テンプレートから Microsoft Sentinel プレイブックを作成してカスタマイズする
プレイブック テンプレートは、Microsoft Sentinel 用の事前構築済みでテスト済みのすぐに使用できる自動化ワークフローであり、ニーズに合わせてカスタマイズできます。 テンプレートは、プレイブックをゼロから開発するときのベスト プラクティスのリファレンスとして、または新しい自動化シナリオのためのインスピレーションを得るためにも、役に立つ場合があります。
プレイブック テンプレート自体はアクティブなプレイブックではなく、ニーズに合わせて編集可能なコピーを作成する必要があります。
世界中のセキュリティ運用センターで使用される一般的な自動化シナリオに基づいて、Microsoft Sentinel コミュニティ、独立系ソフトウェア ベンダー (ISV)、Microsoft 独自の専門家によって、多くのプレイブック テンプレートが開発されています。
重要
プレイブック テンプレートは、現在、プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されるようになりました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
前提条件
プレイブックを作成して管理するには、次のいずれかの Azure ロールを使用して Microsoft Sentinel にアクセスする必要があります。
- ロジック アプリを編集および管理するためのロジック アプリ共同作成者
- ロジック アプリの読み取り、有効化、無効化を行うためのロジック アプリ オペレーター
詳細については、Microsoft Sentinel プレイブックの前提条件に関する記事を参照してください。
プレイブックを作成する前に、「Microsoft Sentinel プレイブック用 Azure Logic Apps」を参照することをお勧めします。
プレイブック テンプレートにアクセスする
プレイブック テンプレートに次のソースからアクセスします。
場所 | 説明 |
---|---|
Microsoft Sentinel の [自動化] ページ | [プレイブック テンプレート] タブに、インストールされているすべてのプレイブックが一覧表示されます。 同じテンプレートを使用して、1 つ以上のアクティブなプレイブックを作成します。 Microsoft から新しいバージョンのテンプレートが公開されると、[アクティブなプレイブック] タブで、そのテンプレートから作成されたアクティブなプレイブックに、更新が利用可能であることを示す追加のラベルが付けられます。 |
Microsoft Sentinel の [コンテンツ ハブ] ページ | プレイブック テンプレートは、製品ソリューションの一部として、または [コンテンツ ハブ] からインストールされたスタンドアロン コンテンツとして使用できます。 詳細については、次を参照してください。 Microsoft Sentinel コンテンツとソリューションについて Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する |
GitHub | Microsoft Sentinel GitHub リポジトリには、その他のプレイブック テンプレートが数多く含まれています。 [Azure にデプロイ] を選択してテンプレートを Azure サブスクリプションにデプロイします。 |
技術的には、プレイブック テンプレートは Azure Resource Manager (ARM) テンプレートであり、いくつかのリソース (Azure Logic Apps ワークフローや、関連する各接続の API 接続など) で構成されます。
この記事では、 [オートメーション] の [プレイブック テンプレート] タブからプレイブック テンプレートをデプロイする方法について説明します。
プレイブック テンプレートを調べる
Azure portal の Microsoft Sentinel では、[コンテンツ管理]>[コンテンツ ハブ] を選びます。 Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選びます。
[コンテンツ ハブ] ページで、[コンテンツ タイプ] を選び、プレイブックをフィルター処理します。 このフィルター表示には、1 つ以上のプレイブック テンプレートを含むすべてのソリューションとスタンドアロン コンテンツが一覧表示されます。 ソリューションまたはスタンドアロン コンテンツをインストールしてテンプレートを取得します。
次に、[構成]>[オートメーション]>[プレイブック テンプレート] タブを選び、インストールされているテンプレートを表示します。 次に例を示します。
要件に合うプレイブック テンプレートを見つけるには、次の条件で一覧をフィルター処理します。
Assert | 説明 |
---|---|
トリガー | インシデント、アラート、エンティティなど、プレイブックのトリガー方法でフィルター処理します。 詳細については、サポートされている Microsoft Sentinel トリガーに関する記事を参照してください。 |
Logic Apps コネクタ | プレイブックが操作する外部サービスでフィルター処理します。 デプロイ プロセスの間に、各コネクタは ID を使用して外部サービスに対する認証を行う必要があります。 |
エンティティ | プレイブックがインシデント内で見つける必要があるエンティティの種類でフィルター処理します。 たとえば、IP アドレスをブロックするようにファイアウォールに指示するプレイブックでは、インシデント内で IP アドレスを検索すると考えられます。 このようなインシデントは、ブルート フォース攻撃分析ルールによって作成される可能性があります。 |
タグ | プレイブックに適用されるラベル、プレイブックを特定のシナリオに関連付ける、または特別な特性を示すラベルでフィルター処理します。 例: - エンリッチメント - 別のサービスから情報をフェッチしてインシデントにコンテキストを追加するプレイブック。 この情報は、通常、インシデントにコメントとして追加されるか、SOC に送信されます。 - 修復 - 潜在的な脅威を排除するために、影響を受けるエンティティに対してアクションを実行するプレイブック。 - 同期 - インシデント管理サービスなどの外部サービスがインシデントのプロパティで更新された状態を維持するのに役立つプレイブック。 - 通知 - メールまたはメッセージを送信するプレイブック。 - Response from Teams \(Teams からの応答\) - アナリストが、対話型カードを使用して Teams から手動操作を実行できるプレイブック。 |
次に例を示します。
テンプレートのプレイブックをカスタマイズする
この手順では、プレイブック テンプレートをデプロイする方法について説明します。この手順は、同じテンプレートから複数のプレイブックを作成するために繰り返すことができます。
ほとんどのプレイブック テンプレートをそのまま使用できますが、SOC のニーズに合わせてプレイブックを必要に応じて調整することをお勧めします。
[プレイブック テンプレート] タブで、開始するプレイブックを選択します。
プレイブックに前提条件がある場合は、必ず指示に従ってください。 次に例を示します。
一部のプレイブックでは、他のプレイブックがアクションとして呼び出されます。 この 2 つ目のプレイブックは、入れ子になったプレイブックと呼ばれます。 このような場合の前提条件の 1 つとして、入れ子になったプレイブックを最初にデプロイする必要があります。
一部のプレイブックでは、カスタム Logic Apps コネクタまたは Azure 関数をデプロイする必要があります。 このような場合は、一般的な ARM テンプレート デプロイ プロセスに移動する [Azure へのデプロイ] リンクが表示されます。
[Create playbook](プレイブックの作成) を選択し、選択したテンプレートに基づくプレイブック作成ウィザードを開きます。 ウィザードには 4 つのタブがあります。
[基本]: 新しいプレイブック (Logic Apps リソース) を見つけて、名前を付けます。 既定値を使用できます。 次に例を示します。
[パラメーター]: プレイブックで使用する顧客固有の値を入力します。 たとえば、プレイブックが SOC に電子メールを送信する場合は、受信者のアドレスを定義します。 プレイブックで使用されているカスタム コネクタがある場合は、同じリソース グループにデプロイする必要があります。その名前を [パラメーター] タブに入力するように求められます。
[パラメーター] タブは、プレイブックにパラメーターがある場合にのみ表示されます。 次に例を示します。
[接続]: 各アクションを展開して、以前のプレイブック用に作成した既存の接続を表示します。 既存の接続を使用するか、新しい接続を作成できます。 次に例を示します。
新しい接続を作成するには、デプロイ後に [新しい接続の作成] を選択します。 このオプションにより、デプロイ プロセスが完了した後で Logic Apps デザイナーに移動します。
カスタム コネクタは、[パラメーター] タブに入力したカスタム コネクタ名で一覧表示されます。
Microsoft Sentinel など、マネージド ID を使用した接続をサポートするコネクタの場合、既定の接続方法はマネージド ID です。
詳細については、「Microsoft Sentinel へのプレイブックの認証」を参照してください。
[確認および作成]: プロセスの概要を確認し、プレイブックを作成する前に入力の検証を待ちます。
プレイブック作成ウィザードの手順を最後まで実行すると、Logic Apps デザイナーでの新しいプレイブックのワークフローのデザインに表示が移動します。 次に例を示します。
選択したコネクタごとに、次の操作を実行し、デプロイ後の新しい接続を作成します。
ナビゲーション メニューから [API 接続] を選択し、接続名を選択します。 次に例を示します。
ナビゲーション メニューから [API 接続の編集] を選択します。
必要なパラメーターを入力して、[保存] を選択します。 次に例を示します。
または、Logic Apps デザイナーの関連する手順内から新しい接続を作成します。
エラー記号と共に表示される各ステップについて、それを選択して展開し、[新規追加] を選択します。
関連する手順に従って認証を行います。 詳細については、「Microsoft Sentinel へのプレイブックの認証」を参照してください。
この同じコネクタを使用する他の手順がある場合は、そのボックスを展開します。 表示される接続の一覧から、先に作成した接続を選択します。
Microsoft Sentinel または他のサポートされている接続にマネージド ID 接続を使用することを選択した場合は、Microsoft Sentinel ワークスペースまたは他のコネクタの関連するターゲット リソースに対し、新しいプレイブックへのアクセス許可を付与します。
プレイブックを保存します。 プレイブックが [アクティブなプレイブック] タブに表示されます。
新しいプレイブックを実行するには、自動応答を設定するか、手動で実行します。 詳細については、Microsoft Sentinel プレイブックを使用した脅威への対応に関するページを参照してください。
プレイブック テンプレートで問題を報告する
プレイブックのバグを報告したり、改善を要求したりするには、プレイブックの詳細ペインで [サポート元] リンクを選択します。 コミュニティでサポートされているプレイブックの場合は、リンクを選択すると GitHub 問題が開きます。 それ以外の場合は、フィードバックの送信方法に関する情報を示すサポート担当者のページにリダイレクトされます。