セキュリティ情報とイベント管理 (SIEM) とセキュリティ オペレーション センター (SOC) チームは、通常、セキュリティ アラートとインシデントが定期的に大量に存在し、使用可能な人員が圧倒されます。 これにより、多くのアラートが無視され、多くのインシデントが調査されず、organizationが気付かれない攻撃に対して脆弱なままになっている状況では、あまりにも頻繁に発生します。
Microsoft Sentinelは、SIEM システムであることに加えて、セキュリティ オーケストレーション、自動化、応答 (SOAR) のプラットフォームでもあります。 その主な目的の 1 つは、セキュリティ オペレーション センターと担当者 (SOC/SecOps) の責任である、定期的で予測可能なエンリッチメント、応答、修復タスクを自動化し、高度な脅威をより詳細に調査し、捜索するための時間とリソースを解放することです。
この記事では、Microsoft Sentinelの SOAR 機能について説明し、セキュリティ上の脅威に対応して自動化ルールとプレイブックを使用すると SOC の有効性が向上し、時間とリソースを節約する方法について説明します。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
自動化ルール
Microsoft Sentinelでは、自動化ルールを使用して、ユーザーが一元的な場所からインシデント処理の自動化を管理できるようにします。 自動化ルールを使用して、次の操作を行います。
- プレイブックを使用してインシデントとアラートに高度な自動化を割り当てる
- プレイブックなしでインシデントに自動的にタグ付け、割り当て、または終了する
- 複数の 分析ルール の応答を一度に自動化する
- インシデントのトリアージ、調査、修復時にアナリストが実行するタスクの一覧を作成する
- 実行されるアクションの順序を制御する
インシデントの作成時または更新時に自動化ルールを適用して、自動化をさらに合理化し、インシデント オーケストレーション プロセスの複雑なワークフローを簡素化することをお勧めします。
詳細については、「自動化ルールを使用したMicrosoft Sentinelでの脅威対応の自動化」を参照してください。
プレイブック
プレイブックは、応答アクションと修復アクションとロジックのコレクションであり、Microsoft Sentinelからルーチンとして実行できます。 プレイブックは次のことができます。
- 脅威対応の自動化と調整に役立つ
- 内部と外部の両方の他のシステムと統合する
- 特定のアラートまたはインシデントに応答して自動的に実行するように構成するか、新しいアラートに応答して手動でオンデマンドで実行するように構成する
Microsoft Sentinelでは、プレイブックは、Azure Logic Apps に組み込まれているワークフローに基づいています。これは、企業全体のシステム間でタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスです。 つまり、プレイブックは、Logic Apps の統合とオーケストレーション機能と使いやすい設計ツールのすべての機能とカスタマイズ性、および階層 1 Azure サービスのスケーラビリティ、信頼性、およびサービス レベルを利用できることを意味します。
詳細については、「Microsoft Sentinelのプレイブックを使用して脅威対応を自動化する」を参照してください。
Microsoft Defender ポータルでの自動化
Defender ポータルでのMicrosoft Sentinelの自動化のしくみに関する次の詳細に注意してください。 Azure portalから Defender ポータルに移行している既存の顧客の場合は、Defender ポータルにオンボードした後のワークスペースでの自動化機能の方法に違いがあることに注意してください。
| 機能 | 説明 |
|---|---|
| アラート トリガーを使用した自動化ルール | Defender ポータルでは、アラート トリガーを含む自動化ルールは、Microsoft Sentinelアラートに対してのみ機能します。 詳細については、「 アラート作成トリガー」を参照してください。 |
| インシデント トリガーを使用した自動化ルール | Azure portalと Defender ポータルの両方で、インシデント プロバイダー条件プロパティは削除されます。すべてのインシデントには、インシデント プロバイダーとして Microsoft XDR が含まれています ([ProviderName] フィールドの値)。 その時点で、既存の自動化ルールは、インシデント プロバイダーの条件が Microsoft Sentinel または Microsoft 365 Defender のみに設定されているものも含め、Microsoft SentinelインシデントとMicrosoft Defender XDRインシデントの両方で実行されます。 ただし、特定の分析ルール名を指定する自動化ルールは、指定された分析ルールによって作成されたアラートを含むインシデントでのみ実行されます。 つまり、分析ルール名の条件プロパティを、Microsoft Sentinelにのみ存在する分析ルールに定義して、Microsoft Sentinelでのみインシデントに対して実行するようにルールを制限できます。 また、Defender ポータルにオンボードした後、 SecurityIncident テーブルに [説明] フィールドが含まれるようになりました。 そこで: - インシデント作成トリガーを使用して自動化ルールの条件としてこの [説明] フィールドを使用している場合、Defender ポータルにオンボードした後、その自動化ルールは機能しません。 このような場合は、構成を適切に更新してください。 詳細については、「 インシデント トリガーの条件」を参照してください。 - ServiceNowなど、外部チケット システムとの統合が構成されている場合、インシデントの説明は表示されません。 |
| プレイブック トリガーの待機時間 | Microsoft DefenderインシデントがMicrosoft Sentinelに表示されるまでに最大 5 分かかる場合があります。 この遅延が存在する場合は、プレイブックのトリガーも遅延されます。 |
| 既存のインシデント名の変更 | Defender ポータルでは、一意のエンジンを使用してインシデントとアラートを関連付けます。 ワークスペースを Defender ポータルにオンボードするときに、関連付けを適用すると、既存のインシデント名が変更される可能性があります。 したがって、自動化ルールが常に正しく実行されるようにするには、インシデント タイトルを自動化ルールの条件条件として使用しないことをお勧めします。代わりに、インシデントに含まれるアラートを作成した分析ルールの名前と、より詳細な情報が必要な場合はタグを使用することをお勧めします。 |
| フィールド別に更新 | 詳細については、「 インシデント更新トリガー」を参照してください。 |
| インシデントから自動化ルールを直接作成する | インシデントから直接自動化ルールを作成することは、Azure portalでのみサポートされます。 Defender ポータルで作業している場合は、 Automation ページから 自動化ルールをゼロから作成します。 |
| Microsoft インシデント作成ルール | Microsoft インシデント作成ルールは、Defender ポータルではサポートされていません。 詳細については、「Microsoft Defender XDR インシデントと Microsoft インシデント作成ルール」を参照してください。 |
| Defender ポータルからの自動化ルールの実行 | アラートがトリガーされ、Defender ポータルでインシデントが作成または更新され、自動化ルールが実行されるまでに最大で 10 分かかる場合があります。 このタイム ラグは、インシデントが Defender ポータルで作成された後、自動化ルールのMicrosoft Sentinelに転送されるためです。 |
| [アクティブなプレイブック] タブ | Defender ポータルにオンボードした後、既定では、[ アクティブなプレイブック ] タブには、オンボードされたワークスペースのサブスクリプションを含む定義済みのフィルターが表示されます。 Azure portalで、サブスクリプション フィルターを使用して他のサブスクリプションのデータを追加します。 詳細については、「テンプレートからプレイブックMicrosoft Sentinel作成およびカスタマイズする」を参照してください。 |
| 必要に応じてプレイブックを手動で実行する | Defender ポータルでは、次の手順は現在サポートされていません。 |
| インシデントでプレイブックを実行するには、Microsoft Sentinel同期が必要です | Defender ポータルからインシデントでプレイブックを実行しようとして、「このアクションに関連するデータにアクセスできません。数分後に画面を更新する」というメッセージが表示される場合は、インシデントがまだMicrosoft Sentinelに同期されていないことを意味します。 インシデントが同期された後にインシデント ページを更新してプレイブックを正常に実行します。 |
|
インシデント: インシデントへのアラートの追加 / インシデントからのアラートの削除 |
ワークスペースを Defender ポータルにオンボードした後、インシデントへのアラートの追加やインシデントからのアラートの削除はサポートされていないため、これらのアクションはプレイブック内からもサポートされません。 詳細については、「 Defender ポータルでのアラートの関連付けとインシデントのマージ方法について」を参照してください。 |
| 複数のワークスペースでのMicrosoft Defender XDR統合 | XDR データを 1 つのテナントに複数のワークスペースと統合した場合、データは Defender ポータルのプライマリ ワークスペースにのみ取り込まれるようになります。 自動化ルールを関連するワークスペースに転送して、それらを実行し続けます。 |
| オートメーションと相関エンジン | 相関エンジンは、複数のシグナルからのアラートを 1 つのインシデントに結合する可能性があります。これにより、予期していなかったデータが自動化で受信される可能性があります。 期待される結果が表示されるように、自動化ルールを確認することをお勧めします。 |