Microsoft Sentinel プレイブックを自動化して実行する
プレイブックは、インシデント全体、個々のアラート、または特定のエンティティに対応して Microsoft Sentinel から実行できる手続きのコレクションです。 プレイブックは、対応の自動化と調整に役立ちます。分析ルールまたはオートメーション ルールにアタッチすることで、特定のアラートやインシデントが発生したときや、インシデントが作成または更新されたときに自動的に実行されるように設定できます。 また、特定のインシデント、アラート、エンティティに対し、オンデマンドで手動で実行することもできます。
この記事では、分析ルールまたは自動化ルールにプレイブックをアタッチする方法、または特定のインシデント、アラート、またはエンティティに対してプレイブックを手動で実行する方法について説明します。
Note
Microsoft Sentinel のプレイブックは Azure Logic Apps で構築されたワークフローをベースにしています。これは、Logic Apps のすべての機能、カスタマイズ性、組み込みテンプレートを利用できることを意味します。 追加料金が適用される場合があります。 詳細については、Azure Logic Apps の価格ページを参照してください。
重要
Microsoft Sentinel は Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Sentinel は、Microsoft Defender XDR または E5 のライセンスがなくても Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
前提条件
開始する前に、トリガー、条件、アクションを定義して、自動化または実行できるプレイブックがあることを確認します。 詳細については、「Microsoft Sentinel プレイブックの作成と管理」を参照してください。
プレイブックを実行するために必要な Azure ロール
プレイブックを実行するには、次の Azure ロールが必要です。
| ロール | 説明 |
|---|---|
| 所有者 | リソース グループ内のプレイブックへのアクセス権を付与できます。 |
| Microsoft Sentinel 共同作成者 | プレイブックを分析ルールやオートメーション ルールにアタッチできます |
| Microsoft Sentinel レスポンダー | プレイブックを手動で実行するためにインシデントにアクセスします。 プレイブックを実際に実行するには、次のロールも必要です。 プレイブックを手動で実行するための - Microsoft Sentinel プレイブック オペレーター オートメーション ルールでプレイブックを実行するための - Microsoft Sentinel Automation 共同作成者ロール。 |
詳細については、「プレイブックの前提条件」を参照してください。
インシデントに対してプレイブックを実行するために必要な追加のアクセス許可
Microsoft Sentinel は、サービス アカウントを使用して、インシデントに対してプレイブックを実行することで、セキュリティを追加し、オートメーション ルール API を有効にして CI/CD ユースケースをサポートします。 このサービス アカウントは、インシデントによってトリガーされるプレイブックに対して、または特定のインシデントに対して手動でプレイブックを実行するときに使用されます。
この Microsoft Sentinel サービス アカウントには、独自のロールとアクセス許可に加えて、プレイブックが存在するリソース グループに対する独自のアクセス許可セットが、Microsoft Sentinel Automation 共同作成者ロールの形式で必要です。 Microsoft Sentinel は、このロールを付与されると、関連するリソース グループ内の任意のプレイブックを手動で、またはオートメーション ルールから実行できます。
Microsoft Sentinel に必要なアクセス許可を付与するには、所有者またはユーザー アクセス管理者のロールが必要です。 プレイブックを実行するには、実行するプレイブックを含むリソース グループに対するロジック アプリの共同作成者ロールも必要です。
マルチテナント展開におけるインシデントでのプレイブックのアクセス許可の構成
マルチテナント展開で、実行したいプレイブックが別のテナントに存在する場合、そのプレイブックのテナントでプレイブックを実行するアクセス許可を Microsoft Sentinel サービス アカウントに付与する必要があります。
プレイブックのテナントにある Microsoft Sentinel のナビゲーション メニューから [設定] を選択します。
[設定] ページで、[設定] タブ、[プレイブックのアクセス許可] エキスパンダーの順に選択します。
[アクセス許可の構成] ボタンを選択して、[アクセス許可の管理] パネルを 開きます。
実行したいプレイブックがあるリソース グループのチェック ボックスをオンにして、[適用] を選択します。 次に例を示します。
![[アクション] セクションで [プレイブックの実行] が選択されている様子を示すスクリーンショット。](../media/run-playbooks/manage-permissions.png)
自分自身に、Microsoft Sentinel のアクセス許可を付与するリソース グループに対する所有者アクセス許可が必要です。また、実行するプレイブックを含むリソース グループに対して、Microsoft Sentinel プレイブック オペレーターロールが必要です。
MSSP シナリオで、サービス プロバイダー テナントへのサインイン中に作成された自動化ルールから顧客テナントでプレイブックを実行する必要がある場合、両方のテナントでプレイブックを実行するためのアクセス許可を Microsoft Sentinel に付与する必要があります。
顧客テナントでは、マルチテナント展開の標準的な手順に従います。
サービス プロバイダーテナントでは、次の手順に従って Azure Security Insights アプリを Azure Lighthouse オンボード テンプレートに追加する必要があります。
- Azure portal から [Microsoft Entra ID] に移動し、[エンタープライズ アプリケーション] を選択します。
- [アプリケーションの種類] を選択し、[Microsoft アプリケーション] でフィルター処理します。
- 検索ボックスに、「Azure Security Insights 」と入力します。
- [オブジェクト ID] フィールドをコピー します。 この追加の承認を、既存の Azure Lighthouse の委任に追加する必要があります。
Microsoft Sentinel Automation 共同作成者ロールは、f4c81013-99ee-4d62-a7ee-b3f1f648599a の固定 GUID を持ちます。 Azure Lighthouse 承認のサンプルは、パラメーター テンプレートでは次のようになります。
{
"principalId": "<Enter the Azure Security Insights app Object ID>",
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors"
}
インシデントとアラートへの対応を自動化する
プレイブックを使用してインシデント全体または個々のアラートに自動的に対応するには、インシデントが作成または更新されたとき、またはアラートが生成されたときに実行される自動化ルールを作成します。 このオートメーション ルールには、使用するプレイブックを呼び出すステップが入ります。
オートメーション ルールを作成するには:
Microsoft Sentinel のナビゲーション メニューにある [オートメーション] ページで、トップ メニューの [作成]、[オートメーション ルール] の順に選択します。 次に例を示します。
[Create new automation rule](新しいオートメーション ルールの作成) パネルが開きます。 ルールの名前を入力します。 ワークスペースが Microsoft Defender ポータルにオンボードされているかどうかによって、オプションが異なります。 次に例を示します。
トリガー: オートメーション ルールを作成する状況に応じて、適切なトリガーを選択します。インシデントが作成されたとき、インシデントが更新されたとき、またはアラートが作成されたとき。
条件:
ワークスペースが Defender ポータルにまだオンボードされていない場合、インシデントには次の 2 つのソースが考えられます。
- インシデントは Microsoft Sentinel 内で作成できます
- インシデントは、Microsoft Defender XDR からインポートおよび同期できます。
インシデント トリガーの 1 つを選択し、Microsoft Sentinel で発生したインシデント (または Microsoft Defender XDR で発生したもの) のみにオートメーション ルールを適用する場合は、[インシデント プロバイダーが次に該当する場合] の条件でソースを指定します。
この条件は、インシデント トリガーが選択され、ワークスペースが Defender ポータルにオンボードされていない場合にのみ表示されます。
すべての種類のトリガーについて、特定の分析ルールでのみオートメーション ルールが有効になるようにしたい場合は、[If Analytics rule name contains](分析ルール名が次に該当する場合) の条件を変更して分析ルールを指定します。
このオートメーション ルールを実行するかどうかを決めるその他の条件を追加します。 [追加] を選択し、ドロップダウン リストから条件または条件のグループを選択します。 条件の一覧は、アラートの詳細とエンティティ識別子のフィールドによって設定されます。
操作:
このオートメーション ルールはプレイブックの実行に使用するので、ドロップダウン リストから [プレイブックの実行] アクションを選択します。 使用可能なプレイブックが 2 つ目のドロップダウン リストに表示され、そこから選択するように求められます。 オートメーション ルールで実行できるのは、ルールに定義されているトリガーと同じトリガー (インシデントまたはアラート) で開始するプレイブックのみであるため、それらのプレイブックのみがリストに表示されます。
ドロップダウン リストでプレイブックが "淡色表示" される場合、そのプレイブックのリソース グループに対するアクセス許可が Microsoft Sentinel にはありません。 [Manage playbook permissions]\(プレイブックのアクセス許可の管理\) リンクを選び、アクセス許可を割り当ててください。
表示された [アクセス許可の管理] パネルで、実行したいプレイブックがあるリソース グループのチェック ボックスをオンにして、[適用] を選択します。 次に例を示します。
自分自身に、Microsoft Sentinel のアクセス許可を付与するリソース グループに対する所有者アクセス許可が必要です。また、実行するプレイブックを含むリソース グループに対して、Microsoft Sentinel プレイブック オペレーターロールが必要です。
詳細については、「インシデントでプレイブックを実行するために必要な追加のアクセス許可」を参照してください。
このルールに必要なその他のアクションを追加します。 アクションの右側にある上下の矢印を選択すると、アクションの実行順序を変更できます。
必要に応じてオートメーション ルールの有効期限を設定します。
[順序] に数値を入力して、このルールが実行されるオートメーション ルールのシーケンス内の位置を指定します。
[適用] を選択して自動化を完了します。
詳細については、「Microsoft Sentinel プレイブックの作成と管理」を参照してください。
アラートに対応する - 従来の方法
アラートに対応して自動的にプレイブックを実行するもう 1 つの方法は、分析ルールから呼び出す方法です。 ルールによってアラートが生成されると、プレイブックが実行されます。
この方法は、2026 年 3 月をもって非推奨となります。
2023 年 6 月以降、この方法でプレイブックを分析ルールに追加することはできなくなります。 ただし、分析ルールから呼び出される既存のプレイブックは引き続き確認でき、2026 年 3 月まで実行されます。 それまでに、これらのプレイブックを代わりに呼び出すオートメーション ルールを作成することを強くお勧めします。
オンデマンドでプレイブックを手動で実行する
アラート、インシデント、またはエンティティに対して、オンデマンドでプレイブックを手動で実行することもできます。 これはオーケストレーションや応答プロセスに、人による入力や制御が求められる状況で役立てることができます。
アラートに対して手動でプレイブックを実行する
この手順は、Defender ポータルではサポートされていません。
Azure portal で、ご自分の環境での必要に応じて次のいずれかのタブを選択します。
[インシデント] ページでインシデントを選択し、[完全な詳細の表示] を選択 してインシデントの詳細ページを開きます。
インシデントの詳細ページの [インシデントのタイムライン] ウィジェットで、プレイブックを実行するアラートを選択します。 アラートの行の最後にある 3 つのドットを選択し、ポップアップ メニューから [プレイブックの実行] を選択します。
[アラート プレイブック] ウィンドウが開きます。 自分がアクセスできる Microsoft Sentinel アラートの Logic Apps トリガーを使って構成されているすべてのプレイブックが一覧表示されます。
特定のプレイブックの行にある [実行] を選択すると、それが直ちに実行されます。
アラートに関するプレイブックの実行履歴は、[アラートのプレイブック] ペインの [実行] タブを選択することで表示できます。 完了したばかりの実行がこの一覧に表示されるまでには数秒かかることがあります。 特定の実行を選択すると、Logic Apps で完全な実行ログが開きます。
インシデントに対して手動でプレイブックを実行する
この手順は、Azure portal と Defender ポータルのどちらで作業しているかによって異なります。 お使いの環境に関連するタブを選びます。
[インシデント] ページでインシデントを選択します。
隣に表示されるインシデントの詳細ウィンドウから、[アクション] > [プレイブックの実行] を選択します。
グリッドでインシデントの行末にある 3 つのドットを選択するか、またはインシデントを右クリックすると、[アクション] ボタンと同じ一覧が表示されます。
[インシデントでプレイブックを実行する] パネルが隣に表示されます。 自分がアクセスできる Microsoft Sentinel インシデントの Logic Apps トリガーを使って構成されているすべてのプレイブックが一覧表示されます。
実行したいプレイブックが一覧に表示されない場合、そのリソース グループ内のプレイブックを実行するアクセス許可が Microsoft Sentinel にないことを意味します。
これらのアクセス許可を付与するには、[設定]>[設定]>[プレイブックのアクセス許可]>[アクセス許可の構成] の順に選びます。 表示された [アクセス許可の管理] パネルで、実行したいプレイブックがあるリソース グループのチェック ボックスをオンにして、[適用] を選択します。
詳細については、「インシデントでプレイブックを実行するために必要な追加のアクセス許可」を参照してください。
特定のプレイブックの行にある [実行] を選択すると、それが直ちに実行されます。
実行するプレイブックを含むリソース グループに対する "Microsoft Sentinel プレイブック オペレーター" ロールが必要です。 アクセス許可がないためにプレイブックを実行できない場合は、管理者に連絡して、関連するアクセス許可を付与してもらうことをお勧めします。 詳細については、「Microsoft Sentinel プレイブックの前提条件」を参照してください。
[インシデントでプレイブックを実行する] パネルの [実行] タブを選び、インシデントに関するプレイブックの実行履歴を表示します。 完了したばかりの実行がこの一覧に表示されるまでには数秒かかることがあります。 特定の実行を選択すると、Logic Apps で完全な実行ログが開きます。
エンティティに対して手動でプレイブックを実行する
この手順は、Defender ポータルではサポートされていません。
元のコンテキストに応じて、次のいずれかの方法でエンティティを選択します。
インシデントの詳細ページ (新しいバージョン) にいる場合:
[概要] タブの [エンティティ] ウィジェットで、エンティティを見つけて、次のいずれかの操作を行います。
エンティティを選択しないでください。 代わりに、エンティティの右側にある 3 つのドットを選択し、[プレイブックの実行] を選択します。 実行するプレイブックを見つけて、そのプレイブックの行で [実行] を選択します。
エンティティを選択して、インシデント詳細ページの [エンティティ] タブを開きます。 一覧でエンティティを見つけて、右側にある 3 つのドットを選択します。 実行するプレイブックを見つけて、そのプレイブックの行で [実行] を選択します。
エンティティを選択し、エンティティの詳細ページにドリルダウンします。 そして、左側のパネルの [プレイブックの実行] ボタンを選択します。 実行するプレイブックを見つけて、そのプレイブックの行で [実行] を選択します。
発生したコンテキストに関係なく、この手順の最後の手順は、[<エンティティ型>でプレイブックを実行する] パネルから行います。 このパネルでは、選択したエンティティ型に対して Microsoft Sentinel エンティティ Logic Apps トリガーを使用して構成された、アクセス権を持つすべてのプレイブックの一覧が表示されます。
[<エンティティ型>でプレイブックを実行する] ウィンドウで [実行] タブを選択すると、特定のエンティティのプレイブックの実行履歴が表示されます。 完了したばかりの実行がこの一覧に表示されるまでには数秒かかることがあります。 特定の実行を選択すると、Logic Apps で完全な実行ログが開きます。
関連するコンテンツ
詳細については、以下を参照してください: