Microsoft Sentinel プレイブックは、エンタープライズ全体のシステムでタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスである Azure Logic Apps で作成されたワークフローに基づいています。
Azure Logic Apps は、Microsoft Sentinel 自体を含め、対話するすべての種類のすべてのリソースに対して別々に接続し、個別に認証する必要があります。 Logic Apps では、この目的のために 特殊なコネクタ が使用され、各リソースの種類には独自のコネクタがあります。
この記事では、Logic Apps Microsoft Sentinel コネクタでサポートされている接続と認証の種類について説明します。 プレイブックでは、サポートされている認証方法を使用して Microsoft Sentinel と対話し、Microsoft Sentinel データにアクセスできます。
[前提条件]
この記事の前に、次の記事を読むことをお勧めします。
- Microsoft Sentinel プレイブックを使用して脅威への対応を自動化する
- Microsoft Sentinel プレイブックの作成と管理
- Microsoft Sentinel プレイブック用 Azure Logic Apps
- Microsoft Sentinel プレイブックでサポートされているトリガーとアクション
マネージド ID に他のリソース (Microsoft Sentinel ワークスペースなど) へのアクセス権を付与するには、サインインしているユーザーに、ロールの割り当てを書き込むアクセス許可を持つロール (Microsoft Sentinel ワークスペース の所有者 や ユーザー アクセス管理者 など) が必要です。
認証
Logic Apps の Microsoft Sentinel コネクタ、およびそのコンポーネントのトリガーとアクションは、関連するワークスペースで必要なアクセス許可 (読み取りや書き込み) を持つ任意の ID に代わって動作できます。 コネクタは、複数の ID タイプをサポートしています。
- マネージド ID (プレビュー)。 たとえば、この方法を使用して、管理する必要がある ID の数を減らします。
- サービス プリンシパル (Microsoft Entra アプリケーション)。 登録済みアプリケーションでは、アクセス許可の制御、資格情報の管理、コネクタの使用に関する特定の制限の有効化を行う機能が強化されています。
- Microsoft Entra ユーザー を する
権限が必要です
認証方法に関係なく、認証された ID が Microsoft Sentinel コネクタのさまざまなコンポーネントを使用するには、次のアクセス許可が必要です。 「書き込み」アクションには、インシデントの更新やコメントの追加などのアクションが含まれます。
| 役割 | トリガーを使用する | 「読み取り」アクションを使用する | 「書き込み」アクションを使用する |
|---|---|---|---|
| Microsoft Sentinel 閲覧者 | ✓ | ✓ | - |
| Microsoft Sentinel レスポンダー/貢献者 | ✓ | ✓ | ✓ |
詳細については、「 Microsoft Sentinel のロールとアクセス許可 」および 「Microsoft Sentinel プレイブックの前提条件」を参照してください。
マネージド ID による認証
マネージド ID として認証すると、ロジック アプリのワークフロー リソースであるプレイブックに直接アクセス許可を付与できます。 プレイブックによって実行された Microsoft Sentinel コネクタ アクションは、Microsoft Sentinel に対する独自のアクセス許可を持つ独立したオブジェクトであるかのように、プレイブックに代わって動作します。
マネージド ID で認証するには:
Logic Apps ワークフロー リソースでマネージド ID を有効にします。 詳細については、「 Azure portal でシステム割り当て ID を有効にする」を参照してください。
これで、ロジック アプリでは、Microsoft Entra ID に登録され、オブジェクト ID で表されるシステム割り当て ID を使用できるようになりました。
次の手順を使用して、その ID に Microsoft Sentinel ワークスペースへのアクセス権を付与します。
Microsoft Sentinel メニューから、 [設定] を選択します。
[ワークスペース設定] タブを選択します。ワークスペースのメニューから、「アクセス制御 (IAM)」を選択します。
上部のボタンバーから [追加 ] を選択し、[ ロールの割り当ての追加] を選択します。 [ロールの割り当ての追加] オプションが無効な場合は、ロールを割り当てるためのアクセス許可がありません。
表示される新しいパネルで、適切なロールを割り当てます。
- Microsoft Sentinel Responder: プレイブックには、インシデントまたはウォッチリストを更新する手順があります
- Microsoft Sentinel リーダー: プレイブックはインシデントのみを受け取ります
[ アクセスの割り当て先] で、 [ロジック アプリ] を選択します。
プレイブックが属するサブスクリプションを選択し、プレイブックの名前を選択します。
保存 を選択します。
詳細については、「 ID にリソースへのアクセス権を付与する」を参照してください。
Microsoft Sentinel Logic Apps コネクタでマネージド ID 認証方法を有効にします。
Logic Apps デザイナーで、Microsoft Sentinel Logic Apps コネクタ ステップを追加します。 コネクタが既存の接続に対して既に有効になっている場合は、 [接続の変更 ] リンクを選択します。 例えば次が挙げられます。
![[接続の変更] リンクのスクリーンショット。](../media/authenticate-playbooks-to-sentinel/change-connection.png)
接続の結果の一覧で、 [新規追加] を選択します。
[マネージド ID を使用して接続 (プレビュー)] を選択して、新しい接続を作成します。 例えば次が挙げられます。
![[マネージド ID で接続する] オプションのスクリーンショット。](../media/authenticate-playbooks-to-sentinel/auth-methods-msi-choice.png)
この接続の名前を入力し、 [ システム割り当てマネージド ID] を選択して、 [作成] を選択します。
![[マネージド ID で接続する] リンクのスクリーンショット。](../media/authenticate-playbooks-to-sentinel/auth-methods-msi.png)
[作成] を選択して、接続の作成を終了します。
サービス プリンシパルとして認証する (Microsoft Entra アプリケーション)
Microsoft Entra アプリケーションを登録して、サービス プリンシパルを作成します。 コネクタの ID として、ユーザー アカウントではなく、登録済みのアプリケーションを使用することをお勧めします。
Microsoft Sentinel コネクタで独自のアプリケーションを使用するには、次のようにします。
アプリケーションを Microsoft Entra ID に登録し、サービス プリンシパルを作成します。 詳細については、「リソースにアクセスできる Microsoft Entra アプリケーションとサービス プリンシパルを作成する」を参照してください。
将来の認証のための資格情報を取得します。 登録済みのアプリケーション ページで、サインインするためのアプリケーションの資格情報を取得します。
- クライアント ID、[概要]
- クライアントシークレット ( [証明書とシークレット] の下)
Microsoft Sentinel ワークスペースを操作するためのアクセス許可をアプリに付与します。
Microsoft Sentinel ワークスペースで、 [設定] >[ワークスペースの設定] >[アクセス制御 (IAM)] に移動します
[ ロールの割り当ての追加] を選択し、アプリケーションに割り当てるロールを選択します。
たとえば、インシデントの更新など、Microsoft Sentinel ワークスペースで変更を加えるアクションをアプリケーションで実行できるようにするには、 Microsoft Sentinel 共同作成者 ロールを選択します。 データの読み取りのみを行うアクションの場合は、 Microsoft Sentinel 閲覧者 ロールで十分です。
必要なアプリケーションを見つけて、変更を保存します。
既定では、Microsoft Entra アプリケーションは使用可能なオプションには表示されません。 アプリケーションを見つけるには、名前を検索して選択します。
アプリの資格情報を使用して、Logic Apps で Microsoft Sentinel コネクタに対して認証します。
Logic Apps デザイナーで、Microsoft Sentinel Logic Apps コネクタ ステップを追加します。
コネクタが既存の接続に対して既に有効になっている場合は、 [接続の変更 ] リンクを選択します。 例えば次が挙げられます。
接続の結果の一覧で、 [ 新規追加] を選択し、 [ サービス プリンシパルで接続] を選択します。 例えば次が挙げられます。
![選択した [サービス プリンシパル] オプションのスクリーンショット。](../media/authenticate-playbooks-to-sentinel/auth-methods-spn-choice.png)
登録済みアプリケーションの詳細ページで使用できる必須のパラメーター値を入力します。
- テナント: 概要 の下
- クライアント ID: [概要] の下
- クライアントシークレット: [証明書とシークレット] の下
例えば次が挙げられます。
[作成] を選択して、接続の作成を終了します。
Microsoft Entra ユーザーとして認証する
Microsoft Entra ユーザーとして接続するには:
Logic Apps デザイナーで、Microsoft Sentinel Logic Apps コネクタ ステップを追加します。 コネクタが既存の接続に対して既に有効になっている場合は、 [接続の変更 ] リンクを選択します。 例えば次が挙げられます。
接続の結果の一覧で、 新規追加 を選択し、 サインイン を選択します。
![[サインイン] ボタンが選択されているスクリーンショット。](../media/authenticate-playbooks-to-sentinel/auth-methods-sign-in.png)
プロンプトが表示されたら資格情報を入力し、画面の残りの指示に従って接続を作成します。
Playbook API 接続の表示と編集
API 接続は、Azure Logic Apps を Microsoft Sentinel などの他のサービスに接続するために使用されます。 Azure Logic Apps でコネクタに対して新しい認証が行われるたびに、サービスへのアクセスを構成するときに指定された詳細を含む新しい API 接続 リソースが作成されます。 同じ API 接続を、同じリソース グループ内のすべての Microsoft Sentinel アクションとトリガーで使用できます。
API 接続を表示するには、次のいずれかの操作を行います。
Azure portal で、 API 接続を検索します。 次のデータを使用して、Playbook の API 接続を見つけます。
- 表示名: 接続を作成するたびに接続に付けるフレンドリ名。
- ステータス: API 接続のステータス。
- リソース グループ: Microsoft プレイブックの API 接続は、プレイブック (Azure Logic Apps) リソースのリソース グループに作成されます。
Azure portal で、すべてのリソースを表示し、 Type = API コネクタでビューをフィルター処理します。 この方法では、複数の接続を一度に選択、タグ付け、および削除できます。
既存の接続の認証を変更するには、接続リソースを入力し、[ API 接続の編集] を選択します。
関連コンテンツ
詳細については、以下を参照してください。