セキュリティ情報およびイベント管理 (SIEM) チームとセキュリティ オペレーション センター (SOC) チームは、通常、大量のセキュリティ アラートとインシデントが常時殺到し、対応する担当者は忙殺されます。 この結果、多くのアラートが無視され、多くのインシデントが調査されず、気付かずに行われる攻撃に対して組織は脆弱な状態のままになっていることが非常によくあります。
Microsoft Sentinel は、SIEM システムであることに加えて、セキュリティ オーケストレーション、自動化、応答 (SOAR) のプラットフォームでもあります。 主な目的の 1 つは、セキュリティ オペレーション センターとスタッフ (SOC/SecOps) が担当する、定期的で予測可能な強化、応答、および修復のタスクを自動化することです。これにより、アップタイムやリソースが解放され、高度な脅威を詳細に調査したり検索したりできます。
この記事では、Microsoft Sentinel の SOAR 機能について説明し、セキュリティ上の脅威に対応するために自動化ルールとプレイブックを使用して SOC の有効性を向上させ、時間とリソースを節約する方法について説明します。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
オートメーション ルール
Microsoft Sentinel では、自動化ルールを使用して、ユーザーが一元的な場所からインシデント処理の自動化を管理できるようにします。 自動化ルールは、次の目的で使用します。
- プレイブックを使用してインシデントとアラートに高度な自動化を割り当てる
- プレイブックなしでインシデントへの自動的なタグ付け、割り当て、クローズを行う
- 複数の 分析ルール の応答を一度に自動化する
- アナリスト向けに、インシデントのトリアージ、調査、修復時に実行するタスクのリストを作成する
- 実行されるアクションの順序を制御する
インシデントが作成または更新されたときに自動化ルールを適用して、自動化をさらに効率化し、インシデント オーケストレーション プロセスの複雑なワークフローを簡略化することをお勧めします。
詳細については、「自動化ルール を使用して Microsoft Sentinel で脅威への対応を自動化する」を参照してください。
プレイブック
プレイブックは、Microsoft Sentinel からルーチンとして実行できる応答と修復アクションやロジックのコレクションです。 プレイブックは次のことができます。
- 脅威への対応を自動化および調整するのに役立つ
- 内部と外部の両方で他のシステムと統合する
- 特定のアラートまたはインシデントに対応して自動的に実行するように構成するか、新しいアラートに応答するなど手動でオンデマンドで実行するように構成する
Microsoft Sentinel では、プレイブックは 、Azure Logic Apps に組み込まれているワークフローに基づいています。これは、企業全体のシステム間でタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスです。 つまり、プレイブックは、Logic Apps の統合とオーケストレーションの機能、使いやすいデザインツール、階層 1 の Azure サービスのスケーラビリティ、信頼性、サービス レベルのすべての機能とカスタマイズ性を活用できます。
詳細については、「 Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」を参照してください。
Microsoft Defender ポータルでのオートメーション
Defender ポータルでの Microsoft Sentinel の自動化のしくみについて、次の詳細に注意してください。 Azure portal から Defender ポータルに移行している既存の顧客の場合は、Defender ポータルにオンボードした後のワークスペースでの自動化機能の違いに注意してください。
| 機能 | 説明 |
|---|---|
| アラート トリガーを使用した自動化ルール | Defender ポータルでは、アラート トリガーを使ったオートメーション ルールは Microsoft Sentinel アラートに対してのみ機能します。 詳細については、「 アラート作成トリガー」を参照してください。 |
| インシデント トリガーを使用した自動化ルール | Azure portal と Defender ポータルの両方で、 インシデント プロバイダー の条件プロパティは削除されます。すべてのインシデントには、インシデント プロバイダーとして Microsoft XDR が含まれています ( [ProviderName ] フィールドの値)。 その時点で、既存の自動化ルールは、Microsoft Sentinel と Microsoft Defender XDR の両方のインシデントで実行されます。これには、 インシデント プロバイダー の条件が Microsoft Sentinel または Microsoft 365 Defender のみに設定されているものも含まれます。 ただし、特定の分析ルール名を指定するオートメーション ルールは、指定された分析ルールによって作成されたアラートを含むインシデントに対してのみ実行されます。 つまり、 分析ルール名 の条件プロパティを、Microsoft Sentinel にのみ存在する分析ルールに定義して、Microsoft Sentinel でのみインシデントに対して実行するようにルールを制限できます。 また、Defender ポータルにオンボードした後、SecurityIncident テーブルには 説明 フィールドが含まれなくなりました。 Therefore: - インシデント作成トリガーを使用して自動化ルールの条件としてこの [説明] フィールドを使用している場合、その自動化ルールは Defender ポータルにオンボードした後は機能しません。 このような場合は、構成を適切に更新してください。 詳細については、「 インシデント トリガーの条件」を参照してください。 - ServiceNow などの外部チケット システムと統合が構成されている場合、インシデントの説明は表示されません。 |
| プレイブック トリガーの待機時間 | Microsoft Defender インシデントが Microsoft Sentinel に表示されるまでに最大 5 分かかる場合があります。 この遅延が発生する場合、プレイブックのトリガーも遅延されます。 |
| 既存のインシデント名の変更 | Defender ポータルでは一意のエンジンを使用してインシデントとアラートを関連付けます。 ワークスペースを Defender ポータルにオンボードするときに、関連付けを適用すると、既存のインシデント名が変更される可能性があります。 したがって、オートメーション ルールが常に正しく実行されるようにするには、オートメーション ルールの条件基準としてインシデントのタイトルを使用することは避け、代わりにインシデントに含まれるアラートを作成した分析ルールの名前と、より具体的な説明が必要な場合はタグを使用することをお勧めします。 |
| [更新者] フィールド | 詳細については、「 インシデント更新トリガー」を参照してください。 |
| インシデントから直接自動化ルールを作成する | インシデントから直接自動化ルールを作成 することは、Azure portal でのみサポートされます。 Defender ポータルで作業している場合は、[Automation ] ページから 自動化ルールを最初から作成します。 |
| Microsoft インシデント作成ルール | Microsoft インシデント作成ルールは、Defender ポータルではサポートされません。 詳細については、 Microsoft Defender XDR インシデントと Microsoft インシデント作成ルールに関するセクションを参照してください。 |
| Defender ポータルからの自動化規則の実行 | アラートがトリガーされ、Defender ポータルでインシデントが作成または更新されてから自動化ルールが実行されるまでに、最大で 10 分かかる場合があります。 このタイム ラグは、インシデントは Defender ポータルで作成されてから、自動化ルールのために Microsoft Sentinel に転送されるためです。 |
| [アクティブなプレイブック] タブ | Defender ポータルにオンボードした後、既定では、[ アクティブなプレイブック ] タブには、オンボードされたワークスペースのサブスクリプションを含む定義済みのフィルターが表示されます。 Azure portal で、サブスクリプション フィルターを使用して、他のサブスクリプションのデータを追加します。 詳細については、「 テンプレートから Microsoft Sentinel プレイブックを作成およびカスタマイズする」を参照してください。 |
| オンデマンドでのプレイブックの手動実行 | Defender ポータルでは、現在、次の手順はサポートされていません。 |
| インシデントでのプレイブックの実行には、Microsoft Sentinel の同期が必要です | Defender ポータルからインシデントに対してプレイブックを実行しようとして 、"このアクションに関連するデータにアクセスできません。数分後に画面を更新してください " というメッセージが表示される場合は、インシデントがまだ Microsoft Sentinel に同期されていないことを意味します。 インシデントが同期された後にインシデント ページを更新して、プレイブックを正常に実行します。 |
|
インシデント: インシデントへのアラートの追加 / インシデントからのアラートの削除 |
ワークスペースを Defender ポータルにオンボードした後は、インシデントへのアラートの追加やインシデントからのアラートの削除はサポートされないため、これらのアクションもプレイブック内からはサポートされません。 詳細については、 Defender ポータルでのアラートの関連付け方法とインシデントのマージ方法について説明します。 |
| 複数のワークスペースでの Microsoft Defender XDR 統合 | XDR データを 1 つのテナント内の複数のワークスペースと統合した場合、データは Defender ポータルのプライマリ ワークスペースにのみ取り込まれるようになります。 自動化ルールを関連するワークスペースに転送して、それらを実行し続けます。 |
| 自動化と相関エンジン | 関連付けエンジンは、複数のシグナルからのアラートを 1 つのインシデントに結合する場合があり、その結果、予期していなかったデータを自動で受信する可能性があります。 期待される結果が確実に表示されるように、自動化規則を確認することをお勧めします。 |