Microsoft Sentinel ユーザー管理正規化スキーマのリファレンス (プレビュー)
Microsoft Sentinel ユーザー管理正規化スキーマを使用して、ユーザーまたはグループの作成、ユーザー属性の変更、グループへのユーザーの追加などのユーザー管理アクティビティを記述します。 このようなイベントは、たとえばオペレーティング システム、ディレクトリ サービス、ID 管理システム、およびローカル ユーザー管理アクティビティに関するその他のシステム レポートによって報告されます。
Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。
重要
現在、ユーザー管理正規化スキーマはプレビュー段階です。 この機能は、サービス レベル アグリーメントなしに提供されます。 運用環境のワークロード用にはお勧めしません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
スキーマの概要
ASIM ユーザー管理スキーマでは、ユーザー管理アクティビティについて説明します。 通常、アクティビティには次のエンティティが含まれます。
- アクター - 管理アクティビティを実行するユーザー。
- 実行プロセス - アクターが管理アクティビティを実行するために使用するプロセス。
- Src - アクティビティがネットワーク経由で実行される場合、アクティビティが開始されたソース デバイス。
- ターゲット ユーザー - アカウントが管理対象となっているユーザー。
- グループ - ターゲット ユーザーを追加、削除、または変更するグループ。
UserCreated、GroupCreated、 UserModified、 GroupModified* などのいくつかのアクティビティで、ユーザー プロパティを設定または更新します。 設定または更新されたプロパティは、次のフィールドに記載されます。
- EventSubType - 設定または更新された値の名前。 UpdatedPropertyName - EventSubType が関連するイベントの種類のいずれかを参照している場合は、EventSubType のエイリアス。
- PreviousPropertyValue - プロパティの以前の値。
- NewPropertyValue - プロパティの更新された値。
スキーマの詳細
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、プロセス アクティビティ イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
フィールド | クラス | Type | 説明 |
---|---|---|---|
EventType | Mandatory | Enumerated | レコードによって報告される操作を記述します。 ユーザー管理アクティビティの場合、サポートされている値は次のとおりです。 - UserCreated - UserDeleted - UserModified - UserLocked - UserUnlocked - UserDisabled - UserEnabled - PasswordChanged - PasswordReset - GroupCreated - GroupDeleted - GroupModified - UserAddedToGroup - UserRemovedFromGroup - GroupEnumerated - UserRead - GroupRead |
EventSubType | オプション | Enumerated | 次のサブタイプがサポートされています。 - UserRead : Password、Hash- UserCreated 、 GroupCreated 、 UserModified 、 GroupModified 。 詳細については、「UpdatedPropertyName」を参照してください |
EventResult | Mandatory | Enumerated | 障害が発生する可能性はありますが、ほとんどのシステムは成功したユーザー管理イベントのみを報告します。 成功イベントに対して予期される値は Success です。 |
EventResultDetails | 推奨 | Enumerated | 有効な値は、NotAuthorized および Other です。 |
EventSeverity | Mandatory | Enumerated | 有効な重要度の値はすべて許可されますが、ユーザー管理イベントの重要度は通常 Informational です。 |
EventSchema | Mandatory | String | ここに記載されているスキーマの名前は UserManagement です。 |
EventSchemaVersion | Mandatory | String | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.1 です。 |
Dvc フィールド | ユーザー管理イベントの場合、デバイス フィールドはイベントを報告するシステムを指します。 通常、これはユーザーが管理対象となっているシステムです。 |
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
クラス | Fields |
---|---|
Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
推奨 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
オプション | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
更新されたプロパティ フィールド
フィールド | クラス | Type | 説明 |
---|---|---|---|
UpdatedPropertyName | エイリアス | イベントの種類が UserCreated 、GroupCreated 、UserModified 、または GroupModified の場合、EventSubTypeのエイリアスになります。サポートされる値は次のとおりです。 - MultipleProperties : アクティビティが複数のプロパティを更新するときに使用します- Previous<PropertyName> 。ここで、<PropertyName> は UpdatedPropertyName でサポートされている値の 1 つです。 - New<PropertyName> 。ここで、<PropertyName> は UpdatedPropertyName でサポートされている値の 1 つです。 |
|
PreviousPropertyValue | オプション | String | 指定したプロパティに格納されていた以前の値。 |
NewPropertyValue | オプション | String | 指定したプロパティに格納される新しい値。 |
ターゲット ユーザーのフィールド
フィールド | クラス | Type | 説明 |
---|---|---|---|
TargetUserId | オプション | String | コンピューターが判読できる、英数字で、ターゲット ユーザーを一意に表現したもの。 以下の形式と種類がサポートされています。 - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - - (Linux): 4578 - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa - - : 00urjk4znu3BcncfY0h7 - - : 72643944673 ID の種類は、TargetUserIdType フィールドに格納します。 他の ID が使用可能な場合は、フィールド名を TargetUserSid、 TargetUserUid、 TargetUserAADID、 TargetUserOktaId、TargetUserAwsId にそれぞれ正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: S-1-12 |
TargetUserIdType | オプション | Enumerated | TargetUserId フィールドに格納されている ID の種類。 サポートされている値: SID 、UID 、AADID 、OktaId 、AWSId 。 |
TargetUsername | オプション | String | ターゲット ユーザーのユーザー名 (使用可能な場合はドメイン情報を含む)。 以下のいずれかの形式と、以下の優先順位を使用します。 - - : johndow@contoso.com - - : Contoso\johndow - - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM - - : johndow 。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。ユーザー名の種類は、TargetUsernameType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を TargetUserUpn、TargetUserWindows、TargetUserDn に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
TargetUsernameType | オプション | Enumerated | TargetUsername フィールドに格納されているユーザー名の種類を指定します。 サポートされている値: UPN 、Windows 、DN 、Simple 。 詳細については、「ユーザー エンティティ」を参照してください。例: Windows |
TargetUserType | オプション | Enumerated | ターゲット ユーザーの種類。 サポートされている値は次のとおりです。 - Regular - Machine - Admin - System - Application - Service Principal - Other 注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、TargetOriginalUserType フィールドに格納します。 |
TargetOriginalUserType | オプション | String | ソースによって提供されている場合、元のターゲット ユーザーの種類。 |
アクターのフィールド
フィールド | クラス | Type | 説明 |
---|---|---|---|
ActorUserId | 省略可能 | String | コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 以下の形式と種類がサポートされています。 - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - - (Linux): 4578 - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa - - : 00urjk4znu3BcncfY0h7 - - : 72643944673 ID の種類は、ActorUserIdType フィールドに格納します。 他の ID が使用可能な場合は、フィールド名を ActorUserSid、 ActorUserUid、 ActorUserAadId、 ActorUserOktaId、および ActorAwsId にそれぞれ正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: S-1-12 |
ActorUserIdType | オプション | Enumerated | ActorUserId フィールドに格納されている ID の種類。 サポートされている値: SID 、UID 、AADID 、OktaId 、AWSId 。 |
ActorUsername | Mandatory | String | アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 以下のいずれかの形式と、以下の優先順位を使用します。 - - : johndow@contoso.com - - : Contoso\johndow - - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM - - : johndow 。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。ユーザー名の種類は、ActorUsernameType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を ActorUserUpn、ActorUserWindows、ActorUserDn に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
User | エイリアス | ActorUsername のエイリアス。 | |
ActorUsernameType | Mandatory | Enumerated | ActorUsername フィールドに格納されているユーザー名の種類を指定します。 サポートされている値: UPN 、Windows 、DN 、Simple 。 詳細については、「ユーザー エンティティ」を参照してください。例: Windows |
ActorUserType | オプション | Enumerated | アクターの種類。 使用できる値は、以下のとおりです。 - Regular - Machine - Admin - System - Application - Service Principal - Other 注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、ActorOriginalUserType フィールドに格納します。 |
ActorOriginalUserType | ソースによって提供されている場合、元のアクター ユーザーの種類。 | ||
ActorSessionId | オプション | String | Actor のログイン セッションの一意の ID。 例: 999 注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
フィールドをグループ化する
フィールド | クラス | Type | 説明 |
---|---|---|---|
GroupId | オプション | String | グループに関連するアクティビティで、コンピューターが判読できる、英数字で、グループを一意に表現したもの。 以下の形式と種類がサポートされています。 - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - - (Linux): 4578 ID の種類は、GroupIdType フィールドに格納します。 他の ID を使用できる場合は、フィールド名をそれぞれ GroupSid または GroupUid に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: S-1-12 |
GroupIdType | オプション | Enumerated | GroupId フィールドに格納されている ID の種類。 サポートされている値は、 SID および UID です。 |
GroupName | オプション | String | グループに関連するアクティビティでのグループ名 (使用可能な場合はドメイン情報を含む)。 以下のいずれかの形式と、以下の優先順位を使用します。 - - : grp@contoso.com - - : Contoso\grp - - : CN=grp,OU=Sales,DC=Fabrikam,DC=COM - - : grp 。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。グループ名の種類は、GroupNameType フィールドに格納 します。 他の ID が使用可能な場合は、フィールド名を GroupUpn、 GroupNameWindows、および GroupDn に正規化することをお勧めします。 例: Contoso\Finance |
GroupNameType | オプション | Enumerated | GroupName フィールドに格納されているグループ名の種類を指定 します。 サポートされている値: UPN 、Windows 、DN 、Simple 。例: Windows |
GroupType | オプション | Enumerated | グループに関連するアクティビティでの、グループの種類。 サポートされている値は次のとおりです。 - Local Distribution - Local Security Enabled - Global Distribution - Global Security Enabled - Universal Distribution - Universal Security Enabled - Other 注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、GroupOriginalType フィールドに格納 します。 |
GroupOriginalType | オプション | String | ソースによって提供されている場合、元のグループの種類。 |
ソース フィールド
フィールド | クラス | Type | 説明 |
---|---|---|---|
Src | 推奨 | String | ソース デバイスの一意識別子。 このフィールドは、SrcDvcId、SrcHostname、または SrcIpAddr フィールドのエイリアスになる場合があります。 例: 192.168.12.1 |
SrcIpAddr | 推奨 | IP アドレス | ソース デバイスの IP アドレス。 SrcHostname が指定されている場合、この値は必須です。 例: 77.138.103.108 |
IpAddr | エイリアス | SrcIpAddr のエイリアス。 | |
SrcHostname | 推奨 | String | ドメイン情報を除いた、ソース デバイスのホスト名。 例: DESKTOP-1282V4D |
SrcDomain | 推奨 | String | ソース デバイスのドメイン。 例: Contoso |
SrcDomainType | 推奨 | Enumerated | SrcDomain の種類 (既知の場合)。 次の値を指定できます。 - Windows (contoso など)- FQDN (microsoft.com など)SrcDomain が使用されている場合は必須です。 |
SrcFQDN | オプション | String | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
SrcDvcId | オプション | String | レコードで報告されるソース デバイスの ID。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
SrcDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
SrcDvcIdType | オプション | Enumerated | SrcDvcId の種類 (既知の場合)。 次の値を指定できます。 - AzureResourceId - MDEid 複数の ID を使用できる場合は、上のリストの最初のものを使用し、他のものはそれぞれ SrcDvcAzureResourceId および SrcDvcMDEid に格納します。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
SrcDeviceType | オプション | Enumerated | ソース デバイスの種類。 次の値を指定できます。 - Computer - Mobile Device - IOT Device - Other |
SrcGeoCountry | 省略可能 | 国 | 送信元 IP アドレスに関連付けられている国/地域。 例: USA |
SrcGeoRegion | 省略可能 | リージョン | 発信元 IP アドレスに関連付けられているリージョン。 例: Vermont |
SrcGeoCity | オプション | City | 発信元 IP アドレスに関連付けられている都市。 例: Burlington |
SrcGeoLatitude | 省略可能 | Latitude | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
SrcGeoLongitude | 省略可能 | Longitude | 発信元 IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
代理アプリケーション
フィールド | クラス | Type | 説明 |
---|---|---|---|
ActingAppId | オプション | String | プロセス、ブラウザー、サービスなどのアクティビティを実行するためにアクターが使用するアプリケーションの ID。 例: 0x12ae8 |
ActingAppName | オプション | String | プロセス、ブラウザー、サービスなどのアクティビティを実行するためにアクターが使用するアプリケーションの名前。 例: C:\Windows\System32\svchost.exe |
ActingAppType | オプション | Enumerated | 代理アプリケーションの種類。 サポートされている値は - Process - Browser - Resource - Other |
HttpUserAgent | 省略可能 | String | HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。 例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
追加のフィールドとエイリアス
フィールド | クラス | Type | 説明 |
---|---|---|---|
hostname | エイリアス | DvcHostname のエイリアス。 |
次のステップ
詳細については、次を参照してください。