セキュリティ オペレーション センター (SOC) は、一定のセキュリティ アラートとインシデントのストリームに直面しています。 これらを効率的に管理することは、組織のセキュリティを強化するために重要です。 Microsoft Sentinel プレイブックは、脅威に迅速かつ一貫して対応するのに役立つ自動化されたワークフローです。 この記事では、Microsoft Sentinel でプレイブックを使用して、脅威への対応を自動化し、手作業を削減し、チームがより深い調査に集中できるようにする方法について説明します。
Microsoft Sentinel プレイブックを使用して、事前構成済みの修復アクションのセットを実行し、 脅威への対応を自動化および調整します。 構成された 自動化ルールをトリガーする特定のアラートやインシデントに応じてプレイブックを自動的に実行するか、特定のエンティティまたはアラートに対して手動で実行します。
たとえば、アカウントとマシンが侵害された場合、プレイブックは自動的にマシンをネットワークから分離し、SOC チームがインシデントの通知を受け取る前にアカウントをブロックできます。
注
プレイブックでは Azure Logic Apps が使用されるため、追加料金が適用される場合があります。 詳細については、 Azure Logic Apps の 価格に関するページを参照してください。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
推奨されるユース ケース
次の表に、Microsoft Sentinel プレイブックが脅威対応の自動化に役立つ一般的なユース ケースを示します。
| ユース ケース | 説明 |
|---|---|
| エンリッチメント | データを収集し、インシデントに添付して、チームがより適切な意思決定を行えるようにします。 |
| 双方向の同期 | Microsoft Sentinel インシデントを他のチケット システムと同期します。 たとえば、すべての新しいインシデントの自動化ルールを作成し、ServiceNow でチケットを開くプレイブックをアタッチします。 |
| オーケストレーション | SOC チームのチャット プラットフォームを使用して、インシデント キューを管理します。 たとえば、セキュリティ アナリストがインシデントについて知ることができるように、Microsoft Teamsまたは Slack でセキュリティ運用チャネルにメッセージを送信します。 |
| 回答 | 侵害されたユーザーやマシンが検出された場合など、最小限の人間の関与で脅威にすぐに対応します。 または、調査中またはハンティング中に自動ステップを手動でトリガーします。 |
詳細については、「推奨されるプレイブックのユース ケース、テンプレート、例」を参照してください。
前提条件
Azure Logic Apps を使用して Microsoft Sentinel でプレイブックを作成して実行するには、次のロールが必要です。
| ロール | 説明 |
|---|---|
| 所有者 | リソース グループ内のプレイブックへのアクセス権を付与できます。 |
| Microsoft Sentinel 共同作成者 | プレイブックを分析ルールやオートメーション ルールにアタッチできます。 |
| Microsoft Sentinel レスポンダー | プレイブックを手動で実行するためにインシデントにアクセスできますが、プレイブックを実行することはできません。 |
| Microsoft Sentinel プレイブック オペレーター | プレイブックを手動で実行できます。 |
| Microsoft Sentinel Automation 共同作成者 | オートメーション ルールでプレイブックを実行できるようにします。 このロールは、他の目的では使用されません。 |
次の表では、プレイブックを作成するために従量課金と Standard のどちらのロジック アプリを選択するかに基づいて、必要なロールについて説明します。
| ロジック アプリ | Azure ロール | 説明 |
|---|---|---|
| 従量課金プラン | ロジック アプリ共同作成者 | ロジック アプリを編集および管理します。 プレイブックを実行します。 プレイブックへのアクセス権を付与することはできません。 |
| 従量課金プラン | ロジック アプリ オペレーター | ロジック アプリの読み取り、有効化、無効化を行います。 ロジック アプリの編集や更新を行うことはできません。 |
| スタンダード | Logic Apps Standard オペレーター | ロジック アプリのワークフローの有効化、再送信、無効化を行います。 |
| スタンダード | Logic Apps Standard 開発者 | ロジック アプリを作成および編集します。 |
| スタンダード | Logic Apps Standard 共同作成者 | ロジック アプリのすべての側面を管理します。 |
[オートメーション] ページの [アクティブなプレイブック] タブに、選択したサブスクリプションで使用できるすべてのアクティブなプレイブックが表示されます。 既定では、プレイブックのリソース グループに Microsoft Sentinel アクセス許可を明確に付与しない限り、プレイブックはそれが属するサブスクリプション内でのみ使用できます。
Microsoft Sentinel でプレイブックを実行するために必要な追加のアクセス許可
Microsoft Sentinel では、セキュリティを追加し、自動化ルール API を有効にして CI/CD ユースケースをサポートするために、サービス アカウントを使用して、インシデントに対してプレイブックを実行します。 このサービス アカウントは、インシデントによってトリガーされるプレイブックに対して、または特定のインシデントに対して手動でプレイブックを実行するときに使用されます。
この Microsoft Sentinel サービス アカウントには、独自のロールとアクセス許可に加えて、プレイブックが存在するリソース グループに対する独自のアクセス許可セットが、Microsoft Sentinel Automation 共同作成者ロールの形式で必要です。 Microsoft Sentinel は、このロールを付与されると、関連するリソース グループ内の任意のプレイブックを手動で、またはオートメーション ルールから実行できます。
Microsoft Sentinel に必要なアクセス許可を付与するには、所有者またはユーザー アクセス管理者のロールが必要です。 プレイブックを実行するには、実行するプレイブックを含むリソース グループに対するロジック アプリ共同作成者ロールも必要です。
プレイブック テンプレート (プレビュー)
重要
プレイブック テンプレートは、現在、プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
プレイブック テンプレートは、事前構築済み、テスト済み、すぐに使用できるワークフローであり、プレイブック自体としては使用できませんが、ニーズに合わせてカスタマイズする準備が整っています。 また、プレイブックをゼロから開発するときのベスト プラクティスのリファレンスとして、または新しい自動化シナリオのためのインスピレーションを得るためにも、プレイブック テンプレートを使用することをお勧めします。
次のソースからプレイブック テンプレートを取得します。
| 場所 | 説明 |
|---|---|
| Microsoft Sentinel の [自動化] ページ |
[プレイブック テンプレート] タブには、インストールされているすべてのプレイブックが表示されます。 同じテンプレートを使用して、1 つ以上のアクティブなプレイブックを作成します。 新しいバージョンのテンプレートが発行されると、そのテンプレートから作成されたアクティブなプレイブックには、[ アクティブなプレイブック ] タブに追加のラベルが表示され、更新プログラムが利用可能であることを示します。 |
| Microsoft Sentinel の [コンテンツ ハブ] ページ | プレイブック テンプレートは、 コンテンツ ハブからインストールする製品ソリューションまたはスタンドアロン コンテンツの一部です。 詳細については、次を参照してください。 Microsoft Sentinel コンテンツとソリューションについて Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する |
| GitHubの | Microsoft Sentinel GitHub リポジトリには、他にも多くのプレイブック テンプレートがあります。 [Azure にデプロイ] を選択してテンプレートを Azure サブスクリプションにデプロイします。 |
プレイブック テンプレートは 、Azure Resource Manager (ARM) テンプレート であり、関連する各接続の Azure Logic Apps ワークフローと API 接続という複数のリソースが含まれています。
詳細については、以下を参照してください:
- コンテンツ テンプレートから Microsoft Sentinel プレイブックを作成してカスタマイズする
- 推奨されるプレイブック テンプレート
- Microsoft Sentinel プレイブック用 Azure Logic Apps
プレイブックの作成と使用のワークフロー
Microsoft Sentinel プレイブックを作成して実行するには、次の手順に従います。
自動化シナリオを定義します。 推奨されるプレイブックのユース ケースとプレイブック テンプレートを確認して開始します。
テンプレートを使用しない場合、プレイブックを作成して、ロジック アプリをビルドします。 詳細については、「Microsoft Sentinel プレイブックを作成して管理する」を参照してください。
ロジック アプリを手動で実行してテストします。 詳細については、「プレイブックをオンデマンドで手動によって実行する」を参照してください。
新しいアラートまたはインシデントが作成されたときに自動的に実行されるようにプレイブックを設定するか、プロセスに必要に応じて手動で実行します。 詳細については、Microsoft Sentinel プレイブックを使用した脅威への対応に関するページを参照してください。