プレイブックをリアルタイムでトリガーする
Contoso では、セキュリティの脅威に対処するように Microsoft Sentinel プレイブックを構成できます。
[プレイブック] ページを調べる
[プレイブック] ページで脅威への対処を自動化できます。 このページでは、Azure Logic Apps から作成されるすべてのプレイブックを確認できます。 列 [トリガーの種類] は、ロジックアプリで使用されるコネクタの種類を示します。
次の図に示すように、ヘッダー バーを使用して、新しいプレイブックを作成したり、既存のプレイブックを有効または無効にしたりすることができます。
ヘッダー バーには、次のオプションがあります。
[プレイブックの追加] オプションは、新しいプレイブックを作成するために使用します。
[更新] オプションは、たとえば、新しいプレイブックを作成した後などに表示を最新の情報に更新するために使用します。
ドロップダウン時間フィールドは、プレイブックの実行状態をフィルター処理するために使用します。
[有効にする]、[無効にする]、[削除] の各オプションは、1 つ以上のロジック アプリを選択した場合にのみ使用できます。
[Logic Apps documentation](Logic Apps のドキュメント) オプションは、ロジック アプリの詳細情報に関する Microsoft の公式ドキュメントへのリンクを確認するために使用します。
Contoso では、自動化されたアクションを使用して、疑わしいユーザーがネットワークにアクセスするのを防ぎたいと考えています。 セキュリティ管理者であるあなたは、プレイブックを作成して、このアクションを実装することができます。 新しいプレイブックを作成するには、[プレイブックの追加] を選択します。 次の設定の入力値を指定して、新しいロジック アプリを作成する必要があるページに移動します。
[サブスクリプション]。 Microsoft Sentinel を含むサブスクリプションを選択します。
[リソース グループ]。 既存のリソース グループを使用することも、新しいリソース グループを作成することもできます。
[ロジック アプリ名]。 わかりやすいロジック アプリ名を指定します。
場所。 Log Analytics ワークスペースが配置されている場所と同じ場所を選択します。
Log Analytics。 Log Analytics を有効にすると、プレイブックのランタイム イベントに関する情報を取得できます。
これらの入力値を指定した後、[確認と作成] オプション、[作成] の順に選択します。
Logic Apps デザイナー
Microsoft Sentinel によってロジック アプリが作成されると、[Logic Apps デザイナー] ページに移動します。
Logic Apps デザイナーには、トリガーとアクションを追加するために使用するデザイン キャンバスが用意されています。 たとえば、新しいセキュリティ インシデントが作成されたときに Microsoft Sentinel コネクタから開始するようにトリガーを構成できます。 [Logic App デザイナー] ページには、使用可能な数多くの定義済みテンプレートが用意されています。 ただし、プレイブックを作成するには、[空のロジック アプリ] テンプレートから始めて、ロジック アプリを最初から設計する必要があります。
プレイブックの自動化されたアクティビティは、Microsoft Sentinel トリガーによって開始されます。 デザイン キャンバスの検索ボックスで Microsoft Sentinel トリガーを検索し、次の 2 つの使用可能なトリガーのいずれかを選択できます。
[When a response to a Microsoft Sentinel alert is triggered](Microsoft Sentinel アラートへの対応がトリガーされたとき)
[When Microsoft Sentinel incident creation rule was triggered](Microsoft Sentinel インシデント作成ルールがトリガーされたとき)
Microsoft Sentinel コネクタを初めて開くと、Microsoft Entra ID のユーザー アカウントまたはサービス プリンシパルのいずれかを使用してテナントにサインインするように求められます。 これにより、Microsoft Entra ID への API 接続が確立されます。 API 接続には、Microsoft Entra ID、Office 365 など、接続のために API にアクセスするために必要な変数とトークンが格納されます。
各プレイブックはトリガーで始まり、セキュリティ インシデントの自動応答を定義するアクションが続きます。 Microsoft Sentinel コネクタからのアクションを、他の Logic Apps コネクタからの他のアクションと組み合わせることができます。
たとえば、インシデントがトリガーされたときに Microsoft Sentinel コネクタからトリガーを追加し、その後に Microsoft Sentinel アラートからエンティティを識別するアクション、その後で Office 365 電子メール アカウントに電子メールを送信する別のアクションを追加できます。 Microsoft Sentinel を使用すると、すべてのアクションが [新しいステップ] として作成され、ロジック アプリに追加するアクティビティが定義されます。
次のスクリーンショットは、Microsoft Sentinel コネクタによってトリガーされたインシデントを示しています。これは、疑わしいアカウントを検出し、管理者に電子メールを送信します。
ワークフロー設計の各ステップには、入力する必要のあるさまざまなフィールドがあります。 たとえば、[Entities - Get Accounts](エンティティ - アカウントの取得) アクションでは、Microsoft Sentinel アラートからエンティティの一覧を提供する必要があります。 Azure Logic Apps を使用する利点は、前のステップからの出力が入力された [動的なコンテンツ] リストからこの入力を提供できることです。 たとえば、Microsoft Sentinel コネクタ トリガー [When a response to Microsoft Sentinel Alert is triggered](Microsoft Sentinel アラートへの対応がトリガーされたとき) を使用すると、入力項目に値を入力するために使用できる [エンティティ]、[アラートの表示名] などの動的プロパティが提供されます。
ロジック アプリで決定を行うようにするコントロール アクション グループを追加することもできます。 コントロール アクション グループには、論理条件、Switch Case 条件、またはループを含めることができます。
[条件] アクションは、処理しているデータに基づいて、アプリにさまざまな処理を実行させる If ステートメントです。 これはブール式と 2 つのアクションで構成されています。 実行時に、実行エンジンによって式が評価され、式が true か false かどうかに基づいてアクションが選択されます。
たとえば、Contoso は大量のアラートを受信しますが、その多くは定期的なパターンがあり、処理や調査を行うことはできません。 リアルタイム オートメーションを使用すると、Contoso SecOps チームは、定期的な種類のアラートへの定期的な対応を完全に自動化することで、ワークロードを大幅に削減できます。
次のスクリーンショットは同様の状況を示しています。ユーザー入力に基づいて、プレイブックを使用してアラートのステータスを変更できます。 コントロール アクションはユーザー入力をインターセプトし、式が true ステートメントであると評価された場合、プレイブックにより、アラートのステータスが変更されます。 コントロール アクションが式を false であると評価した場合、プレイブックでは、次のスクリーンショットに示すように、電子メールの送信などの他のアクティビティを実行できます。
Logic Apps デザイナーですべてのステップを指定したら、ロジック アプリを保存して、Microsoft Sentinel でプレイブックを作成します。
Microsoft Sentinel の [Logic Apps] ページ
作成したプレイブックは、[プレイブック] ページに表示され、さらに編集することができます。 [プレイブック] ページから、既存のプレイブックを選択できます。これにより、Microsoft Sentinel でそのプレイブックの [Logic Apps] ページが開きます。
Logic Apps ヘッダー バーから、プレイブックに対していくつかのアクションを実行できます。
トリガーの実行。 ロジック アプリを実行してプレイブックをテストするために使用します。
更新する。 ロジック アプリの状態を最新の情報に更新してアクティビティの状態を取得するために使用します。
編集。 [Logic Apps デザイナー] ページでプレイブックをさらに編集するために使用します。
削除。 ロジック アプリが不要な場合に削除するために使用します。
無効。 ロジック アプリを一時的に無効にして、トリガーがアクティブでもアクションが実行されないようにするために使用します。
スキーマの更新。 ロジックが大幅に変更された後にロジック アプリのスキーマを更新するために使用します。
クローン。 既存のロジック アプリをコピーし、それを、さらに変更するためのベースとして使用するために使用します。
エクスポート。 ロジック アプリを Microsoft Power Automate および Microsoft Power Apps にエクスポートするために使用します。
[要点] セクションには、ロジック アプリに関する説明情報が表示されます。 たとえば、ロジック アプリの定義には、ロジック アプリが提供するトリガーとアクションの数が表示されます。
[概要] セクションを使用して、ロジック アプリに関する概要情報を確認できます。 このセクションから、ロジック アプリのリンクを選択して Logic Apps デザイナーで開くか、トリガー履歴を確認できます。
[実行の履歴] セクションには、ロジック アプリの以前の実行と、それらが成功または失敗のどちらであったかが表示されます。
Microsoft Sentinel でインシデントへの対応を自動化する
最後の手順として、このプレイブックを分析ルールにアタッチして、インシデントへの対応を自動化する必要があります。 分析ルールの [自動応答] セクションを使用して、アラートが生成されたときに自動的に実行されるプレイブックを選択できます。 分析ルールの作成方法の詳細については、「Microsoft Sentinel の分析を使用した脅威検出」モジュールを参照してください。