この記事では、 Logic Apps Microsoft Sentinel コネクタでサポートされるトリガーとアクションについて説明します。 Microsoft Sentinel プレイブックに記載されているトリガーとアクションを使用して、Microsoft Sentinel データを操作します。
重要
現在、注目されている機能はプレビュー段階です。 ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される追加の法的条件については、 Microsoft Azure プレビューの追加使用条件 を参照してください。
[前提条件]
開始する前に、Microsoft Sentinel コネクタ コンポーネントを使用するために必要な次の Azure アクセス許可があることを確認します。
| 役割 | トリガーを使用する | 使用可能なアクションを取得する | インシデントを更新 コメントを追加する |
|---|---|---|---|
| Microsoft Sentinel 閲覧者 | ✓ | ✓ | - |
| Microsoft Sentinel レスポンダー/貢献者 | ✓ | ✓ | ✓ |
詳細については、 Microsoft Sentinel のロールとアクセス許可 、および Microsoft Sentinel プレイブックを操作するための前提条件を参照してください。
サポートされている Microsoft Sentinel トリガー
Microsoft Sentinel コネクタ、つまり Microsoft Sentinel プレイブックでは、次のトリガーがサポートされています。
Microsoft Sentinel インシデント。 ほとんどのインシデント自動化シナリオに推奨されます。
プレイブックは、エンティティとアラートの両方を含むインシデント オブジェクトを受け取ります。 このトリガーを使用すると、Microsoft Sentinel でインシデントが作成または更新されるたびにトリガーできる自動化ルールにプレイブックをアタッチし、 自動化ルールのすべての利点 をインシデントに適用できます。
Microsoft Sentinel アラート (プレビュー)。 アラートに対して手動で実行する必要があるプレイブックや、アラートに対してインシデントを生成しないスケジュールされた分析ルールに推奨されます。
- このトリガーを使用して、 Microsoft セキュリティ 分析ルールによって生成されたアラートの応答を自動化することはできません。
- このトリガーを使用するプレイブックは、オートメーション ルールでは呼び出すことはできません。
Microsoft Sentinel エンティティ。 調査または脅威ハンティングのコンテキストで、特定のエンティティに対して手動で実行する必要があるプレイブックに推奨されます。 このトリガーを使用するプレイブックは、オートメーション ルールでは呼び出すことはできません。
これらのフローで使用されるスキーマは同じではありません。 ほとんどのシナリオでは、 Microsoft Sentinel インシデント トリガー フローを使用することをお勧めします。
インシデントの動的フィールド
Microsoft Sentinel インシデントから受信したインシデント オブジェクトには、次の動的フィールドが含まれています。
| フィールド名 | 説明 |
|---|---|
| インシデントのプロパティ | インシデントとして表示 : <フィールド名> |
| アラート |
Alert: <field name> として表示される、次のアラート プロパティの配列。 各インシデントには複数のアラートを含めることができるため、アラート プロパティを選択すると、インシデント内のすべてのアラートをカバー する各ループ が自動的に生成されます。 |
| エンティティ | すべてのアラートのエンティティの配列 |
| ワークスペース情報フィールド | インシデントが作成された Microsoft Sentinel ワークスペースに関する詳細(次を含む): - サブスクリプション ID - ワークスペース名 - ワークスペース ID - リソース グループ名 |
サポートされている Microsoft Sentinel アクション
Microsoft Sentinel コネクタ、つまり Microsoft Sentinel プレイブックでは、次のアクションがサポートされます。
| アクション | いつ使用するか |
|---|---|
| アラート - インシデントの取得 | アラート トリガーで始まるプレイブック。 インシデントのプロパティを取得したり、インシデントの更新またはインシデント アクションへのコメントの追加で使用するインシデント ARM ID を取得したりするのに役立ちます。 |
| インシデントを取得する | 外部ソースから、または Sentinel 以外のトリガーを使用してプレイブックをトリガーする場合。 インシデント ARM ID を使用して識別します。 インシデントのプロパティとコメントを取得します。 |
| インシデントの更新 | インシデントの状態を変更するには (たとえば、インシデントを閉じるときに)、所有者の割り当て、タグの追加または削除、重大度、タイトル、説明の変更を行います。 |
| インシデントにコメントを追加する | 外部ソースから収集された情報を使用してインシデントを強化するため。エンティティに対してプレイブックによって実行されたアクションを監査するため。インシデント調査に有用な追加情報を提供します。 |
| エンティティ - <エンティティ型を取得する> | プレイブックの作成時に既知の特定のエンティティの種類 (IP、 アカウント、 ホスト、**URL、または FileHash) で動作するプレイブックでは、それを解析してその一意のフィールドで作業できる必要があります。 |
ヒント
アクションの インシデントの更新 と インシデントへのコメントの追加 には 、インシデント ARM ID が必要です。
[アラート - インシデントの取得] アクションを事前に使用して、インシデント ARM ID を取得します。
サポートされているエンティティの種類
Entities 動的フィールドは JSON オブジェクトの配列であり、それぞれがエンティティを表します。 各エンティティ型には、固有のプロパティに応じて独自のスキーマがあります。
"Entities - Get <entity type>" アクションを使用すると、次のことができます。
- 要求された型でエンティティの配列をフィルター処理します。
- この型の特定のフィールドを解析して、それ以降のアクションで動的フィールドとして使用できるようにします。
入力は エンティティ の動的フィールドです。
応答はエンティティの配列であり、特殊なプロパティが解析され、 For each ループで直接使用できます。
現在サポートされているエンティティの種類は次のとおりです。
次の図は、エンティティで使用可能なアクションの例を示しています。
その他のエンティティの種類では、Logic Apps の組み込みアクションを使用して同様の機能を実現できます。
Filter Array を使用して、要求された型でエンティティの 配列をフィルター処理します。
この型の特定のフィールドを解析して、 JSON の解析を使用してそれ以降のアクションで動的フィールドとして使用できるようにします。
関連コンテンツ
詳細については、以下を参照してください。