編集

次の方法で共有


修復応答を自動化する

すべてのセキュリティ プログラムには、インシデント対応のための複数のワークフローが含まれています。 これらのプロセスには、直接の利害関係者への通知、変更管理プロセスの開始、および特定の修復手順の適用が含まれます。 これらのプロシージャの手順をできるだけ多く自動化することがセキュリティの専門家によって推奨されています。 自動化によってオーバーヘッドが削減されます。 また、迅速かつ一貫した方法で、定義済みの要件に従ってプロセスの手順が実行されるようにすることで、セキュリティを向上させることもできます。

この記事では、Microsoft Defender for Cloud のワークフロー自動化機能について説明します。 この機能を使用すると、セキュリティ アラート、レコメンデーション、規制コンプライアンスの変更に対して従量課金ロジック アプリをトリガーできます。 例えば、アラートが発生したときに、ユーザーに特定のユーザーを電子メールで送信することができます。 また、Azure Logic Apps を使用してロジック アプリを作成する方法についても説明します。

前提条件

開始する前に次の操作を実行してください。

  • リソース グループ上でのセキュリティ管理者ロールまたは所有者が必要です。

  • ターゲット リソースに対する書き込みアクセス許可も必要になります。

  • Azure Logic Apps のワークフローを操作するには、次のロジック アプリのロール/アクセス許可も必要です。

    • ロジック アプリのオペレーターのアクセス許可が必要。または、ロジック アプリの読み取り/トリガーのアクセス権 (このロールでは、ロジック アプリを作成したり編集したりすることはできません。既存のものを実行するだけです)
    • ロジック アプリの共同作成者のアクセス許可は、ロジック アプリの作成と変更に必要です。
  • Logic Apps コネクタを使用する場合は、それぞれのサービス (たとえば、Outlook/Teams/Slack のインスタンス) へのサインインに、その他の資格情報が必要になることがあります。

ロジック アプリを作成し、自動的に実行するタイミングを定義する

次のステップを実行します。

  1. Defender for Cloud サイドバーで、 ワークフロー自動化 を選択します。

    定義された自動化の一覧を示すワークフロー自動化ページのスクリーンショット。

  2. このページで、新しい自動化ルールの作成や、既存のものの有効化、無効化、または削除を実行します。 スコープは、ワークフローの自動化がデプロイされているサブスクリプションを指しています。

  3. 新しいワークフローを定義するには、[ワークフロー自動化の追加] を選択します。 新しい自動化のオプション ウィンドウが開きます。

    ワークフロー自動化ウィンドウの追加。

  4. 次のように入力します。

    • 自動化の名前と説明。
    • この自動ワークフローを開始するトリガー。 たとえば、"SQL" を含むセキュリティ アラートが生成されたときにロジック アプリを実行できます。
  5. トリガー条件が満たされたときに実行される従量課金ロジック アプリを指定します。

  6. [アクション] セクションで [Logic Apps ページにアクセス] を選び、ロジックアプリの作成プロセスを開始します。

    [ワークフロー自動化の追加] 画面の [アクション] セクションと、[Azure Logic Apps ページにアクセス] のリンクを示すスクリーンショット。

    Azure Logic Apps が表示されます。

  7. [(+) 追加] を選択します。

    ロジック アプリを作成する場所のスクリーンショット。

  8. すべての必須フィールドに入力し、[確認と作成] を選択します。

    展開が進行 中です」というメッセージが表示されます。 デプロイの完了通知が表示されるまで待ってから、「通知から リソースへのアクセス 」 を選択します。

  9. 入力した情報を確認し、[作成] を選択します。

    新しいロジック アプリでは、セキュリティ カテゴリの組み込みの定義済みテンプレートから選択できます。 または、このプロセスがトリガーされたときに発生するイベントのカスタム フローを定義することもできます。

    ヒント

    ロジック アプリでは、パラメーターは、独自のフィールドではなく、文字列の一部としてコネクタに含まれることがあります。 パラメーターを抽出する方法の例については、「 クラウドワークフロー用に Microsoft Defender を構築する自動化」の「ロジックアプリのパラメーターの使用」の手順 #14 を参照してください。

サポートされているトリガー

ロジック アプリ デザイナーでは、次の Defender for Cloud トリガーがサポートされています。

  • Microsoft Defender for Cloud の推奨事項が作成またはトリガーされたとき: ロジックアプリが非推奨または置換された推奨事項に依存している場合は、自動化が動作を停止し、トリガーを更新する必要があります。 推奨事項の変更を追跡するには、 リリースノートを使用します。

  • クラウドの Defender アラートが作成またはトリガーされたとき に、対象となる重大度レベルのアラートのみに関連するようにトリガーをカスタマイズできます。

  • クラウドの規制遵守評価のための Defender が作成またはトリガーされたとき:規制遵守評価の更新に基づいて自動化をトリガーします。

Note

従来のトリガー [Microsoft Defender for Cloud アラートへの応答がトリガーされたとき] を使用している場合は、ロジック アプリがワークフローの自動化機能によって起動されません。 代わりに、前述のいずれかのトリガーを使用してください。

  1. ロジック アプリを定義したら、ワークフローの自動化の定義ウィンドウに戻ります ([ワークフロー自動化の追加])。

  2. [最新の情報に更新] を選び、新しいロジック アプリが選べることを確認します。

  3. ロジック アプリを選択し、自動化を保存します。 ロジック アプリのドロップダウンには、前述の Defender for Cloud コネクタをサポートするロジック アプリのみが表示されます。

ロジック アプリを手動でトリガーする

セキュリティ アラートやレコメンデーションを表示しているときに、ロジック アプリを手動で実行することもできます。

ロジック アプリを手動で実行するには、アラートまたはレコメンデーションを開き、[ロジック アプリのトリガー] を選びます。

ロジック アプリを手動でトリガーする。

ワークフロー自動化を大規模に構成する

組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を大幅に短縮できます。

組織全体に自動化の構成をデプロイするには、後述の提供されている Azure Policy の "DeployIfNotExist" ポリシーを使用して、ワークフローの自動化手順を作成して構成します。

ワークフローの自動化テンプレートを使用して開始するには、こちらを参照してください。

これらのポリシーを実装するには、次の手順に従います。

  1. 次の表から、適用するポリシーを選択します。

    目標 ポリシー ポリシー ID
    セキュリティ アラートのワークフローの自動化 クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する f1525828-9a90-4fcf-be48-268cdd02361e
    セキュリティに関する推奨事項のワークフローの自動化 クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ 73d6ab6c-2475-4850-afd6-43795f3492ef
    規制コンプライアンスの変化に関するワークフローの自動化 クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    これらは、Azure Policy を検索して見つけることもできます。 Azure Policy から [定義] を選択し、名前で検索します。

  2. 関連する Azure Policy ページで、 [割り当てる] を選択します。 Azure Policy を割り当てます。

  3. [基本] タブで、ポリシーのスコープを設定します。 集中管理を使用するには、ワークフローの自動化の構成を使用するサブスクリプションが含まれている管理グループにポリシーを割り当てます。

  4. [パラメーター] タブで、必要な情報を入力します。

    [パラメーター] タブのスクリーンショット。

  5. オプションとして、[修復] タブで、この割り当てを既存のサブスクリプションに適用し、修復タスクを作成するためのオプションを選択します。

  6. 概要ページを確認し、 [作成] を選択します。

    データ型のスキーマ

    ロジック アプリに渡されたセキュリティアラートまたはレコメンデーション イベントの生イベント スキーマを表示するには、「ワークフロー オートメーション データ型スキーマ」をご覧ください。 これは、上記の Defender for Cloud の組み込み Logic Apps コネクタを使用せず、汎用 HTTP コネクタを使用している場合に便利です。イベントの JSON スキーマを使用して、好きなように手動で解析できます。