プレイブックを使用してMicrosoft Sentinel でインシデント タスクを作成して実行する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

この記事では、プレイブックを使用してインシデント タスクを作成 (および必要に応じて実行) し、Microsoft Sentinel で複雑なアナリスト ワークフロー プロセスを管理する方法について説明します。

インシデント タスク は、プレイブックだけでなく、オートメーション ルールによっても自動的に作成でき、さらにインシデント内から手動でアドホックに作成することもできます。

さまざまなロールのユース ケース

この記事では、SOC マネージャー、上級アナリスト、オートメーション エンジニアに適用される次のシナリオについて説明します。

• プレイブックを使用してタスクを追加して実行する
• プレイブックを使用してタスクを条件付きで追加する

この対象ユーザーのその他のシナリオは、次の付属の記事で説明しています。

• インシデント タスク アクションを使用してオートメーション ルールを表示する
• オートメーション ルールを使用してインシデントにタスクを追加する

次のリンクにある別の記事では、SOC アナリストにより適用されるシナリオについて説明しています。

• インシデント タスクの表示とフォロー
• インシデントにアドホック タスクを手動で追加する

前提条件

インシデントを表示および編集するには、Microsoft Sentinel レスポンダー ロールが必要で、それはタスクの追加、表示、編集に必要です。

プレイブックを作成および編集するには、Logic Apps 共同作成者ロールが必要です。

プレイブックを使用してインシデントにタスクを追加する

プレイブック (Microsoft Sentinel コネクタ内) の [タスクの追加] アクションを使用して、プレイブックをトリガーしたインシデントにタスクを自動的に追加します。

インシデント トリガーに基づいてプレイブックを作成するには、次の手順に従います。 (Standard ワークフローまたは従量課金ワークフローのいずれかを使用できます。)

プレイブックを使用してタスクを生成するには、次の 2 つの方法があります。

プレイブックを使用してタスクを追加して実行する

この例では、侵害されたユーザーのパスワードをリセットするために、タスクをインシデントに追加するプレイブック アクションを追加し、Microsoft Entra Protection (AADIP) にシグナルを送信して実際にパスワードをリセットする別のプレイブック アクションを追加します。 次に、インシデントのタスクを完了としてマークする最終プレイブック アクションを追加します。

これらのアクションを追加して構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを追加します。
   [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。 [タイトル] として「ユーザー パスワードのリセット」と入力します。 必要に応じて説明を追加します。

   

2. [エンティティ - アカウントの取得 (プレビュー)] アクションを追加します。
   (Microsoft Sentinel インシデント スキーマから) [エンティティ] 動的コンテンツ項目を [エンティティ リスト] フィールドに追加します。

   

3. [コントロール] アクション ライブラリから [For each] ループを追加します。
   [エンティティ - アカウントの取得] 出力から [アカウント] 動的コンテンツ 項目を [以前の手順から出力を選択] フィールドに追加します。

   

4. For each ループ内で、[アクションの追加] を選択します。
   Microsoft Entra ID Protection コネクタを検索して選択し、[リスクのあるユーザーを侵害されたものとして確認する (プレビュー)] アクションを選択します。
   [アカウント Microsoft Entra ユーザー ID] 動的コンテンツ項目を [userIds 項目 - 1] フィールドに追加します。

   Note

   このフィールド (アカウント Microsoft Entra ユーザー ID) は、AADIP でユーザーを識別する 1 つの方法です。 必ずしもすべてのシナリオで最適な方法であるとは限りませんが、単なる例としてここに示しています。 サポートについては、侵害されたユーザーを処理する他のプレイブック、または Microsoft Entra ID Protection のドキュメントを参照してください。

   このアクションでは、ユーザーのパスワードをリセットする Microsoft Entra ID Protection 内のインモーション プロセスを設定します。

   

5. Microsoft Sentinel コネクタから [タスクを完了としてマーク] アクションを追加します。
   [インシデント タスク ID] 動的コンテンツ項目を [タスク ARM ID] フィールドに追加します。

   

プレイブックを使用してタスクを条件付きで追加する

この例では、インシデントに表示される IP アドレスを調査するプレイブック アクションを追加します。 この調査の結果、悪意のある IP アドレスの場合、プレイブックによって、アナリストがその IP アドレスを使用するユーザーを無効にするタスクが作成されます。 IP アドレスが既知の悪意のあるアドレスでない場合、プレイブックによって、アナリストがユーザーに連絡してアクティビティを確認する別のタスクが作成されます。

1. Microsoft Sentinel コネクタから、[エンティティ - IP の取得] アクションを追加します。
   (Microsoft Sentinel インシデント スキーマから) [エンティティ] 動的コンテンツ項目を [エンティティ リスト] フィールドに追加します。

   

2. [コントロール] アクション ライブラリから [For each] ループを追加します。
   [エンティティ - IP の取得] 出力から [IP] 動的コンテンツ 項目を [以前の手順から出力を選択] フィールドに追加します。

   

3. For each ループ内で、[アクションの追加] を選択します。
   [ウイルスの合計] コネクタを検索して選択し、[IP レポートの取得 (プレビュー)] アクションを選択します。
   [エンティティ - IP の取得] 出力から [IP アドレス] 動的コンテンツ 項目を [IP アドレス] フィールドに追加します。

   

4. For each ループ内で、[アクションの追加] を選択します。
   [コントロール] アクション ライブラリから [条件] を追加します。
   [IP レポートの取得] 出力から [悪意のある最後の分析統計] の動的コンテンツ項目を追加し ([詳細の表示] を選択して検索する必要がある場合があります)、[が次の値より大きい] 演算子を選択して、値として「0」と入力します。 この条件では、"ウイルス合計 IP レポートに結果はありましたか?" という質問が尋ねられます。

   

5. [True] オプション内で、[アクションの追加] を選択します。
   Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを選択します。
   [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。
   [タイトル] として「ユーザーを侵害されているとしてマークする」と入力します。 必要に応じて説明を追加します。

   

6. [False] オプション内で、[アクションの追加] を選択します。
   Microsoft Sentinel コネクタから、[インシデントへのタスクの追加] アクションを選択します。
   [インシデント ARM ID] フィールドの [インシデント ARM ID] 動的コンテンツ項目を選択します。
   [タイトル] として「ユーザーに連絡してアクティビティを確認する」と入力します。 必要に応じて説明を追加します。

   

次のステップ

• インシデント タスクの詳細を確認する。
• インシデントの調査方法を確認する。
• オートメーション ルールを使用して、インシデントのグループに自動的にタスクを追加する方法を確認する。
• タスクを使用して、Microsoft Sentinel でインシデント ワークフローを処理する方法を確認する。
• プレイブックについて、それらの作成方法、特にアクションの操作についての詳細を確認する。