次の方法で共有


Advanced Security Information Model (ASIM) ファイル イベント正規化スキーマのリファレンス (パブリック プレビュー)

ファイル イベント正規化スキーマは、ファイルまたはドキュメントの作成、変更、削除などのファイル アクティビティを記述するために使用されます。 このようなイベントは、オペレーティング システム、Azure Files などのファイル ストレージ システム、Microsoft SharePoint などのドキュメント管理システムによって報告されます。

Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。

重要

現在、ファイル イベント正規化スキーマはプレビュー段階です。 この機能は、サービス レベル アグリーメントなしで提供されており、運用環境のワークロード用には推奨されていません。

Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

パーサー

ファイル アクティビティ パーサーのデプロイと使用

ASIM ファイル アクティビティ パーサーを Microsoft Sentinel GitHub リポジトリからデプロイします。 すべてのファイル アクティビティ ソースでクエリを実行するには、クエリのテーブル名として統一パーサー imFileEvent を使用します。

ASIM パーサーの使用方法の詳細については、ASIM パーサーの概要に関する各ページを参照してください。 Microsoft Sentinel が提供する ファイル アクティビティ パーサーの一覧については、ASIM パーサーの一覧を参照してください

独自の正規化されたパーサーを追加する

ファイル イベント情報モデルにカスタム パーサーを実装するときは、imFileEvent<vendor><Product の構文を使用して KQL 関数に名前を付けます。

ファイル アクティビティ統一パーサーにカスタム パーサーを追加する方法については、ASIM パーサーの管理に関する記事を参照してください。

正規化されたコンテンツ

正規化されたファイル アクティビティ イベントを使用する分析ルールの完全な一覧については、「ファイル アクティビティのセキュリティ コンテンツ」を参照してください。

スキーマの概要

ファイル イベント情報モデルは、OSSEM プロセス エンティティ スキーマに対応しています。

ファイル イベント スキーマでは、ファイル アクティビティの中心である次のエンティティを参照します。

  • Actor。 ファイル アクティビティを開始したユーザー
  • ActingProcess。 ファイル アクティビティを開始するためにアクターによって使用されるプロセス
  • TargetFile。 操作が実行されたファイル
  • ソース ファイル (SrcFile) 。 操作前のファイル情報を格納します。

これらのエンティティ間の関係は、次のように示すと最もわかりやすくなります。アクター実行プロセスを使用してファイル操作を実行し、ソース ファイルターゲット ファイルに変更します。

例: JohnDoe (アクター) が Windows File Explorer (実行プロセス) を使用して new.doc (ソース ファイル) の名前を old.doc (ターゲット ファイル) に変更する。

スキーマの詳細

共通フィールド

重要

すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

ファイル イベント スキーマに関する特定のガイドラインがあるフィールド

次の一覧には、File アクティビティ イベントに関する具体的なガイドラインが含まれたフィールドを示しています。

フィールド クラス Type 説明
EventType Mandatory Enumerated レコードによって報告される操作を記述します。

サポートされている値は

- FileAccessed
- FileCreated
- FileModified
- FileDeleted
- FileRenamed
- FileCopied
- FileMoved
- FolderCreated
- FolderDeleted
- FolderMoved
- FolderModified
- FileCreatedOrModified
EventSubType オプション Enumerated EventType で報告される操作の詳細について説明します。 イベントの種類ごとにサポートされる値は次のとおりです。
- FileCreated - Upload, Checkin
- FileModified - Checkin
- FileCreatedOrModified - Checkin
- FileAccessed - DownloadPreviewCheckoutExtended
- FileDeleted - RecycledVersionsSite
EventSchema Mandatory String ここに記載されているスキーマの名前は FileEvent です。
EventSchemaVersion Mandatory String スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.2.1 です
Dvc フィールド - - File アクティビティ ベントの場合、デバイス ィールドは、ファイル アクティビティが発生したシステムを参照します。

重要

EventSchema フィールドは現在任意ですが、2022 年 9 月 1 日に必須になります。

すべての共通フィールド

表に示すフィールドは、すべての ASIM スキーマに共通です。 このドキュメントのスキーマ固有のガイドラインはすべて、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

クラス Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
推奨 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
オプション - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

ターゲット ファイル フィールド

次のフィールドは、ファイル操作のターゲット ファイルに関する情報を表します。 操作に 1 つのファイルが含まれている場合 (たとえば、FileCreate) は、ターゲット ファイル フィールドで表されます。

フィールド クラス Type 説明
TargetFileCreationTime オプション 日付/時刻 ターゲット ファイルが作成された時刻。
TargetFileDirectory オプション String ターゲット ファイルのフォルダーまたは場所。 このフィールドは、最終要素のない TargetFilePath フィールドに類似しています。

: 値がログ ソースにある場合は、パーサーによってこの値が提供されることがあり、フル パスから抽出される必要はありません。
TargetFileExtension オプション String ターゲット ファイルの拡張子。

: 値がログ ソースにある場合は、パーサーによってこの値が提供されることがあり、フル パスから抽出される必要はありません。
TargetFileMimeType オプション Enumerated ターゲット ファイルの MIME タイプまたはメディア タイプ。 許可されている値の一覧は、IANA メディア タイプ リポジトリで確認できます。
TargetFileName 推奨 String パスまたは場所のないターゲット ファイルの名前。ただし、該当する場合は拡張子が付きます。 このフィールドは、TargetFilePath フィールドの最終要素に類似しています。
FileName エイリアス TargetFileName フィールドのエイリアス。
TargetFilePath Mandatory String フォルダーまたは場所、ファイル名、拡張子が含まれる、ターゲット ファイルの正規化されたフル パス。 詳細については、「パス構造」を参照してください。

: レコードにフォルダーや場所の情報が含まれていない場合は、ここにのみファイル名を格納してください。

例: C:\Windows\System32\notepad.exe
TargetFilePathType Mandatory Enumerated TargetFilePath の型。 詳細については、「パス構造」を参照してください。
FilePath エイリアス TargetFilePath フィールドの別名。
TargetFileMD5 オプション MD5 ターゲット ファイルの MD5 ハッシュ。

例: 75a599802f1fa166cdadb360960b1dd0
TargetFileSHA1 省略可能 SHA1 ターゲット ファイルの SHA-1 ハッシュ。

例:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
TargetFileSHA256 省略可能 SHA256 ターゲット ファイルの SHA-256 ハッシュ。

例:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetFileSHA512 省略可能 SHA512 ソース ファイルの SHA-512 ハッシュ。
ハッシュ エイリアス 利用可能な最善のターゲット ファイルのハッシュの別名。
HashType 推奨 String HASH エイリアスフィールドに格納されるハッシュの種類、許可される値はMD5SHASHA256SHA512IMPHASHです。 Hash が設定されている場合は必須です。
TargetFileSize オプション Long ターゲット ファイルのサイズ (バイト単位)。

ソース ファイル フィールド

次のフィールドでは、コピーなどのソースとターゲットの両方があるファイル操作のソース ファイルに関する情報を表します。 操作に 1 つのファイルが含まれている場合は、ターゲット ファイル フィールドで表されます。

フィールド クラス Type 説明
SrcFileCreationTime 省略可能 日付/時刻 ソース ファイルが作成された時刻。
SrcFileDirectory オプション String ソース ファイルのフォルダーまたは場所。 このフィールドは、最終要素のない SrcFilePath フィールドに類似しています。

: 値がログ ソースにある場合は、パーサーによってこの値が提供されることがあり、フル パスから抽出される必要はありません。
SrcFileExtension オプション String ソース ファイルの拡張子。

: 値がログ ソースにある場合は、パーサーによってこの値が提供されることがあり、フル パスから抽出される必要はありません。
SrcFileMimeType オプション Enumerated ソース ファイルの MIME タイプまたはメディア タイプ。 サポートされている値の一覧は、IANA メディア タイプ リポジトリで確認できます。
SrcFileName 推奨 String パスまたは場所のないソース ファイルの名前。ただし、該当する場合は拡張子が付きます。 このフィールドは、SrcFilePath フィールドの最終要素に類似しています。
SrcFilePath 推奨 String フォルダーまたは場所、ファイル名、拡張子が含まれる、ソース ファイルの正規化されたフル パス。

詳細については、「パス構造」を参照してください。

例: /etc/init.d/networking
SrcFilePathType 推奨 Enumerated SrcFilePath の型。 詳細については、「パス構造」を参照してください。
SrcFileMD5 省略可能 MD5 ソース ファイルの MD5 ハッシュ。

例: 75a599802f1fa166cdadb360960b1dd0
SrcFileSHA1 省略可能 SHA1 ソース ファイルの SHA-1 ハッシュ。

例:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
SrcFileSHA256 オプション SHA256 ソース ファイルの SHA-256 ハッシュ。

例:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
SrcFileSHA512 省略可能 SHA512 ソース ファイルの SHA-512 ハッシュ。
SrcFileSize オプション Long ソース ファイルのサイズ (バイト単位)。

アクターのフィールド

フィールド クラス Type 説明
ActorUserId 推奨 String コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。

例: S-1-12
ActorScope オプション String ActorUserIdActorUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。
ActorScopeId 省略可能 String ActorUserIdActorUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。
ActorUserIdType 条件付き String ActorUserId フィールドに格納されている ID の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserIdType」を参照してください。
ActorUsername Mandatory String アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。

ユーザー名の種類は、ActorUsernameType フィールドに格納します。 他のユーザー名形式が使用可能な場合、それらをフィールド ActorUsername<UsernameType> に格納します。

例: AlbertE
User エイリアス ActorUsername フィールドの別名。

例: CONTOSO\dadmin
ActorUsernameType 条件付き Enumerated ActorUsername フィールドに格納されているユーザー名の種類を指定します。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UsernameType」を参照してください。

例: Windows
ActorSessionId オプション String Actor のログイン セッションの一意の ID。

例: 999

: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。

Windows マシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。
ActorUserType オプション UserType アクターの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserType」を参照してください。

: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、ActorOriginalUserType フィールドに格納します。
ActorOriginalUserType 省略可能 String レポート デバイスによって提供されている場合、元のターゲット ユーザーの種類。

プロセス フィールドの実行

フィールド クラス Type 説明
ActingProcessCommandLine 省略可能 String 実行プロセスを実行するために使用するコマンド ライン。

例: "choco.exe" -v
ActingProcessName 省略可能 string 実行プロセスの名前。 この名前は通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用される、イメージまたは実行可能ファイルから派生します。

例: C:\Windows\explorer.exe
Process エイリアス ActingProcessName の別名
ActingProcessId 省略可能 String 実行プロセスのプロセス ID (PID)。

例: 48610176

: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows と Linux ではこの値は数値である必要があります。

Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。
ActingProcessGuid 省略可能 string 実行プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できます。

例: EF3BD0BD-2B74-60C5-AF5C-010000001E00

次のフィールドでは、通常、ネットワーク経由で実行される場合に、ファイル アクティビティを開始するシステムに関する情報を表します。

フィールド クラス Type 説明
SrcIpAddr 推奨 IP アドレス 操作がリモート システムによって開始されたときは、このシステムの IP アドレス。

例: 185.175.35.214
IpAddr エイリアス SrcIpAddr の別名
Src エイリアス SrcIpAddr の別名
SrcPortNumber オプション Integer 操作がリモート システムによって開始される場合、接続の開始元のポート番号。

例: 2335
SrcHostname 推奨 Hostname (ホスト名) ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。

例: DESKTOP-1282V4D
SrcDomain 推奨 String ソース デバイスのドメイン。

例: Contoso
SrcDomainType 条件付き DomainType SrcDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。

SrcDomain が使用されている場合は必須です。
SrcFQDN オプション String ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。

: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。

例: Contoso\DESKTOP-1282V4D
SrcDescription 省略可能 String デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。
SrcDvcId オプション String ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド SrcDvc<DvcIdType> に格納します。

例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 省略可能 String デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcScope 省略可能 String デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcIdType 条件付き DvcIdType SrcDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。

: SrcDvcId が使用されている場合、このフィールドは必須です。
SrcDeviceType オプション DeviceType ソース デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。
SrcSubscriptionId オプション String ソース デバイスが属するクラウド プラットフォームのサブスクリプション ID。 SrcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcGeoCountry 省略可能 送信元 IP アドレスに関連付けられている国/地域。

例: USA
SrcGeoRegion 省略可能 リージョン 発信元 IP アドレスに関連付けられているリージョン。

例: Vermont
SrcGeoCity オプション City 発信元 IP アドレスに関連付けられている都市。

例: Burlington
SrcGeoLatitude 省略可能 Latitude 発信元 IP アドレスに関連付けられている地理的座標の緯度。

例: 44.475833
SrcGeoLongitude 省略可能 Longitude 発信元 IP アドレスに関連付けられている地理的座標の経度。

例: 73.211944

次のフィールドでは、ファイル アクティビティがネットワーク経由で実行された場合のネットワーク セッションに関する情報を表します。

フィールド クラス Type 説明
HttpUserAgent 省略可能 String HTTP または HTTPS を使用してリモート システムによって操作が開始されると、ユーザー エージェントが使用されます。

次に例を示します。
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/42.0.2311.135
Safari/537.36 Edge/12.246
NetworkApplicationProtocol オプション String 操作がリモート システムによって開始されると、この値は OSI モデルで使用されるアプリケーション層プロトコルになります。

このフィールドは列挙されず、あらゆる値が許容されます。推奨される値には、HTTPHTTPSSMBFTPSSH などが挙げられます

例: SMB

ターゲット アプリケーション フィールド

次のフィールドでは、ユーザーに代わってファイル アクティビティを実行するターゲット アプリケーションに関する情報を表します。 ターゲット アプリケーションは、通常、Saas (サービスとしてのソフトウェア) アプリケーションを使用するなど、ネットワーク経由のファイル アクティビティに関連します。

フィールド クラス Type 説明
TargetAppName 省略可能 String ターゲット アプリケーションの名前。

例: Facebook
Application エイリアス TargetAppName のエイリアス。
TargetAppId オプション String レポート デバイスによって報告された、ターゲット アプリケーションの ID。
TargetAppType オプション AppType ターゲット アプリケーションの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「AppType」を参照してください。

TargetAppName または TargetAppId を使用する場合、このフィールドは必須です。
TargetUrl オプション String HTTP または HTTPS を使用して操作が開始されているときは、使用されている URL。

例: https://onedrive.live.com/?authkey=...
Url エイリアス TargetUrl のエイリアス。

検査のフィールド

次のフィールドは、ウイルス対策システムなどのセキュリティ システムによって実行される検査を表すために使用されます。 識別されたスレッドは、通常、アクティビティ自体ではなく、アクティビティが実行されたファイルに関連付けられます。

フィールド クラス Type 説明
RuleName 省略可能 String 検査結果に関連付けられたルールの名前または ID。
RuleNumber 省略可能 Integer 検査結果に関連付けられたルールの番号。
Rule 条件付き String kRuleName の値または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。
ThreatId オプション String ファイル アクティビティで識別された脅威またはマルウェアの ID。
ThreatName オプション String ファイル アクティビティで識別された脅威またはマルウェアの名前。

例: EICAR Test File
ThreatCategory 省略可能 String ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。

例: Trojan
ThreatRiskLevel オプション Integer 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。

: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。
ThreatOriginalRiskLevel オプション String レポート デバイスによって報告されたリスク レベル。
ThreatFilePath オプション String 脅威が識別されたファイル パス。 ThreatField フィールドには、ThreatFilePath が表すフィールドの名前が含まれています。
ThreatField 省略可能 Enumerated 脅威が特定されたフィールド。 値は SrcFilePath または DstFilePath です。
ThreatConfidence 省略可能 Integer 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。
ThreatOriginalConfidence 省略可能 String レポート デバイスによって報告される、特定された脅威の元の信頼レベル。
ThreatIsActive オプション ブール型 特定された脅威がアクティブな脅威と見なされる場合は True。
ThreatFirstReportedTime オプション DATETIME IP アドレスまたはドメインが脅威として初めて識別された場合。
ThreatLastReportedTime オプション DATETIME 最後に IP アドレスまたはドメインが脅威として識別された時刻。

パス構造

パスは、次のいずれかの形式と一致するように正規化される必要があります。 値が正規化される形式は、それぞれの FilePathType フィールドに反映されます。

Type メモ
Windows ローカル C:\Windows\System32\notepad.exe Windows のパス名は大文字と小文字が区別されないため、この型は値の大文字と小文字が区別されないことを示します。
Windows 共有 \\Documents\My Shapes\Favorites.vssx Windows のパス名は大文字と小文字が区別されないため、この型は値の大文字と小文字が区別されないことを示します。
Unix /etc/init.d/networking Unix のパス名は大文字と小文字が区別されるため、この型は値の大文字と小文字が区別されることを示します。

- AWS S3 には、この型を使用します。 バケット名とキー名を連結してパスを作成します。

- Azure Blob Storage のオブジェクト キーには、この型を使用します。
URL https://1drv.ms/p/s!Av04S_*********we ファイル パスが URL として利用できるときに使用します。 URL は http または https に限定されず、FTP 値を含むあらゆる値が有効です。

スキーマの更新

バージョン 0.1.1 のスキーマの変更点を次に示します。

  • フィールド EventSchema が追加されました。

これらは、スキーマのバージョン 0.2 での変更点です。

  • 検査フィールドが追加されました。
  • フィールド ActorScopeTargetUserScopeHashTypeTargetAppNameTargetAppIdTargetAppTypeSrcGeoCountrySrcGeoRegionSrcGeoLongitudeSrcGeoLatitudeActorSessionIdDvcScopeIdDvcScope が追加されました。
  • UrlIpAddr、'FileName'、Src にエイリアスが追加されました。

これらは、スキーマのバージョン 0.2.1 での変更点です。

  • ApplicationTargetAppName の別名として追加されました。
  • フィールド ActorScopeId が追加されました。
  • ソース デバイス関連フィールドが追加されました。

次のステップ

詳細については、次を参照してください。