プレイブックを使用して Microsoft Sentinel でインシデント タスクを作成して実行する

この記事では、プレイブックを使用してインシデント タスクを作成し、必要に応じて実行して、Microsoft Sentinel で複雑なアナリスト ワークフロー プロセスを管理する方法について説明します。

プレイブックの Microsoft Sentinel コネクタで [ タスクの追加 ] アクションを使用して、プレイブックをトリガーしたインシデントにタスクを自動的に追加します。 標準ワークフローと従量課金ワークフローの両方がサポートされています。

詳細については、「Microsoft Sentinel でタスクを使用してインシデントを管理する」を参照してください。

[前提条件]

• インシデントを表示および編集するには、Microsoft Sentinel レスポンダー ロールが必要であり、これはタスクを追加、表示、編集するために必要です。

• プレイブックを作成および編集するには、 Logic Apps 共同作成者 ロールが必要です。

詳細については、Microsoft Sentinel プレイブックの前提条件に関する記事を参照してください。

プレイブックを使用してタスクを追加し、実行します

このセクションでは、以下を実行する Playbook アクションを追加するためのサンプル手順を示します。

• インシデントにタスクを追加し、侵害されたユーザーのパスワードをリセットします
• Microsoft Entra ID Protection (AADIP) にシグナルを送信して実際にパスワードをリセットする別のプレイブック アクションを追加します
• インシデント内のタスクを完了としてマークする最終的なプレイブック アクションを追加します。

これらのアクションを追加および構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、 [インシデントにタスクを追加] アクションを追加し、次の操作を行います。

   1. [インシデント ARM ID] フィールドで [インシデント ARM ID] 動的コンテンツ項目を選択します。

   2. タイトルとして「ユーザーパスワードのリセット」と入力します。

   3. オプションの説明を追加します。

   例えば次が挙げられます。

   

2. エンティティ - アカウントの取得 (プレビュー) アクションを追加します。 エンティティ動的コンテンツ項目 (Microsoft Sentinel インシデント スキーマから) を [エンティティ] リスト フィールドに追加します。 例えば次が挙げられます。

   

3. Control アクション ライブラリから For each ループを追加します。 「エンティティ - Get Accounts」出力の「Accounts」動的コンテンツ項目を「Select an output from previous steps」フィールドに追加します。 例えば次が挙げられます。

   

4. For each ループ内で、アクションの追加 を選択します。 その後、以下を実行します。

   1. Microsoft Entra ID Protection コネクタを検索して選択します
   2. [危険なユーザーを侵害者として確認する (プレビュー)] アクションを選択します。
   3. Accounts Microsoft Entra user ID 動的コンテンツ項目を userIds Item - 1 フィールドに追加します。

   このアクションにより、Microsoft Entra ID Protection 内のモーション プロセスがリセットされ、ユーザーのパスワードがリセットされます。

   

   注

   [アカウント] Microsoft Entra ユーザー ID フィールドは、AADIP でユーザーを識別する 1 つの方法です。 これは必ずしもすべてのシナリオで最善の方法であるとは限りませんが、ここでは例として紹介します。

   詳細については、侵害されたユーザーを処理する他のプレイブック、または Microsoft Entra ID 保護のドキュメントを参照してください。

5. Microsoft Sentinel コネクタから [ タスクを完了としてマーク する] アクションを追加し、 [インシデント タスク ID ] 動的コンテンツ項目を [タスク ARM ID ] フィールドに追加します。 例えば次が挙げられます。

   

Playbook を使用してタスクを条件付きで追加する

このセクションでは、インシデントに表示される IP アドレスを調査する Playbook アクションを追加するためのサンプル手順について説明します。

• この調査の結果、IP アドレスが悪意のあるものであることが判明した場合、プレイブックは、その IP アドレスを使用するユーザーを無効にするためのアナリスト向けのタスクを作成します。
• IP アドレスが既知の悪意のあるアドレスでない場合、プレイブックは別のタスクを作成し、アナリストがユーザーに連絡してアクティビティを確認します。

これらのアクションを追加および構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、 [エンティティ - IP の取得 ] アクションを追加します。 エンティティ動的コンテンツ項目 (Microsoft Sentinel インシデント スキーマから) を [エンティティ] リスト フィールドに追加します。 例えば次が挙げられます。

   

2. Control アクション ライブラリから For each ループを追加します。 「エンティティ - IP の取得」出力から「IP 動的コンテンツ」項目を「前のステップからの出力を選択」フィールドに追加します。 例えば次が挙げられます。

   

3. For each ループ内で、アクションの追加 を選択し、次の操作を行います。

   1. [Virus Total] コネクタを検索して選択します。
   2. [IP レポートの取得 (プレビュー)] アクションを選択します。
   3. 「エンティティ - IP の取得」出力から「IP アドレス」動的コンテンツ項目を「IP アドレス」フィールドに追加します。

   例えば次が挙げられます。

   

4. For each ループ内で、アクションの追加 を選択し、次の操作を行います。

   1. コントロールアクションライブラリから条件を追加します。
   2. [IP の取得] レポート出力から [最後の分析統計 悪意のある動的コンテンツ] 項目を追加します。 見つけるには、[ もっと見る] を選択する必要がある場合があります。
   3. 「より大きい」演算子を選択し、値として「0」と入力します。

   この条件は、「Virus Total IP レポートに結果が出たかどうか」という質問をします。例えば：

   

5. True オプション内で、アクションの追加 を選択し、次の操作を行います。

   1. Microsoft Sentinel コネクタから [インシデントにタスクを追加] アクションを選択します。
   2. [インシデント ARM ID] フィールドで [インシデント ARM ID] 動的コンテンツ項目を選択します。
   3. 「タイトル」に「Mark user as compromised (ユーザーを侵害状態としてマーク)」と入力します。
   4. オプションの説明を追加します。

   例えば次が挙げられます。

   

6. [False] オプション内で、[アクションの追加] を選択し、次の操作を行います。

   1. Microsoft Sentinel コネクタから [インシデントにタスクを追加] アクションを選択します。
   2. [インシデント ARM ID] フィールドで [インシデント ARM ID] 動的コンテンツ項目を選択します。
   3. [タイトル] に「Reach out to the user to confirm the activity」と入力します。
   4. オプションの説明を追加します。

   例えば次が挙げられます。

   

関連コンテンツ

詳細については、以下を参照してください。

• Microsoft Sentinel を使用してインシデントを調査する
• オートメーション ルールを使用して Microsoft Sentinel でインシデント タスクを作成する
• Microsoft Sentinel でインシデント タスクを操作する