Microsoft Sentinel自動化ルールを作成して使用して応答を管理する

この記事では、SOC の効率と有効性を最大化するために、Microsoft Sentinelで自動化ルールを作成して使用して脅威の対応を管理および調整する方法について説明します。

この記事では、自動化ルールの実行タイミングを決定するトリガーと条件、ルールで実行できるさまざまなアクション、残りの機能を定義する方法について説明します。

自動化ルールを設計する

自動化ルールを作成する前に、ルールを構成するトリガー、条件、アクションなど、そのスコープと設計を決定することをお勧めします。

スコープを決定する

自動化ルールを設計および定義する最初の手順は、適用するインシデントまたはアラートを見つけ出すことです。 この決定は、ルールの作成方法に直接影響します。

ユース ケースも決定する必要があります。 この自動化で何を達成しようとしていますか? 次のオプションを検討してください。

• アナリストがインシデントのトリアージ、調査、修復に従うタスクを作成します。
• ノイズの多いインシデントを抑制します。 (または、他のメソッドを使用して、Microsoft Sentinelで誤検知を処理します)。
• 状態を [新規] から [アクティブ] に変更し、所有者を割り当てることで、新しいインシデントをトリアージします。
• インシデントにタグを付けて分類します。
• 新しい所有者を割り当ててインシデントをエスカレートします。
• 解決されたインシデントを閉じ、理由を指定し、コメントを追加します。
• インシデントの内容 (アラート、エンティティ、およびその他のプロパティ) を分析し、プレイブックを呼び出してさらにアクションを実行します。
• 関連付けられたインシデントなしでアラートを処理または応答します。

トリガーを決定する

新しいインシデントまたはアラートが作成されたときに、この自動化をアクティブ化しますか? または、インシデントが更新された場合は、

自動化ルールは、インシデントが作成または更新されたとき、またはアラートが作成されたときにトリガーされます。 インシデントにはアラートが含まれており、「Microsoft Sentinelの脅威検出」で説明されているように、アラートとインシデントの両方を分析ルールによって作成できることを思い出してください。

次の表に、自動化ルールを実行させるさまざまなシナリオを示します。

自動化ルールを作成する

次の手順のほとんどは、自動化ルールを作成するすべてのユース ケースに適用されます。

ノイズの多いインシデントを抑制し、Azure portalで作業している場合は、誤検知を処理してみてください。

特定の分析ルールに適用する自動化ルールを作成する場合は、「 自動応答を設定してルールを作成する」を参照してください。

自動化ルールを作成するには:

1. Azure portalでMicrosoft Sentinelする場合は、[構成>Automation] ページを選択します。 Defender ポータルでMicrosoft Sentinelする場合は、[Microsoft Sentinel>Configuration>Automation] を選択します。

2. Microsoft Sentinel ナビゲーション メニューの [オートメーション] ページで、上部のメニューから [作成] を選択し、[オートメーション ルール] を選択します。

   • Defender ポータル
   • Azure portal

   

3. [ 新しい自動化ルールの作成 ] パネルが開きます。 [ オートメーション ルール名 ] フィールドに、ルールの名前を入力します。

トリガーを選択する

[トリガー] ドロップダウンから、自動化ルールを作成する状況に応じて適切なトリガーを選択します。インシデントが作成されたとき、インシデントが更新されたとき、またはアラートが作成されたとき。

条件を定義する

[ 条件] 領域のオプションを使用して、オートメーション ルールの条件を定義します。 すべての条件で大文字と小文字が区別されません。

• アラートが作成されたときに作成するルールでは、条件の If Analytic ルール名 プロパティのみがサポートされます。 ルールを包括 (包含) または排他 (含まない) にするかどうかを選択し、ドロップダウン リストから分析ルール名を選択します。

  分析ルール名の値には分析ルールのみが含まれており、脅威インテリジェンスや異常ルールなど、他の種類のルールは含まれません。

• インシデントの作成時または更新時に作成するルールは、環境に応じてさまざまな条件をサポートします。 これらのオプションは、Defender ポータルにMicrosoft Sentinelオンボードした状態から始まります。

  • Defender ポータルへのオンボード
  • Defender ポータルにオンボードされていない

  ワークスペースが Defender ポータルにオンボードされている場合は、まず、Azureまたは Defender ポータルで次のいずれかの演算子を選択します。

  • AND: グループとして評価される個々の条件。 ルールは、この型 のすべての 条件が満たされた場合に実行されます。

    AND 演算子を操作するには、[+ 追加] 展開ツールを選択し、ドロップダウン リストから [条件 (And)] を選択します。 条件の一覧は、インシデント プロパティフィールドと エンティティ プロパティ フィールドによって設定されます。

  • OR ( 条件グループとも呼ばれます): 条件のグループ。それぞれの条件は個別に評価されます。 1 つ以上の条件グループが true の場合、ルールが実行されます。 これらの複雑な種類の条件を操作する方法については、「 自動化ルールに高度な条件を追加する」を参照してください。

  例:

  

  [ インシデントがトリガーとして更新されたとき ] を選択した場合は、まず条件を定義してから、必要に応じて演算子と値を追加します。

条件を定義するには:

1. 左側の最初のドロップダウン ボックスからプロパティを選択します。 検索ボックスにプロパティ名の任意の部分を入力して、リストを動的にフィルター処理して、探しているものをすばやく見つけることができます。

   

2. 右側の次のドロップダウン ボックスから演算子を選択します。

   選択できる演算子の一覧は、選択したトリガーとプロパティによって異なります。 Defender ポータルで作業する場合は、インシデント タイトルの代わりに 分析ルール名 の条件を使用することをお勧めします。

   作成トリガーで使用できる条件

   プロパティ	演算子セット
   - タイトル - 説明 - 一覧表示されているすべての エンティティ プロパティ   ( サポートされているエンティティ プロパティを参照)	- Equals/Does not equal - Contains/Not contain - で始まる/で始まらない - で終わる/で終わらない
   - タグ ( 個々のコレクションとコレクションを参照)	個々のタグ: - Equals/Does not equal - Contains/Not contain - で始まる/で始まらない - で終わる/で終わらない すべてのタグのコレクション: - Contains/Not contain
   - 重大 度 - ステータス - カスタム詳細キー	- Equals/Does not equal
   - 戦術 - 警告製品名 - カスタムの詳細値 - 分析ルール名	- Contains/Not contain

   更新トリガーで使用できる条件

   プロパティ	演算子セット
   - タイトル - 説明 - 一覧表示されているすべての エンティティ プロパティ   ( サポートされているエンティティ プロパティを参照)	- Equals/Does not equal - Contains/Not contain - で始まる/で始まらない - で終わる/で終わらない
   - タグ ( 個々のコレクションとコレクションを参照)	個々のタグ: - Equals/Does not equal - Contains/Not contain - で始まる/で始まらない - で終わる/で終わらない すべてのタグのコレクション: - Contains/Not contain
   - タグ (上記に加えて) - アラート - コメント	-追加
   - 重大 度 - ステータス	- Equals/Does not equal -変更 - から変更 - に変更されました
   - 所有者	-変更。 API を使用してインシデントの所有者が更新された場合、自動化ルールによって変更を検出するには 、userPrincipalName または ObjectID を含める必要があります。
   - 更新者 - カスタム詳細キー	- Equals/Does not equal
   - 戦術	- Contains/Not contain -追加
   - 警告製品名 - カスタムの詳細値 - 分析ルール名	- Contains/Not contain

   アラート トリガーで使用できる条件

   アラート作成トリガーに基づいてルールによって評価できる唯一の条件は、Microsoft Sentinel分析ルールによってアラートが作成された条件です。

   アラート トリガーに基づく自動化ルールは、Microsoft Sentinelによって作成されたアラートでのみ実行されます。

3. 右側のフィールドに値を入力します。 選択したプロパティによっては、値の閉じた一覧から選択するテキスト ボックスまたはドロップダウンがあります。 テキスト ボックスの右側にあるダイス アイコンを選択して、いくつかの値を追加することもできます。

   

ここでも、フィールドが異なる複雑な Or 条件を設定する場合は、「 自動化ルールに高度な条件を追加する」を参照してください。

タグに基づく条件

タグに基づいて 2 種類の条件を作成できます。

• [任意の個々のタグ演算子] の条件は、コレクション内のすべてのタグに対して指定された値を評価します。 評価は、少なくとも 1 つのタグが条件を満たす場合に true です。
• [すべてのタグのコレクション] 演算子を使用する条件では、指定した値がタグのコレクションに対して 1 つの単位として評価されます。 評価は、コレクション全体が条件を満たす場合にのみ true です。

インシデントのタグに基づいてこれらの条件のいずれかを追加するには、次の手順を実行します。

1. 上記のように、新しい自動化ルールを作成します。

2. 条件または条件グループを追加します。

3. [プロパティ] ドロップダウン リストから [ タグ ] を選択します。

4. [演算子] ドロップダウン リストを選択して、選択可能な演算子を表示します。

   • オンボードされたワークスペース
   • ワークスペースがオンボードされていない

   

   前に説明したように、演算子を 2 つのカテゴリに分割する方法について説明します。 タグの評価方法に基づいて、演算子を慎重に選択します。

   詳細については、「 Tag プロパティ: 個々のコレクションとコレクション」を参照してください。

カスタムの詳細に基づく条件

インシデントに表示されるカスタム詳細の値を、自動化ルールの条件として設定できます。 カスタムの詳細は、生のイベント ログ レコード内のデータ ポイントであり、アラートとそこから生成されたインシデントで表示および表示できることを思い出してください。 カスタムの詳細を使用して、クエリ結果を掘り下げることなく、アラート内の実際の関連コンテンツにアクセスします。

既知の制限: カスタムの詳細値を使用する場合、複数の (2 つ以上の) 個別の値が存在する場合、 含まない 演算子が正しく評価されない可能性があります。

カスタムの詳細に基づいて条件を追加するには:

1. 前に説明したように、新しい自動化ルールを作成します。

2. 条件または条件グループを追加します。

3. [プロパティ] ドロップダウン リストから [ カスタム詳細キー ] を選択します。 [演算子] ドロップダウン リストから [ 等 しい] または [ 等しくない ] を選択します。

   カスタム詳細条件の場合、最後のドロップダウン リストの値は、最初の条件に一覧表示されているすべての分析ルールで表示されたカスタムの詳細から取得されます。 条件として使用するカスタム詳細を選択します。

   

4. この条件に対して評価するフィールドを選択しました。 次に、この条件を true に評価するフィールドに表示される値を指定 します。
   [ + 項目の条件の追加] を選択します。

   

   値条件の行が下に表示されます。

   

5. [ 演算子] ドロップダウン リストから [含む] または [ 含まない ] を選択します。 右側のテキスト ボックスに、条件を true に評価する値を入力します。

   

この例では、インシデントにカスタムの詳細 DestinationEmail があり、その詳細の値が pwned@bad-botnet.com場合、自動化ルールで定義されているアクションが実行されます。

アクションの追加

この自動化ルールで実行するアクションを選択します。 使用可能なアクションには、 所有者の割り当て、 状態の変更、 重大度の変更、 タグの追加、 プレイブックの実行などがあります。 必要な数のアクションを追加できます。

選択したアクションに対して、実行内容に応じて、そのアクションに表示されるフィールドに入力します。

[プレイブックの実行] アクションを追加すると、使用可能なプレイブックのドロップダウン リストから選択するように求められます。

• インシデント トリガーで始まるプレイブックのみを、 いずれかのインシデント トリガー を使用して自動化ルールから実行できるため、一覧にのみ表示されます。 同様に、アラート トリガーで始まるプレイブックのみが 、アラート トリガー を使用する自動化ルールで使用できます。

• プレイブックを実行するには、Microsoft Sentinelに明示的なアクセス許可を付与する必要があります。 プレイブックがドロップダウン リストに表示されない場合は、Sentinelにそのプレイブックのリソース グループにアクセスするためのアクセス許可がないことを意味します。 アクセス許可を割り当てるには、[ プレイブックのアクセス許可の管理 ] リンクを選択します。

  開いた [アクセス許可の管理] パネルで、実行するプレイブックを含むリソース グループのチェック ボックスにマークを付け、[適用] を選択します。

  

  自分には、Microsoft Sentinelアクセス許可を付与するリソース グループに対する所有者アクセス許可が必要です。また、実行するプレイブックを含むリソース グループに対して、Microsoft Sentinel Automation 共同作成者ロールが必要です。

• 必要なアクションを実行するプレイブックがまだない場合は、 新しいプレイブックを作成します。 プレイブックを作成した後、オートメーション ルールの作成プロセスを終了して再起動する必要があります。

アクションを移動する

ルールを追加した後でも、ルール内のアクションの順序を変更できます。 各アクションの横にある青い上矢印または下矢印を選択して、1 ステップ上または下に移動します。

ルールの作成を完了する

1. [ ルールの有効期限] で、オートメーション ルールの有効期限を設定する場合は、有効期限を設定し、必要に応じて時刻を設定します。 それ以外の場合は、 無期限のままにします。

2. [ Order]\(注文 \) フィールドには、ルールのトリガーの種類に対して次に使用可能な番号が事前設定されています。 この数は、この規則が実行される一連の自動化規則 (同じトリガーの種類) の場所を決定します。 このルールを既存のルールの前に実行する場合は、番号を変更できます。

   詳細については、「 実行順序と優先度に関する注意事項」を参照してください。

3. [適用] を選択します。 これで完了です。

自動化ルール アクティビティの監査

特定のインシデントに対して行われた自動化ルールを確認します。 Azure portalの [ログ] ページの SecurityIncident テーブル、または Defender ポータルの [高度なハンティング] ページで、インシデントのクロニクルの完全な記録を利用できます。 次のクエリを使用して、すべての自動化ルール アクティビティを表示します。

SecurityIncident
| where ModifiedBy contains "Automation"

自動化ルールの実行

オートメーション ルールは、決定した順序に従って順番に実行されます。 各自動化ルールは、前の自動化規則の実行が完了した後に実行されます。 自動化ルール内では、すべてのアクションが定義されている順序で順番に実行されます。 詳細については、「 実行順序と優先度に関するメモ 」を参照してください。

オートメーション ルール内のプレイブック アクションは、状況によっては、次の条件に従って異なる方法で処理される場合があります。

次の手順

このドキュメントでは、自動化ルールを使用して、インシデントとアラートの応答自動化を一元的に管理Microsoft Sentinel方法について説明しました。

• OR演算子を使用して高度な条件を自動化ルールに追加する方法については、「自動化ルールに高度な条件を追加する」を参照Microsoft Sentinel。
• 自動化ルールの詳細については、「自動化ルールを使用したMicrosoft Sentinelでのインシデント処理の自動化」を参照してください。
• 高度な自動化オプションの詳細については、「Microsoft Sentinelのプレイブックを使用して脅威対応を自動化する」を参照してください。
• 自動化ルールを使用してインシデントにタスクを追加する方法については、「自動化ルールを使用してMicrosoft Sentinelでインシデント タスクを作成する」を参照してください。
• 自動化ルールによって呼び出されるアラート トリガー プレイブックを移行するには、「Microsoft Sentinelアラート トリガー プレイブックをオートメーション ルールに移行する」を参照してください。
• オートメーション ルールとプレイブックの実装に関するヘルプについては、「チュートリアル: プレイブックを使用してMicrosoft Sentinelで脅威の対応を自動化する」を参照してください。