Microsoft Sentinel でのオートメーション: セキュリティ オーケストレーション、オートメーション、応答 (SOAR)

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

セキュリティ情報およびイベント管理 (SIEM) チームとセキュリティ オペレーション センター (SOC) チームは、通常、大量のセキュリティ アラートとインシデントが常時殺到し、対応する担当者は忙殺されます。 この結果、多くのアラートが無視され、多くのインシデントが調査されず、気付かずに行われる攻撃に対して組織は脆弱な状態のままになっていることが非常によくあります。

Microsoft Sentinel は、SIEM システムであることに加えて、セキュリティ オーケストレーション、自動化、応答 (SOAR) のプラットフォームでもあります。 主な目的の 1 つは、セキュリティ オペレーション センターとスタッフ (SOC/SecOps) が担当する、定期的で予測可能な強化、応答、および修復のタスクを自動化することです。これにより、アップタイムやリソースが解放され、高度な脅威を詳細に調査したり検索したりできます。

この記事では、Microsoft Sentinel の SOAR 機能について説明し、セキュリティ上の脅威に対応するために自動化ルールとプレイブックを使用して SOC の有効性を向上させ、時間とリソースを節約する方法について説明します。

重要

Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

オートメーション ルール

Microsoft Sentinel では、自動化ルールを使用して、ユーザーが一元的な場所からインシデント処理の自動化を管理できるようにします。 自動化ルールは、次の目的で使用します。

  • プレイブックを使用してインシデントとアラートに高度な自動化を割り当てる
  • プレイブックなしでインシデントへの自動的なタグ付け、割り当て、クローズを行う
  • 一度に複数の分析ルールの応答を自動化する
  • アナリスト向けに、インシデントのトリアージ、調査、修復時に実行するタスクのリストを作成する
  • 実行されるアクションの順序を制御する

インシデントが作成または更新されたときに自動化ルールを適用して、自動化をさらに効率化し、インシデント オーケストレーション プロセスの複雑なワークフローを簡略化することをお勧めします。

詳細については、「自動化ルールを使用して、Microsoft Sentinel での脅威への対応を自動化する」を参照してください。

プレイブック

プレイブックは、Microsoft Sentinel からルーチンとして実行できる応答と修復アクションやロジックのコレクションです。 プレイブックは次のことができます。

  • 脅威への対応を自動化および調整するのに役立つ
  • 内部と外部の両方で他のシステムと統合する
  • 特定のアラートまたはインシデントに対応して自動的に実行するように構成するか、新しいアラートに応答するなど手動でオンデマンドで実行するように構成する

Microsoft Sentinel では、プレイブックは、エンタープライズ全体のシステムでタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスである Azure Logic Apps で作成されたワークフローに基づいています。 つまり、プレイブックは、Logic Apps の統合とオーケストレーションの機能、使いやすいデザインツール、階層 1 の Azure サービスのスケーラビリティ、信頼性、サービス レベルのすべての機能とカスタマイズ性を活用できます。

詳細については、「Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」を参照してください。

統合セキュリティ オペレーション プラットフォームを使用したオートメーション

Microsoft Sentinel ワークスペースを統合セキュリティ オペレーション プラットフォームにオンボードしたら、ワークスペースでのオートメーション機能の次の違いに注意してください。

機能 説明
アラート トリガーを使用したオートメーション ルール 統合セキュリティ オペレーション プラットフォームでは、アラート トリガーを使ったオートメーション ルールは Microsoft Sentinel アラートに対してのみ機能します。

詳細については、「アラート作成トリガー」を参照してください。
インシデント トリガーを使用したオートメーション ルール Azure portal と統合セキュリティ オペレーション プラットフォームの両方で、インシデント プロバイダーの条件プロパティが削除されます。これは、すべてのインシデントにインシデント プロバイダーとして Microsoft Defender XDR が含まれるためです (ProviderName フィールドの値)。

その時点で、既存のオートメーション ルールは、Microsoft Sentinel と Microsoft Defender XDR の両方のインシデントに対して実行されます。これには、インシデント プロバイダーの条件が Microsoft Sentinel または Microsoft 365 Defender のみに設定されているものも含まれます。

ただし、特定の分析ルール名を指定するオートメーション ルールは、指定された分析ルールによって作成されたアラートを含むインシデントに対してのみ実行されます。 つまり、分析ルール名の条件プロパティを、Microsoft Sentinel のみに存在する分析ルールに定義して、Microsoft Sentinel のみに存在するインシデントに対して実行するようにルールを制限できます。

詳細については、インシデントのトリガー条件に関する記事を参照してください。
既存のインシデント名の変更 統合 SOC 操作プラットフォームでは、Defender ポータルは一意のエンジンを使用してインシデントとアラートを関連付けます。 ワークスペースを統合 SOC 運用プラットフォームにオンボードするときに、関連付けを適用すると、既存のインシデント名が変更される可能性があります。 したがって、オートメーション ルールが常に正しく実行されるようにするには、オートメーション ルールの条件基準としてインシデントのタイトルを使用することは避け、代わりにインシデントに含まれるアラートを作成した分析ルールの名前と、より具体的な説明が必要な場合はタグを使用することをお勧めします。
[更新者] フィールド
  • ワークスペースをオンボードすると、[更新者] フィールドには、サポートされる値の新しいセットが表示されます。これには、Microsoft 365 Defender が含まれなくなりました。 既存のオートメーション ルールでは、ワークスペースをオンボードすると、Microsoft 365 Defender が [その他] という値に置き換えられます。

  • 5 から 10 分間に同じインシデントに複数の変更が加えられた場合、最新の変更のみを含む 1 つの更新が Microsoft Sentinel に送信されます。

    詳細については、「インシデント更新トリガー」を参照してください。
    		•
    インシデント タスクを追加するオートメーション ルール オートメーション ルールがインシデント タスクを追加した場合、タスクは Azure portal のみに表示されます。
    Microsoft インシデント作成ルール Microsoft インシデント作成ルールは、統合セキュリティ オペレーション プラットフォームではサポートされません。

    詳細については、Microsoft Defender XDR インシデントと Microsoft インシデントの作成規則に関する記事を参照してください。
    Defender ポータルからの自動化規則の実行 アラートがトリガーされ、Defender ポータルでインシデントが作成または更新されてから自動化ルールが実行されるまでに、最大で 10 分かかる場合があります。 このタイム ラグは、インシデントは Defender ポータルで作成されてから、自動化ルールのために Microsoft Sentinel に転送されるためです。
    [アクティブなプレイブック] タブ 統合セキュリティ オペレーション プラットフォームにオンボードすると、既定では、[アクティブなプレイブック] タブに、オンボードされたワークスペースのサブスクリプションを含む定義済みのフィルターが表示されます。 Azure portal で、サブスクリプション フィルターを使用して、ほかのサブスクリプションのデータを追加します。

    詳細については、「コンテンツ テンプレートから Microsoft Sentinel プレイブックを作成してカスタマイズする」を参照してください。
    オンデマンドでのプレイブックの手動実行 統合セキュリティ オペレーション プラットフォームでは、現在、次の手順はサポートされません。
  • アラートに対して手動でプレイブックを実行する
  • エンティティに対して手動でプレイブックを実行する
    		•
    インシデントでプレイブックを実行するには、Microsoft Sentinel 同期が必要です 統合セキュリティ運用プラットフォームからインシデントに対してプレイブックを実行しようとすると、「このアクションに 関連するデータにアクセスできません。数分後に画面を更新してください」というメッセージが表示されます。これは、インシデントがまだ Microsoft Sentinel に同期されていないことを意味します。

    インシデントが同期された後にインシデント ページを更新して、プレイブックを正常に実行します。
    インシデント: インシデントへのアラートの追加/
    インシデントからのアラートの削除    		 ワークスペースを統合セキュリティ オペレーション プラットフォームにオンボードした後は、インシデントへのアラートの追加やインシデントからのアラートの削除はサポートされないため、これらのアクションもプレイブック内からはサポートされません。 詳細については、「ポータル間の機能の違い」を参照してください。

    関連するコンテンツ