オートメーション ルールを作成する
自動化ルールとは、インシデント処理の自動化を一元的に管理する方法です。これにより、プレイブックを使用せずに単純な自動化タスクを実行することができます。 たとえば、自動化ルールを使用すると、インシデントを適切な担当者に自動的に割り当てたり、分類のためにインシデントにタグを付けたり、インシデントの状態を変更して閉じたりすることができます。 また、自動化ルールでは、複数の分析ルールへの応答を一度に自動化したり、実行されるアクションの順序を制御したり、より複雑な自動化タスクが必要な場合にプレイブックを実行したりすることもできます。 つまり、自動化ルールを使用すると、Microsoft Sentinel での自動化の使用が効率化され、インシデント オーケストレーション プロセスの複雑なワークフローを簡略化することができます。
自動化ルールの作成と管理
特定のニーズやユース ケースに応じて、Microsoft Sentinel エクスペリエンスのさまざまなポイントからオートメーション ルールを作成および管理できます。
自動化ブレード
自動化ルールは、 [Automation rules](自動化ルール) タブの新しい [自動化] ブレード ( [プレイブック] ブレードに置き換わる) で一元的に管理することができます。(また、 [プレイブック] タブで、このブレード内のプレイブックを管理することもできるようになりました。) ここから、新しい自動化ルールの作成や、既存のものの編集を行うことができます。 また、自動化ルールをドラッグして、実行の順序を変更し、それらを有効または無効にすることもできます。
[オートメーション] ウィンドウには、ワークスペースで定義されているすべてのルールとその状態 (有効/無効)、およびそれらが適用されている対象の分析ルールが表示されます。
多くの分析ルールに適用される自動化ルールが必要な場合は、 [自動化] ブレードで直接作成します。 上部のメニューから [作成]、[新しいルールの追加] の順にクリックすると、[Create new automation rule] (新しいオートメーション ルールの作成) パネルが開きます。 ここから、ルールを柔軟に構成できます。(将来のものを含む) 任意の分析ルールに適用して、最も広範な条件とアクションを定義することができます。
分析ルール ウィザード
分析ルール ウィザードの [自動応答] タブでは、ウィザードで作成または編集される特定の分析ルールに適用される自動化ルールを表示、管理、作成できます。
[分析] ウィンドウの上部のメニューから [作成] を選んでルールの種類 ([スケジュール済みクエリ ルール] または [Microsoft インシデントの作成規則]) を選ぶと、または既存の分析ルールを選んで [編集] を選ぶと、ルール ウィザードが開きます。 [自動応答] タブを選ぶと、[インシデントの自動化] というセクションが表示されます。このセクションには、このルールに現在適用されている自動化ルールが表示されます。 既存のオートメーション ルールを選んで編集するか、[新規追加] を選んで新しいルールを作成できます。
ここから自動化ルールを作成すると、 [新しい自動化ルールの作成] パネルに [分析ルール] の条件が [使用不可] として表示されます。このルールは、ウィザードで編集中の分析ルールにのみ適用されるように既に設定されているためです。 その他のすべての構成オプションは、引き続き使用できます。
インシデント ブレード
単一の定期的なインシデントに対応するために、 [インシデント] ブレードから自動化ルールを作成することもできます。 これは、"ノイズの多い" インシデントを自動的に閉じるための抑制ルールを作成する場合に便利です。 キューからインシデントを選択し、上部のメニューから [Create automation rule] (オートメーション ルールの作成) を選びます。
[新しい自動化ルールの作成] パネルには、すべてのフィールドにインシデントの値が設定されていることがわかります。 このルールには、インシデントと同じ名前を付けて、インシデントを生成した分析ルールに適用し、インシデントで使用可能なすべてのエンティティをルールの条件として使用します。 また、既定では抑制 (終了) アクションが提案され、ルールの有効期限が提案されます。 必要に応じて、条件とアクションを追加または削除したり、有効期限を変更したりできます。
オートメーション ルールのコンポーネント
自動化ルールは、次のいくつかのコンポーネントで構成されています。
トリガー: オートメーション ルールは、インシデントの作成によってトリガーされます。
確認する – Microsoft Sentinel で組み込みの分析ルールを使用して脅威を検出するのチュートリアルで説明されているように、インシデントは、複数の種類の分析ルールによってアラートから作成されます。
条件: 複雑な条件のセットを定義して、アクション (以下を参照) を実行するタイミングを制御できます。 これらの条件は、通常、インシデントとそのエンティティの属性の状態または値に基づいており、AND、OR、NOT、CONTAINS 演算子を含めることができます。
アクション: 条件 (上記参照) が満たされたときに実行するようにアクションを定義できます。 ルールには多くのアクションを定義できます。また、実行する順序を選択することもできます (下記参照)。 次のアクションは、プレイブックの高度な機能を必要とせずに、自動化ルールを使用して定義できます。
インシデントの状態の変更 – ワークフローを最新の状態に保ちます。
終了理由を指定して、コメントを追加して "closed" に変更する場合。 これにより、パフォーマンスと有効性を追跡し、誤検知を減らすための微調整を行うことができます。
インシデントの重大度の変更 – インシデントに関連するエンティティの存在、非存在、値、または属性に基づいて、再評価や優先順位の変更を行うことができます。
所有者へのインシデントの割り当て – これにより、インシデントの種類を最も適した担当者に伝えたり、最も時間のある担当者に送信したりすることができます。
インシデントへのタグの追加 – これは、インシデントをサブジェクト、攻撃者、またはその他の共通点別に分類する場合に便利です。
また、外部システムを含むものも含めて、より複雑な対応アクションを実行するために、プレイブックを実行するアクションを定義できます。 自動化ルールで使用できるのは、インシデント トリガーによってアクティブ化されたプレイブックのみです。 複数のプレイブック、プレイブックとその他のアクションの組み合わせ、および実行順序を含めるようなアクションを定義することができます。
いずれかのバージョンの Logic Apps (Standard または Consumption) を使用するプレイブックは、自動化ルールから実行できます。
有効期限: オートメーション ルールの有効期限を定義できます。 その日以降、ルールは無効になります。 これは、侵入テストなど、計画された時間限定のアクティビティによって発生する "ノイズ" インシデントの処理 (つまり、終了) に役立ちます。
順序: オートメーション ルールを実行する順序を定義できます。 その後の自動化規則は、前の自動化規則によって処理された後の状態に従って、インシデントの状態を評価します。
たとえば、"最初の自動化ルール" によってインシデントの重要度が "中" から "低" に変更され、"第 2 の自動化ルール" が "中" または "高" の重大度のインシデントでのみ実行されるように定義されている場合、そのインシデントでは実行されません。