セキュリティ運用 (SecOps) を効果的かつ効率的に実行する上で最も重要な要素の 1 つは、 プロセスの標準化です。 SecOps アナリストは、インシデントのトリアージ、調査、または修復の過程で、ステップまたはタスクの一覧を実行することが期待されます。 タスクの一覧を標準化および形式化することで、SOC を円滑に実行し続け、すべてのアナリストに同じ要件が適用されるようにすることができます。 これにより、シフトに入っている人に関係なく、インシデントは常に同じ処理とサービスレベル契約を受けます。 アナリストは、何をすべきかを考えることや、重要なステップが見つからないことを心配する必要はありません。 これらの手順は、共通のセキュリティ知識 (NIST など)、過去のインシデントの経験、またはインシデントを検出したセキュリティ ベンダーによって提供された推奨事項に基づいて、SOC マネージャーまたは上級アナリスト (階層 2/3) によって定義されます。
活用事例
SOC アナリストは、1 つの中央チェックリストを使用して、インシデントトリアージ、調査、対応のプロセスを処理できます。重要な手順を見逃す心配はありません。
SOC エンジニアまたはシニア アナリストは、アナリストのチームとシフト全体でインシデント対応の基準を文書化、更新、調整できます。 また、新しい種類のインシデントに遭遇する新しいアナリストやアナリストをトレーニングするためのタスクのチェックリストを作成することもできます。
SOC マネージャーまたは MSSP として、インシデントが関連する SLA/SOP に従って処理されるようにすることができます。
[前提条件]
Microsoft Sentinel レスポンダー ロールは、自動化ルールを作成したり、インシデントを表示および編集したりするために必要です。これらはどちらも、タスクの追加、表示、編集に必要です。
プレイブックを作成および編集するには、 Logic Apps 共同作成者 ロールが必要です。
シナリオ
アナリスト
インシデントの処理時にタスクをフォローする
特定のインシデントと [完全な詳細を表示] を選択すると、インシデントの詳細ページの右側のパネルに、手動ルールか自動化ルールかを問わず、そのインシデントに追加されたすべてのタスクが表示されます。
タスクを展開し、その作成元になったユーザー、自動化ルール、プレイブックなどの完全な説明を表示します。
タスクを完了としてマークするには、その "チェックボックス" としての円を選択します。
タスクをその場でインシデントに追加する
作業中の未解決のインシデントにタスクを追加すると、実行する必要があることが分かっているアクションを自分に通知したり、タスク リストに表示されない独自のイニシアティブで実行したアクションを記録したりできます。 この方法で追加されたタスクは、未解決のインシデントにのみ適用されます。
ワークフロー作成者
オートメーション ルールを使用してインシデントにタスクを追加する
オートメーション ルール内で [タスクの追加] アクションを使用すると、すべてのインシデントにアナリスト用のタスクのチェックリストが自動的に提供されます。 オートメーション ルール内で Analytics ルール名の条件を設定し、スコープを決定します。
すべてのインシデントに適用するタスクの標準セットを定義するには、オートメーション ルールを "すべての分析ルール" に適用します。
オートメーション ルールを "限られた分析ルールのセット" に適用することで、分析ルールによって検出された脅威またはそれらのインシデントを生成したルールに従って、特定のインシデントに特定のタスクを割り当てることができます。
タスクがインシデント内に現れる順序は、そのタスクの作成時間によって決まることを考慮に入れてください。 すべてのインシデントに必要なタスクを追加するルールが最初に実行され、その後にのみ、特定の分析ルールによって生成されたインシデントに必要なタスクを追加するルールが実行されるように、オートメーション ルールの順序を設定できます。 1 つのルール内では、アクションが定義されている順序によって、インシデント内に出現する順序が制御されます。
新しいオートメーション ルールを作成する前に、既存のオートメーション ルールとタスクの対象となっているインシデントを確認します。
[オートメーション ルール] の一覧で [アクション] フィルターを使用して、インシデントにタスクを追加するルールのみを表示し、それらのオートメーション ルールが適用される分析ルールを確認して、それらのタスクが追加されるインシデントを把握します。
プレイブックを使用してインシデントにタスクを追加する
プレイブックの [タスクの追加] アクションを (Microsoft Sentinel コネクタ内で) 使用して、そのプレイブックをトリガーしたインシデントにタスクを自動的に追加します。
次に、それぞれの Logic Apps コネクタで他のプレイブック アクションを使用して、タスクの内容を完了します。
最後に、[タスクを完了としてマークする] アクションを (再度 Microsoft Sentinel コネクタ内で) 使用して、自動的にタスクを完了とマークします。
以下のシナリオを例にして考えます。
プレイブックによってタスクの追加と完了を行う: インシデントが作成されたときに、以下を行うプレイブックがトリガーされます。
- インシデントに、ユーザーのパスワードをリセットするタスクを追加します。
- ユーザーのパスワードをリセットするために、ユーザー プロビジョニング システムに API 呼び出しを発行することでタスクを実行します。
- リセットの成功または失敗に関するシステムからの応答を待機します。
- パスワードのリセットが成功した場合、インシデント内に作成されたばかりのタスクが、プレイブックによって完了とマークされます。
- パスワードのリセットが失敗した場合、タスクはプレイブックによって完了とマークされず、この処理の実行はアナリストに任されます。
プレイブックによって、条件付きタスクを追加する必要があるかどうかを評価する:インシデントが作成されたときに、外部の脅威インテリジェンス ソースからの IP アドレス レポートを要求するプレイブックがトリガーされます。
- 悪意のある IP アドレスである場合は、プレイブックによって特定のタスク ("この IP アドレスをブロック" など) が追加されます。
- それ以外の場合、それ以上のアクションはプレイブックによって実行されません。
タスクを追加するのに、オートメーション ルールを使用するか、プレイブックを使用するか
これらの方法のうち、どちらを使用してインシデント タスクを作成する必要があるを決定するのは、どのような考慮事項でしょうか。
- 自動化ルール: 可能な限り使用します。 対話機能を必要としない単純な静的タスクに使用します。
- プレイブック: 高度なユース ケース (条件に基づくタスクの作成、または統合された自動アクションを使用したタスクの作成) に使用します。
次のステップ
- アナリストが タスクを使用して Microsoft Sentinel のインシデント ワークフローを処理する方法について説明します。
- 詳細については、 Microsoft Sentinel でのインシデントの調査に関するページを参照してください。
- 自動化ルールまたはプレイブックを使用して、インシデントのグループにタスクを自動的に追加する方法について説明します。
- 自動化ルールとその作成方法の詳細について説明します。
- プレイブックの詳細と作成方法について説明します。