この記事では、プレイブックとオートメーション ルールを使用してインシデント対応を自動化し、セキュリティの脅威を修復する方法のサンプル シナリオについて説明します。 オートメーション ルールは、Microsoft Sentinel でインシデントをトリアージするのに役立ち、インシデントやアラートに対応してプレイブックを実行するためにも使用されます。 詳細については、「 Microsoft Sentinel の自動化: セキュリティ オーケストレーション、自動化、応答 (SOAR)」を参照してください。
この記事で説明するサンプル シナリオでは、オートメーション ルールとプレイブックを使用して、侵害された可能性のあるユーザーをインシデントの作成時に停止する方法について説明します。
注
プレイブックには Azure Logic Apps が利用されているため、追加料金が適用される場合があります。 詳細については、 Azure Logic Apps の 価格に関するページを参照してください。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。
前提条件
Azure Logic Apps を使用して Microsoft Sentinel でプレイブックを作成および実行するには、次のロールが必要です。
| ロール | 説明 |
|---|---|
| 所有者 | リソース グループ内のプレイブックへのアクセス権を付与できます。 |
| Microsoft Sentinel 共同作成者 | プレイブックを分析ルールやオートメーション ルールにアタッチできます。 |
| Microsoft Sentinel 応答者 | プレイブックを手動で実行するためにインシデントにアクセスできますが、プレイブックを実行することはできません。 |
| Microsoft Sentinel プレイブック オペレーター | プレイブックを手動で実行できます。 |
| Microsoft Sentinel Automation 寄稿者 | オートメーション ルールでプレイブックを実行できるようにします。 このロールは、他の目的では使用されません。 |
次の表では、プレイブックを作成するために従量課金と Standard のどちらのロジック アプリを選択するかに基づいて、必要なロールについて説明します。
| ロジック アプリ | Azure ロール | 説明 |
|---|---|---|
| 従量課金プラン | ロジック アプリ共同作成者 | ロジック アプリを編集および管理します。 プレイブックを実行します。 プレイブックへのアクセス権を付与することはできません。 |
| 従量課金プラン | ロジック アプリ オペレーター | ロジック アプリの読み取り、有効化、無効化を行います。 ロジック アプリの編集や更新を行うことはできません。 |
| スタンダード | Logic Apps Standard オペレーター | ロジック アプリのワークフローの有効化、再送信、無効化を行います。 |
| スタンダード | Logic Apps Standard Developer | ロジック アプリを作成および編集します。 |
| スタンダード | Logic Apps 標準共同作成者 | ロジック アプリのすべての側面を管理します。 |
[Automation] ページの [アクティブなプレイブック] タブには、選択したサブスクリプションで使用可能なすべてのアクティブなプレイブックが表示されます。 既定では、プレイブックのリソース グループに Microsoft Sentinel アクセス許可を明確に付与しない限り、プレイブックはそれが属するサブスクリプション内でのみ使用できます。
インシデントに対してプレイブックを実行するために必要な追加のアクセス許可
Microsoft Sentinel は、サービス アカウントを使用して、インシデントに対してプレイブックを実行することで、セキュリティを追加し、オートメーション ルール API を有効にして CI/CD ユースケースをサポートします。 このサービス アカウントは、インシデントによってトリガーされるプレイブックに対して、または特定のインシデントに対して手動でプレイブックを実行するときに使用されます。
独自のロールとアクセス許可に加えて、この Microsoft Sentinel サービス アカウントには、プレイブックが存在するリソース グループに対する独自のアクセス許可セット ( Microsoft Sentinel Automation 共同作成者 ロールの形式) が必要です。 Microsoft Sentinel は、このロールを付与されると、関連するリソース グループ内の任意のプレイブックを手動で、またはオートメーション ルールから実行できます。
Microsoft Sentinel に必要なアクセス許可を付与するには、 所有者 または ユーザー アクセス管理者 ロールが必要です。 プレイブックを実行するには、実行するプレイブックを含むリソース グループに対する ロジック アプリ共同作成者 ロールも必要です。
侵害された可能性のあるユーザーを停止する
SOC チームは、侵害された可能性のあるユーザーがネットワーク内を動き回って情報を盗むことができないようにしたいと考えています。 このようなシナリオを処理するために、侵害されたユーザーを検出するルールによって生成されたインシデントに対する、自動化された多面的な対応を作成することをお勧めします。
次のフローを使用するように、自動化ルールとプレイブックを構成します。
侵害された可能性のあるユーザーに対してインシデントが作成され、プレイブックを呼び出すオートメーション ルールがトリガーされます。
プレイブックは、ServiceNow などの IT チケット システムでチケットを開きます。
プレイブックは、セキュリティ アナリストがインシデントを認識できるように、Microsoft Teams または Slack のセキュリティ オペレーション チャンネルへのメッセージの送信も行います。
プレイブックは、インシデント内のすべての情報を電子メール メッセージで上級ネットワーク管理者とセキュリティ管理者に送信します。電子メール メッセージには、[ ユーザーのブロック ] ボタンと [無視 ] オプション ボタンが含まれています。
プレイブックは管理者からの応答を待機し、それを受け取ってから次の手順に進みます。
管理者が [ブロック] を選択した場合、プレイブックは Microsoft Entra ID にコマンドを送信してユーザーを無効にし、1 つをファイアウォールに送信して IP アドレスをブロックします。
管理者が [無視] を選択した場合、プレイブックは Microsoft Sentinel のインシデントと ServiceNow のチケットを閉じます。
次のスクリーンショットは、このサンプル プレイブックの作成に追加することが考えられるるアクションと条件を示しています。
