自動化オプションについて理解する
Microsoft Sentinel におけるオートメーションは、いくつかの異なる形態を取ります。 インシデント処理と応答の自動化を一元的に管理するオートメーション ルールから、事前に定義された一連のアクションを実行して、脅威対応タスクに対し強力かつ柔軟で高度な自動化を提供するプレイブックまであります。
オートメーション ルール
オートメーション ルールにより、ユーザーはインシデント処理の自動化を一元的に管理できます。 オートメーション ルールを使用すると、複数の分析ルールの応答を一度に自動化することもできます。 プレイブックを使用せずに、インシデントに自動的にタグ付けや割り当てを行ったり、閉じたりして、実行するアクションの順序を制御します。 オートメーション ルールにより、Microsoft Sentinel での自動化の使用が効率化され、インシデント オーケストレーション プロセスの複雑なワークフローを簡略化できます。
プレイブック
プレイブックは、Microsoft Sentinel からルーチンとして実行できる応答と修復アクションやロジックのコレクションです。 プレイブックは、脅威への対応を自動化および調整するのに役立ちます。 これは、内外の他のシステムと統合でき、分析ルールまたはオートメーション ルールによってトリガーされたときに、それぞれ、特定のアラートやインシデントに対応して自動的に実行されるように設定できます。 また、インシデント ページから、アラートに応じて手動でオンデマンドで実行することもできます。
Microsoft Sentinel のプレイブックは、エンタープライズ全体のシステムでタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスである Azure Logic Apps で作成されたワークフローに基づいています。 つまり、プレイブックは、Logic Apps の統合とオーケストレーションの機能、使いやすいデザインツール、階層 1 の Azure サービスのスケーラビリティ、信頼性、サービス レベルのすべての機能とカスタマイズ性を活用できます。