チュートリアル: Microsoft Sentinel でオートメーション ルールとプレイブックを使用する

注意

Azure Sentinel は現在 Microsoft Sentinel と呼ばれており、今後数週間でこれらのページを更新する予定です。 最近の Microsoft のセキュリティ強化の詳細を確認してください。

このチュートリアルでは、オートメーション ルールとプレイブックを組み合わせてインシデント対応を自動化し、Microsoft Sentinel によって検出されたセキュリティ上の脅威を修復する方法について説明します。 このチュートリアルを終えると、次のことができるようになります。

  • オートメーション ルールを作成する
  • プレイブックを作成する
  • プレイブックにアクションを追加する
  • オートメーション ルールまたは分析ルールにプレイブックをアタッチして脅威への対応を自動化する

注意

このチュートリアルでは、お客様の主なタスク (インシデントをトリアージするための自動化の作成) に関する基本的なガイダンスを提供します。 詳細については、「Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」や「Microsoft Sentinel のプレイブックでトリガーとアクションを使用する」などの操作方法のセクションを参照してください。

オートメーション ルールとプレイブックとは

オートメーション ルールは、Microsoft Sentinel にインシデントをトリアージするのに役立ちます。 それらを使用して、インシデントを自動的に適切な担当者に割り当てたり、ノイズの多いインシデントや既知の擬陽性を終了したり、それらの重大度を変更したり、タグを追加したりすることができます。 これらは、インシデントへの対応としてプレイブックの実行を可能にするメカニズムでもあります。

プレイブックは、アラートやインシデントに対する応答として Microsoft Sentinel から実行できる手順のコレクションです。 プレイブックは対応の自動化や調整に役立ちます。分析ルールまたはオートメーション ルールにそれぞれアタッチすることで、特定のアラートまたはインシデントが発生した際に自動的に実行されるように設定できます。 必要なときに手動で実行することもできます。

Microsoft Sentinel のプレイブックは Azure Logic Apps で構築されたワークフローをベースにしています。これは、Logic Apps のすべての機能、カスタマイズ性、組み込みテンプレートを利用できることを意味します。 それぞれのプレイブックは、それが属する特定のサブスクリプションを対象に作成されますが、 [プレイブック] 画面には、選択されているサブスクリプションの範囲を越えて、利用できるすべてのプレイブックが表示されます。

注意

プレイブックには Azure Logic Apps が利用されているため、追加料金が適用される場合があります。 詳細については、Azure Logic Apps の価格ページを参照してください。

たとえば、セキュリティ侵害を受けた可能性のあるユーザーに、ネットワークを巡回して情報を盗むことを止めさせたい場合、セキュリティ侵害を受けたユーザーを検出するルールによって生成されるインシデントに対して自動化された多面的な対応を作成できます。 まず、次のアクションを実行するプレイブックを作成します。

  1. プレイブックは、オートメーション ルールによって呼び出されてインシデントを受け取ると、ServiceNow などの IT チケット システムのチケットを開きます。

  2. そこから、セキュリティ アナリストがインシデントを認識できるように、Microsoft Teams または Slack のセキュリティ オペレーション チャンネルにメッセージが送信されます。

  3. さらに、インシデントのすべての情報が、電子メール メッセージでシニア ネットワーク管理者とセキュリティ管理者に送信されます。電子メール メッセージには、 [ブロック] および [無視] のユーザー オプション ボタンが含まれます。

  4. プレイブックは管理者からの応答を待機し、それを受け取ってから次の手順に進みます。

  5. 管理者が [ブロック] を選択した場合、ユーザーを無効にするコマンドが Azure AD に、IP アドレスをブロックするコマンドがファイアウォールに送信されます。

  6. 管理者が [無視] を選択した場合、Microsoft Sentinel のインシデントと ServiceNow のチケットがプレイブックによって終了されます。

プレイブックをトリガーするためには、これらのインシデントが生成されたときに実行されるオートメーション ルールを作成します。 そのルールでは、これらの手順が実行されます。

  1. インシデントの状態を [アクティブ] に変更します。

  2. この種のインシデントの管理を担当するアナリストにインシデントを割り当てます。

  3. "compromised user (セキュリティ侵害を受けたユーザー)" タグを追加します。

  4. 最後に、先ほど作成したプレイブックを呼び出します。 (この手順には特殊なアクセス許可が必要です。)

前述の例のように、アクションとしてプレイブックを呼び出すオートメーション ルールを作成することにより、インシデントへの対応としてプレイブックを自動的に実行することができます。 アラートが生成されたときに 1 つまたは複数のプレイブックを自動的に実行するよう分析ルールに指定することで、それらをアラートへの対応として自動的に実行することもできます。

さらに、選択したアラートへの対応として、プレイブックを手動でオンデマンド実行することもできます。

Microsoft Sentinel でのオートメーション ルールプレイブックを使用した脅威への対応の自動化について、より完全で詳細な説明を確認してください。

プレイブックを作成する

Microsoft Sentinel に新しいプレイブックを作成するには、これらの手順に従います。

Automation 画面で新しいプレイブックを追加するためのメニュー選択のスクリーンショット。

  1. Microsoft Sentinel のナビゲーション メニューから [オートメーション] を選択します。

  2. 上部のメニューから、[作成] を選択します。

  3. [作成] の下に表示されるドロップダウン メニューには、プレイブックを作成するための 3 つの選択肢があります。

    1. Standard のプレイブック (新しい種類 - 「ロジック アプリの種類」を参照) を作成する場合は、[空のプレイブック] を選択し、後述の「Logic Apps Standard」タブの手順に従います。

    2. 従量課金のプレイブック (元からある従来の種類) を作成する場合は、使用するトリガーに応じて、インシデント トリガーを含むプレイブックまたはアラート トリガーを含むプレイブックを選択します。 後述の「Logic Apps 従量課金」タブの手順に従います。

      注意

      オートメーション ルールで呼び出すことができるのは、インシデント トリガーに基づくプレイブックだけであることに注意してください。 アラート トリガーに基づくプレイブックは、分析ルールで直接実行されるように定義する必要があります。 どちらの種類も手動で実行できます。

      使用するトリガーの詳細については、Microsoft Sentinel プレイブックでのトリガーとアクションの使用に関するページを参照してください

プレイブックとロジックアプリを準備する

前の手順でプレイブックを作成するために選択したトリガーに関係なく、[プレイブックの作成] ウィザードが表示されます。

ロジック アプリを作成します

  1. [基本] タブを次のように設定します。

    1. [サブスクリプション][リソース グループ][リージョン] をそれぞれのドロップダウン リストから選択します。 リージョンは、ご自分のロジック アプリの情報を格納する場所を選択します。

    2. プレイブック名にプレイブックの名前を入力します。

    3. このプレイブックのアクティビティを診断目的で監視したい場合は、[Log Analytics で診断ログを有効にする] チェック ボックスをオンにして、ドロップダウン リストから Log Analytics ワークスペースを選択します。

    4. プレイブックから、Azure 仮想ネットワーク内にある、または Azure 仮想ネットワークに接続されている保護されたリソースにアクセスする必要がある場合は、統合サービス環境 (ISE) の使用が必要になることがあります。 その場合は、[統合サービス環境に関連付ける] チェック ボックスをオンにし、ドロップダウン リストから目的の ISE を選択します。

    5. [次へ: 接続 >] を選択します。

  2. [接続] タブで、次のようにします。

    このセクションはそのままにして、マネージド ID を使用して Microsoft Sentinel に接続するように Logic Apps を構成するのが理想的です。 これとその他の認証の代替手段については、こちらをご覧ください

    [次へ: 確認と作成 >] を選択します。

  3. [確認と作成] タブで、次のようにします。

    行った構成の選択を確認し、[作成してデザイナーに進む] を選択します。

  4. プレイブックの作成とデプロイには数分かかります。その後、「デプロイが完了しました」というメッセージが表示され、新しいプレイブックのロジック アプリ デザイナーが表示されます。 最初に選択したトリガーが最初のステップとして自動的に追加され、そこからワークフローの設計を続行できます。

    ロジック アプリ デザイナーでトリガーを開いている画面のスクリーンショット。

アクションの追加

これで、プレイブックを呼び出したときの動作を定義できます。 アクション、論理条件、ループ、switch case 条件はいずれも、 [新しいステップ] を選択することで追加できます。 この選択によってデザイナーに新しいフレームが開くので、そこで、操作対象となるシステムやアプリケーション、設定する条件を選択できます。 フレーム上部の検索バーにシステムまたはアプリケーションの名前を入力し、表示される結果から選択します。

これらの各ステップでフィールドをクリックすると、 [動的なコンテンツ][式] の 2 つのメニューを含んだパネルが表示されます。 [動的なコンテンツ] メニューから、プレイブックに渡されたアラートまたはインシデントの属性への参照、たとえばアラートまたはインシデントに含まれているあらゆるマップ済みエンティティおよびカスタムの詳細の値や属性を追加できます。 [式] メニューからは、ステップに追加するロジックを豊富な関数のライブラリから選択できます。

ロジック アプリ デザイナー

このスクリーンショットは、このドキュメントの冒頭の例で説明したプレイブックの作成時に追加することになるアクションと条件を示しています。 唯一の違いは、ここに示したプレイブックでは、インシデント トリガーではなくアラート トリガーを使用していることです。 つまりこのプレイブックは、オートメーション ルールからではなく、分析ルールから直接呼び出すことになります。 以下では、プレイブックを呼び出すための両方の方法について説明します。

脅威への対応を自動化する

プレイブックを作成し、トリガーを定義して、条件を設定し、実行するアクションとそれによって生成される出力を指定しました。 今度は、実行する条件を決め、それらの条件が満たされたときに実行される自動化メカニズムを設定する必要があります。

インシデントへの対応

プレイブックを使用してインシデントに対応するには、オートメーション ルールを作成します。これはインシデントが生成されたときに実行されます。そしてそれにより、プレイブックが呼び出されます。

オートメーション ルールを作成するには:

  1. Microsoft Sentinel のナビゲーション メニューにある [オートメーション] ブレードで、トップ メニューの [作成][新しいルールの追加] の順に選択します。

    新しいルールを追加する

  2. [Create new automation rule](新しいオートメーション ルールの作成) パネルが開きます。 ルールの名前を入力します。

    オートメーション ルールを作成する

  3. 特定の分析ルールでのみオートメーション ルールが有効になるようにしたい場合は、 [If Analytics rule name](分析ルール名が次に該当する場合) の条件を変更することで、それを指定します。

  4. このオートメーション ルールのアクティブ化を決定する条件が他にあれば追加します。 [条件の追加] をクリックし、ボックスの一覧から条件を選択します。 条件の一覧は、アラートの詳細とエンティティ識別子のフィールドによって設定されます。

  5. このオートメーション ルールで実行するアクションを選択します。 [Assign owner](所有者の割り当て)[状態の変更][重大度の変更][タグの追加][プレイブックの実行] などのアクションを選択できます。 アクセスは、必要な数だけ追加できます。

  6. [プレイブックの実行] アクションを追加した場合、ボックスの一覧から使用可能なプレイブックを選択するよう求められます。 オートメーション ルールから実行できるのは、インシデント トリガーで開始されるプレイブックのみであるため、一覧には、それらのみが表示されます。

    重要

    手動であれ、オートメーション ルールからであれ、インシデント トリガーに基づいてプレイブックを実行するには、明示的なアクセス許可が Microsoft Sentinel に付与されている必要があります。 ドロップダウン リストでプレイブックが "淡色表示" される場合、そのプレイブックのリソース グループに対するアクセス許可が Sentinel にはありません。 [Manage playbook permissions](プレイブックのアクセス許可の管理) リンクをクリックしてアクセス許可を割り当ててください。

    表示された [アクセス許可の管理] パネルで、実行したいプレイブックがあるリソース グループのチェック ボックスをオンにし、 [適用] をクリックします。

    アクセス許可の管理

    • 自分自身には、Microsoft Sentinel にアクセス許可を付与するリソース グループの所有者アクセス許可と、実行したいプレイブックがあるリソース グループのロジック アプリの共同作成者ロールが割り当てられている必要があります。

    • マルチテナント デプロイで、実行したいプレイブックが別のテナントに存在する場合、そのプレイブックのテナントでプレイブックを実行するアクセス許可を Microsoft Sentinel に付与する必要があります。

      1. プレイブックのテナントにある Microsoft Sentinel のナビゲーション メニューから [設定] を選択します。
      2. [設定] ブレードで、 [設定] タブ、 [Playbook permissions](プレイブックのアクセス許可) 展開コントロールの順に選択します。
      3. [アクセス許可の構成] ボタンをクリックして前述の [アクセス許可の管理] パネルを開き、そこでの説明に沿って続行します。
    • MSSP シナリオで、サービス プロバイダー テナントへのサインイン中に作成された自動化ルールから顧客テナントでプレイブックを実行する必要がある場合、両方のテナントでプレイブックを実行するためのアクセス許可を Microsoft Sentinel に付与する必要があります。 顧客テナントで、前の箇条書きにあるマルチテナント デプロイの手順に従います。 サービス プロバイダー テナントで、Azure Security Insights アプリを Azure Lighthouse オンボード テンプレートに追加する必要があります。

      1. Azure portal で、 [Azure Active Directory] に移動します。
      2. [エンタープライズ アプリケーション] をクリックします。
      3. [アプリケーションの種類] を選択し、[Microsoft アプリケーション] でフィルター処理します。
      4. 検索ボックスに、「Azure Security Insights」と入力します。
      5. [オブジェクト ID] フィールドをコピー します。 この追加の承認を、既存の Azure Lighthouse の委任に追加する必要があります。

      Microsoft Sentinel Automation 共同作成者ロールには、固定 GUID である があります。 Azure Lighthouse 承認のサンプルは、パラメーター テンプレートでは次のようになります。

      {
           "principalId": "<Enter the Azure Security Insights app Object ID>", 
           "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
           "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
      }
      
  7. 必要に応じてオートメーション ルールの有効期限を設定します。

  8. [Order](順序) に数値を入力して、このルールが実行されるオートメーション ルールのシーケンス内の位置を指定します。

  9. [Apply] をクリックします。 以上で終わりです。

オートメーション ルールを作成するその他の方法をご確認ください

アラートに応答する

プレイブックを使用してアラートに対応するには、アラートが生成されたときに実行される分析ルールを作成 (または既存のものを編集) し、分析ルール ウィザードで、自動化された対応として自分のプレイブックを選択します。

  1. Microsoft Sentinel のナビゲーション メニューの [Analytics] ブレードから、対応を自動化したい分析ルールを選択し、詳細ペインの [編集] をクリックします。

  2. [分析ルール ウィザード - 既存のルールを編集する] ページで、[自動応答] タブを選択します。

    [Automated response]\(自動化された対応\) タブ

  3. ドロップダウン リストからプレイブックを選択します。 複数のプレイブックを選択することもできますが、選択できるのは、アラート トリガーを使用するプレイブックのみです。

  4. [確認と更新] タブで [保存] を選択します。

オンデマンドでプレイブックを実行する

インシデント (プレビュー) であれアラートであれ、プレイブックはオンデマンドで手動実行することもできます。 これはオーケストレーションや応答プロセスに、人による入力や制御が求められる状況で役立てることができます。

アラートに対して手動でプレイブックを実行する

  1. [インシデント] ページでインシデントを選択します。

  2. インシデントの詳細ペインの一番下にある [すべての詳細を表示] を選択します。

  3. インシデントの詳細ページの [アラート] タブを選択し、プレイブックを実行するアラートを選択して、そのアラートの行末にある [プレイブックの表示] リンクを選択します。

  4. [アラートのプレイブック] ペインが開きます。 自分がアクセスできる Microsoft Sentinel アラートの Logic Apps トリガーを使って構成されているすべてのプレイブックが一覧表示されます。

  5. 特定のプレイブックの行にある [実行] を選択すると、それが直ちに実行されます。

アラートに関するプレイブックの実行履歴は、[アラートのプレイブック] ペインの [実行] タブを選択することで表示できます。 完了したばかりの実行がこの一覧に表示されるまでには数秒かかることがあります。 特定の実行を選択すると、Logic Apps で完全な実行ログが開きます。

インシデントに対して手動でプレイブックを実行する

  1. [インシデント] ページでインシデントを選択します。

  2. 右側に表示されるインシデントの詳細ペインから、[アクション] > [プレイブックの実行 (プレビュー)] を選択します。
    (グリッドでインシデントの行末にある 3 つのドットを選択するか、またはインシデントを右クリックすると、[アクション] ボタンと同じ一覧が表示されます。)

  3. [インシデントでプレイブックを実行する] パネルが右側に表示されます。 自分がアクセスできる Microsoft Sentinel インシデントの Logic Apps トリガーを使って構成されているすべてのプレイブックが一覧表示されます。

    注意

    実行したいプレイブックが一覧に表示されない場合、そのリソース グループ内のプレイブックを実行するアクセス許可が Microsoft Sentinel にないことを意味します (前述の注意事項を参照)。 それらのアクセス許可を付与するには、メイン メニューから [設定] を選択し、[設定] タブを選択して [プレイブックのアクセス許可] 展開コントロールを展開し、[アクセス許可の構成] を選択します。 表示された [アクセス許可の管理] パネルで、実行したいプレイブックがあるリソース グループのチェック ボックスをオンにして、[適用] を選択します。

  4. 特定のプレイブックの行にある [実行] を選択すると、それが直ちに実行されます。

インシデントに関するプレイブックの実行履歴は、[インシデントでプレイブックを実行する] パネルの [実行] タブを選択することで表示できます。 完了したばかりの実行がこの一覧に表示されるまでには数秒かかることがあります。 特定の実行を選択すると、Logic Apps で完全な実行ログが開きます。

次の手順

このチュートリアルでは、Microsoft Sentinel でプレイブックとオートメーション ルールを使用して脅威に対応する方法について説明しました。