Microsoft Sentinel プレイブックとは
Contoso は、セキュリティ構成の問題を評価して対処するだけでなく、新しい問題や脅威を監視し、適切に対応する必要もあります。
SIEM および SOAR ソリューションとしての Microsoft Sentinel
Microsoft Sentinel は、ハイブリッド環境向けに設計されたセキュリティ情報イベント管理 (SIEM) と Security Orchestration, Automation and Response (SOAR) の両方のソリューションです。
Note
SIEM ソリューションでは、他のシステムによって生成されるログ、イベント、アラートの保存と分析が提供されます。 これらのソリューションを構成して、独自のアラートを生成することができます。 SOAR ソリューションでは、脆弱性の修復とセキュリティ プロセス全体の自動化がサポートされます。
Microsoft Sentinel では、組み込みのカスタム検出を使用して、インフラストラクチャの外部から Contoso のリソースにアクセスしようとする試みや、Contoso のデータが既知の悪意のある IP アドレスに送信されたように思われる場合など、潜在的なセキュリティの脅威を警告します。 これらのアラートに基づいてインシデントを作成することもできます。
Microsoft Sentinel プレイブック
Microsoft Sentinel でセキュリティ プレイブックを作成して、アラートに対応することができます。 "セキュリティ プレイブック" は、アラートに対応して実行される Azure Logic Apps に基づく手順のコレクションです。 これらのセキュリティ プレイブックを、インシデントの調査に応じて手動で実行することも、プレイブックを自動的に実行するようにアラートを構成することもできます。
インシデントに自動的に対応できるため、セキュリティ操作の一部を自動化し、セキュリティ オペレーション センター (SOC) の生産性を高めることができます。
たとえば、Contoso の懸念に対処するために、疑わしいユーザー名が、安全ではない IP アドレスからリソースにアクセスするのをブロックできる定義済みのステップを含むワークフローを開発できます。 または、高レベルのセキュリティ アラートを SecOps チームに通知するなどの操作を実行するようにプレイブックを構成することもできます。
Azure Logic Apps
Azure Logic Apps は、ビジネス プロセスの動作を自動化するクラウド サービスです。 "Logic Apps デザイナー" と呼ばれるグラフィカル デザイン ツールを使って、事前構築済みのコンポーネントを目的のシーケンスに配置します。 コード ビューを使用して、自動化されたプロセスを JSON ファイルに記述することもできます。
Logic Apps コネクタ
ロジック アプリは、数百のサービスに接続するためにコネクタを使用します。 "コネクタ" は、外部サービスへのインターフェイスを提供するコンポーネントです。
Note
Microsoft Sentinel データ コネクタと Logic Apps コネクタは同じものではありません。 Microsoft Sentinel データ コネクタは、Microsoft Sentinel を Microsoft セキュリティ製品および Microsoft 以外のソリューションのセキュリティ エコシステムに接続します。 Logic Apps コネクタは、外部サービスに API 接続を提供し、他のアプリ、サービス、システム、プロトコル、プラットフォーム間でイベント、データ、アクションを統合できるようにするコンポーネントです。
トリガーおよびアクションとは
Azure Logic Apps では、トリガーとアクションを使用します。これらは、次のように定義されます。
"トリガー" は、特定の条件のセットが満たされたときに発生するイベントです。 トリガーは、条件が満たされたときに自動的にアクティブ化されます。 たとえば、自動化されたアクションのトリガーであるセキュリティ インシデントは Microsoft Sentinel で発生します。
"アクション" は、Logic Apps ワークフローでタスクを実行する操作です。 アクションは、トリガーがアクティブ化されたとき、別のアクションが完了したとき、または条件が満たされたときに実行されます。
Microsoft Sentinel Logic Apps コネクタ
Microsoft Sentinel プレイブックでは、Microsoft Sentinel Logic Apps コネクタを使用します。 これは、プレイブックを開始し、定義されたアクションを実行できるトリガーとアクションを提供します。
現在、Microsoft Sentinel Logic Apps コネクタからのトリガーには、次の 2 つがあります。
[When a response to a Microsoft Sentinel alert is triggered](Microsoft Sentinel アラートへの対応がトリガーされたとき)
[When Microsoft Sentinel incident creation rule is triggered](Microsoft Sentinel インシデント作成ルールがトリガーされたとき)
Note
Microsoft Sentinel Logic App コネクタはプレビュー段階であるため、このモジュールで説明する機能は将来変更される可能性があります。
次の表は、Microsoft Sentinel コネクタの現在のすべてのアクションを示しています。
| 名前 | 説明 |
|---|---|
| [Add comment to incident](インシデントへのコメントの追加) | 選択したインシデントにコメントを追加します。 |
| [Add labels to incident](インシデントへのラベルの追加) | 選択したインシデントにラベルを追加します。 |
| [Alert - Get incident](アラート - インシデントの取得) | 選択したアラートに関連付けられているインシデントを返します。 |
| [Change incident description](インシデントの説明の変更) | 選択したインシデントの説明を変更します。 |
| [Change incident severity](インシデントの重大度の変更) | 選択したインシデントの重大度を変更します。 |
| [Change incident status](インシデント状態の変更) | 選択したインシデントの状態を変更します。 |
| [Change incident title (V2)](インシデントのタイトルの変更 (v2)) | 選択したインシデントのタイトルを変更します。 |
| [Entities - Get Accounts](エンティティ - アカウントの取得) | アラートに関連付けられているアカウントの一覧を返します。 |
| [Entities - Get FileHashes](エンティティ - ファイル ハッシュの取得) | アラートに関連付けられているファイル ハッシュの一覧を返します。 |
| [Entities - Get Hosts](エンティティ - ホストの取得) | アラートに関連付けられているホストの一覧を返します。 |
| [Entities - Get IPs](エンティティ - IP の取得) | アラートに関連付けられている IP の一覧を返します。 |
| [Entities - Get URLs](エンティティ - URL の取得) | アラートに関連付けられている URL の一覧を返します。 |
| [Remove labels from incident](インシデントからのラベルの削除) | 選択したインシデントのラベルを削除します。 |
Note
(V2) 以上の数値を持つアクションは、アクションの新しいバージョンを提供し、アクションの古い機能とは異なる場合があります。
一部のアクションでは、別のコネクタのアクションとの統合が必要になります。 たとえば、Contoso で、定義されたエンティティからのアラートで返されたすべての疑わしいアカウントを識別する必要がある場合、[Entities - Get Accounts](エンティティ - アカウントの取得) アクションを [For Each] アクションと組み合わせる必要があります。 同様に、疑わしいホストを検出するインシデント内の個々のホストをすべて取得するには、[Entities - Get Hosts](エンティティ - ホストの取得) アクションを [For Each] アクションと組み合わせる必要があります。