Microsoft Sentinel Asset Entity Schema は、さまざまな製品の資産を Microsoft Advanced Security Information Model (ASIM) 内の標準化された形式に正規化するように設計されています。 このスキーマは、Microsoft 以外のデータ ソースの資産のみに焦点を当て、一貫性のある効率的な分析を保証します。
資産とは、ファイルやサイトなど、organizationが保存、処理、または管理するデータ リソースです。 各資産には、所有権、アクセス許可、秘密度分類、リスク インジケーターなど、セキュリティ関連のメタデータが含まれます。 資産は、さまざまなプラットフォーム、データベース、クラウド ストレージ サービス、SaaS アプリケーション、およびオンプレミス システムから生成され、完全なインベントリ スナップショットまたは増分変更フィードとして収集されます。
Microsoft Sentinelは、資産データを共通のスキーマに正規化することで、セキュリティ チームが一貫した方法で多様なデータ ソース間で資産情報を分析および関連付けることができます。 スキーマのキー フィールドには、資産を一意に識別するためのEntityIdとEntityName、ファイルやサイトなどの資産の種類を区別するためのAssetType、所有権を追跡するためのAssetOwnerId、データ分類コンテキストのAssetSensitivityLabelとAssetOriginalDataClassificationType、レコードが完全なインベントリスナップショットか増分変更かを示すEntityFeedTypeが含まれます。 この統合表現は、過剰に共有された機密ファイルの識別、アクセス許可の変更の追跡、保護されていない資産の検出、Microsoft Purview データ セキュリティ態勢管理 (DSPM) などの統合を通じてデータ資産全体にわたるリスクの表面化などのダウンストリーム シナリオを強化します。
スキーマを使用すると、Microsoft Purview DSPMは、Microsoft およびパートナー プラットフォーム全体のデータ セキュリティ体制を管理できます。 詳細については、DSPM パートナー エコシステムの概要に関する Ignite 2025 のお知らせを参照してください。
Microsoft Sentinelでの正規化の詳細については、「正規化と高度なセキュリティ情報モデル (ASIM)」を参照してください。
パーサー
ASIM パーサーの詳細については、 ASIM パーサーの概要に関するページを参照してください。
パーサーの統合
すべての ASIM アウト オブ ザ ボックス パーサーを統合し、構成されているすべてのソースで分析が確実に実行されるようにするパーサーを使用するには、 _Im_AssetEntity パーサーを使用します。
独自の正規化されたパーサーを追加する
Asset Entity スキーマの カスタム パーサーを開発 する場合は、次の構文を使用して KQL 関数に名前を付けます。
-
vimAssetEntity<vendor><Product>パラメーター化されたパーサーの場合 -
ASimAssetEntity<vendor><Product>通常のパーサーの場合
統合パーサーにカスタム パーサーを追加する方法については、 ASIM パーサーの管理 に関する記事を参照してください。
パーサー パラメーターのフィルター処理
Asset Entity パーサーでは、クエリのパフォーマンスを向上させるために、さまざまな フィルター パラメーター がサポートされています。 これらのパラメーターは省略可能ですが、クエリのパフォーマンスを向上させることができます。 次のフィルター パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | 日付型 | この時刻以降に取り込まれた資産のみをフィルター処理します。 このパラメーターは、資産の時刻の標準指定子である EntityIngestionTime フィールドでフィルター処理します。 |
| endtime | 日付型 | この時刻以前に取り込まれた資産のみをフィルター処理します。 このパラメーターは、資産の時刻の標準指定子である EntityIngestionTime フィールドでフィルター処理します。 |
| entityid_has_any | 動的 | "EntityId" フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
| entityname_has_any | 動的 | "EntityName" フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
| assettype_in | string | "AssetType" フィールドがパラメーター値と等しい資産のみをフィルター処理します。 |
| path_has_any | 動的 | [FilePath] フィールドまたは [SitePath] フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
| assetowner_has_any | 動的 | [AssetOwner] フィールドまたは [AdditionalAssetOwners] フィールドが一覧表示されている値のいずれかである資産のみをフィルター処理します。 |
| entitysource_has_any | 動的 | "EntitySource" フィールドが一覧表示されている値のいずれかに含まれる資産のみをフィルター処理します。 |
スキーマの詳細
一般的な ASIM エンティティ フィールド
次の一覧では、エンティティ スキーマのフィールドと、アセット エンティティに関する特定のガイドラインについて説明します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| EntityUpdatedTime | 必須 | 日付型 | エンティティがソースで更新または収集されたときのタイムスタンプ (UTC)。 |
| EntityIngestionTime | 省略可能 | 日付型 | インジェスト パイプラインが資産ログを受け取ったときのタイムスタンプ (UTC)。 |
| EntityId | 必須 | string | 資産の一意識別子。 |
| EntityOriginalId | 省略可能 | string | "EntityId" と異なる場合は、ソースの資産の一意識別子。 |
| EntityName | 必須 | string | エンティティの名前。 |
| EntityNameType | 推奨 | string | エンティティ名の型。 |
| EntityVendor | 必須 | string | エンティティを報告したベンダーまたはプロバイダー。 |
| EntitySource | 必須 | 列挙 | エンティティ レコードを提供したデータ ソースまたはコネクタ。 サポート ソースは次のとおりです。 - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- Otherソースが一覧にない場合は、 Other を使用します。 |
| EntityOriginalSource | 省略可能 | string | ソースが現在サポートされていない場合は、エンティティ レコードを提供した元のデータ ソースまたはコネクタ。 |
| EntityProduct | 必須 | string | エンティティを報告したソースに関連付けられている製品名。 |
| EntitySubProduct | 必須 | string | エンティティを報告したソースに関連付けられているサブ製品またはコンポーネント名。 |
| EntityCreatedTime | 必須 | 日付型 | エンティティがソース システムで最初に作成されたときのタイムスタンプ (UTC)。 |
| EntityLastAccessedTime | 省略可能 | 日付型 | エンティティが最後にアクセスされたときのタイムスタンプ (UTC)。 |
| EntityLastModifiedTime | 必須 | 日付型 | ソース システムでエンティティが最後に変更されたときのタイムスタンプ (UTC)。 |
| EntityIsDeleted | 省略可能 | bool | ソース システムでエンティティが削除されたかどうかを示します。 |
| EntityFeedType | 必須 | 列挙 | エンティティ レコードを提供したデータ フィードの型またはカテゴリ。 使用できる値は、 Snapshot または Changefeedです。 |
| EntitySchema | 必須 | 列挙 | エンティティに使用されるスキーマ。 ここに記載されているスキーマは Asset。 |
| EntitySchemaVersion | 必須 | SchemaVersion (String) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.0。 |
資産所有者フィールド
このセクションでは、資産所有者に関する情報を定義します。 資産に複数の所有者が存在する場合は、 AssetOwnerId と AdditionalAssetOwnersの両方のフィールドを設定します。
AdditionalAssetOwners は文字列の配列であり、文字列は AssetOwnerIdと同じ形式である必要があります。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| AssetOwnerId | 必須 | string | マシンが読み取り可能な英数字のアクターの一意の表現。 詳細および他の ID の代替フィールドについては、「 ユーザー エンティティ」を参照してください。 |
| AssetOwnerIdType | 推奨 | string | 資産所有者識別子の型または形式。 これは、イベント スキーマの UserIdType に似ています。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| AssetOwnerType | 省略可能 | string | 資産所有者の種類。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 |
| AssetOwnerScope | 省略可能 | string | 資産所有者が属する組織または管理スコープ。 |
| AssetOwnerScopeId | 省略可能 | string | 資産所有者が属するスコープの識別子。 |
| AdditionalAssetOwners | 省略可能 | 動的 | 資産に関連付けられている追加の所有者または共同所有者の動的コレクション。 これは 文字列の配列である必要があります。 |
資産メタデータ フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| AADTenantId | 必須 | string | 資産またはエンティティに関連付けられているAzure Active Directory テナント識別子。 |
| IdentityDirectoryName | 省略可能 | string | エンティティに関連付けられている AZURE AD、GCP、AWS などの ID ディレクトリの名前。 |
| IdentityDirectoryId | 必須 | string | エンティティに関連付けられている ID ディレクトリの識別子。 |
| AdditionalFields | 省略可能 | 動的 | スキーマ内の他のフィールドによってキャプチャされないエンティティに関する追加情報。 |
資産の種類フィールド
このセクションでは、資産の種類に関する情報を定義します。 サポートされている現在の型は、 File と Siteです。 資産の種類の追加プロパティを設定する必要があります。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| AssetType | 必須 | string | 資産の大まかな種類。 許可される値とサポートされる値は、 File、 Siteです。 |
| AssetOriginalType | 推奨 | string | ソースにある資産の大まかな種類の元の名前。 |
資産のセキュリティ フィールド
このセクションでは、ソースのアクセス許可、秘密度とデータ分類の詳細、DLP 保護の状態、関連する脅威インジケーター、最後の分類スキャン時間など、資産のセキュリティ態勢と公開コンテキストをキャプチャします。 また、内部および外部のユーザー アクセス数も含まれており、潜在的な露出を評価するのに役立ちます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| AssetOriginalPermissions | 省略可能 | 動的 | ソース システムによって報告された資産に割り当てられた元のアクセス許可セット。 |
| AssetSensitivityLabel | 必須 | string | 資産に適用される秘密度ラベル。 使用できる値は、 Personal、 Public、 General、 Confidential、 Highly Confidentialです。 |
| AssetOriginalSensitivityLevel | 省略可能 | string | 正規化の前に、ソース システムによって報告される感度レベル。 |
| AssetIsProtectedByDlp | 省略可能 | bool | 資産がデータ損失防止 (DLP) ポリシーによって保護されているかどうかを示します。 |
| AssetRelatedIndicators | 省略可能 | 動的 | 資産に関連する脅威インジケーターまたはシグナルの動的コレクション。 |
| AssetOriginalDataClassificationType | 必須 | 動的 | ソース システムによって報告される資産に割り当てられた元のデータ分類タイプ。 これは 文字列の配列である必要があります*。 |
| AssetClassificationLastScanDateTime | 必須 | 日付型 | 資産が最後にデータ分類用にスキャンされたときのタイムスタンプ (UTC)。 |
| InternalUsersCount | 省略可能 | int | 資産に関連付けられている、または資産にアクセスできる内部ユーザーの数。 |
| ExternalUsersCount | 省略可能 | int | 資産に関連付けられている、または資産にアクセスできる外部ユーザーの数。 |
資産リスク フィールド
このセクションでは、正規化されたリスクとソースから報告されたリスクの名前とレベル、最初と最後のレポートのタイムスタンプ、プロバイダー固有のリスクの詳細など、資産のリスク コンテキストをキャプチャします。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| AssetRiskName | 省略可能 | string | 資産に関連付けられているリスクまたは脅威の正規化された名前。 |
| AssetRiskLevel | 省略可能 | 列挙 | 資産に割り当てられた正規化されたリスク レベル。 使用できる値は、 Info、 Low、 Medium、 High、 Critical、 Otherです。 |
| AssetOriginalRiskLevel | 省略可能 | string | 正規化の前に、ソース システムによって報告された資産に割り当てられたリスク レベル。 |
| AssetRiskFirstReportedTime | 省略可能 | 日付型 | 資産に関連付けられているリスクが最初に報告されたときのタイムスタンプ (UTC)。 |
| AssetRiskLastReportedTime | 省略可能 | 日付型 | 資産に関連付けられているリスクが最近報告されたときのタイムスタンプ (UTC)。 |
| AssetOriginalRiskDetails | 省略可能 | 動的 | ソース システムによって提供される資産の完全なリスクの詳細。 |
ファイル (資産の種類) フィールド
このセクションでは、ファイル固有の資産プロパティをキャプチャします。
AssetTypeが File の場合は、プロパティを設定する必要があります。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| FilePath | 省略可能 | string | 資産に関連付けられているファイルの完全パス。 |
| FileSize | 省略可能 | long | ファイルのサイズ (バイト単位)。 |
| FileMD5 | 省略可能 | string | 資産に関連付けられているファイルの MD5 ハッシュ。 |
| FileSHA1 | 省略可能 | string | 資産に関連付けられているファイルの SHA-1 ハッシュ。 |
| FileSHA256 | 省略可能 | string | 資産に関連付けられているファイルの SHA-256 ハッシュ。 |
| FileSHA512 | 省略可能 | string | 資産に関連付けられているファイルの SHA-512 ハッシュ。 |
| FileExtension | 省略可能 | string | .exe や .pdf など、資産に関連付けられているファイルのファイル拡張子。 |
| FileIsSignatureValid | 省略可能 | bool | ファイルのデジタル署名が有効かどうかを示します。 |
| FileSignatureDetails | 省略可能 | string | 署名者や証明書情報など、ファイルのデジタル署名に関する詳細。 |
サイト (資産の種類) フィールド
このセクションでは、SharePoint サイト資産のサイト固有の場所プロパティをキャプチャします。
AssetTypeが Site の場合は、プロパティを設定する必要があります。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| SitePath | 省略可能 | string | 資産に関連付けられているサイトまたはストレージの場所のパス。 |
| SitePrimaryUri | 省略可能 | string | 資産に関連付けられているサイトまたはストレージの場所のプライマリ URI。 |
エイリアス
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| AssetPath | Alias | string |
FilePathまたはSitePath |
| ユーザー | Alias | string |
AssetOwnerIdのエイリアス。 |
スキーマの更新
スキーマのさまざまなバージョンの変更を次に示します。
- バージョン 0.1.0: 初期リリース。
次の手順
詳細については、以下を参照してください。