Microsoft Sentinel でのセキュリティ オーケストレーション、オートメーション、応答 (SOAR)

  • [アーティクル]

この記事では、Microsoft Sentinel のセキュリティ オーケストレーション、オートメーション、応答 (SOAR) の機能について説明します。また、セキュリティの脅威に応えて自動化ルールとプレイブックを使用することにより、SOC の有効性が向上し、時間とリソースを節約できることを示します。

SOAR ソリューションとしての Microsoft Sentinel

問題

通常、SIEM または SOC チームには、セキュリティ アラートやインシデントが日常的に押し寄せています。その量のあまりの多さに、対応するスタッフは圧倒されています。 この結果、多くのアラートが無視され、多くのインシデントが調査されず、気付かずに行われる攻撃に対して組織は脆弱な状態のままになっていることが非常によくあります。

解決策

Microsoft Sentinel は、セキュリティ情報およびイベント管理 (SIEM) システムに加えて、セキュリティ オーケストレーション、オートメーション、応答 (SOAR) のためのプラットフォームでもあります。 主な目的の 1 つは、セキュリティ オペレーション センターとスタッフ (SOC/SecOps) が担当する、定期的で予測可能な強化、応答、および修復のタスクを自動化することです。これにより、アップタイムやリソースが解放され、高度な脅威を詳細に調査したり検索したりできます。 Microsoft Sentinel におけるオートメーションは、インシデント処理と応答の自動化を一元的に管理するオートメーション ルールから、事前に定義された一連のアクションを実行して、脅威対応タスクに対し強力かつ柔軟な先進自動化を提供するプレイブックまで、いくつかの異なる形態を取ります。

オートメーション ルール

オートメーション ルールにより、ユーザーはインシデント処理の自動化を一元的に管理できます。 自動化ルールを使用すると、インシデントやアラートにもプレイブックを割り当てられるほか、一度に複数の分析ルールに対する応答を自動化したり、プレイブックを必要とせずにインシデントのタグ付け、割り当て、クローズを自動的に行ったり、インシデントのトリアージ、調査、修復時に実行する分析のためのタスク リストを作成したり、実行されるアクションの順序を制御したりできます。 自動化ルールを使用すると、インシデントが更新されたとき (現在プレビュー段階) のほか、作成時に自動化を適用することもできます。 この新機能により、Microsoft Sentinel での自動化の使用がさらに効率化され、インシデント オーケストレーション プロセスの複雑なワークフローを簡略化できます。

詳細については、「オートメーション ルールの詳細な説明」ページを参照してください。

プレイブック

プレイブックは、Microsoft Sentinel からルーチンとして実行できる応答と修復アクションやロジックのコレクションです。 プレイブックは、脅威への対応を自動化し、調整するのに役立ちます。これは、内外の他のシステムと統合でき、分析ルールまたは自動化ルールによってトリガーされたときに、それぞれ、特定のアラートやインシデントに対応して自動的に実行されるように設定できます。 また、インシデント ページから、アラートに応じて手動でオンデマンドで実行することもできます。

Microsoft Sentinel のプレイブックは、エンタープライズ全体のシステムでタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスである Azure Logic Apps で作成されたワークフローに基づいています。 つまり、プレイブックは、Logic Apps の統合とオーケストレーションの機能、使いやすいデザインツール、階層 1 の Azure サービスのスケーラビリティ、信頼性、サービス レベルのすべての機能とカスタマイズ性を活用できます。

詳細については、「プレイブックの詳細な説明」を参照してください。

次のステップ

このドキュメントでは、Microsoft Sentinel がオートメーションを使用して、SOC 運用の効果と効率を向上させる方法について学習しました。