Microsoft Sentinel 認証スキーマは、ユーザー認証、サインイン、サインアウトに関連するイベントを記述するために使用されます。認証イベントは数多くのレポート デバイスによって、通常はイベント ストリームの一部として、他のイベントと共に送信されます。 たとえば、Windows は、いくつかの認証イベントを、他の OS アクティビティ イベントと共に送信します。
認証イベントには、VPN ゲートウェイやドメイン コントローラーなどの認証に重点を置いたシステムからのイベントと、コンピューターやファイアウォールなどのエンド システムへの直接認証の両方が含まれます。
Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。
パーサー
ASIM 認証パーサーを Microsoft Sentinel GitHub リポジトリからデプロイします。 ASIMパーサーの詳細については、記事の ASIMパーサー概要をご覧ください。
統一パーサー
すべての ASIM のアウトオブザボックス パーサーを統一するパーサーを使用し、構成済みのソース全体で分析が確実に実行されるようにするには、imAuthentication フィルターパーサーまたは ASimAuthentication パラメーターレス パーサーを使用します。
ソース固有のパーサー
Microsoft Sentinel が提供する認証パーサーの一覧については、ASIM パーサーの一覧を参照してください。
独自の正規化されたパーサーを追加する
認証情報モデル用のカスタム パーサーを実装するときは、次の構文を使用して KQL 関数に名前を付けます。
-
vimAuthentication<vendor><Product>フィルターパーサーの場合 -
ASimAuthentication<vendor><Product>パラメーターレス パーサーの場合
統合パーサーにカスタム パーサーを追加する方法の詳細については、「ASIM パーサーの管理」を参照してください。
パーサー パラメーターのフィルター処理
im および vim* パーサーでは、imがサポートされています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター処理パラメーターを使用できます。
| 名前 | タイプ | 説明 |
|---|---|---|
| starttime | datetime | この時間以降に実行された認証イベントのみをフィルター処理します。 |
| endtime | datetime | この時間以前に実行が完了した認証イベントのみをフィルター処理します。 |
| targetusername_has | 文字列 | 一覧表示されたユーザー名のいずれかを持つ認証イベントのみをフィルター処理します。 |
たとえば、過去 1 日の認証イベントのみを特定のユーザーにフィルター処理するには、以下を使用します。
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
ヒント
動的な値を期待するパラメーターにリテラル リストを渡すには、動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])。
正規化されたコンテンツ
正規化された認証分析規則は、複数のソースにまたがる攻撃を検出する点において、独特です。 そのため、たとえば、ユーザーが別の国/リージョンから、関連性のない異なるシステムにログインした場合、Microsoft Azure Sentinel によってこの脅威が検出されるようになります。
正規化された認証イベントを使用する分析規則の完全な一覧については、「認証スキーマのセキュリティ コンテンツ」を参照してください。
スキーマの概要
認証情報モデルは、OSSEM ログオン エンティティ スキーマに合わせて調整されています。
以下の表に示すフィールドは認証イベントに固有ですが、他のスキーマのフィールドに類似しており、同様の名前付け規則に従います。
認証イベントは、次のエンティティを参照します。
- Targetuser - システムへの認証に使用されるユーザー情報。 Targetsystemは、認証イベントの主な対象であり、エイリアスのユーザーは識別されたTargetUserにエイリアスを付けます。
- Targetapp - 認証されたアプリケーション。
- Target - TargetApp* が実行されているシステム。
- アクター - 認証を開始するユーザー (Targetuserと異なる場合)。
- Actingapp - アクターが認証を実行するために使用するアプリケーション。
- Src - 認証を開始するためにアクター が使用するシステム。
これらのエンティティ間のリレーションシップは、次のように示されます。
"ソース システム" (Src) 上の "代理アプリケーション" (ActingApp) を実行しているアクターは、"ターゲット システム" (TargetDvc) 上の "ターゲット アプリケーション" (TargetApp) に対する TargetUser の認証を試みます。
スキーマの詳細
以降の表では、"型" は論理型を指しています。 詳細については、「論理型」を参照してください。
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、認証イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | レコードによって報告される操作を記述します。 認証レコードの場合、サポートされる値は次のとおりです。 - Logon - Logoff- Elevate |
| EventResult詳細 | 推奨 | Enumerated | イベントの結果に関連付けられている詳細。 結果が失敗だった場合、このフィールドは通常設定されています。 使用できる値は、以下のとおりです。 - No such user or password。 この値は、元のイベントが、パスワードへの参照なしでそのようなユーザーがいないことを報告するときにも使用する必要があります。- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy。 この値は、元のイベントが報告する場合に使用すべきです。例えば、MFAが必要、勤務時間外でのログイン、条件付きアクセス制限、または頻繁な試みがある場合などです。- Session expired- Otherソース レコードでは、異なる用語を使用して値が指定されている場合があります。それを、これらの値に正規化する必要があります。 元の値は EventOriginalResultDetails フィールドに格納する必要があります。 |
| EventSubType | オプション | Enumerated | サインインの種類。 使用できる値は、以下のとおりです。 - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - リモート サインインの種類が不明な場合に使用します。- AssumeRole - 通常、イベントの種類が Elevate の場合に使用します。 ソース レコードでは、異なる用語を使用して値が指定されている場合があります。それを、これらの値に正規化する必要があります。 元の値は、EventOriginalSubType フィールドに保存する必要があります。 |
| EventSchemaVersion | Mandatory | SchemaVersion(文字列) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.4 です |
| EventSchema | Mandatory | Enumerated | ここに記載されているスキーマの名前は Dhcp です。 |
| Dvc フィールド | - | - | 認証イベントの場合、デバイス フィールドはイベントを報告するシステムを指します。 |
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory |
-
イベントカウント - イベント開始時間 - イベント終了時間 - イベントタイプ - イベント結果 - イベント製品 - イベントベンダー - イベントスキーマ - EventSchemaVersion (イベントスキーマバージョン) - DVCの |
| 推奨 |
-
EventResult詳細 - イベント重大度 - イベントUid - DvcIpAddr - Dvcホスト名 - Dvcドメイン - Dvcドメインタイプ - DvcFQDNの - DvcId - DvcIdType - Dvcアクション |
| オプション |
-
イベントメッセージ - イベントサブタイプ - イベントオリジナルUid - イベントオリジナルタイプ - EventOriginalサブタイプ - EventOriginalResult詳細 - EventOriginalSeverity (イベントオリジナル重大度) - イベント製品バージョン - イベントレポートURL - イベントオーナー - DvcZone の - DvcMacAddr の - DVCOS - DVCOSバージョン - Dvcオリジナルアクション - Dvcインターフェイス - 追加フィールド - DVCの説明 - DvcScopeId (英語) - Dvcスコープ |
認証固有のフィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| LogonMethod | オプション | String | 認証を実行するために使用されるメソッド。 例: Username & Password、PKI |
| LogonProtocol | オプション | String | 認証を実行するために使用されるプロトコル。 例: NTLM |
アクターのフィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ActorUserID | オプション | String | コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 詳細と追加の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。 例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | オプション | String | ActorUserId と ActorUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| ActorScopeId | オプション | String | ActorUserId と ActorUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| ActorUserIdType | 条件付き | UserIdType | ActorUserId フィールドに格納されている ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| ActorUsername | オプション | ユーザー名(文字列) | アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
| ActorUsernameType | 条件付き | UsernameType |
ActorUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| ActorUserType | オプション | UserType | アクターの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Guest |
| ActorOriginalUserType | オプション | String | レポート デバイスによって報告されたユーザー タイプ。 |
| ActorSessionId | オプション | String | アクターのサインイン セッションの一意の ID。 例: 102pTUgC3p8RIqHvzxLCHnFlg |
代理アプリケーション フィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ActingAppId | オプション | String | アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の ID。 例: 0x12ae8 |
| ActingAppName | オプション | String | アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の名前。 例: C:\Windows\System32\svchost.exe |
| ActingAppType | オプション | AppType | 代理アプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| ActingOriginalAppType | オプション | String | 報告装置が報告する動作アプリケーションの種類。 |
| HttpUserAgent | オプション | String | HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。 例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
ターゲット ユーザーのフィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ターゲットユーザーID | オプション | String | コンピューターが判読できる、英数字で、ターゲット ユーザーを一意に表現したもの。 詳細と追加の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。 例: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | オプション | String | TargetUserId と TargetUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| TargetUserScopeId | オプション | String | TargetUserId と TargetUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| TargetUserIdType | 条件付き | UserIdType |
TargetUserId フィールドに格納されているユーザー ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 例: SID |
| ターゲットユーザー名 | オプション | ユーザー名(文字列) | ターゲット ユーザーのユーザー名 (使用可能な場合はドメイン情報を含む)。 詳細については、「ユーザー エンティティ」を参照してください。 例: MarieC |
| TargetUsernameType | 条件付き | UsernameType | TargetUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。 |
| TargetUserType | オプション | UserType | ターゲット ユーザーの型です。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Member |
| TargetSessionId | オプション | String | ソース デバイス上の TargetUser のサインイン セッション識別子。 |
| TargetOriginalUserType | オプション | String | レポート デバイスによって報告されたユーザー タイプ。 |
| User | エイリアス | ユーザー名(文字列) |
TargetUsername の別名。または、TargetUsername が定義されていない場合は TargetUserId の別名。 例: CONTOSO\dadmin |
ソース システム フィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| SRCの | 推奨 | String | ソース デバイスの一意識別子。 このフィールドは、SrcDvcId、SrcHostname、または SrcIpAddr フィールドの別名になる可能性があります。 例: 192.168.12.1 |
| SrcDvcId (英語) | オプション | String | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド SrcDvc<DvcIdType> に格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcスコープID | オプション | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcスコープ | オプション | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcIdType | 条件付き | DvcIdType |
SrcDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
| SrcDeviceType | オプション | DeviceType | ソース デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| Srcホスト名 | オプション | Hostname (ホスト名) | ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 例: DESKTOP-1282V4D |
| Srcドメイン | オプション | ドメイン(文字列) | ソース デバイスのドメイン。 例: Contoso |
| Srcドメインタイプ | 条件付き | DomainType |
SrcDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 SrcDomain が使用されている場合は必須です。 |
| SrcFQDN | オプション | FQDN(文字列) | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDescription | オプション | String | デバイスに関連付けられる説明のテキスト。 例: Primary Domain Controller。 |
| SrcIpAddr の | 推奨 | IP アドレス | ソース デバイスの IP アドレス。 例: 2.2.2.2 |
| SrcPortNumber | オプション | Integer | 接続元の IP ポート。 例: 2335 |
| SrcDvcOs | オプション | String | ソース デバイスの OS。 例: Windows 10 |
| IpAddr | エイリアス | SrcIpAddr の別名 | |
| SrcIsp | オプション | String | ソース デバイスがインターネットに接続するために使用するインターネット サービス プロバイダー (ISP)。 例: corpconnect |
| SrcGeoCountry | オプション | Country | 例: Canada 詳細については、「論理型」を参照してください。 |
| SrcGeoCity | オプション | City | 例: Montreal 詳細については、「論理型」を参照してください。 |
| SrcGeoRegion | オプション | リージョン | 例: Quebec 詳細については、「論理型」を参照してください。 |
| SrcGeoLongitude | オプション | Longitude | 例: -73.614830 詳細については、「論理型」を参照してください。 |
| SrcGeoLatitude | オプション | Latitude | 例: 45.505918 詳細については、「論理型」を参照してください。 |
| SrcRiskLevel | オプション | Integer | ソースに関連付けられているリスク レベル。 この値は、0 から 100 の範囲に調整する必要があります。0 は問題なし、100 は高リスクを意味します。例: 90 |
| SrcOriginalRiskLevel | オプション | String | レポート デバイスによって報告された、ソースに関連付けられているリスク レベル。 例: Suspicious |
ターゲット アプリケーション フィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| TargetAppID | オプション | String | 認可を必要とするアプリケーションの ID。多くの場合、レポート デバイスによって割り当てられます。 例: 89162 |
| TargetAppName | オプション | String | 認可を必要とするアプリケーションの名前 (サービス、URL、SaaS アプリケーションなど)。 例: Saleforce |
| アプリケーション | エイリアス | TargetAppName のエイリアス。 | |
| TargetAppType | 条件付き | AppType | アクターに代わって承認するアプリケーションの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「AppType」を参照してください。 |
| TargetOriginalAppType | オプション | String | 報告装置が報告するアクターを代表して承認するアプリケーションの種類。 |
| ターゲットURL(ターゲットURL) | オプション | URL | ターゲット アプリケーションに関連する URL。 例: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | エイリアス | TargetAppName、TargetUrl、または TargetHostname のいずれかで、認証ターゲットを最もよく表すフィールドのエイリアス。 |
ターゲット システム フィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| DSTの | エイリアス | String | 認証対象の一意の識別子。 このフィールドは、 TargetDvcId、 TargetHostname、 TargetIpAddr、 TargetAppId、または TargetAppName フィールドに別名を付けることができます。 例: 192.168.12.1 |
| ターゲットホストネーム | 推奨 | Hostname (ホスト名) | ドメイン情報を除いた、ターゲット デバイスのホスト名。 例: DESKTOP-1282V4D |
| ターゲットドメイン | 推奨 | ドメイン(文字列) | ターゲット デバイスのドメイン。 例: Contoso |
| TargetDomainType | 条件付き | Enumerated |
Targetdomainの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 Targetdomainを使用する場合は必須です。 |
| TargetFQDN | オプション | FQDN(文字列) | ターゲット デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 例: Contoso\DESKTOP-1282V4D 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 TargetDomainType フィールドには、使用されている形式が反映されます。 |
| ターゲット説明 | オプション | String | デバイスに関連付けられる説明のテキスト。 例: Primary Domain Controller。 |
| ターゲットDVCID | オプション | String | ターゲット デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド TargetDvc<DvcIdType> に格納します。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | オプション | String | デバイスが属するクラウド プラットフォームのスコープ ID。 TargetDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| TargetDvcScope(ターゲットDVCスコープ) | オプション | String | デバイスが属するクラウド プラットフォームのスコープ。 TargetDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| TargetDvcIdType | 条件付き | Enumerated |
Targetdvcid の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 Targetdeviceid を使用する場合は必須です。 |
| TargetDeviceType | オプション | Enumerated | ターゲット デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| ターゲットIpAddr | オプション | IP アドレス | ターゲット デバイスの IP アドレス。 例: 2.2.2.2 |
| TargetDvcOs | オプション | String | ターゲット デバイスの OS。 例: Windows 10 |
| TargetPortNumber | オプション | Integer | ターゲット デバイスのポート。 |
| TargetGeoCountry | オプション | Country | ターゲット IP アドレスに関連付けられている国/地域。 例: USA |
| TargetGeoRegion | オプション | リージョン | ターゲット IP アドレスに関連付けられているリージョン。 例: Vermont |
| TargetGeoCity | オプション | City | ターゲット IP アドレスに関連付けられている都市。 例: Burlington |
| TargetGeoLatitude | オプション | Latitude | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| TargetGeoLongitude | オプション | Longitude | ターゲット IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| TargetRiskLevel | オプション | Integer | ターゲットに関連付けられているリスク レベル。 この値は、0 から 100 の範囲に調整する必要があります。0 は問題なし、100 は高リスクを意味します。例: 90 |
| TargetOriginalRiskLevel | オプション | String | レポート デバイスによって報告された、ターゲットに関連付けられているリスク レベル。 例: Suspicious |
検査のフィールド
次のフィールドは、セキュリティ システムによって実行される検査を表すために使用されます。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ルールネーム | オプション | String | 検査結果に関連付けられたルールの名前または ID。 |
| ルールナンバー | オプション | Integer | 検査結果に関連付けられたルールの番号。 |
| Rule | エイリアス | String | RuleName の値と RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | オプション | String | 監査アクティビティで識別された脅威またはマルウェアの ID。 |
| ThreatName | オプション | String | 監査アクティビティで識別された脅威またはマルウェアの名前。 |
| ThreatCategory | オプション | String | 監査ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。 |
| ThreatRiskLevel | オプション | リスクレベル(整数) | 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 注: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| 脅威元のリスクレベル | オプション | String | レポート デバイスによって報告されたリスク レベル。 |
| ThreatConfidence | オプション | 信頼度(整数) | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatOriginalConfidence | オプション | String | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | オプション | ブール値 | 特定された脅威がアクティブな脅威と見なされる場合は True。 |
| ThreatFirstReportedTime | オプション | datetime | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | オプション | datetime | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatIpAddr | オプション | IP アドレス | 脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
| 脅威フィールド | 条件付き | Enumerated | 脅威が特定されたフィールド。 値は SrcIpAddr または TargetIpAddr です。 |
スキーマの更新
バージョン 0.1.1 のスキーマの変更点を次に示します。
- 他のスキーマと一致するように、ユーザーとデバイスのエンティティ フィールドを更新しました。
- 現在の ASIM ガイドラインに合わせて、
TargetDvcとSrcDvcの名前をそれぞれTargetとSrcに変更しました。 名前が変更されたフィールドは、2022年7月1日までエイリアスとして実装されます。 これらのフィールドには、SrcDvcHostname、SrcDvcHostnameType、SrcDvcType、SrcDvcIpAddr、TargetDvcHostname、TargetDvcHostnameType、TargetDvcType、TargetDvcIpAddr、TargetDvcがあります。 -
SrcとDstにエイリアスが追加されました。 - フィールド
SrcDvcIdType、SrcDeviceType、TargetDvcIdType、TargetDeviceType、EventSchemaが追加されました。
スキーマのバージョン 0.1.2 の変更は次のとおりです。
- フィールド
ActorScope、TargetUserScope、SrcDvcScopeId、SrcDvcScope、TargetDvcScopeId、TargetDvcScope、DvcScopeId、DvcScopeが追加されました。
スキーマのバージョン 0.1.3 の変更は次のとおりです。
- フィールド
SrcPortNumber、ActorOriginalUserType、ActorScopeId、TargetOriginalUserType、TargetUserScopeId、SrcDescription、SrcRiskLevel、SrcOriginalRiskLevel、TargetDescriptionが追加されました。 - 検査フィールドが追加されました
- ターゲット システムの地理的な位置フィールドが追加されました。
以下はスキーマのバージョン0.1.4での変更点です:
- フィール ド
ActingOriginalAppTypeとTargetOriginalAppTypeが追加されました。 -
Applicationの別名を追加しました。
次のステップ
詳細については、次を参照してください。