Microsoft Sentinel のアラートトリガー プレイブックをオートメーション ルールに移行する

アラート トリガーに基づいて構築された既存のプレイブックを、分析ルールによる呼び出しから、オートメーション ルールによる呼び出しに移行することをお勧めします。 この記事では、このアクションをお勧めする理由と、プレイブックを移行する方法について説明します。

• 1 つの分析ルールでのみ使われるプレイブックを移行する場合は、「分析ルールからオートメーション ルールを作成する」の手順に従ってください。

• 複数の分析ルールで使われているプレイブックを移行する場合は、「オートメーション ページから新しいオートメーション ルールを作成する」の手順に従ってください。

移行する理由

分析ルールではなくオートメーション ルールによって呼び出されるプレイブックには、次の利点があります。

• 種類に関係なく、1 つのディスプレイからのオートメーションの管理 ("1 つのウィンドウ")。

• 各分析ルールを別々に構成するのではなく、複数の分析ルールに対してプレイブックをトリガーする 1 つのオートメーション ルールを使用。

• アラート プレイブックを実行する順序を定義。

• プレイブックを実行する有効期限を設定するシナリオをサポート。

プレイブック トリガーを移行してもプレイブックはまったく変更されず、変更を実行するためにプレイブックを呼び出すメカニズムのみが変更されます。

分析ルールからプレイブックを呼び出す機能は、2026 年 3 月以降に非推奨になる予定です。 それまでは、分析ルールからと既に定義されているプレイブックが引き続き実行されますが、2023 年 6 月以降、分析ルールから呼び出されるプレイブックの一覧にプレイブックを追加できなくなります。 残される唯一の選択肢は、オートメーション ルールから呼び出すことです。

前提条件

次のものが必要になります。

• プレイブックを作成して編集するロジック アプリの共同作成者ロール

• プレイブックをオートメーション ルールにアタッチする Microsoft Sentinel 共同作成者ロール

詳細については、Microsoft Sentinel プレイブックの前提条件に関する記事を参照してください。

分析ルールからオートメーション ルールを作成する

1 つの分析ルールでのみ使われるプレイブックを移行する場合は、この手順を使用します。 それ以外の場合は、「オートメーション ページから新しいオートメーション ルールを作成する」を使用してください。

1. Azure portal の Microsoft Sentinel では、[構成]>[分析] ページを選択します。 Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[構成]>[分析] を選択します。

2. [アクティブなルール] で、プレイブックを実行するように既に構成されている分析ルールを見つけて、[編集] を選びます。

   

3. [自動応答] タブを選びます。この分析ルールから実行するように直接構成されたプレイブックは、[Alert automation (classic)] (アラートのオートメーション (クラシック)) の下にあります。 非推奨に関する警告に注意してください。

   

4. 画面の上半分で [オートメーション ルール] の下にある [+ 新規追加] を選択して、新しいオートメーション ルールを作成します。

5. [新しいオートメーション ルールの作成] パネルの [トリガー] の下にある [When alert is created] (アラートが作成されたとき) を選択します。

   

6. [アクション] では、使用できる唯一のアクションの種類である [プレイブックの実行] アクションが自動的に選ばれ、淡色表示されていることがわかります。下の行のドロップダウン リストで使用できる項目からプレイブックを選びます。

   

7. 適用を選択します。 オートメーション ルール グリッドに新しいルールが表示されます。

8. [Alert automation (classic)] (アラートのオートメーション (クラシック)) セクションからプレイブックを削除します。

9. 分析ルールの [Review and update] (確認と更新) を行い、変更を保存します。

オートメーション ページから新しいオートメーション ルールを作成する

複数の分析ルールで使われるプレイブックを移行する場合は、この手順を使用します。 それ以外の場合は、「分析ルールからオートメーション ルールを作成する」を使用してください。

1. Azure portal の Microsoft Sentinel では、[構成]>[分析] ページを選択します。 Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[構成]>[分析] を選択します。

2. 上部のメニュー バーから [作成] -> [オートメーション ルール] を選びます。

3. [新しいオートメーション ルールの作成] パネルの [トリガー] ドロップダウンで [When alert is created] (アラートが作成されたとき) を選択します。

4. [条件] で、特定のプレイブックまたはプレイブックのセットを実行する分析ルールを選びます。

5. [アクション] で、このルールから呼び出す各プレイブックについて、[+ アクションの追加] を選びます。 [プレイブックの実行] アクションが自動的に選択され、淡色表示されます。

6. 次の行のドロップダウン リストで、使用可能なプレイブックの一覧から選択します。 各アクションの横の上/下矢印を選択して、プレイブックを実行する順番に従ってアクションを並べ替えます。

7. [適用] を選んでオートメーション ルールを保存します。

8. これらのプレイブックを呼び出した 1 つ以上の分析ルール ([条件] で指定したルール) を編集し、[自動応答] タブの [Alert automation (classic)] (アラートのオートメーション (クラシック)) セクションからプレイブックを削除します。

関連するコンテンツ

詳細については、以下を参照してください:

• 自動化ルールを使って Microsoft Sentinel の脅威への対応を自動化する
• Microsoft Sentinel にプレイブックを認証する
• Microsoft Sentinel プレイブックを作成して管理する