Microsoft Sentinel でのセキュリティ オーケストレーション、オートメーション、応答 (SOAR)
この記事では、Microsoft Sentinel のセキュリティ オーケストレーション、オートメーション、応答 (SOAR) の機能について説明します。また、セキュリティの脅威に応えて自動化ルールとプレイブックを使用することにより、SOC の有効性が向上し、時間とリソースを節約できることを示します。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
SOAR ソリューションとしての Microsoft Sentinel
問題
通常、SIEM または SOC チームには、セキュリティ アラートやインシデントが日常的に押し寄せています。その量のあまりの多さに、対応するスタッフは圧倒されています。 この結果、多くのアラートが無視され、多くのインシデントが調査されず、気付かずに行われる攻撃に対して組織は脆弱な状態のままになっていることが非常によくあります。
解決策
Microsoft Sentinel は、セキュリティ情報およびイベント管理 (SIEM) システムに加えて、セキュリティ オーケストレーション、オートメーション、応答 (SOAR) のためのプラットフォームでもあります。 主な目的の 1 つは、セキュリティ オペレーション センターとスタッフ (SOC/SecOps) が担当する、定期的で予測可能な強化、応答、および修復のタスクを自動化することです。これにより、アップタイムやリソースが解放され、高度な脅威を詳細に調査したり検索したりできます。 Microsoft Sentinel におけるオートメーションは、インシデント処理と応答の自動化を一元的に管理するオートメーション ルールから、事前に定義された一連のアクションを実行して、脅威対応タスクに対し強力かつ柔軟な先進自動化を提供するプレイブックまで、いくつかの異なる形態を取ります。
オートメーション ルール
オートメーション ルールにより、ユーザーはインシデント処理の自動化を一元的に管理できます。 自動化ルールを使用すると、インシデントやアラートにもプレイブックを割り当てられるほか、一度に複数の分析ルールに対する応答を自動化したり、プレイブックを必要とせずにインシデントのタグ付け、割り当て、クローズを自動的に行ったり、インシデントのトリアージ、調査、修復時に実行する分析のためのタスク リストを作成したり、実行されるアクションの順序を制御したりできます。 オートメーション ルールを使うと、インシデントの更新時だけでなく作成時にも、自動化を適用できます。 この新機能により、Microsoft Sentinel での自動化の使用がさらに効率化され、インシデント オーケストレーション プロセスの複雑なワークフローを簡略化できます。
詳細については、「オートメーション ルールの詳細な説明」ページを参照してください。
プレイブック
プレイブックは、Microsoft Sentinel からルーチンとして実行できる応答と修復アクションやロジックのコレクションです。 プレイブックは、脅威への対応を自動化し、調整するのに役立ちます。これは、内外の他のシステムと統合でき、分析ルールまたは自動化ルールによってトリガーされたときに、それぞれ、特定のアラートやインシデントに対応して自動的に実行されるように設定できます。 また、インシデント ページから、アラートに応じて手動でオンデマンドで実行することもできます。
Microsoft Sentinel のプレイブックは、エンタープライズ全体のシステムでタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスである Azure Logic Apps で作成されたワークフローに基づいています。 つまり、プレイブックは、Logic Apps の統合とオーケストレーションの機能、使いやすいデザインツール、階層 1 の Azure サービスのスケーラビリティ、信頼性、サービス レベルのすべての機能とカスタマイズ性を活用できます。
詳細については、「プレイブックの詳細な説明」を参照してください。
統合セキュリティ オペレーション プラットフォームを使用したオートメーション
Microsoft Sentinel ワークスペースを統合セキュリティ オペレーション プラットフォームにオンボードしたら、ワークスペースでのオートメーション機能の次の違いに注意してください。
| 機能 | 説明 |
|---|---|
| アラート トリガーを使用したオートメーション ルール | 統合セキュリティ オペレーション プラットフォームでは、アラート トリガーを使ったオートメーション ルールは Microsoft Sentinel アラートに対してのみ機能します。 詳細については、「アラート作成トリガー」を参照してください。 |
| インシデント トリガーを使用したオートメーション ルール | Azure portal と統合セキュリティ オペレーション プラットフォームの両方で、インシデント プロバイダーの条件プロパティが削除されます。これは、すべてのインシデントにインシデント プロバイダーとして Microsoft Defender XDR が含まれるためです (ProviderName フィールドの値)。 その時点で、既存のオートメーション ルールは、Microsoft Sentinel と Microsoft Defender XDR の両方のインシデントに対して実行されます。これには、インシデント プロバイダーの条件が Microsoft Sentinel または Microsoft 365 Defender のみに設定されているものも含まれます。 ただし、特定の分析ルール名を指定するオートメーション ルールは、指定された分析ルールによって作成されたインシデントに対してのみ実行されます。 つまり、分析ルール名の条件プロパティを、Microsoft Sentinel のみに存在する分析ルールに定義して、Microsoft Sentinel のみに存在するインシデントに対して実行するようにルールを制限できます。 詳細については、インシデントのトリガー条件に関する記事を参照してください。 |
| 既存のインシデント名の変更 | 統合 SOC 操作プラットフォームでは、Defender ポータルは一意のエンジンを使用してインシデントとアラートを関連付けます。 ワークスペースを統合 SOC 運用プラットフォームにオンボードするときに、関連付けを適用すると、既存のインシデント名が変更される可能性があります。 そのため、オートメーション ルールが常に正しく実行されるように、オートメーション ルールでのインシデント タイトルの使用を避けて、代わりにタグを使用することをお勧めします。 |
| [更新者] フィールド | 詳細については、「インシデント更新トリガー」を参照してください。 |
| インシデント タスクを追加するオートメーション ルール | オートメーション ルールがインシデント タスクを追加した場合、タスクは Azure portal のみに表示されます。 |
| Microsoft インシデント作成ルール | Microsoft インシデント作成ルールは、統合セキュリティ オペレーション プラットフォームではサポートされません。 詳細については、Microsoft Defender XDR インシデントと Microsoft インシデントの作成規則に関する記事を参照してください。 |
| Defender ポータルからの自動化規則の実行 | アラートがトリガーされ、Defender ポータルでインシデントが作成または更新されてから自動化ルールが実行されるまでに、最大で 10 分かかる場合があります。 このタイム ラグは、インシデントは Defender ポータルで作成されてから、自動化ルールのために Microsoft Sentinel に転送されるためです。 |
| [アクティブなプレイブック] タブ | 統合セキュリティ オペレーション プラットフォームにオンボードすると、既定では、[アクティブなプレイブック] タブに、オンボードされたワークスペースのサブスクリプションを含む定義済みのフィルターが表示されます。 他のサブスクリプションのデータは、サブスクリプション フィルターを使って追加してください。 詳細については、「コンテンツ テンプレートから Microsoft Sentinel プレイブックを作成してカスタマイズする」を参照してください。 |
| オンデマンドでのプレイブックの手動実行 | 統合セキュリティ オペレーション プラットフォームでは、現在、次の手順はサポートされません。 |
| インシデントでプレイブックを実行するには、Microsoft Sentinel 同期が必要です | 統合セキュリティ運用プラットフォームからインシデントに対してプレイブックを実行しようとすると、「このアクションに 関連するデータにアクセスできません。数分後に画面を更新してください」というメッセージが表示されます。これは、インシデントがまだ Microsoft Sentinel に同期されていないことを意味します。 インシデントが同期された後にインシデント ページを更新して、プレイブックを正常に実行します。 |
次のステップ
このドキュメントでは、Microsoft Sentinel がオートメーションを使用して、SOC 運用の効果と効率を向上させる方法について学習しました。
- インシデント処理の自動化の詳細については、Microsoft Sentinel でのインシデント処理を自動化する方法に関するページを参照してください。
- 高度な自動化オプションの詳細については、「Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」を参照してください。
- 自動化ルールの作成を開始するには、「Microsoft Sentinel 自動化ルールを作成および使用してインシデントを管理する」を参照してください
- 高度な自動化とプレイブックを実装する方法については、プレイブックを使用して Microsoft Sentinel で脅威への対応を自動化する方法のチュートリアルに関するページを参照してください。