Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する

SOC アナリストは多数のセキュリティ アラートやインシデントに対処しますが、膨大な量にチームが対処しきれず、アラートが無視されたり、インシデントが調査されなかったりする可能性があります。 多くのアラートとインシデントは、同じ事前定義済みの一連の修復アクションによって対処でき、これを自動化すると、SOC の効率が向上し、アナリストは解放されて、より詳細な調査を行うことができます。

Microsoft Sentinel プレイブックを使用して、事前構成された一連の修復アクションを実行すると、脅威への対応を自動化および調整するのに役立ちます。 プレイブックを、構成された自動化ルールをトリガーする特定のアラートやインシデントに対応して自動的に実行するか、または特定のエンティティやアラートに対してオンデマンドで手動によって実行します。

たとえば、アカウントやマシンが侵害された場合、SOC チームにインシデントが通知されるまで、プレイブックで自動的にマシンをネットワークから分離し、アカウントをブロックすることができます。

Note

プレイブックには Azure Logic Apps が利用されているため、追加料金が適用される場合があります。 詳細については、Azure Logic Apps の価格ページを参照してください。

重要

Microsoft Sentinel は現在、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

次の表は、Microsoft Sentinel プレイブックを使用して脅威への対応を自動化することが推奨されるユース ケースの概要を示しています。

ユース ケース 説明
エンリッチメント チームがより賢明な意思決定を行うのに役立つように、データを収集してインシデントにアタッチします。
双方向の同期 Microsoft Sentinel インシデントを他のチケット システムと同期します。 たとえば、すべてのインシデント作成に関する自動化ルールを作成し、ServiceNow でチケットを開くプレイブックをアタッチします。
オーケストレーション SOC チームのチャット プラットフォームを使用して、インシデント キューの制御を強化します。 たとえば、セキュリティ アナリストがインシデントを認識できるように、Microsoft Teams または Slack のセキュリティ オペレーション チャネルにメッセージを送信します。
回答 ユーザーやマシンの侵害が示された場合など、人間への依存を最小限に抑えて、脅威に即座に対応します。 またはは、調査中またはハンティング中に一連の自動化されたステップを手動でトリガーします。

詳細については、「推奨されるプレイブックのユース ケース、テンプレート、例」を参照してください。

前提条件

Azure Logic Apps を使用して Microsoft Sentinel でプレイブックを作成および実行するには、次のロールが必要です。

ロール 説明
所有者 リソース グループ内のプレイブックへのアクセス権を付与できます。
Microsoft Sentinel 共同作成者 プレイブックを分析ルールやオートメーション ルールにアタッチできます。
Microsoft Sentinel レスポンダー プレイブックを手動で実行するためにインシデントにアクセスできますが、プレイブックを実行することはできません。
Microsoft Sentinel プレイブック オペレーター プレイブックを手動で実行できます。
Microsoft Sentinel Automation 共同作成者 オートメーション ルールでプレイブックを実行できるようにします。 このロールは、他の目的では使用されません。

次の表では、プレイブックを作成するために従量課金と Standard のどちらのロジック アプリを選択するかに基づいて、必要なロールについて説明します。

ロジック アプリ Azure ロール 説明
従量課金プラン Logic App Contributor ロジック アプリを編集および管理します。 プレイブックを実行します。 プレイブックへのアクセス権を付与することはできません。
従量課金プラン Logic App Operator ロジック アプリの読み取り、有効化、無効化を行います。 ロジック アプリの編集や更新を行うことはできません。
Standard Logic Apps Standard Operator ロジック アプリのワークフローの有効化、再送信、無効化を行います。
Standard Logic Apps Standard Developer ロジック アプリを作成および編集します。
Standard Logic Apps Standard Contributor ロジック アプリのすべての側面を管理します。

[オートメーション] ページの [アクティブなプレイブック] タブに、選択したサブスクリプションで使用できるすべてのアクティブなプレイブックが表示されます。 既定では、プレイブックのリソース グループに Microsoft Sentinel アクセス許可を明確に付与しない限り、プレイブックはそれが属するサブスクリプション内でのみ使用できます。

Microsoft Sentinel でプレイブックを実行するために必要な追加のアクセス許可

Microsoft Sentinel では、セキュリティを追加し、自動化ルール API を有効にして CI/CD ユースケースをサポートするために、サービス アカウントを使用して、インシデントに対してプレイブックを実行します。 このサービス アカウントは、インシデントによってトリガーされるプレイブックに対して、または特定のインシデントに対して手動でプレイブックを実行するときに使用されます。

この Microsoft Sentinel サービス アカウントには、独自のロールとアクセス許可に加えて、プレイブックが存在するリソース グループに対する独自のアクセス許可セットが、Microsoft Sentinel Automation 共同作成者ロールの形式で必要です。 Microsoft Sentinel は、このロールを付与されると、関連するリソース グループ内の任意のプレイブックを手動で、またはオートメーション ルールから実行できます。

Microsoft Sentinel に必要なアクセス許可を付与するには、所有者またはユーザー アクセス管理者のロールが必要です。 プレイブックを実行するには、実行するプレイブックを含むリソース グループに対するロジック アプリ共同作成者ロールも必要です。

プレイブック テンプレート (プレビュー)

重要

プレイブック テンプレートは、現在、プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

プレイブック テンプレートは、事前に構築されてテスト済みのすぐに使用できるワークフローであり、プレイブックそのものとしては使用できませんが、ニーズに合わせてカスタマイズすることができます。 また、プレイブックをゼロから開発するときのベスト プラクティスのリファレンスとして、または新しい自動化シナリオのためのインスピレーションを得るためにも、プレイブック テンプレートを使用することをお勧めします。

プレイブック テンプレートには、次のソースからアクセスします。

場所 説明
Microsoft Sentinel の [自動化] ページ [プレイブック テンプレート] タブに、インストールされているすべてのプレイブックが一覧表示されます。 同じテンプレートを使用して、1 つ以上のアクティブなプレイブックを作成します。

Microsoft から新しいバージョンのテンプレートが公開されると、[アクティブなプレイブック] タブで、そのテンプレートから作成されたアクティブなプレイブックに、更新が利用可能であることを示す追加のラベルが付けられます。
Microsoft Sentinel の [コンテンツ ハブ] ページ プレイブック テンプレートは、製品ソリューションの一部として、または [コンテンツ ハブ] からインストールされたスタンドアロン コンテンツとして使用できます。

詳細については、次を参照してください。
Microsoft Sentinel コンテンツとソリューションについて
Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する
GitHub Microsoft Sentinel GitHub リポジトリには、その他のプレイブック テンプレートが数多く含まれています。 [Azure にデプロイ] を選択してテンプレートを Azure サブスクリプションにデプロイします。

技術的には、プレイブック テンプレートは Azure Resource Manager (ARM) テンプレートであり、いくつかのリソース (Azure Logic Apps ワークフローや、関連する各接続の API 接続など) で構成されます。

詳細については、以下を参照してください:

プレイブックの作成と使用のワークフロー

Microsoft Sentinel プレイブックを作成して実行するには、次のワークフローを使用します。

  1. 自動化シナリオを定義します。 「推奨されるプレイブックのユース ケース」と「プレイブック テンプレート」 を確認して開始することをお勧めします。

  2. テンプレートを使用しない場合、プレイブックを作成して、ロジック アプリをビルドします。 詳細については、「Microsoft Sentinel プレイブックを作成して管理する」を参照してください。

    ロジック アプリを手動で実行してテストします。 詳細については、「プレイブックをオンデマンドで手動によって実行する」を参照してください。

  3. 新しいアラートまたはインシデントの作成時に自動的に実行されるように、またはプロセスの必要に応じて手動で実行されるようにプレイブックを構成します。 詳細については、Microsoft Sentinel プレイブックを使用した脅威への対応に関するページを参照してください。