オートメーション ルールを使用してMicrosoft Sentinel でインシデント タスクを作成する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

この記事では、オートメーション ルールを使用してインシデント タスクの一覧を作成し、Microsoft Sentinel でアナリスト ワークフロー プロセスを標準化する方法について説明します。

インシデント タスクは、オートメーション ルールだけでなく、プレイブックによっても自動的に作成でき、さらにインシデント内から手動でアドホックに作成することもできます。

さまざまなロールのユース ケース

この記事では、SOC マネージャー、上級アナリスト、オートメーション エンジニアに適用される次のシナリオについて説明します。

• インシデント タスク アクションを使用してオートメーション ルールを表示する
• オートメーション ルールを使用してインシデントにタスクを追加する

このようなもう 1 つのシナリオについて、次の付属の記事で説明しています。

• プレイブックを使用してインシデントにタスクを追加する

次のリンクにある別の記事では、SOC アナリストにより適用されるシナリオについて説明しています。

• インシデント タスクの表示とフォロー
• インシデントにアドホック タスクを手動で追加する

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビュー版では、Microsoft Defender XDR または E5 ライセンスがなくても、Defender ポータルで Microsoft Sentinel を使用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

オートメーション ルールを作成したり、インシデントを表示および編集したりするには、Microsoft Sentinel レスポンダー ロールが必要で、そのどちらもタスクの追加、表示、編集に必要です。

インシデント タスク アクションを使用してオートメーション ルールを表示する

[オートメーション] ページでは、オートメーション ルールのビューをフィルター処理して、[タスクの追加] アクションが定義されているもののみを表示できます。

1. [アクション] フィルターを選択します。

2. [すべて選択] チェック ボックスをオフにします。

3. 下にスクロールして、[タスクの追加] チェック ボックスをオンにします。

4. [OK] を選択し、結果を表示します。

   

   これらは、インシデントにタスクを追加するオートメーション ルールです。 [分析ルール名] 列には、これらのオートメーション ルールで条件付けされている分析ルールが示されるため、影響を受けるインシデントの概要がわかります。

   Note

   オートメーション ルールが特定のインシデントに適用されるかどうかを正確に把握するには、ルールを開いて、分析ルール条件の他に追加の条件が定義されているかどうかを確認する必要があります。 他の条件が定義されている場合、影響を受けるインシデントの範囲はそれに従って絞り込まれます。

オートメーション ルールを使用してインシデントにタスクを追加する

1. [オートメーション] ページで、[+ 作成] を選択し、[オートメーション ルール] を選択します。

2. 右側に [新しいオートメーション ルールの作成] パネルが開きます。
   オートメーション ルールに、その動作を説明する名前を付けます。

3. トリガーとして [インシデント作成時] を選択します ([インシデント更新時] を使用することもできます)。

4. [条件] を追加して、新しいタスクを追加するインシデントを決定します。

   たとえば、[分析ルール名] でフィルター処理します。

   • 特定のワークフローに従って処理する必要がある、分析ルールまたは分析ルールのグループによって検出された脅威の種類に基づいて、タスクをインシデントに追加することをお勧めします。 ドロップダウン リストから関連する分析ルールを検索して選択します。

   • または、すべての種類の脅威に対してインシデントに関連するタスクを追加することをお勧めします (この場合は、[すべて] の既定の選択をそのままにします)。

   どちらの場合も、さらに条件を追加して、オートメーション ルールが適用されるインシデントの範囲を絞り込むことができます。 詳細については、オートメーション ルールへの高度な条件の追加に関するページを参照してください。

   考慮する必要がある 1 つの点は、タスクがインシデントに表示される順序は、タスクの作成時間によって決まるということです。 すべてのインシデントに必要なタスクを追加するルールが最初に実行され、その後に特定の分析ルールによって生成されたインシデントに必要なタスクを追加するルールが実行されるように、オートメーション ルールの順序を設定できます。

   

5. [アクション] で、[タスクの追加] を選びます。

   

6. 各タスクの [タスクのタイトル] フィールドにタイトルを入力し、(必要に応じて) [+ 説明の追加] を選択して説明フィールドを開きます。
   インシデントのタスク リスト パネルには、既定でタスク タイトルのみが表示されます。 タスクの説明は、タスク項目が展開されている場合にのみ表示されます。

   

7. 説明フィールドには、画像、リンク、リッチテキスト形式などのタスクの自由形式の説明を追加できます (以下の例の、ハイパーリンク、番号付きリスト、コードブロック形式のテキストを参照してください)。

   

8. 同じインシデント グループにさらにタスクを追加するには、[+ アクションの追加] を選択し、最後の 3 つの手順を繰り返します。

   タスクは、オートメーション ルールの [タスクの追加] アクションの順序に従って作成され、インシデントに追加されます。

   

9. 残りの手順の [ルールの有効期限] と [順序] を完了し、最後に [適用] を選択して、オートメーション ルールの作成を完了します。 詳細については、「Microsoft Sentinel オートメーション ルールを作成および使用して対応を管理する」を参照してください。

   [順序] 設定について: インシデントにタスクが表示される順序は、次の 2 つの点によって異なります。

   1. [順序] 設定の数値によって決まるオートメーション ルールの実行順序、および
   2. 各オートメーション ルール内に定義された [タスクの追加] アクションの順序。

次のステップ

• インシデント タスクの詳細を確認する。
• インシデントの調査方法を確認する。
• プレイブックを使用して、インシデントのグループに自動的にタスクを追加する方法を確認する。
• タスクを使用して、Microsoft Sentinel でインシデント ワークフローを処理する方法を確認する。
• オートメーション ルールとそれらの作成方法の詳細を確認する。