvcIpAddrTargetDvcがあります。
  • SrcDstにエイリアスが追加されました。
  • フィールド SrcDvcIdTypeSrcDeviceTypeTargetDvcIdTypeTargetDeviceTypeEventSchema が追加されました。

スキーマのバージョン 0.1.2 の変更は次のとおりです。

  • フィールド ActorScopeTargetUserScopeSrcDvcScopeIdSrcDvcScopeTargetDvcScopeIdTargetDvcScopeDvcScopeIdDvcScope が追加されました。

スキーマのバージョン 0.1.3 の変更は次のとおりです。

  • フィールド SrcPortNumberActorOriginalUserTypeActorScopeIdTargetOriginalUserTypeTargetUserScopeIdSrcDescriptionSrcRiskLevelSrcOriginalRiskLevelTargetDescription が追加されました。
  • 検査フィールドが追加されました
  • ターゲット システムの地理的な位置フィールドが追加されました。

次のステップ

詳細については、次を参照してください。