Microsoft Sentinel で調査中または脅威ハンティング中に脅威アクターに対応する

[アーティクル]
06/01/2023
適用対象:

Microsoft Sentinel in the Azure portal

この記事では、インシデント調査または脅威ハンティングの過程で、調査や捜索からピボットやコンテキスト切り替えをすることなく、脅威アクターに対してその場で対応アクションを実行する方法について説明します。これは、新しいエンティティトリガーに基づくプレイブックを使用して行います。

エンティティトリガーでは現在、次のエンティティ型をサポートしています。

重要

エンティティトリガーは現在プレビュー段階です。ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

エンティティトリガーを使用してプレイブックを実行する

インシデントを調査していて、特定のエンティティ (ユーザーアカウント、ホスト、IP アドレス、ファイルなど) が脅威を表していると判断した場合は、オンデマンドでプレイブックを実行することで、その脅威に対して直ちに修復アクションを実行できます。インシデントのコンテキスト外で脅威を事前に探しながら、疑わしいエンティティが発生した場合も同様に実行できます。

発生したコンテキストでエンティティを選択し、次のようにプレイブックを実行するための適切な手段を選択します。
- [新しいインシデントの詳細] ページ (プレビュー段階) のインシデントの [概要] タブの [エンティティ] ウィジェット、またはその [エンティティ] タブで、一覧からエンティティを選択し、エンティティの横にある 3 つのドットを選択し、ポップアップメニューから [プレイブックの実行 (プレビュー)] を選択します。
- インシデントの [エンティティ] タブで、一覧からエンティティを選択し、一覧の行の末尾にある [プレイブックの実行 (プレビュー)] リンクを選択します。
- [調査グラフ] からエンティティを選択し、エンティティのサイドパネルで [プレイブックの実行 (プレビュー)] ボタンを選択します。
- [エンティティの動作] ページからエンティティを選択します。結果のエンティティページで、左側のパネルの [プレイブックの実行 (プレビュー)] ボタンを選択します。
これらのすべてで、[<"エンティティ型"> へのプレイブックの実行] パネルが開かれます。

いずれのパネルにも、[プレイブック] と [実行] という 2 つのタブが表示されます。
[プレイブック] タブには、アクセス権を持ち、そのエンティティ型 (この場合はユーザーアカウント) の Microsoft Sentinel エンティティ トリガーを使用するすべてのプレイブックの一覧が表示されます。すぐに実行するプレイブックの [実行] ボタンを選択します。

実行したいプレイブックが一覧に表示されない場合、そのリソースグループ内のプレイブックを実行するアクセス許可が Microsoft Sentinel にないことを意味します。

これらのアクセス許可を付与するには、[設定] > [設定] > [プレイブックのアクセス許可] > [アクセス許可の構成] の順に選びます。 [アクセス許可の管理] パネルで、実行したいプレイブックがあるリソースグループのチェックボックスをオンにして、[適用] を選択します。

詳細については、「Microsoft Sentinel でプレイブックを実行するために必要な追加のアクセス許可」を参照してください。
エンティティトリガープレイブックのアクティビティは、[実行] タブで監査できます。選択したエンティティでプレイブックが実行されたすべての時間の一覧が表示されます。完了したばかりの実行がこの一覧に表示されるまでには数秒かかることがあります。特定の実行を選択すると、Azure Logic Apps で完全な実行ログが開きます。