Microsoft Sentinel プレイブック用 Azure Logic Apps

Microsoft Sentinel プレイブックは、エンタープライズ全体のシステムでタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスである Azure Logic Apps で作成されたワークフローに基づいています。 つまり、Microsoft Sentinel プレイブックでは Azure Logic Apps の組み込みテンプレートにあるすべての機能を活用できます。

Azure Logic Apps は、さまざまな種類のコネクタを使用して他のシステムやサービスと通信します。 Microsoft Sentinel コネクタを使用して、Microsoft Sentinel と対話するプレイブックを作成します。

Note

Azure Logic Apps では個別のリソースが作成されるため、追加料金が適用される場合があります。 詳細については、Azure Logic Apps の価格ページを参照してください。

Microsoft Sentinel コネクタ コンポーネント

Microsoft Sentinel コネクタ内で、トリガー、アクション、動的フィールドを使用してプレイブックのワークフローを定義します。

コンポーネント 説明
トリガー トリガーは、ワークフロー (この場合はプレイブック) を開始するコネクタ コンポーネントです。 Microsoft Sentinel トリガーは、トリガーされたときにプレイブックで受信されることが想定されるスキーマを定義します。

Microsoft Sentinel コネクタでは、次の種類のトリガーがサポートされています。

- アラート トリガー: プレイブックは、アラートを入力として受け取ります。
- エンティティ トリガー: プレイブックはエンティティを入力として受け取ります。
- インシデント トリガー: プレイブックは、含まれているすべてのアラートとエンティティと共に、インシデントを入力として受け取ります。
アクション アクションとは、トリガーの後に発生するステップすべてを指します。 アクションは並列に、または複合条件のマトリックスに、連続的に配置できます。
動的フィールド 動的フィールドは、トリガーに続くアクションで使用できる一時的なフィールドです。 動的フィールドは、トリガーとアクションの出力スキーマによって決定され、実際の出力によって設定されます。

Azure Logic Apps では、カスタム コネクタや、API 呼び出しをラップするマネージド コネクタなど、他の種類のコネクタもサポートされています。 詳細については、Azure Logic Apps コネクタに関するページとそのドキュメント独自のカスタム Azure Logic Apps コネクタの作成に関する記事を参照してください。

サポートされているロジック アプリの種類

Microsoft Sentinel では、従量課金ロジック アプリと Standard ロジック アプリの両方がサポートされています。

  • 従量課金: マルチテナント Azure Logic Apps で実行され、従来からの元の Azure Logic Apps エンジンを使用します。

  • Standard: シングルテナントの Azure Logic Apps で実行され、より最近設計された Azure Logic Apps エンジンを使用します。

    Standard リソースは、より高いパフォーマンス、固定価格、複数のワークフロー機能、API 接続管理の容易さ、組み込みのネットワーク機能や CI/CD 機能などを提供します。 ただし、Microsoft Sentinel の Standard ロジック アプリでは、次のプレイブック機能が異なります。

    機能 説明
    プレイブックの作成 現在、プレイブック テンプレートは Standard ワークフローではサポートされていません。つまり、テンプレートを使用して Microsoft Sentinel で直接プレイブックを作成することはできません。

    代わりに、Azure Logic Apps でワークフローを手動で作成し、Microsoft Sentinel のプレイブックとして使用します。
    プライベート エンドポイント Standard ワークフローをプライベート エンドポイントと共に使用する場合、Microsoft Sentinel では、Standard ワークフローに基づくプレイブックでこれらのプライベート エンドポイントをサポートするために、ロジック アプリでアクセス制限ポリシーを定義する必要があります。

    アクセス制限ポリシーがないと、プライベート エンドポイントを持つワークフローは Microsoft Sentinel で引き続き表示および選択できますが、実行は失敗します。
    ステートレス ワークフロー Standard ワークフローでは、Azure Logic Apps で "ステートフル" と "ステートレス" の両方がサポートされますが、Microsoft Sentinel ではステートレス ワークフローはサポートされません。

    詳細については、「ステートフルおよびステートレス ワークフロー」を参照してください。

Microsoft Sentinel へのプレイブック認証

Azure Logic Apps は、Microsoft Sentinel 自体を含め、対話するすべての種類のすべてのリソースに対して別々に接続し、個別に認証する必要があります。 Azure Logic Apps では、この目的のために特殊化されたコネクタを使用し、リソースの種類ごとに独自のコネクタがあります。

詳細については、「Microsoft Sentinel へのプレイブックの認証」を参照してください。