次の方法で共有


Microsoft Sentinel でのオートメーション: セキュリティ オーケストレーション、オートメーション、応答 (SOAR)

セキュリティ情報およびイベント管理 (SIEM) チームとセキュリティ オペレーション センター (SOC) チームは、通常、大量のセキュリティ アラートとインシデントが常時殺到し、対応する担当者は忙殺されます。 この結果、多くのアラートが無視され、多くのインシデントが調査されず、気付かずに行われる攻撃に対して組織は脆弱な状態のままになっていることが非常によくあります。

Microsoft Sentinel は、SIEM システムであることに加えて、セキュリティ オーケストレーション、自動化、応答 (SOAR) のプラットフォームでもあります。 主な目的の 1 つは、セキュリティ オペレーション センターとスタッフ (SOC/SecOps) が担当する、定期的で予測可能な強化、応答、および修復のタスクを自動化することです。これにより、アップタイムやリソースが解放され、高度な脅威を詳細に調査したり検索したりできます。

この記事では、Microsoft Sentinel の SOAR 機能について説明し、セキュリティ上の脅威に対応するために自動化ルールとプレイブックを使用して SOC の有効性を向上させ、時間とリソースを節約する方法について説明します。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で、一般提供されています。 プレビュー段階の Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスなしの Defender ポータル内でご利用になれます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

オートメーション ルール

Microsoft Sentinel では、自動化ルールを使用して、ユーザーが一元的な場所からインシデント処理の自動化を管理できるようにします。 自動化ルールは、次の目的で使用します。

  • プレイブックを使用してインシデントとアラートに高度な自動化を割り当てる
  • プレイブックなしでインシデントへの自動的なタグ付け、割り当て、クローズを行う
  • 一度に複数の分析ルールの応答を自動化する
  • アナリスト向けに、インシデントのトリアージ、調査、修復時に実行するタスクのリストを作成する
  • 実行されるアクションの順序を制御する

インシデントが作成または更新されたときに自動化ルールを適用して、自動化をさらに効率化し、インシデント オーケストレーション プロセスの複雑なワークフローを簡略化することをお勧めします。

詳細については、「自動化ルールを使用して、Microsoft Sentinel での脅威への対応を自動化する」を参照してください。

プレイブック

プレイブックは、Microsoft Sentinel からルーチンとして実行できる応答と修復アクションやロジックのコレクションです。 プレイブックは次のことができます。

  • 脅威への対応を自動化および調整するのに役立つ
  • 内部と外部の両方で他のシステムと統合する
  • 特定のアラートまたはインシデントに対応して自動的に実行するように構成するか、新しいアラートに応答するなど手動でオンデマンドで実行するように構成する

Microsoft Sentinel では、プレイブックは、エンタープライズ全体のシステムでタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスである Azure Logic Apps で作成されたワークフローに基づいています。 つまり、プレイブックは、Logic Apps の統合とオーケストレーションの機能、使いやすいデザインツール、階層 1 の Azure サービスのスケーラビリティ、信頼性、サービス レベルのすべての機能とカスタマイズ性を活用できます。

詳細については、「Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」を参照してください。

Microsoft Defender ポータルでのオートメーション

Microsoft Sentinel ワークスペースを Defender ポータルにオンボードしたら、ワークスペースでのオートメーション機能の次の違いに注意してください。

機能 説明
アラート トリガーを使用したオートメーション ルール Defender ポータルでは、アラート トリガーを使ったオートメーション ルールは Microsoft Sentinel アラートに対してのみ機能します。

詳細については、「アラート作成トリガー」を参照してください。
インシデント トリガーを使用したオートメーション ルール Azure portal と Defender ポータルの両方で、インシデント プロバイダーの条件プロパティが削除されます。これは、すべてのインシデントにインシデント プロバイダーとして Microsoft Defender XDR が含まれるためです (ProviderName フィールドの値)。

その時点で、既存のオートメーション ルールは、Microsoft Sentinel と Microsoft Defender XDR の両方のインシデントに対して実行されます。これには、インシデント プロバイダーの条件が Microsoft Sentinel または Microsoft 365 Defender のみに設定されているものも含まれます。

ただし、特定の分析ルール名を指定するオートメーション ルールは、指定された分析ルールによって作成されたアラートを含むインシデントに対してのみ実行されます。 つまり、分析ルール名の条件プロパティを、Microsoft Sentinel のみに存在する分析ルールに定義して、Microsoft Sentinel のみに存在するインシデントに対して実行するようにルールを制限できます。

詳細については、インシデントのトリガー条件に関する記事を参照してください。
既存のインシデント名の変更 Defender ポータルは一意のエンジンを使用してインシデントとアラートを関連付けます。 ワークスペースを Defender ポータルにオンボードするときに、関連付けを適用すると、既存のインシデント名が変更される可能性があります。 したがって、オートメーション ルールが常に正しく実行されるようにするには、オートメーション ルールの条件基準としてインシデントのタイトルを使用することは避け、代わりにインシデントに含まれるアラートを作成した分析ルールの名前と、より具体的な説明が必要な場合はタグを使用することをお勧めします。
[更新者] フィールド
  • ワークスペースをオンボードすると、[更新者] フィールドには、サポートされる値の新しいセットが表示されます。これには、Microsoft 365 Defender が含まれなくなりました。 既存のオートメーション ルールでは、ワークスペースをオンボードすると、Microsoft 365 Defender が [その他] という値に置き換えられます。

  • 5 から 10 分間に同じインシデントに複数の変更が加えられた場合、最新の変更のみを含む 1 つの更新が Microsoft Sentinel に送信されます。

    詳細については、「インシデント更新トリガー」を参照してください。
  • インシデント タスクを追加するオートメーション ルール オートメーション ルールがインシデント タスクを追加した場合、タスクは Azure portal のみに表示されます。
    Microsoft インシデント作成ルール Microsoft インシデント作成ルールは、Defender ポータルではサポートされません。

    詳細については、Microsoft Defender XDR インシデントと Microsoft インシデントの作成規則に関する記事を参照してください。
    Defender ポータルからの自動化規則の実行 アラートがトリガーされ、Defender ポータルでインシデントが作成または更新されてから自動化ルールが実行されるまでに、最大で 10 分かかる場合があります。 このタイム ラグは、インシデントは Defender ポータルで作成されてから、自動化ルールのために Microsoft Sentinel に転送されるためです。
    [アクティブなプレイブック] タブ Defender ポータルにオンボードすると、既定では、[アクティブなプレイブック] タブに、オンボードされたワークスペースのサブスクリプションを含む定義済みのフィルターが表示されます。 Azure portal で、サブスクリプション フィルターを使用して、ほかのサブスクリプションのデータを追加します。

    詳細については、「コンテンツ テンプレートから Microsoft Sentinel プレイブックを作成してカスタマイズする」を参照してください。
    オンデマンドでのプレイブックの手動実行 Defender ポータルでは、現在、次の手順はサポートされていません。
  • アラートに対して手動でプレイブックを実行する
  • エンティティに対して手動でプレイブックを実行する
  • インシデントでプレイブックを実行するには、Microsoft Sentinel 同期が必要です Defender ポータルからインシデントに対してプレイブックを実行しようとすると、「このアクションに関連するデータにアクセスできません。数分後に画面を更新してください」というメッセージが表示されます。これは、インシデントがまだ Microsoft Sentinel に同期されていないことを意味します。

    インシデントが同期された後にインシデント ページを更新して、プレイブックを正常に実行します。
    インシデント: インシデントへのアラートの追加/
    インシデントからのアラートの削除
    ワークスペースを Defender ポータルにオンボードした後は、インシデントへのアラートの追加やインシデントからのアラートの削除はサポートされないため、これらのアクションもプレイブック内からはサポートされません。 詳細については、「ポータル間の機能の違い」を参照してください。