セキュリティ操作を Microsoft Graph Security および Azure Logic Apps と統合することで脅威の防止能力を強化する
適用対象: Azure Logic Apps (従量課金)
Azure Logic Apps と Microsoft Graph Security コネクタを使用して、Microsoft のセキュリティ製品、サービス、およびパートナーを統合する自動化されたワークフローを作成することで、アプリによる脅威の検出、防止、および対応方法を強化できます。 たとえば、アラートなどの Microsoft Graph Security エンティティを監視して管理する Microsoft Defender for Cloud プレイブックを作成できます。 Microsoft Graph Security コネクタによってサポートされるいくつかのシナリオを以下に示します。
クエリまたはアラート ID に基づいてアラートを取得する。 たとえば、重大度が高いアラートを含む一覧を取得できます。
アラートを更新する。 たとえば、アラートの割り当ての更新、アラートへのコメントの追加、アラートのタグ付けを実行できます。
アラート サブスクリプション (Webhook) を作成することで、アラートの作成または変更を監視する。
アラート サブスクリプションを管理する。 たとえば、アクティブなサブスクリプションの取得、サブスクリプションの有効期限の延長、サブスクリプションの削除を実行できます。
ロジック アプリのワークフローでは、Microsoft Graph Security コネクタから応答を取得するアクションを使用して、その出力をワークフローの他のアクションで使用できるようにすることができます。 Microsoft Graph Security コネクタのアクションからの出力を、ワークフローの他のアクションで使用することもできます。 たとえば、Microsoft Graph Security コネクタを通して重大度が高いアラートを取得したら、これらのアラートを Outlook コネクタを使用して電子メール メッセージで送信できます。
Microsoft Graph Security の詳細については、「Microsoft Graph Security API の概要」を参照してください。 ロジック アプリを初めて使用する場合は、「Azure Logic Apps とは」を参照してください。 Power Automate または Power Apps について詳しい情報をお探しの場合は、Power Automate または Power Apps のサイトをご覧ください。
前提条件
Azure アカウントとサブスクリプション。 Azure サブスクリプションがない場合は、無料の Azure アカウントにサインアップしてください。
Microsoft Graph Security コネクタを使うには、Microsoft Entra テナント管理者の同意が "明示的に与えられている" 必要があります。これは、Microsoft Graph Security の認証要件の一部です。 この同意には、Microsoft Graph Security コネクタのアプリケーション ID と名前が必要です。これらは Azure portal でも見つけることができます。
プロパティ 値 アプリケーション名 MicrosoftGraphSecurityConnectorアプリケーション ID c4829704-0edc-4c3d-a347-7c4a67586f3cMicrosoft Entra テナント管理者は、次のいずれかの手順のようにして、コネクタに同意できます。
ロジック アプリの初回の実行時に、アプリケーションの同意エクスペリエンスを通して、Microsoft Entra テナント管理者の同意を要求できます。
ロジック アプリの作成方法に関する基本的な知識
Microsoft Graph Security のエンティティ (アラートなど) にアクセスするロジック アプリ。 Microsoft Graph Security トリガーを使用するには、空のロジック アプリが必要です。 Microsoft Graph Security アクションを使用するには、シナリオに適したトリガーによって開始されるロジック アプリが必要です。
Microsoft Graph Security に接続する
サービスまたはシステムに接続するトリガーまたはアクションを追加しており、既存またはアクティブな接続がない場合、Azure Logic Apps には、接続の種類によって異なる接続情報を提供するように求めるプロンプトが表示されます。次に例を示します。
- アカウントの資格情報
- 接続に使う名前
- サーバーまたはシステムの名前
- 使用する認証の種類
- 接続の文字列
Azure portal にサインインし、ロジック アプリ デザイナーでロジック アプリを開きます (まだ開いていない場合)。
空のロジック アプリでは、Microsoft Graph Security アクションを追加する前に、トリガーとその他の必要なアクションを追加します。
または
既存のロジック アプリでは、Microsoft Graph Security アクションを追加する最後のステップの下で、[新しいステップ] を選択します。
または
ステップの間にアクションを追加するには、ステップ間の矢印の上にポインターを移動します。 表示されるプラス記号 (+) を選択し、[アクションの追加] を選択します。
検索ボックスに、フィルターとして「microsoft graph security」と入力します。 アクションの一覧から、目的のアクションを選択します。
Microsoft Graph Security の資格情報でサインインします。
選択したアクションのために必要な詳細を指定し、ロジック アプリのワークフローの構築を続けます。
トリガーの追加
Azure Logic Apps では、すべてのロジック アプリは、必ずトリガーから起動されます。トリガーは、特定のイベントが起こるか特定の条件が満たされたときに発生します。 トリガーが発生するたびに、Logic Apps エンジンによってロジック アプリ インスタンスが作成され、アプリのワークフローが開始されます。
Note
トリガーが発生すると、すべての新しいアラートがトリガーによって処理されます。 アラートを受信しなかった場合、トリガーの実行はスキップされます。 次のトリガーのポーリングは、トリガーのプロパティで指定する繰り返し間隔に基づいて発生します。
この例では、新しいアラートがアプリに送信されたときに、ロジック アプリ ワークフローを開始する方法を示します。
Azure portal または Visual Studio で、ロジック アプリ デザイナーを開いて、空のロジック アプリを作成します。 この例では、Azure Portal を使用します。
デザイナーで、検索ボックスにフィルターとして「microsoft graph security」と入力します。 トリガーの一覧から、[On all new alerts] (すべての新しいアラート) トリガーを選びます
トリガーには、監視するアラートに関する情報を提供します。 その他のプロパティについては、[新しいパラメーターの追加] 一覧を開き、パラメーターを選択して、そのプロパティをトリガーに追加します。
| プロパティ | プロパティ (JSON) | 必須 | タイプ | 説明 |
|---|---|---|---|---|
| 間隔 | interval |
はい | Integer | ワークフローの実行間隔を、[頻度] に指定された単位に基づいて表す正の整数。 間隔の最小値と最大値は次のとおりです。 - month: 1 ~ 16 か月 たとえば間隔が 6 で、頻度が "月" である場合は、繰り返しは 6 か月ごとになります。 |
| 頻度 | frequency |
はい | String | 繰り返しの時間の単位。秒、分、時、日、週、月のいずれかになります。 |
| タイム ゾーン | timeZone |
いいえ | String | 開始時刻を指定したときに限り適用されます。このトリガーに UTC オフセットを指定することはできないためです。 適用するタイム ゾーンを選択してください。 |
| [開始時刻] | startTime |
いいえ | String | 開始日時を次の形式で指定します。 YYYY-MM-DDThh:mm:ss (タイム ゾーンを選択した場合) または YYYY-MM-DDThh:mm:ssZ (タイム ゾーンを選択しなかった場合) たとえば、2017 年 9 月 18 日午後 2:00 にする場合は、"2017-09-18T14:00:00" と指定し、太平洋標準時などのタイム ゾーンを選択します。 または、タイム ゾーンなしで「2017-09-18T14:00:00Z」と指定します。 注: この開始時刻には、最大で 49 年先の時刻を指定できます。また、UTC の日付と時刻の形式 (ただし、UTC オフセットを除く) で日付と時刻に関する ISO 8601 規格に従っている必要があります。 タイム ゾーンを選択しない場合は、末尾にスペースを入れず、アルファベットの "Z" を追加してください。 この "Z" は、同等の航海時間を表します。 単純なスケジュールでは、開始時刻と最初の実行時刻が一致するのに対して、複雑なスケジュールでは、トリガーが作動するのは開始時刻以降となります。 "開始日時の使用方法を具体的に教えてください" |
操作が完了したら、デザイナーのツールバーで、 [保存] を選択します。
トリガーの結果を使用して実行するタスクの 1 つまたは複数のアクションをロジック アプリに追加する操作に進みます。
アクションの追加
ここでは、Microsoft Graph Security コネクタで利用できるさまざまなアクションの使用についての詳細を説明します。
Manage alerts
フィルター処理、並べ替え、または最新の結果の取得を行うには、Microsoft Graph でサポートされている ODATA クエリ パラメーター "だけ" を指定します。 完全なベース URL または HTTP アクション (https://graph.microsoft.com/v1.0/security/alerts、GET 操作、PATCH 操作など) は "指定しないでください"。 重大度が高いアラートの一覧を取得する場合のアラートの取得アクションのパラメーターの例は次のとおりです。
Filter alerts value as Severity eq 'high'
このコネクタで使用できるクエリの詳細については、Microsoft Graph Security アラート リファレンス ドキュメントを参照してください。 このコネクタを使用して強化されたエクスペリエンスを構築するには、コネクタでサポートされているスキーマ プロパティのアラートの詳細を確認してください。
| アクション | 説明 |
|---|---|
| アラートの取得 | 1 つまたは複数のアラートのプロパティに基づいてフィルター処理されたアラートを取得します。例: Provider eq 'Azure Security Center' or 'Palo Alto Networks'。 |
| ID によるアラートの取得 | アラート ID に基づいて特定のアラートを取得します。 |
| アラートの更新 | アラート ID に基づいて特定のアラートを更新します。 必須のプロパティと編集可能なプロパティを要求に確実に渡すには、アラートの編集可能なプロパティを参照してください。 たとえば、アラートをセキュリティ分析に割り当てて調査できるようにするには、アラートの Assigned to プロパティを更新できます。 |
アラート サブスクリプションを管理する
Microsoft Graph では、"サブスクリプション" (Webhook) がサポートされています。 サブスクリプションを取得、更新、または削除するには、Microsoft Graph でサポートされている ODATA クエリ パラメーターを Microsoft Graph エンティティ コンストラクトに指定し、security/alerts と ODATA クエリを含めます。 ベース URL (https://graph.microsoft.com/v1.0 など) は "含めないでください"。 代わりに、次の例の形式を使用してください。
security/alerts?$filter=status eq 'NewAlert'
| アクション | 説明 |
|---|---|
| サブスクリプションの作成 | 変更について通知するサブスクリプションを作成します。 特定のアラートの種類用にこのサブスクリプションをフィルター処理できます。 たとえば、重大度が高いアラートについて通知するサブスクリプションを作成できます。 |
| アクティブなサブスクリプションを取得する | 有効期限が切れていないサブスクリプションを取得します。 |
| サブスクリプションの更新 | サブスクリプション ID を指定して、サブスクリプションを更新します。 たとえば、サブスクリプションを延長するには、サブスクリプションの expirationDateTime プロパティを更新できます。 |
| サブスクリプションの削除 | サブスクリプション ID を指定して、サブスクリプションを削除します。 |
脅威インテリジェンス インジケーターを管理する
フィルター処理、並べ替え、または最新の結果の取得を行うには、Microsoft Graph でサポートされている ODATA クエリ パラメーター "だけ" を指定します。 完全なベース URL または HTTP アクション (https://graph.microsoft.com/beta/security/tiIndicators、GET 操作、PATCH 操作など) は "指定しないでください"。 脅威の種類が DDoS であるインジケーターの一覧を取得する場合の脅威インテリジェンス インジケーターの取得アクションのパラメーターの具体例を次に示します。
Filter threat intelligence indicator value as threatType eq 'DDoS'
このコネクタで使用できるクエリの詳細については、Microsoft Graph セキュリティ脅威インテリジェンス インジケーター リファレンス ドキュメントの「オプションのクエリ パラメーター」を参照してください。 このコネクタを使用して強化されたエクスペリエンスを構築するには、コネクタでサポートされているスキーマ プロパティの脅威インテリジェンス インジケーターの詳細を確認してください。
| アクション | 説明 |
|---|---|
| 脅威インテリジェンス インジケーターを取得する | 1 つまたは複数の脅威インテリジェンス インジケーターのプロパティに基づいてフィルター処理された脅威インテリジェンス インジケーターを取得します。例: threatType eq 'MaliciousUrl' or 'DDoS' |
| 脅威インテリジェンス インジケーターを ID で取得する | 脅威インテリジェンス インジケーター ID に基づいて特定の脅威インテリジェンス インジケーターを取得します。 |
| 脅威インテリジェンス インジケーターを作成する | 脅威インテリジェンス インジケーター コレクションに投稿することで、新しい 脅威インテリジェンス インジケーターを作成します。 必須プロパティを要求に確実に渡すには、脅威インテリジェンス インジケーターを作成するための必須プロパティに関する記事を参照してください。 |
| 複数の脅威インテリジェンス インジケーターを送信する | 脅威インテリジェンス インジケーターのコレクションを投稿することで、複数の新しい脅威インテリジェンス インジケーターを作成します。 必須プロパティを要求に確実に渡すには、複数の脅威インテリジェンス インジケーターを送信するための必須プロパティに関する記事を参照してください。 |
| 脅威インテリジェンス インジケーターを更新する | 脅威インテリジェンス インジケーター ID に基づいて特定の脅威インテリジェンス インジケーターを更新します。 必須プロパティと編集可能なプロパティを要求に確実に渡すには、脅威インテリジェンス インジケーターの編集可能なプロパティに関する記事を参照してください。 たとえば、targetProduct セキュリティ ツール内でインジケーターが一致した場合に適用するアクションを更新するには、脅威インテリジェンス インジケーターの action プロパティを更新します。 |
| 複数の脅威インテリジェンス インジケーターを更新する | 複数の脅威インテリジェンス インジケーターを更新します。 必須プロパティを要求に確実に渡すには、複数の脅威インテリジェンス インジケーターを更新するための必須プロパティに関する記事を参照してください。 |
| 脅威インテリジェンス インジケーターを ID で削除する | 脅威インテリジェンス インジケーター ID に基づいて特定の脅威インテリジェンス インジケーターを削除します。 |
| 複数の脅威インテリジェンス インジケーターを ID で削除する | 複数の脅威インテリジェンス インジケーターを ID で削除します。 必須プロパティを要求に確実に渡すには、複数の脅威インテリジェンス インジケーターを ID で削除するための必須プロパティに関する記事を参照してください。 |
| 複数の脅威インテリジェンス インジケーターを外部 ID で削除する | 複数の脅威インテリジェンス インジケーターを外部 ID で削除します。 必須プロパティを要求に確実に渡すには、複数の脅威インテリジェンス インジケーターを外部 ID で削除するための必須プロパティに関する記事を参照してください。 |
コネクタのリファレンス
コネクタの OpenAPI (以前の Swagger) の説明に記載されているトリガー、アクション、および制限に関する技術的な詳細については、コネクタのリファレンス ページを参照してください。