一部のフィールドは、すべての ASIM スキーマに共通です。 各スキーマによって、共通フィールドの一部を特定のスキーマのコンテキストで使うためのガイドラインが追加されることがあります。 たとえば、EventType フィールドに使用できる値はスキーマごとに異なる可能性があり、EventSchemaVersion フィールドの値も同様に異なる可能性があります。
標準 Log Analytics フィールド
次のフィールドは、ほとんどの場合、Log Analytics によってレコードごとに生成されます。 これらは、カスタム コネクタを作成するときにオーバーライドできます。
| フィールド | タイプ | 考察 (Discussion) |
|---|---|---|
| タイムジェネレーテッド | DATETIME | イベントがレポート デバイスによって生成された時刻。 |
| タイプ | 糸 | レコードがフェッチされた元のテーブル。 このフィールドは、同じイベントを異なるテーブルに対して複数のチャネルを通じて受信でき、同じ EventVendor 値と EventProduct 値を持つ場合に便利です。 たとえば、Sysmon イベントは、 Event テーブルまたは WindowsEvent テーブルのいずれかに収集できます。 |
注意
Log Analytics では、セキュリティのユース ケースとあまり関連しない他のフィールドも追加します。 詳細については、「Azure Monitor ログ内の標準列」を参照してください。
一般的な ASIM フィールド
次のフィールドは、すべてのスキーマに対して ASIM によって定義されます。
イベント フィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| イベントメッセージ | オプション | 糸 | レコードに含まれるか、レコードから生成された一般的なメッセージまたは説明。 |
| イベントカウント | 必須 | 整数 | レコードによって記述されるイベントの数。 この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す可能性があるときに使用されます。 その他のソースの場合は、 1 に設定します。 |
| イベント開始時間 | 必須 | 日付/時刻 | イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベント終了時間 | 必須 | 日付/時刻 | イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントタイプ | 必須 | 列挙された | レコードによってレポートされる操作を記述します。 各スキーマには、このフィールドに対して有効な値の一覧が文書化されています。 ソースに固有である元の値は EventOriginalType フィールドに格納されます。 |
| イベントサブタイプ | オプション | 列挙された | EventType フィールドでレポートされた操作を細分化して記述します。 各スキーマには、このフィールドに対して有効な値の一覧が文書化されています。 ソースに固有である元の値は EventOriginalSubType フィールドに格納されます。 |
| イベント結果 | 必須 | 列挙された | 以下の値のいずれかです。Success、Partial、Failure、NA (該当なし)。 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 また、ソースで EventResultDetails フィールドのみが提供される場合もあり、これを分析して EventResult 値を導き出す必要があります。 例: Success |
| EventResult詳細 | 推奨 | 列挙された |
EventResult でレポートされた結果の理由または詳細。 各スキーマには、このフィールドに対して有効な値の一覧が文書化されています。 ソースに固有である元の値は EventOriginalResultDetails フィールドに格納されます。 例: NXDOMAIN |
| イベントUid | 推奨 | 糸 | Microsoft Sentinel によって割り当てられた、レコードの一意の ID。 このフィールドは通常、_ItemId Log Analytics フィールドにマップされます。 |
| イベントオリジナルUid | オプション | 糸 | 元のレコードの一意の ID (ソースによって提供されている場合)。 例: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| イベントオリジナルタイプ | オプション | 糸 | 元のイベントの種類または ID (ソースによって提供されている場合)。 たとえば、このフィールドは元の Windows イベント ID を格納するために使用されます。 この値は EventType を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 例: 4624 |
| EventOriginalサブタイプ | オプション | 糸 | 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 たとえば、このフィールドは元の Windows ログオン タイプを格納するために使用されます。 この値は EventSubType を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 例: 2 |
| EventOriginalResult詳細 | オプション | 糸 | ソースによって提供される元の結果の詳細。 この値は EventResultDetails を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 |
| イベント重大度 | 推奨 | 列挙された | イベントの重大度。 有効な値は Informational、Low、Medium、または High です。 |
| EventOriginalSeverity (イベントオリジナル重大度) | オプション | 糸 | レポート デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
| イベント製品 | 必須 | 糸 | イベントを生成している製品。 値は、ベンダーと製品に表示されている値のいずれかである必要があります。 例: Sysmon |
| イベント製品バージョン | オプション | 糸 | イベントを生成している製品のバージョン。 例: 12.1 |
| イベントベンダー | 必須 | 糸 | イベントを生成している製品のベンダー。 値は、ベンダーと製品に表示されている値のいずれかである必要があります。 例: Microsoft |
| イベントスキーマ | 必須 | 糸 | イベントの正規化先のスキーマ。 各スキーマは、そのスキーマ名を文書化します。 |
| EventSchemaVersion (イベントスキーマバージョン) | 必須 | 糸 | スキーマのバージョン。 各スキーマは、その現在のバージョンを文書化します。 |
| イベントレポートURL | オプション | 糸 | リソースのイベントで提供された、そのイベントに関する他の情報を提供する URL。 |
| イベントオーナー | オプション | 糸 | イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
デバイス フィールド
デバイス フィールドの役割は、スキーマとイベントの種類ごとに異なります。 次に例を示します。
- ネットワーク セッション イベントの場合、デバイス フィールドは通常、イベントを生成したデバイスに関する情報を提供します
- Process イベントの場合、デバイス フィールドは、プロセスが実行されるデバイスに関する情報を提供します。
各スキーマ ドキュメントでは、スキーマに応じたデバイスの役割を指定します。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| DVCの | エイリアス | 糸 | イベントが発生した、またはイベントを報告したデバイスの一意の識別子 (スキーマによって異なります)。 このフィールドは、DvcFQDN、DvcId、DvcHostname、または DvcIpAddr フィールドの別名である可能性があります。 明確なデバイスがないクラウド リソースの場合は、Event Product フィールドと同じ値を使用します。 |
| DvcIpAddr | 推奨 | IP アドレス | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) の IP アドレス。 例: 45.21.42.12 |
| Dvcホスト名 | 推奨 | Hostname (ホスト名) | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のホスト名。 例: ContosoDc |
| Dvcドメイン | 推奨 | 糸 | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のドメイン。 例: Contoso |
| Dvcドメインタイプ | 条件付き | 列挙された |
DvcDomain の種類。 有効な値の一覧とその他の情報については「DomainType」を参照してください。 注: DvcDomain フィールドが使用されている場合、このフィールドは必須です。 |
| DvcFQDNの | オプション | 糸 | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のホスト名。 例: Contoso\DESKTOP-1282V4D注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 DvcDomainType フィールドには、使用されている形式が反映されます。 |
| DvcDescription | オプション | 糸 | デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。 |
| DvcId (英語) | オプション | 糸 | イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) の一意の ID。 例: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdタイプ | 条件付き | 列挙された |
DvcId の種類。 有効な値の一覧とその他の情報については「DvcIdType」を参照してください。 - MDEid複数の ID を使用できる場合は、リストの最初のものを使用し、他のものはそれぞれフィールド名 DvcAzureResourceId および DvcMDEid を使用して格納します。 注: DvcId フィールドが使用されている場合、このフィールドは必須です。 |
| DvcMacAddr の | オプション | マック | イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 例: 00:1B:44:11:3A:B7 |
| DvcZone の | オプション | 糸 | イベントが発生した、またはイベントを報告したネットワーク (スキーマによって異なります)。 ゾーンは、レポート デバイスによって定義されます。 例: Dmz |
| DvcOs の | オプション | 糸 | イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。 例: Windows |
| DvcOsVersion (英語) | オプション | 糸 | イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。 例: 10 |
| Dvcアクション | 推奨 | 糸 | レポート セキュリティ システムについて、該当する場合にシステムによって実行されるアクション。 例: Blocked |
| DvcOriginalAction | オプション | 糸 | レポート デバイスによって提供された元の DvcAction。 |
| Dvcインターフェイス | オプション | 糸 | データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。 |
| DvcScopeId (英語) | オプション | 糸 | デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| Dvcスコープ | オプション | 糸 | デバイスが属するクラウド プラットフォームのスコープ。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
その他のフィールド
スキーマの更新
-
EventOwnerフィールドは、2022 年 12 月 1 日に共通フィールドに追加されているため、すべてのスキーマに追加されています。 -
EventUidフィールドは、2022 年 12 月 26 日に共通フィールドに追加されているため、すべてのスキーマに追加されています。
ベンダーと製品
一貫性を維持するために、許可されているベンダーと製品の一覧が ASIM の一部として設定されます。また、利用可能になったときに、ソースによって送信された値に直接対応していない場合もあります。
EventVendor と EventProduct フィールドでそれぞれ使用される、現在サポートされているベンダーと製品の一覧は次のとおりです。
| ベンダー | 製品 |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linu x- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
ここに記載されていないベンダーまたは製品のパーサーを開発している場合は、 Microsoft Sentinel チームに連絡して、新しい許可されたベンダーと製品の指定子を割り当ててください。
次のステップ
詳細については、次を参照してください。