IBM Security QRadar SOAR オートメーションを Microsoft Sentinel に移行する
Microsoft Sentinel は、自動化ルール と プレイブックを備えたセキュリティ オーケストレーション、オートメーション、および応答 (SOAR) 機能を提供します。 自動化ルールによってインシデントの処理と対応が自動化され、プレイブックでは、脅威に対応して修復するための所定の一連のアクションが実行されます。 この記事では、SOAR のユース ケースを特定する方法と、IBM Security QRadar SOAR オートメーションを Microsoft Sentinel に移行する方法について説明します。
自動化ルールを使用すると、インシデント オーケストレーション プロセスの複雑なワークフローが簡略化され、インシデント処理の自動化を一元的に管理できます。
自動化ルールを使用すると、次のことができます:
- プレイブックを必ずしも使用せずに簡単な自動化タスクを実行します。 たとえば、割り当て、インシデントのタグ付け、状態の変更、インシデントの終了を行うことができます。
- 一度に複数の分析ルールの応答を自動化します。
- 実行されるアクションの順序を制御します。
- より複雑な自動化タスクが必要な場合は、プレイブックを実行します。
SOAR のユース ケースを特定する
IBM Security QRadar SOAR から SOAR ユース ケースを移行する際に考慮する必要がある点を次に示します。
- ユース ケースの品質。 自動化に適したユース ケースを選択します。 ユース ケースは、最小限のバリエーションと低い誤検知率で明確に定義されたプロシージャに基づく必要があります。 自動化は効率的なユース ケースで動作するはずです。
- 手動で介入。 自動応答は広範囲の効果を持つ可能性があり、影響の大きい自動化には、影響の大きいアクションを実行する前に確認するための人間の入力が必要です。
- バイナリ条件。 応答の成功を増やすには、自動化されたワークフロー内の決定ポイントを可能な限り制限し、バイナリ条件を使用する必要があります。 バイナリ条件は、人間の介入の必要性を減らし、結果の予測可能性を高めます。
- 正確なアラートまたはデータ。 応答アクションは、アラートなどのシグナルの正確性に依存します。 アラートとエンリッチメント ソースは信頼できる必要があります。 ウォッチリストや信頼性の高い脅威インテリジェンスなどの Microsoft Sentinel リソースは、信頼性を高めることができます。
- アナリスト ロール。 自動化は可能な限り優れているものの、アナリストにとってより複雑なタスクを予約し、検証を必要とするワークフローに入力する機会を提供します。 つまり、応答の自動化では、アナリストの機能を拡張する必要があります。
SOAR ワークフローに移行する
このセクションでは、IBM Security QRadar SOAR の主要な SOAR コンセプトを Microsoft Sentinel コンポーネントに応用するしくみを説明します。 このセクションではまた、SOAR ワークフローの各ステップまたはコンポーネントを移行する方法については全般的ガイドラインを提供します。
| ステップ (図) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | ルールと条件を定義します。 | 自動化ルールを定義します。 |
| 2 | 順序が付けられたアクティビティを実行します。 | 複数のプレイブックを含む自動化ルールを実行します。 |
| 3 | 選択したワークフローを実行します。 | 以前に実行したプレイブックによって適用されたタグに従って他のプレイブックを実行します。 |
| 4 | メッセージの送信先にデータを投稿します。 | Logic Apps でインライン アクションを使用してコード スニペットを実行します。 |
SOAR コンポーネントをマップ
主要な QRadar SOAR コンポーネントにマップされる Microsoft Sentinel または Azure Logic Apps の機能を確認します。
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| ルール | プレイブックまたは自動化ルールにアタッチされた分析ルール |
| Gateway | 条件制御 |
| スクリプト | インライン コード |
| カスタム アクション プロセッサ | Azure Logic Apps またはサードパーティ製コネクタのカスタム API 呼び出し |
| 機能 | Azure 関数コネクタ |
| メッセージの送信先 | Azure Service Bus のある Azure Logic Apps |
| IBM X-Force Exchange | • Automation(オートメーション)> Templates tab(テンプレートタブ) • コンテンツ ハブ カタログ • GitHub |
Microsoft Sentinel でオートメーション ルールとプレイブックを操作する
Microsoft Sentinel で使用するプレイブックのほとんどは、[Automation > Templates タブ]、コンテンツ ハブ カタログ、または GitHub で使用できます。 ただし、場合によっては、プレイブックを最初から作成するか、既存のテンプレートから作成する必要がある場合があります。
通常は、Azure Logic App Designer フィーチャーを使用してカスタム ロジック アプリをビルドします。 ロジック アプリ コードは Azure Resource Manager (ARM) テンプレートに基づいており、複数の環境でAzure Logic Appsの開発、デプロイ、移植性を支援します。 カスタム プレイブックを移植可能な ARM テンプレートに変換するには、 ARM テンプレート ジェネレーターを使用できます。
これらのリソースは、最初から、または既存のテンプレートから独自のプレイブックをビルドする必要があるケースに使用します。
- Microsoft Sentinel でインシデント処理を自動化する
- Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する
- チュートリアル: Microsoft Sentinel でオートメーション ルールとプレイブックを使用する
- インシデント対応、オーケストレーション、自動化に Microsoft Sentinel を使用する方法
- Microsoft Sentinel でのインシデント対応を強化するためのアダプティブ カード
SOARの移行後のベスト プラクティス
SOAR の移行後に考慮する必要があるベスト プラクティスを次に示します:
- プレイブックを移行したら、プレイブックを広範囲にテストして、移行されたアクションが期待どおりに動作することを確認します。
- automations を定期的に確認して、SOAR をさらに簡素化または強化する方法を確認します。 Microsoft Sentinel は、現在の応答実装の有効性をさらに簡素化または向上させるために役立つ新しいコネクタとアクションを常に追加します。
- プレイブックの稼働状況の監視ブックを使用して、プレイブックのパフォーマンスをモニターします。
- マネージド ID とサービス プリンシパルの使用: Logic Apps 内のさまざまな Azure サービスに対して認証を行い、Azure Key Vaultにシークレットを保存し、フロー実行の出力を隠します。 また、これらのサービス プリンシパルのアクティビティをモニターすることをお勧めします。
次の手順
この記事では、IBM Security QRadar SOAR から Microsoft Sentinel に SOAR オートメーションをマップする方法について説明しました。