ArcSight SOAR オートメーションを Microsoft Sentinel に移行する
Microsoft Sentinel は、自動化ルール と プレイブックを備えたセキュリティ オーケストレーション、オートメーション、および応答 (SOAR) 機能を提供します。 自動化ルールによってインシデントの処理と対応が自動化され、プレイブックでは、脅威に対応して修復するための所定の一連のアクションが実行されます。 この記事では、SOAR のユース ケースを特定する方法と、ArcSight SOAR オートメーションを Microsoft Sentinel に移行する方法について説明します。
自動化ルールを使用すると、インシデント オーケストレーション プロセスの複雑なワークフローが簡略化され、インシデント処理の自動化を一元的に管理できます。
自動化ルールを使用すると、次のことができます:
- プレイブックを必ずしも使用せずに簡単な自動化タスクを実行します。 たとえば、割り当て、インシデントのタグ付け、状態の変更、インシデントの終了を行うことができます。
- 一度に複数の分析ルールの応答を自動化します。
- 実行されるアクションの順序を制御します。
- より複雑な自動化タスクが必要な場合は、プレイブックを実行します。
SOAR のユース ケースを特定する
ARCSight から SOAR ユース ケースを移行する際に考慮する必要がある点を次に示します。
- ユース ケースの品質。 自動化に適したユース ケースを選択します。 ユース ケースは、最小限のバリエーションと低い誤検知率で明確に定義されたプロシージャに基づく必要があります。 自動化は効率的なユース ケースで動作するはずです。
- 手動で介入。 自動応答は広範囲の効果を持つ可能性があり、影響の大きい自動化には、影響の大きいアクションを実行する前に確認するための人間の入力が必要です。
- バイナリ条件。 応答の成功を増やすには、自動化されたワークフロー内の決定ポイントを可能な限り制限し、バイナリ条件を使用する必要があります。 バイナリ条件は、人間の介入の必要性を減らし、結果の予測可能性を高めます。
- 正確なアラートまたはデータ。 応答アクションは、アラートなどのシグナルの正確性に依存します。 アラートとエンリッチメント ソースは信頼できる必要があります。 ウォッチリストや信頼性の高い脅威インテリジェンスなどの Microsoft Sentinel リソースは、信頼性を高めることができます。
- アナリスト ロール。 自動化は可能な限り優れているものの、アナリストにとってより複雑なタスクを予約し、検証を必要とするワークフローに入力する機会を提供します。 つまり、応答の自動化では、アナリストの機能を拡張する必要があります。
SOAR ワークフローに移行する
このセクションでは、ArcSight の主要な SOAR の概念が Microsoft Sentinel コンポーネントにどのように移動するかを示し、SOAR ワークフローの各ステップまたはコンポーネントを移行する方法に関する一般的なガイドラインを示します。
| ステップ (図) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | Enterprise セキュリティマネージャー(ESM) にイベントを取り込み、関連付けイベントをトリガーします。 | Log Analytics ワークスペースにイベントを取り込みます。 |
| 2 | ケースの作成のためにアラートを自動的にフィルター処理します。 | 分析ルールを使用してアラートをトリガーします。 カスタム詳細機能を使用してアラートを強化し、動的インシデント名を作成します。 |
| 3 | ケースを分類します。 | 自動化ルールを使用します。 自動化ルールを使用すると、Microsoft Sentinel は、インシデントをトリガーした分析ルールと、定義された条件に一致するインシデント プロパティに従ってインシデントを処理します。 |
| 4 | ケースを統合する。 | アラート グループ化フィーチャーを使用して、エンティティの照合、アラートの詳細、作成時間枠などのプロパティに従って、複数のアラートを 1 つのインシデントに統合できます。 |
| 5 | ケースをディスパッチする。 | Microsoft Teams、Azure Logic Apps、および Microsoft Sentinel 自動化ルールの統合を使用して、特定のアナリストにインシデントを割り当てます。 |
SOAR コンポーネントをマップ
主要な ArcSight SOAR コンポーネントにマップされる Microsoft Sentinel または Azure Logic Apps フィーチャを確認します。
| ArcSight | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| トリガー | トリガー |
| オートメーション bit | Azure 関数コネクタ |
| アクション | 操作 |
| スケジュールされたプレイブック | 繰り返しトリガーによって開始されたプレイブック |
| ワークフロープレイブック | Microsoft Sentinelの アラートまたはインシデント トリガーによって自動的に開始されるプレイブック |
| マーケットプレース | • Automation(オートメーション)> Templates tab(テンプレートタブ) • コンテンツ ハブ カタログ • GitHub |
Microsoft Sentinel でオートメーション ルールとプレイブックを操作する
Microsoft Sentinel で使用するプレイブックのほとんどは、[Automation > Templates タブ]、コンテンツ ハブ カタログ、または GitHub で使用できます。 ただし、場合によっては、プレイブックを最初から作成するか、既存のテンプレートから作成する必要がある場合があります。
通常は、Azure Logic App Designer フィーチャーを使用してカスタム ロジック アプリをビルドします。 ロジック アプリ コードは Azure Resource Manager (ARM) テンプレートに基づいており、複数の環境でAzure Logic Appsの開発、デプロイ、移植性を支援します。 カスタム プレイブックを移植可能な ARM テンプレートに変換するには、 ARM テンプレート ジェネレーターを使用できます。
これらのリソースは、最初から、または既存のテンプレートから独自のプレイブックをビルドする必要があるケースに使用します。
- Microsoft Sentinel でインシデント処理を自動化する
- Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する
- チュートリアル: Microsoft Sentinel でオートメーション ルールとプレイブックを使用する
- インシデント対応、オーケストレーション、自動化に Microsoft Sentinel を使用する方法
- Microsoft Sentinel でのインシデント対応を強化するためのアダプティブ カード
SOARの移行後のベスト プラクティス
SOAR の移行後に考慮する必要があるベスト プラクティスを次に示します:
- プレイブックを移行したら、プレイブックを広範囲にテストして、移行されたアクションが期待どおりに動作することを確認します。
- automations を定期的に確認して、SOAR をさらに簡素化または強化する方法を確認します。 Microsoft Sentinel は、現在の応答実装の有効性をさらに簡素化または向上させるために役立つ新しいコネクタとアクションを常に追加します。
- プレイブックの稼働状況の監視ブックを使用して、プレイブックのパフォーマンスをモニターします。
- マネージド ID とサービス プリンシパルの使用: Logic Apps 内のさまざまな Azure サービスに対して認証を行い、Azure Key Vaultにシークレットを保存し、フロー実行の出力を隠します。 また、これらのサービス プリンシパルのアクティビティをモニターすることをお勧めします。
次のステップ
この記事では、ARCSight から Microsoft Sentinel に SOAR オートメーションをマップする方法について説明しました。