プレイブックを使用してMicrosoft Sentinel でインシデント タスクを作成して実行する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

この記事では、プレイブックを使用してインシデント タスクを作成 (および必要に応じて実行) し、Microsoft Sentinel で複雑なアナリスト ワークフロー プロセスを管理する方法について説明します。

プレイブックの [タスクの追加] アクションを Microsoft Sentinel コネクタ内で使用して、そのプレイブックをトリガーしたインシデントにタスクを自動的に追加します。 Standard ワークフローと従量課金ワークフローの両方がサポートされています。

ヒント

インシデント タスク は、プレイブックだけでなく、オートメーション ルールによっても自動的に作成でき、さらにインシデント内から手動でアドホックに作成することもできます。

詳細については、「Microsoft Sentinel でタスクを使用してインシデントを管理する」を参照してください。

前提条件

• インシデントを表示および編集するには、Microsoft Sentinel レスポンダー ロールが必要で、それはタスクの追加、表示、編集に必要です。

• プレイブックを作成および編集するには、Logic Apps 共同作成者ロールが必要です。

詳細については、Microsoft Sentinel プレイブックの前提条件に関する記事を参照してください。

プレイブックを使用してタスクを追加して実行する

このセクションでは、次の操作を行うプレイブック アクションを追加する手順の例を示します。

• 侵害されたユーザーのパスワードをリセットするタスクを、インシデントに追加します
• 実際にパスワードをリセットするためのシグナルを Microsoft Entra ID Protection (AADIP) に送信する別のプレイブック アクションを追加します
• インシデントのタスクを完了としてマークする最終プレイブック アクションを追加します。

これらのアクションを追加して構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを追加しで、以下を実行します。

   1. [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。

   2. [タイトル] として「ユーザー パスワードのリセット」と入力します。

   3. 任意で説明を追加します。

   次に例を示します。

   

2. [エンティティ - アカウントの取得 (プレビュー)] アクションを追加します。 (Microsoft Sentinel インシデント スキーマから) [エンティティ] 動的コンテンツ項目を [エンティティ リスト] フィールドに追加します。 次に例を示します。

   

3. [コントロール] アクション ライブラリから [For each] ループを追加します。 [エンティティ - アカウントの取得] 出力から [アカウント] 動的コンテンツ 項目を [以前の手順から出力を選択] フィールドに追加します。 次に例を示します。

   

4. For each ループ内で、[アクションの追加] を選択します。 その後、以下を実行します。

   1. Microsoft Entra ID Protection コネクタを検索して選択します
   2. [危険なユーザーのセキュリティ侵害を確認する (プレビュー)] アクションを選択します。
   3. [アカウント Microsoft Entra ユーザー ID] 動的コンテンツ項目を [userIds 項目 - 1] フィールドに追加します。

   このアクションにより、Microsoft Entra ID Protection 内で、ユーザーのパスワードをリセットするプロセスが開始されます。

   

   Note

   [アカウント Microsoft Entra ユーザー ID] フィールドは、AADIP でユーザーを識別する 1 つの方法です。 必ずしもすべてのシナリオで最適な方法であるとは限りませんが、単なる例としてここに示しています。

   サポートについては、侵害されたユーザーを処理する他のプレイブック、または Microsoft Entra ID Protection のドキュメントを参照してください。

5. Microsoft Sentinel コネクタから [タスクを完了としてマーク] アクションを追加し、[インシデント タスク ID] 動的コンテンツ項目を [タスク ARM ID] フィールドに追加します。 次に例を示します。

   

プレイブックを使用してタスクを条件付きで追加する

このセクションでは、インシデントに表示される IP アドレスを調査するプレイブック アクションを追加するサンプル手順を示します。

• この調査の結果、悪意のある IP アドレスの場合、プレイブックによって、アナリストがその IP アドレスを使用するユーザーを無効にするタスクが作成されます。
• IP アドレスが既知の悪意のあるアドレスでない場合、プレイブックによって、アナリストがユーザーに連絡してアクティビティを確認する別のタスクが作成されます。

これらのアクションを追加して構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、[エンティティ - IP の取得] アクションを追加します。 (Microsoft Sentinel インシデント スキーマから) [エンティティ] 動的コンテンツ項目を [エンティティ リスト] フィールドに追加します。 次に例を示します。

   

2. [コントロール] アクション ライブラリから [For each] ループを追加します。 [エンティティ - IP の取得] 出力から [IP] 動的コンテンツ 項目を [以前の手順から出力を選択] フィールドに追加します。 次に例を示します。

   

3. For each ループ内で、[アクションの追加] を選択し、以下を実行します。

   1. Virus Total コネクタを検索して選択します。
   2. [IP レポートの取得 (プレビュー)] アクションを選択します。
   3. [エンティティ - IP の取得] 出力から [IP アドレス] 動的コンテンツ 項目を [IP アドレス] フィールドに追加します。

   次に例を示します。

   

4. For each ループ内で、[アクションの追加] を選択し、以下を実行します。

   1. [コントロール] アクション ライブラリから [条件] を追加します。
   2. [IP レポートの取得] 出力から [悪意のある最後の分析統計] の動的コンテンツ項目を追加します。 [詳細情報] を選択しないと、見つからない場合があります。
   3. [が次の値より大きい] 演算子を選択して、値として「0」と入力します。

   この条件では、"ウイルス合計 IP レポートに結果はありましたか?" という質問が尋ねられます。次に例を示します。

   

5. [True] オプション内で、[アクションの追加] を選択し、以下を実行します。

   1. Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを選択します。
   2. [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。
   3. [タイトル] として「ユーザーを侵害されているとしてマークする」と入力します。
   4. 任意で説明を追加します。

   次に例を示します。

   

6. [False] オプション内で、[アクションの追加] を選択し、以下を実行します。

   1. Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを選択します。
   2. [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。
   3. [タイトル] として「ユーザーに連絡してアクティビティを確認する」と入力します。
   4. 任意で説明を追加します。

   次に例を示します。

   

関連するコンテンツ

詳細については、次を参照してください。

• Microsoft Sentinel を使用してインシデントを調査する
• オートメーション ルールを使用して Microsoft Sentinel でインシデント タスクを作成する
• Microsoft Sentinel でインシデント タスクを操作する