プレイブックを使用してMicrosoft Sentinel でインシデント タスクを作成して実行する

この記事では、プレイブックを使用してインシデント タスクを作成 (および必要に応じて実行) し、Microsoft Sentinel で複雑なアナリスト ワークフロー プロセスを管理する方法について説明します。

プレイブックの [タスクの追加] アクションを Microsoft Sentinel コネクタ内で使用して、そのプレイブックをトリガーしたインシデントにタスクを自動的に追加します。 Standard ワークフローと従量課金ワークフローの両方がサポートされています。

詳細については、「Microsoft Sentinel でタスクを使用してインシデントを管理する」を参照してください。

前提条件

• インシデントを表示および編集するには、Microsoft Sentinel レスポンダー ロールが必要で、それはタスクの追加、表示、編集に必要です。

• プレイブックを作成および編集するには、Logic Apps 共同作成者ロールが必要です。

詳細については、Microsoft Sentinel プレイブックの前提条件に関する記事を参照してください。

プレイブックを使用してタスクを追加して実行する

このセクションでは、次の操作を行うプレイブック アクションを追加する手順の例を示します。

• 侵害されたユーザーのパスワードをリセットするタスクを、インシデントに追加します
• 実際にパスワードをリセットするためのシグナルを Microsoft Entra ID Protection (AADIP) に送信する別のプレイブック アクションを追加します
• インシデントのタスクを完了としてマークする最終プレイブック アクションを追加します。

これらのアクションを追加して構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを追加しで、以下を実行します。

   1. [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。

   2. [タイトル] として「ユーザー パスワードのリセット」と入力します。

   3. 任意で説明を追加します。

   次に例を示します。

   

2. [エンティティ - アカウントの取得 (プレビュー)] アクションを追加します。 (Microsoft Sentinel インシデント スキーマから) [エンティティ] 動的コンテンツ項目を [エンティティ リスト] フィールドに追加します。 次に例を示します。

   

3. [コントロール] アクション ライブラリから [For each] ループを追加します。 [エンティティ - アカウントの取得] 出力から [アカウント] 動的コンテンツ 項目を [以前の手順から出力を選択] フィールドに追加します。 次に例を示します。

   

4. For each ループ内で、[アクションの追加] を選択します。 その後、以下を実行します。

   1. Microsoft Entra ID Protection コネクタを検索して選択します
   2. [危険なユーザーのセキュリティ侵害を確認する (プレビュー)] アクションを選択します。
   3. [アカウント Microsoft Entra ユーザー ID] 動的コンテンツ項目を [userIds 項目 - 1] フィールドに追加します。

   このアクションにより、Microsoft Entra ID Protection 内で、ユーザーのパスワードをリセットするプロセスが開始されます。

   

   Note

   [アカウント Microsoft Entra ユーザー ID] フィールドは、AADIP でユーザーを識別する 1 つの方法です。 必ずしもすべてのシナリオで最適な方法であるとは限りませんが、単なる例としてここに示しています。

   サポートについては、侵害されたユーザーを処理する他のプレイブック、または Microsoft Entra ID Protection のドキュメントを参照してください。

5. Microsoft Sentinel コネクタから [タスクを完了としてマーク] アクションを追加し、[インシデント タスク ID] 動的コンテンツ項目を [タスク ARM ID] フィールドに追加します。 次に例を示します。

   

プレイブックを使用してタスクを条件付きで追加する

このセクションでは、インシデントに表示される IP アドレスを調査するプレイブック アクションを追加するサンプル手順を示します。

• この調査の結果、悪意のある IP アドレスの場合、プレイブックによって、アナリストがその IP アドレスを使用するユーザーを無効にするタスクが作成されます。
• IP アドレスが既知の悪意のあるアドレスでない場合、プレイブックによって、アナリストがユーザーに連絡してアクティビティを確認する別のタスクが作成されます。

これらのアクションを追加して構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、[エンティティ - IP の取得] アクションを追加します。 (Microsoft Sentinel インシデント スキーマから) [エンティティ] 動的コンテンツ項目を [エンティティ リスト] フィールドに追加します。 次に例を示します。

   

2. [コントロール] アクション ライブラリから [For each] ループを追加します。 [エンティティ - IP の取得] 出力から [IP] 動的コンテンツ 項目を [以前の手順から出力を選択] フィールドに追加します。 次に例を示します。

   

3. For each ループ内で、[アクションの追加] を選択し、以下を実行します。

   1. Virus Total コネクタを検索して選択します。
   2. [IP レポートの取得 (プレビュー)] アクションを選択します。
   3. [エンティティ - IP の取得] 出力から [IP アドレス] 動的コンテンツ 項目を [IP アドレス] フィールドに追加します。

   次に例を示します。

   

4. For each ループ内で、[アクションの追加] を選択し、以下を実行します。

   1. [コントロール] アクション ライブラリから [条件] を追加します。
   2. [IP レポートの取得] 出力から [悪意のある最後の分析統計] の動的コンテンツ項目を追加します。 [詳細情報] を選択しないと、見つからない場合があります。
   3. [が次の値より大きい] 演算子を選択して、値として「0」と入力します。

   この条件では、"ウイルス合計 IP レポートに結果はありましたか?" という質問が尋ねられます。次に例を示します。

   

5. [True] オプション内で、[アクションの追加] を選択し、以下を実行します。

   1. Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを選択します。
   2. [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。
   3. [タイトル] として「ユーザーを侵害されているとしてマークする」と入力します。
   4. 任意で説明を追加します。

   次に例を示します。

   

6. [False] オプション内で、[アクションの追加] を選択し、以下を実行します。

   1. Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを選択します。
   2. [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。
   3. [タイトル] として「ユーザーに連絡してアクティビティを確認する」と入力します。
   4. 任意で説明を追加します。

   次に例を示します。

   

関連するコンテンツ

詳細については、次を参照してください。

• Microsoft Sentinel を使用してインシデントを調査する
• オートメーション ルールを使用して Microsoft Sentinel でインシデント タスクを作成する
• Microsoft Sentinel でインシデント タスクを操作する