Microsoft Sentinel のアラートトリガー プレイブックをオートメーション ルールに移行する
この記事では、アラート トリガーに基づいて構築された既存のプレイブックを、分析ルールによる呼び出しから、オートメーション ルールによる呼び出しに移行する方法 (とその理由) について説明します。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
移行する理由
(インシデントではなく) アラートに応答するプレイブックを既に作成および構築し、分析ルールにアタッチしている場合、このようなプレイブックをオートメーション ルールに移行することを強く推奨します。 そうすることで、次のような利点が得られます。
種類に関係なく、1 つのディスプレイからすべてのオートメーションを管理できます
(1 つのウィンドウ)。各分析ルールを個別に構成するのではなく、複数の分析ルールのプレイブックをトリガーできる 1 つのオートメーション ルールを定義します。
アラート プレイブックを実行する順序を定義します。
プレイブックを実行する有効期限を設定するシナリオをサポートします。
プレイブック自体はまったく変わらないということを理解することが重要です。 実行するために呼び出すメカニズムのみが変わります。
最後に、分析ルールからプレイブックを呼び出す機能は、2026 年 3 月以降に非推奨になる予定です。 それまでは、分析ルールから呼び出されるように定義済みのプレイブックは引き続き実行されますが、2023 年 6 月以降、分析ルールから呼び出されるプレイブックの一覧にプレイブックを追加することはできなくなります。 残される唯一の選択肢は、オートメーション ルールから呼び出すことです。
移行方法
1 つの分析ルールで使われているプレイブックを移行する場合は、「分析ルールからオートメーション ルールを作成する」の手順に従ってください。
複数の分析ルールで使われているプレイブックを移行する場合は、「Azure portal からオートメーション ルールを新規に作成する」の手順に従ってください。
分析ルールからオートメーション ルールを作成する
Azure portal の Microsoft Sentinel では、[構成]>[分析] ページを選択します。 Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[構成]>[分析] を選択します。
[アクティブな規則] で、プレイブックを実行するように既に構成されている分析ルールを見つけます。
[編集] を選択します。
[自動応答] タブを選びます。
この分析ルールから実行するように直接構成されたプレイブックは、[Alert automation (classic)] (アラートのオートメーション (クラシック)) の下にあります。 非推奨に関する警告に注意してください。
(画面上半分の) [オートメーション ルール] の下にある [+ 新規追加] を選択して、新しいオートメーション ルールを作成します。
[新しいオートメーション ルールの作成] パネルの [トリガー] の下にある [When alert is created] (アラートが作成されたとき) を選択します。
[アクション] では、使用できる唯一のアクションの種類である [プレイブックの実行] アクションが自動的に選ばれ、淡色表示されていることがわかります。下の行のドロップダウン リストで使用できる項目からプレイブックを選びます。
適用を選択します。 これで、オートメーション ルール グリッドに新しいルールが表示されます。
[Alert automation (classic)] (アラートのオートメーション (クラシック)) セクションからプレイブックを削除します。
分析ルールの [Review and update] (確認と更新) を行い、変更を保存します。
Automation ポータルから新しいオートメーション ルールを作成する
Azure portal の Microsoft Sentinel では、[構成]>[分析] ページを選択します。 Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[構成]>[分析] を選択します。
上部のメニュー バーから [作成] -> [オートメーション ルール] を選びます。
[新しいオートメーション ルールの作成] パネルの [トリガー] ドロップダウンで [When alert is created] (アラートが作成されたとき) を選択します。
[条件] で、特定のプレイブックまたはプレイブックのセットを実行する分析ルールを選びます。
[アクション] で、このルールから呼び出す各プレイブックについて、[+ アクションの追加] を選びます。 [プレイブックの実行] アクションが自動的に選ばれ、淡色表示されます。下の行にあるドロップダウン リストの使用できるプレイブックの一覧から選びます。 プレイブックを実行する順番に従ってアクションを並べ替えます。 各アクションの横にある上下の矢印を選択すると、アクションの順序を変更できます。
[適用] を選んでオートメーション ルールを保存します。
これらのプレイブックを呼び出した 1 つ以上の分析ルール ([条件] で指定したルール) を編集し、[自動応答] タブの [Alert automation (classic)] (アラートのオートメーション (クラシック)) セクションからプレイブックを削除します。
次のステップ
このドキュメントでは、アラート トリガーに基づくプレイブックを分析ルールからオートメーション ルールに移行する方法について学習しました。
- オートメーション ルールの詳細については、オートメーション ルールを使って Microsoft Sentinel での脅威への対応を自動化する方法に関する記事を参照してください。
- オートメーション ルールの作成については、Microsoft Sentinel オートメーション ルールを作成および使用して応答を管理する方法に関する記事を参照してください。
- 高度な自動化オプションの詳細については、「Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」を参照してください。
- オートメーション ルールとプレイブックを実装する方法については、プレイブックを使用して Microsoft Sentinel で脅威への対応を自動化する方法のチュートリアルに関するページをご覧ください。