Microsoft Sentinel ユーザー管理正規化スキーマのリファレンス (プレビュー)
Microsoft Sentinel ユーザー管理正規化スキーマを使用して、ユーザーまたはグループの作成、ユーザー属性の変更、グループへのユーザーの追加などのユーザー管理アクティビティを記述します。 このようなイベントは、たとえばオペレーティング システム、ディレクトリ サービス、ID 管理システム、およびローカル ユーザー管理アクティビティに関するその他のシステム レポートによって報告されます。
Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。
重要
現在、ユーザー管理正規化スキーマはプレビュー段階です。 この機能は、サービス レベル アグリーメントなしに提供されます。 運用環境のワークロード用にはお勧めしません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
スキーマの概要
ASIM ユーザー管理スキーマでは、ユーザー管理アクティビティについて説明します。 通常、アクティビティには次のエンティティが含まれます。
- アクター - 管理アクティビティを実行するユーザー。
- 実行プロセス - アクターが管理アクティビティを実行するために使用するプロセス。
- Src - アクティビティがネットワーク経由で実行される場合、アクティビティが開始されたソース デバイス。
- ターゲット ユーザー - アカウントが管理対象となっているユーザー。
- グループ - ターゲット ユーザーを追加、削除、または変更するグループ。
UserCreated、GroupCreated、 UserModified、 GroupModified* などのいくつかのアクティビティで、ユーザー プロパティを設定または更新します。 設定または更新されたプロパティは、次のフィールドに記載されます。
- EventSubType - 設定または更新された値の名前。 UpdatedPropertyName - EventSubType が関連するイベントの種類のいずれかを参照している場合は、EventSubType のエイリアス。
- PreviousPropertyValue - プロパティの以前の値。
- NewPropertyValue - プロパティの更新された値。
スキーマの詳細
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、プロセス アクティビティ イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | レコードによって報告される操作を記述します。 ユーザー管理アクティビティの場合、サポートされている値は次のとおりです。 - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | オプション | Enumerated | 次のサブタイプがサポートされています。 - UserRead: Password、Hash- UserCreated、 GroupCreated、 UserModified、 GroupModified。 詳細については、「UpdatedPropertyName」を参照してください |
| EventResult | Mandatory | Enumerated | 障害が発生する可能性はありますが、ほとんどのシステムは成功したユーザー管理イベントのみを報告します。 成功イベントに対して予期される値は Success です。 |
| EventResultDetails | 推奨 | Enumerated | 有効な値は、NotAuthorized および Other です。 |
| EventSeverity | Mandatory | Enumerated | 有効な重要度の値はすべて許可されますが、ユーザー管理イベントの重要度は通常 Informational です。 |
| EventSchema | Mandatory | String | ここに記載されているスキーマの名前は UserManagement です。 |
| EventSchemaVersion | Mandatory | String | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.1 です。 |
| Dvc フィールド | ユーザー管理イベントの場合、デバイス フィールドはイベントを報告するシステムを指します。 通常、これはユーザーが管理対象となっているシステムです。 |
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| オプション | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
更新されたプロパティ フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| UpdatedPropertyName | エイリアス | イベントの種類が UserCreated、GroupCreated、UserModified、または GroupModified の場合、EventSubTypeのエイリアスになります。サポートされる値は次のとおりです。 - MultipleProperties: アクティビティが複数のプロパティを更新するときに使用します- Previous<PropertyName>。ここで、<PropertyName> は UpdatedPropertyName でサポートされている値の 1 つです。 - New<PropertyName>。ここで、<PropertyName> は UpdatedPropertyName でサポートされている値の 1 つです。 |
|
| PreviousPropertyValue | オプション | String | 指定したプロパティに格納されていた以前の値。 |
| NewPropertyValue | オプション | String | 指定したプロパティに格納される新しい値。 |
ターゲット ユーザーのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| TargetUserId | オプション | String | コンピューターが判読できる、英数字で、ターゲット ユーザーを一意に表現したもの。 以下の形式と種類がサポートされています。 - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673ID の種類は、TargetUserIdType フィールドに格納します。 他の ID が使用可能な場合は、フィールド名を TargetUserSid、 TargetUserUid、 TargetUserAADID、 TargetUserOktaId、TargetUserAwsId にそれぞれ正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: S-1-12 |
| TargetUserIdType | オプション | Enumerated | TargetUserId フィールドに格納されている ID の種類。 サポートされている値: SID、UID、AADID、OktaId、AWSId。 |
| TargetUsername | オプション | String | ターゲット ユーザーのユーザー名 (使用可能な場合はドメイン情報を含む)。 以下のいずれかの形式と、以下の優先順位を使用します。 - - : johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。ユーザー名の種類は、TargetUsernameType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を TargetUserUpn、TargetUserWindows、TargetUserDn に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
| TargetUsernameType | オプション | Enumerated | TargetUsername フィールドに格納されているユーザー名の種類を指定します。 サポートされている値: UPN、Windows、DN、Simple。 詳細については、「ユーザー エンティティ」を参照してください。例: Windows |
| TargetUserType | オプション | Enumerated | ターゲット ユーザーの種類。 サポートされている値は次のとおりです。 - Regular- Machine- Admin- System- Application- Service Principal- Other注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、TargetOriginalUserType フィールドに格納します。 |
| TargetOriginalUserType | オプション | String | ソースによって提供されている場合、元のターゲット ユーザーの種類。 |
アクターのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ActorUserId | 省略可能 | String | コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 以下の形式と種類がサポートされています。 - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673ID の種類は、ActorUserIdType フィールドに格納します。 他の ID が使用可能な場合は、フィールド名を ActorUserSid、 ActorUserUid、 ActorUserAadId、 ActorUserOktaId、および ActorAwsId にそれぞれ正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: S-1-12 |
| ActorUserIdType | オプション | Enumerated | ActorUserId フィールドに格納されている ID の種類。 サポートされている値: SID、UID、AADID、OktaId、AWSId。 |
| ActorUsername | Mandatory | String | アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 以下のいずれかの形式と、以下の優先順位を使用します。 - - : johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。ユーザー名の種類は、ActorUsernameType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を ActorUserUpn、ActorUserWindows、ActorUserDn に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
| User | エイリアス | ActorUsername のエイリアス。 | |
| ActorUsernameType | Mandatory | Enumerated | ActorUsername フィールドに格納されているユーザー名の種類を指定します。 サポートされている値: UPN、Windows、DN、Simple。 詳細については、「ユーザー エンティティ」を参照してください。例: Windows |
| ActorUserType | オプション | Enumerated | アクターの種類。 使用できる値は、以下のとおりです。 - Regular- Machine- Admin- System- Application- Service Principal- Other注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、ActorOriginalUserType フィールドに格納します。 |
| ActorOriginalUserType | ソースによって提供されている場合、元のアクター ユーザーの種類。 | ||
| ActorSessionId | オプション | String | Actor のログイン セッションの一意の ID。 例: 999注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
フィールドをグループ化する
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| GroupId | オプション | String | グループに関連するアクティビティで、コンピューターが判読できる、英数字で、グループを一意に表現したもの。 以下の形式と種類がサポートされています。 - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578ID の種類は、GroupIdType フィールドに格納します。 他の ID を使用できる場合は、フィールド名をそれぞれ GroupSid または GroupUid に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: S-1-12 |
| GroupIdType | オプション | Enumerated | GroupId フィールドに格納されている ID の種類。 サポートされている値は、 SID および UID です。 |
| GroupName | オプション | String | グループに関連するアクティビティでのグループ名 (使用可能な場合はドメイン情報を含む)。 以下のいずれかの形式と、以下の優先順位を使用します。 - - : grp@contoso.com- - : Contoso\grp- - : CN=grp,OU=Sales,DC=Fabrikam,DC=COM- - : grp。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。グループ名の種類は、GroupNameType フィールドに格納 します。 他の ID を使用できる場合は、フィールド名を GroupUpn、GorupNameWindows、GroupDn に正規化することをお勧めします。 例: Contoso\Finance |
| GroupNameType | オプション | Enumerated | GroupName フィールドに格納されているグループ名の種類を指定 します。 サポートされている値: UPN、Windows、DN、Simple。例: Windows |
| GroupType | オプション | Enumerated | グループに関連するアクティビティでの、グループの種類。 サポートされている値は次のとおりです。 - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Other注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、GroupOriginalType フィールドに格納 します。 |
| GroupOriginalType | オプション | String | ソースによって提供されている場合、元のグループの種類。 |
ソース フィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| Src | 推奨 | String | ソース デバイスの一意識別子。 このフィールドは、SrcDvcId、SrcHostname、または SrcIpAddr フィールドのエイリアスになる場合があります。 例: 192.168.12.1 |
| SrcIpAddr | 推奨 | IP アドレス | ソース デバイスの IP アドレス。 SrcHostname が指定されている場合、この値は必須です。 例: 77.138.103.108 |
| IpAddr | エイリアス | SrcIpAddr のエイリアス。 | |
| SrcHostname | 推奨 | String | ドメイン情報を除いた、ソース デバイスのホスト名。 例: DESKTOP-1282V4D |
| SrcDomain | 推奨 | String | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 推奨 | Enumerated | SrcDomain の種類 (既知の場合)。 次の値を指定できます。 - Windows (contoso など)- FQDN (microsoft.com など)SrcDomain が使用されている場合は必須です。 |
| SrcFQDN | オプション | String | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | オプション | String | レコードで報告されるソース デバイスの ID。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcIdType | オプション | Enumerated | SrcDvcId の種類 (既知の場合)。 次の値を指定できます。 - AzureResourceId- MDEid複数の ID を使用できる場合は、上のリストの最初のものを使用し、他のものはそれぞれ SrcDvcAzureResourceId および SrcDvcMDEid に格納します。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
| SrcDeviceType | オプション | Enumerated | ソース デバイスの種類。 次の値を指定できます。 - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | 省略可能 | 国 | 発信元 IP アドレスに関連付けられている国。 例: USA |
| SrcGeoRegion | 省略可能 | リージョン | 発信元 IP アドレスに関連付けられているリージョン。 例: Vermont |
| SrcGeoCity | オプション | City | 発信元 IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | 発信元 IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
代理アプリケーション
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ActingAppId | オプション | String | プロセス、ブラウザー、サービスなどのアクティビティを実行するためにアクターが使用するアプリケーションの ID。 例: 0x12ae8 |
| ActingAppName | オプション | String | プロセス、ブラウザー、サービスなどのアクティビティを実行するためにアクターが使用するアプリケーションの名前。 例: C:\Windows\System32\svchost.exe |
| ActingAppType | オプション | Enumerated | 代理アプリケーションの種類。 サポートされている値は - Process - Browser - Resource - Other |
| HttpUserAgent | 省略可能 | String | HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。 例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
追加のフィールドとエイリアス
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| hostname | エイリアス | DvcHostname のエイリアス。 |
次のステップ
詳細については、次を参照してください。