この記事では、インシデント調査または脅威ハンティングの過程で、調査または捜索からピボットまたはコンテキストを切り替えることなく、脅威アクターに対してその場で対応アクションを実行する方法について説明します。 これは、新しいエンティティ トリガーに基づくプレイブックを使用して行います。
エンティティ トリガーは現在、次のエンティティ型をサポートしています。
重要
エンティティ トリガーは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
エンティティ トリガーを使用してプレイブックを実行する
インシデントを調査していて、特定のエンティティ (ユーザー アカウント、ホスト、IP アドレス、ファイルなど) が脅威を表していると判断した場合は、プレイブックをオンデマンドで実行することで、その脅威に対して直ちに修復アクションを実行できます。 インシデントのコンテキスト外で脅威を事前に検出しながら、疑わしいエンティティが発生した場合も同様に実行できます。
発生したコンテキストでエンティティを選択し、次のようにプレイブックを実行するための適切な手段を選択します。
新しいインシデントの詳細ページ (プレビュー段階) のインシデントの [概要] タブの [エンティティ] ウィジェット、またはその [エンティティ] タブで、一覧からエンティティを選択し、エンティティの横にある 3 つのドットを選択し、ポップアップ メニューから [プレイブックの実行 (プレビュー)] を選択します。
![インシデントの詳細ページの [エンティティ] タブのスクリーンショット。](media/respond-threats-during-investigation/entities-tab.png)
インシデントの [ エンティティ ] タブで、一覧からエンティティを選択し、一覧の行の末尾にある [プレイブックの実行 (プレビュー)] リンクを選択します。
調査グラフからエンティティを選択し、エンティティのサイド パネルで [プレイブックの実行 (プレビュー)] ボタンを選択します。
[エンティティの動作] ページで、エンティティを選択します。 結果のエンティティ ページで、左側のパネルにある [プレイブックの実行 (プレビュー)] ボタンを選択します。
これらはすべて、<エンティティタイプ>パネルで実行プレイブックを開きます。
これらのパネルのいずれかで、 プレイブック と実行の 2 つのタブが表示 されます。
[ プレイブック ] タブでは、アクセス権があるすべてのプレイブックが、エンティティの種類に対して Microsoft Sentinel エンティティ トリガー を使用して表示されます(この場合はユーザー アカウント)。 すぐに実行するプレイブックの [ 実行 ] ボタンを選択します。
実行するプレイブックが一覧に表示されない場合は、Microsoft Sentinel にそのリソース グループでプレイブックを実行するアクセス許可がないことを意味します。
これらのアクセス許可を付与するには、[ 設定] > [設定] > [プレイブックのアクセス許可] > [アクセス許可の構成] を選択します。 [ アクセス許可の管理 ] パネルで、実行するプレイブックを含むリソース グループのチェック ボックスをオンにして、[ 適用] を選択します。
詳細については、「 Microsoft Sentinel でプレイブックを実行するために必要な追加のアクセス許可」を参照してください。
エンティティ トリガー プレイブックのアクティビティは、[ 実行 ] タブで監査できます。選択したエンティティでプレイブックが実行されたすべての時間の一覧が表示されます。 完了した実行がこの一覧に表示されるまでに数秒かかる場合があります。 特定の実行を選択すると、Azure Logic Apps で完全な実行ログが開きます。
次のステップ
この記事では、インシデントを調査している間や脅威を探索している最中に、エンティティからの脅威に対処するために手動でプレイブックを実行する方法について学びました。
- 詳細については、Microsoft Sentinel での インシデントの調査 に関するページを参照してください。
- Microsoft Sentinel を使用して 脅威を事前に検出する 方法について説明します。
- Microsoft Sentinel のエンティティの詳細を確認します。
- Microsoft Sentinel の プレイブック について学ぶ。