Microsoft Sentinel プレイブックでサポートされるトリガーとアクション
この記事では、Logic Apps Microsoft Sentinel コネクタでサポートされるトリガーとアクションについて説明します。 Microsoft Sentinel プレイブックに記載されているトリガーとアクションを使用して、Microsoft Sentinel データを操作します。
重要
現在、この機能はプレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
前提条件
開始する前に、Microsoft Sentinel コネクタ コンポーネントを使用するために必要な次の Azure アクセス許可があることを確認します。
ロール | トリガーの使用 | 使用可能なアクションの取得 | インシデントの更新、 コメントを追加 |
---|---|---|---|
Microsoft Sentinel 閲覧者 | ✓ | ✓ | - |
Microsoft Sentinel レスポンダー/共同作成者 | ✓ | ✓ | ✓ |
詳細については、「Microsoft Sentinel のロールとアクセス許可」、および Microsoft Sentinel プレイブックを使用するための前提条件に関する記事を参照してください。
サポートされている Microsoft Sentinel トリガー
Microsoft Sentinel コネクタ、つまり Microsoft Sentinel プレイブックでは、次のトリガーがサポートされています。
Microsoft Sentinel インシデント。 ほとんどのインシデント自動化シナリオに推奨されます。
プレイブックは、エンティティとアラートの両方を含むインシデント オブジェクトを受け取ります。 このトリガーを使用すると、Microsoft Sentinel でインシデントが作成または更新されたときにトリガーできるオートメーション ルールにプレイブックをアタッチできるため、そのインシデントにすべてのオートメーション ルールの利点を適用できます。
Microsoft Sentinel アラート (プレビュー) アラートに対して手動で実行する必要があるプレイブックや、アラートに対してインシデントを生成しないスケジュールされた分析ルールに推奨されます。
- このトリガーを使用して、"Microsoft セキュリティ" 分析ルールによって生成されたアラートの応答を自動化することはできません。
- このトリガーを使用するプレイブックは、オートメーション ルールで呼び出すことはできません。
Microsoft Sentinel エンティティ。 調査または脅威ハンティングのコンテキストで、特定のエンティティに対して手動で実行する必要があるプレイブックに推奨されます。 このトリガーを使用するプレイブックは、オートメーション ルールで呼び出すことはできません。
これらのフローで使用されるスキーマは同一ではありません。 大抵のシナリオでは、Microsoft Sentinel インシデント トリガー フローを使用することをお勧めします。
インシデントの動的フィールド
Microsoft Sentinel インシデントから受信した Incident オブジェクトには、次の動的フィールドが含まれます。
フィールド名 | 説明 |
---|---|
インシデントのプロパティ | "インシデント: <フィールド名>" として表示されます |
警告 | 次のアラート プロパティの配列 ("アラート: <フィールド名>" として表示される) 各インシデントに複数のアラートを含めることができるため、アラート プロパティを選択すると、インシデントですべてのアラートに対応するように for each ループが自動的に生成されます。 |
エンティティ | すべてのアラートのエンティティの配列 |
ワークスペース情報フィールド | 以下を含む、インシデントが作成された Microsoft Sentinel ワークスペースに関する詳細 - サブスクリプション ID - ワークスペース名 - ワークスペース ID - リソース グループ名 |
サポートされている Microsoft Sentinel アクション
Microsoft Sentinel コネクタ、つまり Microsoft Sentinel プレイブックでは、次のアクションがサポートされています。
アクション | いつ使用するか |
---|---|
Alert - Get Incident | プレイブック内でアラート トリガーで始まります。 インシデントのプロパティ取得や、インシデントの更新、インシデントにコメントを追加のアクションで使用するインシデントの ARM IDを取得する場合に便利です。 |
インシデントの取得 | 外部ソースから、または Sentinel 以外のトリガーを使用してプレイブックをトリガーする場合。 インシデント ARM ID を使用して識別します。 インシデントのプロパティとコメントを取得します。 |
インシデントの更新 | インシデントのStatus変更 (インシデントを閉じるときなど)、Ownerの割り当て、タグの追加や削除、Severity、Title、Descriptionの変更などを行うことができます。 |
インシデントにコメントを追加 | 外部ソースから収集された情報でインシデントを強化するため。プレイブックがエンティティに対して行ったアクションを監査するため。インシデントの調査に有用な追加情報を提供するため。 |
エンティティ - <エンティティ型> の取得 | プレイブック作成時に認識される特定のエンティティ型 (IP、Account、Host、**URL、FileHash) で動作するプレイブックでは、それを解析して固有のフィールドで動作させることができる必要があります。 |
ヒント
アクションインシデントの更新とインシデントへのコメントの追加には、インシデント ARM ID が必要です。
Alert - Get Incidentアクションを使用して、事前にインシデント ARM ID を取得します。
サポートされているエンティティの種類
エンティティ の動的フィールドは JSON オブジェクトの配列で、それぞれがエンティティを表します。 各エンティティ型には、一意のプロパティに応じて、独自のスキーマがあります。
"エンティティ - <エンティティ型> の取得" アクションを使用すると、次のことを実行できます。
- 要求された型でエンティティの配列をフィルター処理します。
- この型の特定のフィールドを解析して、次のアクションで動的フィールドとして使用できるようにします。
入力はエンティティ動的フィールドです。
応答は特殊なプロパティが解析されたエンティティの配列であり、For each ループで直接使用できます。
現在サポートされているエンティティ型は、次のとおりです。
次の図は、エンティティに使用できるアクションの例を示しています。
その他のエンティティ型の場合は、Logic Apps の組み込みアクションを使用して同様の機能を実現できます。
フィルター配列を使用して要求された型でエンティティの配列をフィルター処理します。
Parse JSON を使用したアクションで動的フィールドとして使用できるように、この型の特定のフィールドを解析します。
関連するコンテンツ
詳細については、以下を参照してください: