編集

次の方法で共有

Microsoft Sentinel の自動応答

Microsoft Sentinel
Microsoft Entra ID
Azure Logic Apps

ソリューションのアイデア

この記事ではソリューションのアイデアについて説明します。 クラウド アーキテクトはこのガイダンスを使用すると、このアーキテクチャの一般的な実装の主要コンポーネントを視覚化しやすくなります。 ワークロードの特定の要件に適合する、適切に設計されたソリューションを設計するための出発点として、この記事を使用してください。

Microsoft Sentinel は、セキュリティ情報イベント管理 (SIEM) および SOAR (Security Orchestration, Automation, and Response) のためのスケーラブルなクラウドベースのソリューションです。 あらゆる規模の組織にインテリジェントなセキュリティ分析を提供し、次のような機能を提供します。

  • 事業の攻撃の検出
  • 予防的ハンティング
  • 自動化されたインシデント対応
  • その他

Microsoft Sentinel での脅威対応は、プレイブックを通じて管理されます。 アラートまたはインシデントによってトリガーされると、プレイブックは脅威に対抗するための一連の自動化されたアクションを実行します。 これらのプレイブックは、Azure Logic Apps を使用して作成されます。

Microsoft Sentinel には、以下のようなシナリオを対象とした、すぐに使用できるプレイブックが数百種類用意されています。

  • Microsoft Entra ユーザーをブロックする
  • メールによる承認または拒否に基づいて Microsoft Entra ユーザーをブロックする
  • インシデントまたはアラートに関するメッセージを Microsoft Teams チャネルにポストする
  • Slack にメッセージをポストする
  • インシデントまたはアラートの詳細が含まれたメールを送信する
  • フォーマットされたインシデント レポートが含まれたメールを送信する
  • Microsoft Entra ユーザーが危険にさらされているかどうかを確認する
  • Microsoft Teams でアダプティブ カードを送信して、ユーザーが侵害されているかどうかを確認する
  • Microsoft Defender for Endpoint を介してエンドポイントを隔離する

この記事には、不審なアクティビティによって侵害された Microsoft Entra ユーザーをブロックすることで、脅威に対応するプレイブックを実装する例が含まれています。

考えられるユース ケース

この記事で説明されている手法は、検出可能な条件に対する自動応答を実装する必要がある場合に、必ず適用されます。

アーキテクチャ

プレイブックを使用した Microsoft Sentinel アーキテクチャ。

このアーキテクチャの Visio ファイル をダウンロードします。

ワークフロー

このワークフローは、プレイブックをデプロイするステップを示します。 始める前に、 前提条件 が満たされていることを確認してください。 たとえば、Microsoft Entra ユーザーを選択する必要があります。

  1. ログを Azure Monitor に送信する」のステップに従って、Microsoft Sentinel と併用される Log Analytics ワークスペースに監査ログを送信するように Microsoft Entra ID を構成します。

    Note

    このソリューションでは監査ログは使用されませんが、監査ログを使用してユーザーのブロック時に起きたことを調査できます。

  2. Microsoft Entra ID Protection は、実行する脅威対応プレイブックをトリガーするアラートを生成します。 Microsoft Sentinel でアラートを収集するには、Microsoft Sentinel インスタンスに移動し、 [データ コネクタ]を選択します。 Microsoft Entra ID Protection を検索し、アラートの収集を有効にします。 Identity Protection の詳細については、「Identity Protection とは」を参照してください。

  3. IT セキュリティをリスクにさらさずに使用できるコンピューターまたは仮想マシン (VM) にToR Browser をインストール します。

  4. Tor Browser を使用して、このソリューションで選択したユーザーとして匿名でマイ アプリにログインします。 Tor Browser を使用して匿名 IP アドレスをシミュレートする手順については、「匿名 IP アドレス」を参照してください。

  5. Microsoft Entra はユーザーを認証します。

  6. Microsoft Entra ID Protection は、ユーザーが ToR Browser を使用して匿名でログインしたことを検出します。 この種類のログインは、ユーザーをリスクにさらす疑わしいアクティビティです。 Identity Protection が Microsoft Sentinel にアラートを送信します。

  7. アラートからインシデントを作成するように Microsoft Sentinel を構成します。 この構成を行う方法については、「Microsoft セキュリティ アラートからインシデントを自動的に作成する」を参照してください。 Microsoft Entra ID Protection アラートに基づくインシデントの作成の Microsoft セキュリティ分析規則テンプレートを使用します。

  8. Microsoft Sentinel がインシデントをトリガーすると、プレイブックはユーザーをブロックするアクションで対応します。

Components

  • Microsoft Sentinel は、クラウドネイティブの SIEM および SOAR ソリューションです。 高度な AI およびセキュリティ分析を使用して、企業全体で脅威を検出して対応します。 Microsoft Sentinel には、応答を自動化してシステムを保護するために使用できるプレイブックが多数用意されています。
  • Microsoft Entra ID は、マルチテナントに対応したクラウドベースのディレクトリおよび ID 管理サービスで、中核となるディレクトリ サービス、アプリケーションのアクセス管理機能、ID の保護機能が 1 つのソリューションに結合されています。 オンプレミス ディレクトリと同期できます。 ID サービスは、サイバーセキュリティ攻撃からガードするためのシングル サインオン、多要素認証、条件付きアクセスを提供します。 この記事に示すソリューションでは、Microsoft Entra ID Protect を使用して、ユーザーによる疑わしいアクティビティを検出します。
  • Logic Apps は、アプリ、データ、サービス、システムを統合する自動ワークフローを作成および実行するためのサーバーレス クラウド サービスです。 開発者は、ビジュアル デザイナーを使って一般的なタスク ワークフローをスケジュールし、調整することができます。 Logic Apps には、多くの一般的なクラウド サービス、オンプレミス製品、またはその他のサービスとしてのソフトウェア アプリケーション用の コネクタ があります。 このソリューションでは、Logic Apps で脅威対応プレイブックが実行されます。

考慮事項

  • Azure Well-Architected Framework は、ワークロードの品質向上に使用できる一連の基本原則です。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。
  • Microsoft Sentinel には、50 を超える使用可能なプレイブックが用意されています。 これらのプレイブックは、ワークスペースの [Microsoft Sentinel|Automation] ページの [プレイブック テンプレート] タブ上にあります。
  • GitHub には、コミュニティで構築されたさまざまな Microsoft Sentinel プレイブックがあります。

このシナリオのデプロイ

前提条件 が満たされていることを確認した後、 ワークフロー の手順に従って、このシナリオをデプロイできます。

前提条件

ソフトウェアの準備とテスト ユーザーの選択

プレイブックを実装してテストするには、Azure および Microsoft Sentinel と次のものが必要です。

  • Microsoft Entra ID Protection ライセンス (Premium P2、E3、または E5)。
  • Microsoft Entra ユーザー。 既存のユーザーを使用することも、 新しいユーザーを作成することもできます。 新しいユーザーを作成する場合は、使用が終了したら削除できます。
  • ToR ブラウザーを実行できるコンピューターまたは VM。 このブラウザーを使用して、Microsoft Entra ユーザーとしてマイ アプリ ポータルにログインします。

プレイブックのデプロイ

Microsoft Sentinel プレイブックをデプロイするには、次の手順に従います。

  • この演習で使用する Log Analytics ワークスペースがない場合は、次のように新しく作成します。
    • Microsoft Sentinel のメイン ページに移動し、 [+ 作成] を選択して、 [ワークスペースへの Microsoft Sentinel の追加] ページに移動します。
    • [新しいワークスペースの作成] を選択します。 手順に従って、新しいワークスペースを作成します。 少し待つと、ワークスペースが作成されます。
  • この時点で、先ほど作成したものと思われるワークスペースがあります。 次のステップに従い、このワークスペースに Microsoft Sentinel が追加されているかどうかを参照し、追加されていない場合は追加します。
    • Microsoft Sentinel のメイン ページに移動します。
    • 当該ワークスペースに Microsoft Sentinel が既に追加されている場合は、表示されるリストにそのワークスペースが示されます。 まだ追加されていない場合は、次のように追加します。
      • [+ 作成] を選択して、 [ワークスペースへの Microsoft Sentinel の追加] ページに移動します。
      • 表示されたリストからワークスペースを選択し、ページの下部にある [追加] を選択します。 少し待つと、ワークスペースに Microsoft Sentinel が追加されます。
  • 次のようにプレイブックを作成します。
    • Microsoft Sentinel のメイン ページに移動します。 ワークスペースを選択します。 左側のメニューから [Automation] を選択し、 [Automation] ページに移動します。 このページには 3 つのタブがあります。
    • [プレイブック テンプレート (プレビュー)] タブを選択します。
    • 検索フィールドに、「Microsoft Entra ユーザーのブロック - インシデント」と入力します。
    • プレイブックのリストで、 [Microsoft Entra ユーザーのブロック - インシデント] を選択し、右下隅にある [プレイブックの作成] を選択して [再生の作成] ページに移動します。
    • [プレイブックの作成] ページで、以下を実行します。
      • リストから [サブスクリプション][リソース グループ][リージョン] の値を選択します。
      • 表示される既定の名前を使用しない場合は、 [プレイブック名] に値を入力します。
      • 必要に応じて、 [Log Analytics で診断ログを有効にする] を選択してログを有効にします。
      • [統合サービス環境に関連付ける] チェック ボックスはオフのままにします。
      • [統合サービス環境] は空白のままにします。
    • [次へ: 接続] > を選択して、 [プレイブックの作成][接続] タブに移動します。
    • プレイブックのコンポーネント内で認証する方法を選択します。 次に関する認証が必要です。
      • Microsoft Entra ID
      • Microsoft Sentinel
      • Office 365 Outlook

      注意

      後で有効にする場合は、プレイブックのカスタマイズ中に、ロジック アプリのリソースの下で、リソースを認証できます。 この時点で上記のリソースを認証するには、Microsoft Entra ID でユーザーを更新するアクセス許可が必要で、そのユーザーが電子メールのメールボックスにアクセスできてメールを送信できなければなりません。

    • [次へ: 確認と作成] > を選択して、 [プレイブックの作成][確認と作成]タブに移動します。
    • [デザイナーを作成して続行] を選択して、プレイブックを作成し、 [ロジック アプリ デザイナー] ページにアクセスします。

ロジック アプリの構築の詳細については、「Azure Logic Apps とは」と「クイックスタート: ワークフロー定義を作成および管理する」を参照してください。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

その他の共同作成者:

次の手順