コンテンツ テンプレートから Microsoft Sentinel プレイブックを作成してカスタマイズする
プレイブック テンプレートは、事前に構築されてテストされた、すぐに使用できるワークフローであり、ニーズに合わせてカスタマイズできます。 テンプレートは、プレイブックをゼロから開発するときのベスト プラクティスのリファレンスとして、または新しい自動化シナリオのためのインスピレーションを得るためにも、役に立つ場合があります。
プレイブック テンプレートは、それからプレイブック (テンプレートの編集可能なコピー) を作成するまでは、アクティブなプレイブック自体ではありません。
世界中のセキュリティ運用センターで使用される一般的な自動化シナリオに基づいて、Microsoft Sentinel コミュニティ、独立系ソフトウェア ベンダー (ISV)、Microsoft 独自の専門家によって、多くのプレイブック テンプレートが開発されています。
プレイブック テンプレートを次のソースから取得します。
[オートメーション] ページの [プレイブック テンプレート] タブには、インストール済みのプレイブック テンプレートが一覧表示されます。 同じテンプレートから複数のアクティブなプレイブックを作成できます。
新しいバージョンのテンプレートが発行されると、そのテンプレートから作成されたアクティブなプレイブックが、更新プログラムが利用できる [Active playbooks](アクティブなプレイブック) タブに表示されます。
プレイブック テンプレートは、Microsoft Sentinel のコンテンツ ハブからインストールする製品ソリューションまたはスタンドアロン コンテンツの一部として使用できます。 詳細については、Microsoft Sentinel のコンテンツとソリューションに関する記事および「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。
Microsoft Sentinel GitHub リポジトリには、多くのプレイブック テンプレートが含まれています。 [Azure に配置する] ボタンを選択することで、Azure サブスクリプションにデプロイできます。
技術的には、プレイブック テンプレートは、いくつかのリソース (Azure Logic Apps ワークフローや、関連する各接続の API 接続など) で構成される Azure Resource Manager (ARM) テンプレートです。
この記事では、 [オートメーション] の [プレイブック テンプレート] タブからプレイブック テンプレートをデプロイする方法について説明します。
この記事は、次の方法を理解するのに役立ちます。
- 既製のプレイブック テンプレートを探す
- プレイブック テンプレートをデプロイする
重要
プレイブック テンプレートは、現在、プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
プレイブック テンプレートを調べる
Azure portal の Microsoft Sentinel では、[コンテンツ管理]>[コンテンツ ハブ] を選びます。 Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選びます。
[コンテンツ ハブ] ページで、[コンテンツ タイプ] を選び、プレイブックをフィルター処理します。 このフィルター表示には、1 つ以上のプレイブック テンプレートを含むすべてのソリューションとスタンドアロン コンテンツが一覧表示されます。 ソリューションまたはスタンドアロン コンテンツをインストールしてテンプレートを取得します。
次に、[構成]>[オートメーション]>[プレイブック テンプレート] タブを選び、インストールされているテンプレートを表示します。
要件に合うプレイブック テンプレートを見つけるには、次の条件で一覧をフィルター処理できます。
[トリガー] には、プレイブックがインシデントの作成、インシデントの更新、またはアラートの作成によってトリガーされるかどうかが示されます。 詳細情報
[Logic Apps connectors](Logic Apps コネクタ) には、このプレイブックが連携する外部サービスが示されます。 デプロイ プロセスの間に、各コネクタは ID を使用して外部サービスに対する認証を行う必要があります。
[エンティティ] は、インシデントにおいてエンティティの種類を検索することが期待されるプレイブックによって明示的にフィルター処理および解析されるエンティティの種類を示します。 たとえば、IP アドレスをブロックするようにファイアウォールに指示するプレイブックは、ブルート フォース攻撃検出ルールなど、IP アドレスを含むアラートを生成する分析ルールによって作成されるインシデントに対して動作することが予想されます。
[タグ] は、特定のシナリオに関連付けるため、または特別な特性を示すために、プレイブックに適用されるラベルを示します。
例 :
[Enrichment](エンリッチメント) - プレイブックによって別のサービスから情報がフェッチされて、インシデントに情報が追加されます。 この情報は、通常、インシデントにコメントとして追加されるか、SOC に送信されます。
[Remediation](修復) - プレイブックによって、潜在的な脅威を排除するために、影響を受けるエンティティに対してアクションが実行されます。
[Sync](同期) - このプレイブックは、インシデント管理サービスなどの外部サービスがインシデントのプロパティで更新された状態を維持するのに役立ちます。
[Notification](通知) - プレイブックによってメールまたはメッセージが送信されます。
[Response from Teams](Teams からの応答) - このプレイブックを使用すると、アナリストは対話型カードを使用して Teams から手動操作を実行できます。
テンプレートのプレイブックをカスタマイズする
この手順では、プレイブック テンプレートをデプロイする方法について説明します。
このプロセスを繰り返して、同じテンプレートで複数のプレイブックを作成できます。
[プレイブック テンプレート] タブからプレイブック名を選択します。
プレイブックに前提条件がある場合は、必ず指示に従ってください。
一部のプレイブックでは、他のプレイブックがアクションとして呼び出されます。 この 2 つ目のプレイブックは、入れ子になったプレイブックと呼ばれます。 このような場合の前提条件の 1 つとして、入れ子になったプレイブックを最初にデプロイする必要があります。
一部のプレイブックでは、カスタム Logic Apps コネクタまたは Azure 関数をデプロイする必要があります。 このような場合は、一般的な ARM テンプレートデプロイ プロセスに移動する [Azure へのデプロイ] リンクが表示されます。
[Create playbook](プレイブックの作成) を選択し、選択したテンプレートに基づくプレイブック作成ウィザードを開きます。 ウィザードには 4 つのタブがあります。
[基本]: 新しいプレイブック (Logic Apps リソース) を見つけて、名前を付けます (既定値を使用できます)。
[パラメーター]: プレイブックで使用する顧客固有の値を入力します。 たとえば、このプレイブックで SOC にメールが送信される場合は、ここで受信者のアドレスを定義できます。 このタブは、プレイブックにパラメーターがある場合にのみ表示されます。
注意
このプレイブックでカスタム コネクタが使用されている場合は、同じリソース グループにそれをデプロイする必要があり、このタブにその名前を挿入できます。
[接続]: 各アクションを展開して、以前のプレイブック用に作成した既存の接続を表示します。 プレイブック用の接続の作成に関する詳細を確認してください。
注意
カスタム コネクタの場合、接続は [パラメーター] タブで入力したカスタム コネクタの名前で表示されます。
何もない場合、または新しいものを作成する場合は、 [Create new connection after deployment](デプロイ後に新しい接続を作成する) を選択します。 このオプションにより、デプロイ プロセスが完了した後で Logic Apps デザイナーに移動します。
マネージド ID での接続をサポートするコネクタの場合 (Microsoft Sentinel など)、この接続方法が既定で選択されます。
[確認および作成]: プロセスの概要を確認し、プレイブックを作成する前に入力の検証を待ちます。
プレイブック作成ウィザードの手順を最後まで実行すると、Logic Apps デザイナーでの新しいプレイブックのワークフローのデザインに表示が移動します。
デプロイ後に新しい接続を作成することを選択したコネクタごとに、次のようにします。
ナビゲーション メニューから、 [API 接続] を選択します。
接続の名前を選択します。
ナビゲーション メニューから [API 接続の編集] を選択します。
必要なパラメーターを入力して、[保存] を選択します。
または、Logic Apps デザイナーの関連する手順内から新しい接続を作成できます。
エラー記号が表示される各ステップについて、それを選択して展開します。
[新規追加] を選択します。
関連する手順に従って認証を行います。
この同じコネクタを使用する他の手順がある場合は、そのボックスを展開します。 表示される接続の一覧から、先に作成した接続を選択します。
Microsoft Sentinel (または他のサポートされている接続) にマネージド ID 接続を使用することを選択した場合は、Microsoft Sentinel ワークスペース (または他のコネクタの関連するターゲット リソース) の新しいプレイブックに対するアクセス許可を付与します。
プレイブックを保存します。 [アクティブなプレイブック] タブに表示されるようになります。
ほとんどのテンプレートはそのまま使用できますが、SOC のニーズに合わせて新しいプレイブックを調整することをお勧めします。
トラブルシューティング
問題: プレイブックでバグが見つかった
プレイブックのバグを報告したり、改善を要求したりするには、プレイブックの詳細ペインで [サポート元] リンクを選択します。 コミュニティでサポートされているプレイブックの場合は、リンクを選択すると GitHub 問題が開きます。 それ以外の場合は、サポートのページに移動します。
次の手順
この記事では、プレイブック テンプレートを使用し、ニーズに合わせてプレイブックを作成およびカスタマイズする方法について説明しました。 Microsoft Sentinel でのプレイブックとオートメーションの詳細については、以下を参照してください。