Microsoft Sentinel資産エンティティ スキーマは、さまざまな製品の資産を、Microsoft Advanced Security Information Model (ASIM) 内の標準化された形式に正規化するように設計されています。 このスキーマは、非Microsoft データ ソースの資産のみに焦点を当て、一貫性のある効率的な分析を実現します。
資産とは、ファイルやサイトなど、組織が保存、処理、または管理するデータ リソースです。 各資産には、所有権、アクセス許可、秘密度分類、リスク インジケーターなど、セキュリティ関連のメタデータが含まれます。 資産は、さまざまなプラットフォーム、データベース、クラウド ストレージ サービス、SaaS アプリケーション、およびオンプレミス システムから作成され、完全なインベントリ スナップショットまたは増分変更フィードとして収集されます。
資産データを共通のスキーマに正規化することで、Microsoft Sentinelセキュリティ チームは、一貫した方法で多様なデータ ソース間で資産情報を分析および関連付けることができます。 スキーマの主要なフィールドには、資産を一意に識別するための EntityId と EntityName 、ファイルやサイトなどの資産の種類を区別するための AssetType 、所有権を追跡するための AssetOwnerId 、データ分類コンテキストの AssetSensitivityLabel と AssetOriginalDataClassificationType 、レコードが完全なインベントリ スナップショットか増分変更かを示す EntityFeedType が含まれます。 この統合表現は、過剰に共有された機密ファイルの識別、アクセス許可の変更の追跡、保護されていない資産の検出、Microsoft Purview データ セキュリティ態勢管理 (DSPM) などの統合によるデータ資産全体のリスクの表面化などのダウンストリーム シナリオに力を発揮します。
スキーマを使用すると、Microsoft Purview DSPM は、Microsoftおよびパートナー プラットフォーム全体でデータ セキュリティ体制を管理できます。 詳細については、DSPM パートナー エコシステムを紹介する Ignite 2025 の発表 を参照してください。
Microsoft Sentinelでの正規化の詳細については、「正規化と高度なセキュリティ情報モデル (ASIM)を参照してください。
パーサー
ASIM パーサーの詳細については、ASIM パーサーの概要に関する各ページを参照してください。
パーサーの統合
すべての ASIM すぐに使用できるパーサーを統合し、構成されているすべてのソースで分析が確実に実行されるようにするには、 _Im_AssetEntity パーサーを使用します。
独自の正規化されたパーサーを追加する
Asset Entity スキーマの カスタム パーサーを開発 する場合は、次の構文を使用して KQL 関数に名前を付けます。
-
vimAssetEntity<vendor><Product>パラメーター化されたパーサーの場合 -
ASimAssetEntity<vendor><Product>(標準パーサーの場合)
統合パーサーにカスタム パーサーを追加する方法については、 ASIM パーサーの管理 に関する記事を参照してください。
パーサー パラメーターのフィルター処理
Asset Entity パーサーは、クエリのパフォーマンスを向上させるために、さまざまな フィルター パラメーターを サポートしています。 これらのパラメーターは省略可能ですが、クエリのパフォーマンスを向上させることができます。 次のフィルター処理パラメーターを使用できます。
| 名前 | タイプ | 説明 |
|---|---|---|
| starttime | datetime | この時刻以降に取り込まれた資産のみをフィルター処理します。 このパラメーターは、資産の時刻の標準指定子である EntityIngestionTime フィールドをフィルター処理します。 |
| endtime | datetime | この時点以前に取り込まれた資産のみをフィルター処理します。 このパラメーターは、資産の時刻の標準指定子である EntityIngestionTime フィールドをフィルター処理します。 |
| entityid_has_any | dynamic | "EntityId" フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
| entityname_has_any | dynamic | "EntityName" フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
| assettype_in | 文字列 | "AssetType" フィールドがパラメーター値と等しい資産のみをフィルター処理します。 |
| path_has_any | dynamic | [FilePath] フィールドまたは [SitePath] フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
| assetowner_has_any | dynamic | "AssetOwner" フィールドまたは "AdditionalAssetOwners" フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
| entitysource_has_any | dynamic | "EntitySource" フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
スキーマの詳細
ASIM エンティティの共通フィールド
次の一覧では、エンティティ スキーマのフィールドと、資産エンティティの特定のガイドラインについて説明します。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| EntityUpdatedTime | Mandatory | datetime | エンティティがソースで更新または収集された日時のタイムスタンプ (UTC)。 |
| EntityIngestionTime | オプション | datetime | インジェスト パイプラインが資産ログを受信したときのタイムスタンプ (UTC)。 |
| エンティティ ID | Mandatory | 文字列 | 資産の一意識別子。 |
| EntityOriginalId | オプション | 文字列 | ソースの資産が 'EntityId' と異なる場合の資産の一意識別子。 |
| EntityName | Mandatory | 文字列 | エンティティの名前です。 |
| EntityNameType | 推奨 | 文字列 | エンティティ名の型。 |
| EntityVendor | Mandatory | 文字列 | エンティティを報告したベンダーまたはプロバイダー。 |
| EntitySource | Mandatory | 列挙された | エンティティ レコードを提供したデータ ソースまたはコネクタ。 サポート ソースは次のとおりです。 - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- Otherソースが一覧にない場合は、 Other を使用します。 |
| EntityOriginalSource | オプション | 文字列 | ソースが現在サポートされていない場合は、エンティティ レコードを提供した元のデータ ソースまたはコネクタ。 |
| EntityProduct | Mandatory | 文字列 | エンティティを報告したソースに関連付けられている製品名。 |
| EntitySubProduct | Mandatory | 文字列 | エンティティを報告したソースに関連付けられているサブ製品またはコンポーネント名。 |
| EntityCreatedTime | Mandatory | datetime | エンティティがソース システムで最初に作成されたときのタイムスタンプ (UTC)。 |
| EntityLastAccessedTime | オプション | datetime | エンティティが最後にアクセスされた日時のタイムスタンプ (UTC)。 |
| EntityLastModifiedTime | Mandatory | datetime | ソース システムでエンティティが最後に変更された日時のタイムスタンプ (UTC)。 |
| EntityIsDeleted | オプション | ブール (bool) | ソース システムでエンティティが削除されたかどうかを示します。 |
| EntityFeedType | Mandatory | 列挙された | エンティティ レコードを提供したデータ フィードの型またはカテゴリ。 使用できる値は、 Snapshot または Changefeedです。 |
| EntitySchema | Mandatory | 列挙された | エンティティに使用されるスキーマ。 ここに記載されているスキーマは Asset。 |
| EntitySchemaVersion | Mandatory | SchemaVersion(文字列) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.0 です。 |
資産所有者フィールド
このセクションでは、資産所有者に関する情報を定義します。 資産に複数の所有者が存在する場合は、 AssetOwnerId と AdditionalAssetOwnersの両方のフィールドを設定します。
AdditionalAssetOwners は文字列の配列であり、文字列は AssetOwnerIdと同じ形式である必要があります。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| AssetOwnerId | Mandatory | 文字列 | コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 詳細とその他の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。 |
| AssetOwnerIdType | 推奨 | 文字列 | 資産所有者識別子の種類または形式。 これは、イベント スキーマの UserIdType に似ています。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| AssetOwnerType | オプション | 文字列 | 資産所有者の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 |
| AssetOwnerScope | オプション | 文字列 | 資産所有者が属する組織または管理スコープ。 |
| AssetOwnerScopeId | オプション | 文字列 | 資産所有者が属するスコープの識別子。 |
| AdditionalAssetOwners | オプション | dynamic | 資産に関連付けられている追加の所有者または共同所有者の動的コレクション。 これは 文字列の配列である必要があります。 |
資産メタデータ フィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| AADTenantId | Mandatory | 文字列 | 資産またはエンティティに関連付けられているAzure Active Directoryテナント識別子。 |
| IdentityDirectoryName | オプション | 文字列 | エンティティに関連付けられている ID ディレクトリの名前 (Azure AD、GCP、AWS など)。 |
| IdentityDirectoryId | Mandatory | 文字列 | エンティティに関連付けられている ID ディレクトリの識別子。 |
| AdditionalFields | オプション | dynamic | スキーマ内の他のフィールドによってキャプチャされないエンティティに関する追加情報。 |
資産の種類のフィールド
このセクションでは、資産の種類に関する情報を定義します。 サポートされている現在の型は、 File と Siteです。 資産の種類の追加プロパティを設定する必要があります。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| AssetType | Mandatory | 文字列 | 資産の大まかな種類。 使用できる値とサポートされる値は、 File、 Siteです。 |
| AssetOriginalType | 推奨 | 文字列 | ソースにある資産の大まかな種類の元の名前。 |
資産のセキュリティ フィールド
このセクションでは、ソースのアクセス許可、秘密度とデータ分類の詳細、DLP 保護の状態、関連する脅威インジケーター、最後の分類スキャン時間など、資産のセキュリティ体制と公開コンテキストをキャプチャします。 また、内部および外部のユーザー アクセス数も含まれており、潜在的な露出を評価するのに役立ちます。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| AssetOriginalPermissions | オプション | dynamic | ソース システムによって報告された資産に割り当てられた元のアクセス許可セット。 |
| AssetSensitivityLabel | Mandatory | 文字列 | 資産に適用される秘密度ラベル。 使用できる値は、 Personal、 Public、 General、 Confidential、 Highly Confidentialです。 |
| AssetOriginalSensitivityLevel | オプション | 文字列 | 正規化前にソース システムによって報告される秘密度レベル。 |
| AssetIsProtectedByDlp | オプション | ブール (bool) | 資産がデータ損失防止 (DLP) ポリシーによって保護されているかどうかを示します。 |
| AssetRelatedIndicators | オプション | dynamic | 資産に関連する脅威インジケーターまたはシグナルの動的コレクション。 |
| AssetOriginalDataClassificationType | Mandatory | dynamic | ソース システムによって報告された資産に割り当てられた元のデータ分類の種類。 これは 文字列の配列である必要があります*。 |
| AssetClassificationLastScanDateTime | Mandatory | datetime | 資産がデータ分類のために最後にスキャンされた時刻のタイムスタンプ (UTC)。 |
| InternalUsersCount | オプション | int | 資産に関連付けられている、または資産にアクセスできる内部ユーザーの数。 |
| ExternalUsersCount | オプション | int | 資産に関連付けられている、または資産にアクセスできる外部ユーザーの数。 |
資産リスク フィールド
このセクションでは、正規化されたリスク名とソースから報告されたリスクの名前とレベル、最初と最後のレポートのタイムスタンプ、プロバイダー固有のリスクの詳細など、資産のリスク コンテキストをキャプチャします。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| AssetRiskName | オプション | 文字列 | 資産に関連付けられているリスクまたは脅威の正規化された名前。 |
| AssetRiskLevel | オプション | 列挙された | 資産に割り当てられた正規化されたリスク レベル。 使用できる値は、 Info、 Low、 Medium、 High、 Critical、 Otherです。 |
| AssetOriginalRiskLevel | オプション | 文字列 | 正規化の前に、ソース システムによって報告された資産に割り当てられたリスク レベル。 |
| AssetRiskFirstReportedTime | オプション | datetime | 資産に関連付けられているリスクが最初に報告されたときのタイムスタンプ (UTC)。 |
| AssetRiskLastReportedTime | オプション | datetime | 資産に関連するリスクが最近報告された日時のタイムスタンプ (UTC)。 |
| AssetOriginalRiskDetails | オプション | dynamic | ソース システムによって提供される資産の完全なリスクの詳細。 |
ファイル (資産の種類) フィールド
このセクションでは、ファイル固有の資産プロパティをキャプチャします。
AssetTypeが File の場合は、プロパティを設定する必要があります。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| FilePath | オプション | 文字列 | 資産に関連付けられているファイルの完全なパス。 |
| FileSize | オプション | long | ファイルのサイズをバイト単位で指定します。 |
| FileMD5 | オプション | 文字列 | 資産に関連付けられているファイルの MD5 ハッシュ。 |
| FileSHA1 | オプション | 文字列 | 資産に関連付けられているファイルの SHA-1 ハッシュ。 |
| FileSHA256 | オプション | 文字列 | 資産に関連付けられているファイルの SHA-256 ハッシュ。 |
| FileSHA512 | オプション | 文字列 | 資産に関連付けられているファイルの SHA-512 ハッシュ。 |
| FileExtension | オプション | 文字列 | .exe や .pdfなど、資産に関連付けられているファイルのファイル拡張子。 |
| FileIsSignatureValid | オプション | ブール (bool) | ファイルのデジタル署名が有効かどうかを示します。 |
| FileSignatureDetails | オプション | 文字列 | 署名者や証明書情報など、ファイルのデジタル署名に関する詳細。 |
[サイト] (資産の種類) フィールド
このセクションでは、SharePoint サイト資産のサイト固有の場所プロパティをキャプチャします。
AssetTypeが Site の場合は、プロパティを設定する必要があります。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| SitePath | オプション | 文字列 | 資産に関連付けられているサイトまたはストレージの場所のパス。 |
| SitePrimaryUri | オプション | 文字列 | 資産に関連付けられているサイトまたはストレージの場所のプライマリ URI。 |
Aliases
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| AssetPath | エイリアス | 文字列 |
FilePathまたはSitePath |
| User | エイリアス | 文字列 |
AssetOwnerIdのエイリアス。 |
スキーマの更新
スキーマのさまざまなバージョンでの変更点を次に示します。
- バージョン 0.1.0: 最初のリリース。
次のステップ
詳細については、以下を参照してください: