クラウドトリガーに対する Microsoft Defender への応答を自動化する
すべてのセキュリティ プログラムには、インシデント対応のための複数のワークフローが含まれています。 これらのプロセスには、直接の利害関係者への通知、変更管理プロセスの開始、および特定の修復手順の適用が含まれます。 これらのプロシージャの手順をできるだけ多く自動化することがセキュリティの専門家によって推奨されています。 自動化によってオーバーヘッドが削減されます。 また、迅速かつ一貫した方法で、定義済みの要件に従ってプロセスの手順が実行されるようにすることで、セキュリティを向上させることもできます。
この記事では、Microsoft Defender for Cloud のワークフロー自動化機能について説明します。 この機能を使用すると、セキュリティ アラートや推奨事項、および規制コンプライアンスへの変更があったときに従量課金ロジック アプリをトリガーできます。 例えば、アラートが発生したときに、ユーザーに特定のユーザーを電子メールで送信することができます。 また、Azure Logic Apps を使用してロジック アプリを作成する方法についても説明します。
可用性
| 側面 | 詳細 |
|---|---|
| リリース状態: | 一般公開 (GA) |
| 価格: | Free |
| 必要なロールとアクセス許可: | リソース グループ上でのセキュリティ管理者ロールまたは所有者 ターゲット リソースに対する書き込みアクセス許可も必要になります Azure Logic Apps のワークフローを操作するには、次のロジック アプリのロール/アクセス許可も必要です。 - ロジック アプリのオペレーターのアクセス許可が必要。または、ロジック アプリの読み取り/トリガーのアクセス権 (このロールでは、ロジック アプリを作成したり編集したりすることはできません。既存のものを実行するだけです) - ロジック アプリの共同作成者のアクセス許可は、ロジック アプリの作成と変更に必要です ロジック アプリのコネクタを使用する場合は、それぞれのサービス (たとえば、Outlook/Teams/Slack のインスタンス) にサインインするためにその他の資格情報が必要になることがあります。 |
| クラウド: |  商用クラウド 各国 (Azure Government、Azure China 21Vianet) |
ロジック アプリを作成し、自動的に実行するタイミングを定義する
Defender for Cloud サイドバーで、 ワークフロー自動化 を選択します。
このページで、新しい自動化ルールの作成や、既存のものの有効化、無効化、または削除を実行できます。
新しいワークフローを定義するには、[ワークフロー自動化の追加] を選択します。 新しい自動化のオプション ウィンドウが開きます。
ここで、以下を入力できます。
自動化の名前と説明。
この自動ワークフローを開始するトリガー。 たとえば、"SQL" を含むセキュリティ警告が生成されたときにロジック アプリを実行することができます。
Note
たとえば、SQL データベースの脆弱性評価の結果を修復する必要があることを示す "サブの推奨事項" という推奨事項がトリガーに含まれている場合は、セキュリティに関する新しい結果が得られるたびにロジック アプリがトリガーされることはありません。親の推奨事項の状態が変更された場合のみトリガーされます。
トリガー条件が満たされたときに実行される従量課金ロジック アプリ。
アクション セクションで ロジックアプリにアクセス を選択して、ロジックアプリの作成プロセスを開始します。
![[Logic Apps ページにアクセスします] の画面上の場所を示すスクリーンショット。[ワークフロー自動化の追加] 画面の [アクション] セクション内で、これを選択する必要があります。](media/workflow-automation/visit-logic.png)
Azure Logic Apps が表示されます。
[(+) 追加] を選択します。
![[ロジック アプリの作成] 画面のスクリーンショット。](media/workflow-automation/logic-apps-create-new.png)
すべての必須フィールドに入力し、[確認と作成] を選択します。
「 展開が進行 中です」というメッセージが表示されます。 デプロイの完了通知が表示されるまで待ってから、「通知から リソースへのアクセス 」 を選択します。
入力した情報を確認し、[作成] を選択します。
新しいロジック アプリでは、セキュリティ カテゴリの組み込みの定義済みテンプレートから選択できます。 または、このプロセスがトリガーされたときに発生するイベントのカスタム フローを定義することもできます。
ヒント
ロジック アプリでは、パラメーターは、独自のフィールドではなく、文字列の一部としてコネクタに含まれることがあります。 パラメーターを抽出する方法の例については、「 クラウドワークフロー用に Microsoft Defender を構築する自動化」の「ロジックアプリのパラメーターの使用」の手順 #14 を参照してください。
ロジック アプリ デザイナーでは、次の Defender for Cloud トリガーがサポートされています。
Microsoft Defender For Cloud の推奨事項が作成またはトリガーされたとき:ロジックアプリが非推奨または置換された推奨事項に依存している場合は、自動化が動作を停止し、トリガーを更新する必要があります。 推奨事項の変更を追跡するには、 リリースノートを使用します。
クラウドの Defender アラートが作成またはトリガーされたとき に、対象となる重大度レベルのアラートのみに関連するようにトリガーをカスタマイズできます。
クラウドの規制遵守評価のための Defender が作成またはトリガーされたとき:規制遵守評価の更新に基づいて自動化をトリガーします。
Note
従来のトリガー [Microsoft Defender for Cloud アラートへの応答がトリガーされたとき] を使用している場合は、ロジック アプリがワークフローの自動化機能によって起動されません。 代わりに、前述のいずれかのトリガーを使用してください。
ロジック アプリを定義したら、ワークフローの自動化の定義ウィンドウに戻ります ([ワークフロー自動化の追加])。 [最新の情報に更新] を選択すると、新しいロジック アプリを選択できるようになります。
![[更新]。](media/workflow-automation/refresh-the-list-of-logic-apps.png)
ロジック アプリを選択し、自動化を保存します。 ロジック アプリのドロップダウンには、前述の Defender for Cloud サポート コネクタを含むロジック アプリのみが表示されます。
![[ロジック アプリの作成] 画面のスクリーンショット。](media/workflow-automation/logic-apps-create-new.png#lightbox)
ロジック アプリを手動でトリガーする
セキュリティのアラートまたは推奨事項を表示しているときに、ロジック アプリを手動で実行することもできます。
ロジック アプリを手動で実行するには、アラートまたは推奨事項を開き、[ロジック アプリのトリガー] を選択します。
提供されているポリシーを使用してワークフローの自動化を大規模に構成する
組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を大幅に短縮できます。
組織全体に自動化の構成をデプロイするには、後述の提供されている Azure Policy の "DeployIfNotExist" ポリシーを使用して、ワークフローの自動化手順を作成して構成します。
ワークフローの自動化テンプレートを使用して開始するには、こちらを参照してください。
これらのポリシーを実装するには、次の手順に従います。
次の表から、適用するポリシーを選択します。
目標 ポリシー ポリシー ID セキュリティ アラートのワークフローの自動化 クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する f1525828-9a90-4fcf-be48-268cdd02361e セキュリティに関する推奨事項のワークフローの自動化 クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ 73d6ab6c-2475-4850-afd6-43795f3492ef 規制コンプライアンスの変化に関するワークフローの自動化 クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する 509122b9-ddd9-47ba-a5f1-d0dac20be63c Note
3 つのワークフロー自動化ポリシーは、最近ブランド変更されました。 残念ながら、この変更には避けられない破壊的変更が伴いました。 この破壊的変更を軽減する方法については、「破壊的変更を軽減する」を参照してください。
ヒント
これらは、Azure Policy を検索して見つけることもできます。
- Azure Policy を開きます。
- Azure Policy のメニューから [定義] を選択し、名前で検索します。
- Azure Policy を開きます。
関連する Azure Policy ページで、 [割り当てる] を選択します。
各タブを開き、必要に応じてパラメーターを設定します。
- [基本] タブで、ポリシーのスコープを設定します。 集中管理を使用するには、ワークフローの自動化の構成を使用するサブスクリプションが含まれている管理グループにポリシーを割り当てます。
- [パラメーター] タブで、必要な情報を入力します。
![[パラメーター] タブのスクリーンショット。](media/workflow-automation/parameters-tab.png)
- (オプション) [修復] タブで、この割り当てを既存のサブスクリプションに適用し、修復タスクを作成するためのオプションを選択します。
概要ページを確認し、 [作成] を選択します。
データ型のスキーマ
ロジック アプリ インスタンスに渡されたセキュリティアラートまたはおすすめ候補イベントの未加工イベントスキーマを表示するには、ワークフロー オートメーション データ型スキーマ を参照してください。 これは、上記の Defender for Cloud の組み込みロジックアプリ コネクタを使用せず、ロジックアプリの汎用 HTTP コネクタを使用している場合に便利です。イベントの JSON スキーマを使用して、必要に応じて手動で解析できます。
FAQ - ワークフロー自動化
ワークフローの自動化では、ビジネス継続性またはディザスター リカバリー (BCDR) のシナリオはサポートされていますか。
ターゲット リソースに停止やその他の障害が発生する BCDR シナリオに対して環境を準備する場合は、Azure Event Hubs、Log Analytics ワークスペース、ロジック アプリのガイドラインに従ってバックアップを確立することで、データの損失を防ぐ必要があります。
アクティブな自動化ごとに、同じ (無効な) 自動化を作成し、別の場所に保存することをお勧めします。 障害が発生した場合は、これらのバックアップの自動化を有効にし、通常の操作を継続することができます。
詳細については、「Azure Logic Apps の事業継続とディザスター リカバリー」を参照してください。
破壊的変更を軽減する
最近、次の推奨事項のブランドを変更しました。
- クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する
- クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ
- クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する
残念ながら、この変更には避けられない破壊的変更が伴いました。 この破壊的変更により、組み込みコネクタを使用していた以前のワークフロー自動化ポリシーがすべて非準拠になります。
この問題を軽減するには:
ポリシーに接続されているロジック アプリに移動します。
[ロジック アプリ デザイナー] を選びます。
3 つのドット>[名前の変更] を選びます。
Defender for Cloud コネクタの名前を次のように変更します。
元の名前 新しい名前 クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する Microsoft Defender for Cloud dAlert が作成またはトリガーされたとき 1 クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ Microsoft Defender for Cloud の推奨事項が作成またはトリガーされたとき クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する Microsoft Defender for Cloud 規制コンプライアンス評価が作成またはトリガーされたとき
次のステップ
この記事では、ロジックアプリの作成、クラウドの Defender での実行の自動化、および手動での実行について説明しました。 詳しくは、次のドキュメントをご覧ください。