Splunk SOAR オートメーションを Microsoft Sentinel に移行する
Microsoft Sentinel は、自動化ルールとプレイブックを備えたセキュリティ オーケストレーション、オートメーション、および応答 (SOAR) 機能を提供します。 自動化ルールは、シンプルなインシデント処理と対応に役立つ一方、プレイブックは、脅威に対応して修復するためのより複雑な一連のアクションを実行します。 この記事では、SOAR のユース ケースを特定する方法と、Splunk SOAR の自動化を Microsoft Sentinel の自動化ルールとプレイブックに移行する方法について説明します。
自動化ルールとプレイブックの違いの詳細については、以下の記事を参照してください。
SOAR のユース ケースを特定する
SOAR ユース ケースを Splunk から移行する際に考慮する必要がある点を以下に示します。
- ユース ケースの品質。 自動化のユース ケースは、最小限のバリエーションと低い誤検知率を持つ明確に定義された手続きに基づいて選択します。
- 手動で介入。 自動化された応答は幅広い影響をもたらす可能性があります。 影響の大きい自動化には、影響の大きいアクションが実行される前に、それを確認するための人間による入力が必要です。
- バイナリ条件。 応答の成功を増やすには、自動化されたワークフロー内の決定ポイントを可能な限り制限し、バイナリ条件を使用する必要があります。 自動化された意思決定に 2 つの変数しか存在しなければ、人間の介入の必要性が減り、結果が予測しやすくなります。
- 正確なアラートまたはデータ。 応答アクションは、アラートなどのシグナルの正確性に依存します。 アラートとエンリッチメント ソースは信頼できる必要があります。 ウォッチリストや高い信頼度レーティングを持つ脅威インテリジェンスなどの Microsoft Sentinel リソースは、信頼性を向上させます。
- アナリスト ロール。 自動化は素晴らしいものですが、最も複雑なタスクはアナリストに任せましょう。 検証を必要とするワークフローへの入力の機会をアナリストに提供します。 つまり、応答の自動化では、アナリストの機能を拡張する必要があります。
SOAR ワークフローに移行する
このセクションでは、主要な Splunk SOAR の概念が Microsoft Sentinel コンポーネントにどのように変換されるかを示し、SOAR ワークフローの各ステップまたはコンポーネントを移行する方法に関する一般的なガイドラインを示します。
| ステップ (図) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | メイン インデックスにイベントを取り込みます。 | Log Analytics ワークスペースにイベントを取り込みます。 |
| 2 | コンテナーを作成します。 | カスタム詳細機能を使用してインシデントにタグを付けます。 |
| 3 | ケースを作成します。 | Microsoft Sentinel を使用すると、共有エンティティや重大度など、ユーザー定義の条件に従ってインシデントを自動的にグループ化できます。 次に、これらのアラートによってインシデントが生成されます。 |
| 4 | プレイブックを作成します。 | Azure Logic Apps は、複数のコネクタを使用して、Microsoft Sentinel、Azure、サード パーティ、ハイブリッド クラウド環境全体のアクティビティを調整します。 |
| 4 | ブックを作成します。 | Microsoft Sentinel では、プレイブックは単独で実行されるか、順序付けされた自動化ルールの一部として実行されます。 あらかじめ定義された Security Operations Center (SOC) 手順に従って、アラートまたはインシデントに対してプレイブックを手動で実行することもできます。 |
SOAR コンポーネントをマップ
主要な Splunk SOAR コンポーネントにマップされる Microsoft Sentinel または Azure Logic Apps の機能を確認します。
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| プレイブック エディター | ロジック アプリ デザイナー |
| トリガー | トリガー |
| • コネクタ • アプリ • オートメーション ブローカー |
• コネクタ • Hybrid Runbook Worker |
| アクション ブロック | 操作 |
| 接続ブローカー | Hybrid Runbook Worker |
| コミュニティ | • [オートメーション]>[テンプレート] タブ • コンテンツ ハブ カタログ • GitHub |
| 決定 | 条件付きコントロール |
| コード | Azure 関数コネクタ |
| Prompt | 承認の電子メールを送信します |
| フォーマット | データ操作 |
| 入力プレイブック | 以前に実行したステップまたは明示的に宣言された変数の結果から変数入力を取得する |
| ユーティリティ ブロック API ユーティリティを使用してパラメーターを設定する | API を使用してインシデントを管理する |
Microsoft Sentinel でプレイブックとオートメーション ルールを運用化する
Microsoft Sentinel で使用するプレイブックのほとんどは、[Automation > Templates タブ]、コンテンツ ハブ カタログ、または GitHub で使用できます。 ただし、場合によっては、プレイブックを最初から作成するか、既存のテンプレートから作成する必要がある場合があります。
通常は、Azure Logic App Designer フィーチャーを使用してカスタム ロジック アプリをビルドします。 ロジック アプリ コードは Azure Resource Manager (ARM) テンプレートに基づいており、複数の環境でAzure Logic Appsの開発、デプロイ、移植性を支援します。 カスタム プレイブックを移植可能な ARM テンプレートに変換するには、 ARM テンプレート ジェネレーターを使用できます。
これらのリソースは、最初から、または既存のテンプレートから独自のプレイブックをビルドする必要があるケースに使用します。
- Microsoft Sentinel でインシデント処理を自動化する
- Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する
- チュートリアル: Microsoft Sentinel でオートメーション ルールとプレイブックを使用する
- インシデント対応、オーケストレーション、自動化に Microsoft Sentinel を使用する方法
- Microsoft Sentinel でのインシデント対応を強化するためのアダプティブ カード
SOARの移行後のベスト プラクティス
SOAR の移行後に考慮する必要があるベスト プラクティスを次に示します:
- プレイブックを移行したら、プレイブックを広範囲にテストして、移行されたアクションが期待どおりに動作することを確認します。
- automations を定期的に確認して、SOAR をさらに簡素化または強化する方法を確認します。 Microsoft Sentinel は、現在の応答実装の有効性をさらに簡素化または向上させるために役立つ新しいコネクタとアクションを常に追加します。
- プレイブックの稼働状況の監視ブックを使用して、プレイブックのパフォーマンスを監視します。
- マネージド ID とサービス プリンシパルの使用: Logic Apps 内のさまざまな Azure サービスに対して認証を行い、Azure Key Vault にシークレットを保存し、フロー実行の出力を隠します。 また、これらのサービス プリンシパルのアクティビティを監視することをお勧めします。
次のステップ
この記事では、Splunk から Microsoft Sentinel に SOAR オートメーションをマップする方法について説明しました。