[Introduction]

We’re making planned breaking changes to some Advanced Security Information Model (ASIM) KQL functions used in Microsoft Sentinel for Developers. These changes align parameters with documentation to improve consistency and performance.

[When this will happen]

Rollout timing has not been finalized.

We’ll update this Message center post with specific start and end dates once they’re confirmed.

[How this affects your organization]

Who is affected

• Organizations using ASIM or normalization KQL functions in Microsoft Sentinel for Developers
• Security teams and partners building or maintaining detections and analytic rules that rely on these functions

What will happen (April 19)

• We will update _Im_ProcessCreate with the correct parameter, so that it will take both targetusername and targetusername_has.
• This will give time to partners to update their detections and KQL queries to switch to the parameter name targetusername_has, while not break any existing experiences.

What will happen (May 25 or later)

• Once we have given enough time and also checking with our usage telemetry that targetusername is not being used, we will remove targetusername as parameter. 

[What you can do to prepare]

• Review detections and analytic rules that use ASIM or normalization functions.
• Update queries to use targetusername_has.
• Test updated detections before rollout.
• Notify teams or partners who maintain Sentinel detections.

Learn more: The Advanced Security Information Model (ASIM) Process Event normalization schema reference | Microsoft Sentinel | Security | Azure | Microsoft Learn

[Compliance considerations]

No compliance considerations identified. Review as appropriate for your organization.

[はじめに]

Microsoft Sentinel for Developersで使用されるAdvanced Security Information Model(ASIM)KQL機能の一部に対して、計画的な重大な変更を加えています。これらの変更はパラメータをドキュメントと整合させ、一貫性とパフォーマンスを向上させます。

[いつ起こるか]

展開の時期はまだ確定していません。

開始日と終了日が確定次第、このメッセージセンターの投稿を更新します。

[これがあなたの組織に与える影響]

影響を受ける人物

• ASIMまたは正規化を使用する組織 Microsoft Sentinel for DevelopersのKQL機能
• これらの機能に依存する検知や分析ルールを構築するか維持するセキュリティチームやパートナー

何が起こるか(4月19日)

• 正しいパラメータで_Im_ProcessCreateを更新し、targetusernameとtargetusername_hasの両方を受け入れるようにします。
• これにより、パートナーは検出やKQLクエリをパラメータ名targetusername_hasに切り替える時間を確保できますが、既存の経験を壊すことはありません。

今後の展開(5月25日以降)

• 十分な時間をかけ、使用状況のテレメトリでtargetusernameが使われていないか確認したら、パラメータからTargetusernameを削除します。 

【準備のためにできること】

• ASIMや正規化関数を用いた検出や解析ルールをレビューします。
• クエリを更新して targetusername_has。
• 導入前に最新の検出をテストしてください。
• センチネル検知を維持するチームやパートナーに通知してください。

詳細はこちら: Advanced Security Information Model(ASIM)プロセスイベント正規化スキーマ参考文献 |Microsoft Sentinel |セキュリティ|Azure |Microsoft Learn

[コンプライアンスの考慮事項]

コンプライアンス上の考慮事項は特定されていません。あなたの組織に応じてレビューを行ってください。