Share via

チュートリアル: インシデント内の IP アドレス評価情報を自動的に確認して記録する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

インシデントの重大度をすばやく簡単に評価する方法の 1 つは、その中に悪意のあるアクティビティの原因として知られている IP アドレスがあるかどうかを確認することです。 これを自動的に行う方法があると、多くの時間と労力を節約できます。

このチュートリアルでは、Microsoft Sentinel の自動化ルールとプレイブックを使用して、インシデント内の IP アドレスを脅威インテリジェンス ソースと照合して自動的にチェックし、それぞれの結果を関連するインシデントに記録する方法について学習します。

このチュートリアルを終えると、次のことができるようになります。

  • テンプレートからプレイブックを作成する
  • プレイブックの他のリソースへの接続を構成して承認する
  • プレイブックを呼び出すオートメーション ルールを作成する
  • 自動化されたプロセスの結果を確認する

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

このチュートリアルを完了するには、以下のものが必要です。

  • Azure サブスクリプション。 まだない場合は、無料のアカウントを作成してください。

  • Microsoft Sentinel ソリューションがデプロイされ、データが取り込まれる Log Analytics ワークスペース。

  • 次のリソースに次のロールが割り当てられている Azure ユーザー。

  • このチュートリアルでは、(無料の) VirusTotal アカウントで十分です。 運用環境の実装には、VirusTotal Premium アカウントが必要です。

テンプレートからプレイブックを作成する

Microsoft Sentinel には、既製のすぐに使用できるプレイブック テンプレートが含まれています。これをカスタマイズして使用して、多数の基本的な SecOps の目標とシナリオを自動化できます。 インシデントの IP アドレス情報をエンリッチするものを見つけましょう。

  1. Azure portal の Microsoft Sentinel の場合、[構成]>[自動化] ページを選びます。 Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[構成]>[自動化] を選びます。

  2. [オートメーション] ページで、[プレイブック テンプレート (プレビュー)] タブを選択します。

  3. タグでテンプレートの一覧をフィルター処理します。

    1. 一覧の上部 ([検索] フィールドの右側) にある [タグ] フィルター トグルを選択します。

    2. [すべて選択] チェック ボックスをオフにし、[エンリッチメント] チェック ボックスをオンにします。 [OK] を選択します。

    次に例を示します。

    タグでフィルター処理するプレイブック テンプレートの一覧のスクリーンショット。

  4. [IP エンリッチメント - Virus Total レポート] テンプレートを選択し、詳細ペインの [プレイブックの作成] を選択します。

    プレイブックの作成元となるプレイブック テンプレートを選択しているスクリーンショット。

  5. [プレイブックの作成] ウィザードが開きます。 [基本] タブを次のように設定します。

    1. [サブスクリプション][リソース グループ][リージョン] をそれぞれのドロップダウンから選択します。

    2. プレイブック名を編集して、候補の名前 "Get-VirusTotalIPReport" の末尾に追加します。 (この方法により、このプレイブックの元のテンプレートが明確でありつつ、同じテンプレートから別のプレイブックを作成しても一意の名前を持たせることができます)。"Get-VirusTotalIPReport-Tutorial-1" という名前を付けましょう。

    3. このケースでは、最後の 2 つのサービスは必要ないため、これらのチェック ボックスはオフのままにしておきましょう。

      • Log Analytics で診断ログを有効にする
      • 統合サービス環境に関連付ける

      プレイブック作成ウィザードの [基本] タブのスクリーンショット。

    4. [次へ: 接続 >] を選択します。

  6. [接続] タブには、このプレイブックが他のサービスに対して行う必要があるすべての接続と、同じリソース グループ内の既存のロジック アプリ ワークフローで接続が既に行われている場合に使用される認証方法が表示されます。

    1. Microsoft Sentinel 接続はそのままにします ("マネージド ID で接続する" と表示されています)。

    2. 接続に "新しい接続が構成されます" と表示される場合は、チュートリアルの次のステージでこれを行うよう求められます。 または、これらのリソースへの接続が既にある場合は、接続の左側にある展開矢印を選択し、展開された一覧から既存の接続を選択します。 この演習では、そのままにします。

      プレイブック作成ウィザードの [接続] タブのスクリーンショット。

    3. [次へ: 確認と作成 >] を選択します。

  7. [確認と作成] タブで、ここに表示されている入力したすべての情報を確認し、[デザイナーを作成して続行] を選択します。

    プレイブック作成ウィザードの [確認と作成] タブのスクリーンショット。

    プレイブックがデプロイされると、その進行状況に関する一連の簡単な通知が表示されます。 次に、ロジック アプリ デザイナーが開き、プレイブックが表示されます。 プレイブックを実行できるように、操作するリソースへのロジック アプリの接続を承認する必要があります。 次に、プレイブック内の各アクションを見直して、環境に適していることを確認し、必要に応じて変更を加えます。

    ロジック アプリ デザイナー ウィンドウで開いているプレイブックのスクリーンショット。

ロジック アプリの接続を承認する

テンプレートからプレイブックを作成したときに、Azure Log Analytics データ コレクターと Virus Total との接続が後で構成されると通知されたことを思い出してください。

プレイブック作成ウィザードのレビュー情報のスクリーンショット。

ここでそれを行います。

Virus Total の接続を承認する

  1. [それぞれ] アクションを選択して展開し、その内容 (各 IP アドレスに対して実行されるアクション) を確認します。

    ロジック アプリ デザイナーの for-each ループ ステートメント アクションのスクリーンショット。

  2. 表示される最初のアクション項目には [接続] というラベルが付いていて、オレンジ色の警告三角形があります。

    (代わりに、その最初のアクションに [Get an IP report (Preview)] (IP レポートの取得 (プレビュー)) というラベルが付いている場合は、Virus Total への既存の接続が既にあり、次の手順に進むことができることを示します)。

    1. [接続] アクションを選択して開きます。

    2. 表示されている接続の [無効] 列のアイコンを選択します。

      無効な Virus Total 接続構成のスクリーンショット。

      接続情報の入力を求められます。

      Virus Total に API キーとその他の接続の詳細を入力する方法を示すスクリーンショット。

    3. [接続名] に「Virus Total」と入力します。

    4. x-api_key の場合は、Virus Total アカウントから API キーをコピーして貼り付けます。

    5. [更新] を選択します。

    6. これで、[Get an IP report (Preview)] (IP レポートの取得 (プレビュー)) アクションが正しく表示されます。 (既に Virus Total アカウントを持っている場合は、既にこの段階になっています)。

      スクリーンショットは、IP アドレスを Virus Total に送信して、それに関するレポートを受信するアクションを示しています。

Log Analytics 接続を承認する

次のアクションは、IP アドレス レポートの結果に基づいて、for-each ループのアクションの残りの部分を決定する条件です。 レポート内の IP アドレスに与えられた評価スコアが分析されます。 0 より大きいスコアは、アドレスが無害であることを示します。スコアが 0 未満の場合は、悪意があることを示します。

ロジック アプリ デザイナーの条件アクションのスクリーンショット。

条件が true か false かに関係なく、クエリと分析を行うことができるようにし、インシデントにコメントを追加するために、Log Analytics のテーブルにレポート内のデータを送信します。

ただし、後でわかりますが、承認する必要がある無効な接続が多く存在します。

定義された条件の true と false のシナリオを示すスクリーンショット。

  1. [True] フレームで [接続] アクションを選択します。

  2. 表示されている接続の [無効] 列のアイコンを選択します。

    無効な Log Analytics 接続構成のスクリーンショット。

    接続情報の入力を求められます。

    Log Analytics のワークスペース ID とキーとその他の接続の詳細を入力する方法を示すスクリーンショット。

  3. [接続名] に「Log Analytics」と入力します。

  4. [ワークスペース キー][ワークスペース ID] に、Log Analytics ワークスペースの設定からキーと ID をコピーして貼り付けます。 これらは、[Log Analytics agent instructions] (Log Analytics エージェントの手順) 展開コントロール内の [エージェント管理] ページにあります。

  5. [更新] を選択します。

  6. これで、[データを送信する] アクションが正しく表示されるようになります。 (ロジック アプリから Log Analytics への接続が既にある場合は、既にこの段階です)。

    Log Analytics のテーブルに Virus Total レポート レコードを送信するアクションを示すスクリーンショット。

  7. ここで、[False] フレームで [接続] アクションを選択します。 このアクションでは、True フレーム内の接続と同じものが使用されます。

  8. Log Analytics という名前の接続にマークが付けられていることを確認し、[キャンセル] を選択します。 これにより、アクションがプレイブックに正しく表示されるようになります。

    2 番めの無効な Log Analytics 接続構成のスクリーンショット。

    これで、適切に構成されたプレイブック全体が表示されます。

  9. とても重要です! [ロジック アプリ デザイナー] ウィンドウの上部にある [保存] を選択することを忘れないでください。 プレイブックが正常に保存されたことを示す通知メッセージが表示されたら、[オートメーション] ページの [アクティブなプレイブック]* タブにプレイブックが表示されます。

オートメーション ルールを作成する

ここで、このプレイブックを実際に実行するには、インシデントの作成時に実行されるオートメーション ルールを作成し、プレイブックを呼び出す必要があります。

  1. [オートメーション] ページで、上部のバナーから [+ 作成] を選択します。 ドロップダウン メニューから、[オートメーション ルール] を選択します。

    [オートメーション] ページからオートメーション ルールを作成するスクリーンショット。

  2. [新しいオートメーション ルールの作成] パネルで、ルールに「Tutorial: Enrich IP info」という名前を付けます。

    オートメーション ルールを作成し、それに名前を付け、条件を追加するスクリーンショット。

  3. [条件] で、[+ 追加][条件 (And)] を選択します。

    オートメーション ルールに条件を追加するスクリーンショット。

  4. 左側のプロパティ ドロップダウンから [IP アドレス] を選択します。 演算子ドロップダウンから [含む] を選択し、値フィールドを空白のままにします。 つまり、実質的には、含まれているものが何であっても IP アドレス フィールドを持つインシデントにルールが適用されます。

    このオートメーションの対象になる分析ルールを停止する意図はありませんが、オートメーションを不必要にトリガーしないようにするため、対象範囲を IP アドレス エンティティを含むインシデントに制限します。

    オートメーション ルールに追加する条件を定義するスクリーンショット。

  5. [アクション] で、ドロップダウンから [プレイブックの実行] を選択します。

  6. 表示される新しいドロップダウンを選択します。

    プレイブックの一覧からプレイブックを選択する方法を示すスクリーンショット - パート 1。

    サブスクリプション内のすべてのプレイブックの一覧が表示されます。 淡色で表示されているのは、アクセスできないものです。 [プレイブックを検索してください] テキスト ボックスで、上で作成したプレイブックの名前 (または名前の任意の部分) の入力を開始します。 プレイブックの一覧は、入力した文字ごとに動的にフィルター処理されます。

    プレイブックの一覧からプレイブックを選択する方法を示すスクリーンショット - パート 2。

    プレイブックが一覧に表示されたら、それを選択します。

    プレイブックの一覧からプレイブックを選択する方法を示すスクリーンショット - パート 3。

    プレイブックが淡色表示されている場合は、[プレイブックのアクセス許可を管理] リンクを選択します (プレイブックを選択した下の細則段落にあります。上のスクリーンショットを参照してください)。 開いたパネルで、使用可能なリソース グループの一覧からプレイブックを含むリソース グループを選択し、[適用] を選択します。

  7. [+ アクションの追加] をもう一度選択します。 ここで、表示される新しいアクションドロップダウンから、[タグを追加します] を選択します。

  8. [+ タグの追加] を選択します。 タグ テキストとして「Tutorial-Enriched IP addresses」と入力し、[OK] を選択します。

    オートメーション ルールにタグを追加する方法を示すスクリーンショット。

  9. 残りの設定はそのままにして、[適用] を選択します。

オートメーションが正常に実行されたことを確認する

  1. [インシデント] ページで、[検索] バーにタグ テキスト「Tutorial-Enriched IP addresses」を入力し、Enter キーを押して、そのタグが適用されたインシデントの一覧をフィルター処理します。 これらは、オートメーション ルールが実行されたインシデントです。

  2. これらのインシデントの 1 つ以上を開き、そこに IP アドレスに関するコメントがあるかどうかを確認します。 これらのコメントが存在することは、プレイブックがインシデントに対して実行されたことを示しています。

リソースをクリーンアップする

このオートメーション シナリオの使用を継続しない場合は、次の手順を使用して、作成したプレイブックとオートメーション ルールを削除します。

  1. [オートメーション] ページで、[アクティブなプレイブック] タブを選択します。

  2. [検索] バーに、作成したプレイブックの名前 (または名前の一部) を入力します。
    (表示されない場合は、すべてのフィルターが [すべて選択] に設定されていることを確認します)。

  3. 一覧でプレイブックの横にあるチェック ボックスをオンにし、上部のバナーから [削除] を選択します。
    (削除しない場合は、代わりに [無効にする] を選択できます)。

  4. [オートメーション ルール] タブを選択します。

  5. [検索] バーに、作成したオートメーション ルールの名前 (または名前の一部) を入力します。
    (表示されない場合は、すべてのフィルターが [すべて選択] に設定されていることを確認します)。

  6. 一覧でオートメーション ルールの横にあるチェック ボックスをオンにし、上部のバナーから [削除] を選択します。
    (削除しない場合は、代わりに [無効にする] を選択できます)。

次のステップ

基本的なインシデント エンリッチメント シナリオを自動化する方法を学習したので、オートメーションと、それを使用できるその他のシナリオについて学習してください。