Microsoft Sentinel でタスクを使用してインシデントを管理する

セキュリティ運用 (SecOps) を効果的かつ効率的に実行するうえで最も重要な要素の 1 つは、プロセスの標準化です。 SecOps アナリストは、インシデントのトリアージ、調査、または修復の過程で、手順、つまりタスクの一覧を実行すると想定されています。 タスクの一覧を標準化して正式化すれば、SOC の実施を円滑に保つ助けとなり、同じ要件がすべてのアナリストに確実に適用されるようにできます。 この方法により、誰がシフトの番であるかに関係なく、インシデントには常に同じ処理と SLA が適用されます。 アナリストは、何をすべきかを考えたり、重要な手順が足りないかを心配したりすることに時間を費やす必要はありません。 それらの手順は、SOC マネージャーまたはシニア アナリスト (階層 2/3) によって、一般的なセキュリティ知識 (NIST など)、過去のインシデントに関する彼らの経験、またはインシデントを検出したセキュリティ ベンダーによって提供された推奨事項に基づいて定義されます。

ユース ケース

  • SOC アナリストは、1 つの中央チェックリストを使用して、インシデントのトリアージ、調査、対応のプロセスをすべて処理できます。重要な手順足りないか心配する必要はありません。

  • SOC エンジニアまたはシニア アナリストは、アナリストのチームとシフトの全体にわたり、インシデント対応の基準を文書化し、更新や調整を行うことができます。 新しいアナリストや、新しい種類のインシデントに遭遇するアナリストをトレーニングするためのタスクのチェックリストを作成することもできます。

  • SOC マネージャーまたは MSSP は、関連する SLA/SOP に従ってインシデントが確実に処理されるようにできます。

前提条件

タスクの追加、表示、編集のためにどちらも必要な、オートメーション ルールの作成と、インシデントの表示および編集を行うには、Microsoft Sentinel レスポンダー ロールが必要です。

プレイブックの作成と編集のためには、Logic Apps 共同作成者ロールが必要です。

シナリオ

アナリスト

インシデントの処理時にタスクをフォローする

特定のインシデントと [完全な詳細を表示] を選択すると、インシデントの詳細ページの右側のパネルに、手動ルールか自動化ルールかを問わず、そのインシデントに追加されたすべてのタスクが表示されます。

タスクを展開し、その作成元になったユーザー、自動化ルール、プレイブックなどの完全な説明を表示します。

タスクを完了としてマークするには、その "チェックボックス" としての円を選択します。

Screenshot of incident tasks panel for analysts on incident details screen.

タスクをその場でインシデントに追加する

作業中の未解決のインシデントにタスクを追加すると、実行する必要があることが分かっているアクションを自分に通知したり、タスク リストに表示されない独自のイニシアティブで実行したアクションを記録したりできます。 この方法で追加されたタスクは、未解決のインシデントにのみ適用されます。

ワークフロー作成者

オートメーション ルールを使用してインシデントにタスクを追加する

オートメーション ルール内で [タスクの追加] アクションを使用すると、すべてのインシデントにアナリスト用のタスクのチェックリストが自動的に提供されます。 オートメーション ルール内で Analytics ルール名の条件を設定し、スコープを決定します。

  • すべてのインシデントに適用するタスクの標準セットを定義するには、オートメーション ルールを "すべての分析ルール" に適用します。

  • オートメーション ルールを "限られた分析ルールのセット" に適用することで、分析ルールによって検出された脅威またはそれらのインシデントを生成したルールに従って、特定のインシデントに特定のタスクを割り当てることができます。

タスクがインシデント内に現れる順序は、そのタスクの作成時間によって決まることを考慮に入れてください。 すべてのインシデントに必要なタスクを追加するルールが最初に実行され、その後にのみ、特定の分析ルールによって生成されたインシデントに必要なタスクを追加するルールが実行されるように、オートメーション ルールの順序を設定できます。 1 つのルール内では、アクションが定義されている順序によって、インシデント内に出現する順序が制御されます。

新しいオートメーション ルールを作成する前に、既存のオートメーション ルールとタスクの対象となっているインシデントを確認します。
[オートメーション ルール] の一覧で [アクション] フィルターを使用して、インシデントにタスクを追加するルールのみを表示し、それらのオートメーション ルールが適用される分析ルールを確認して、それらのタスクが追加されるインシデントを把握します。

プレイブックを使用してインシデントにタスクを追加する

プレイブックの [タスクの追加] アクションを (Microsoft Sentinel コネクタ内で) 使用して、そのプレイブックをトリガーしたインシデントにタスクを自動的に追加します。

次に、他のプレイブック アクションを、それらに対応する Logic Apps コネクタ内で使用して、タスクの内容を完了します。

最後に、[タスクを完了としてマークする] アクションを (再度 Microsoft Sentinel コネクタ内で) 使用して、自動的にタスクを完了とマークします。

以下のシナリオを例にして考えます。

  • プレイブックによってタスクの追加と完了を行う: インシデントが作成されたときに、以下を行うプレイブックがトリガーされます。

    1. インシデントに、ユーザーのパスワードをリセットするタスクを追加します。
    2. ユーザーのパスワードをリセットするために、ユーザー プロビジョニング システムに API 呼び出しを発行することでタスクを実行します。
    3. リセットの成功または失敗に関するシステムからの応答を待機します。
      • パスワードのリセットが成功した場合、インシデント内に作成されたばかりのタスクが、プレイブックによって完了とマークされます。
      • パスワードのリセットが失敗した場合、タスクはプレイブックによって完了とマークされず、この処理の実行はアナリストに任されます。
  • プレイブックによって、条件付きタスクを追加する必要があるかどうかを評価する:インシデントが作成されたときに、外部の脅威インテリジェンス ソースからの IP アドレス レポートを要求するプレイブックがトリガーされます。

    • 悪意のある IP アドレスである場合は、プレイブックによって特定のタスク ("この IP アドレスをブロック" など) が追加されます。
    • それ以外の場合、それ以上のアクションはプレイブックによって実行されません。

タスクを追加するのに、オートメーション ルールを使用するか、プレイブックを使用するか

これらの方法のうち、どちらを使用してインシデント タスクを作成する必要があるを決定するのは、どのような考慮事項でしょうか。

  • オートメーション ルール: 可能な限り使用します。 対話機能を必要としない単純な静的タスクに使用します。
  • プレイブック: 条件に基づくタスクや、自動化されたアクションと統合されているタスクの作成が行われるような、高度なユース ケースの場合に使用します。

次のステップ