この記事では、自動化ルールを使用してインシデント タスクのリストを作成し、Microsoft Sentinelのアナリスト ワークフロー プロセスを標準化する方法について説明します。
インシデント タスク は、自動化ルールだけでなく、プレイブックによって、またインシデント内から手動でアドホックに自動的に作成できます。
さまざまなロールのユース ケース
この記事では、SOC マネージャー、シニア アナリスト、オートメーション エンジニアに適用される次のシナリオについて説明します。
別のこのようなシナリオについては、次のコンパニオン記事を参照してください。
次のリンクにある別の記事では、SOC アナリストにさらに適用されるシナリオについて説明します。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
前提条件
Microsoft Sentinelレスポンダー ロールは、自動化ルールを作成したり、インシデントを表示および編集したりするために必要です。どちらもタスクの追加、表示、編集に必要です。
インシデント タスク アクションを使用して自動化ルールを表示する
[オートメーション] ページでは、オートメーション ルールのビューをフィルター処理して、[タスク アクションの追加] が定義されているルールのみを表示できます。
[アクション] フィルターを選択します。
[ すべて選択 ] チェック ボックスをオフにします。
下にスクロールし、[ タスクの追加] チェック ボックスをオンにします。
[ OK] を選択 し、結果を表示します。
これらは、インシデントにタスクを追加する自動化ルールです。 [分析ルール名] 列には、これらの自動化ルールに条件付けされている分析ルールが表示されるため、影響を受けるインシデントの概要を把握できます。
注:
自動化ルールが特定のインシデントに適用されるかどうかを正確に把握するには、分析ルールの条件に加えて、追加の条件が定義されているかどうかを確認するためにルールを開く必要があります。 他の条件が定義されている場合は、影響を受けるインシデントの範囲がそれに応じて狭められます。
自動化ルールを使用してインシデントにタスクを追加する
[ オートメーション ] ページで、[ + 作成 ] を選択し、[ オートメーション ルール] を選択します。
右側に [ 新しい自動化ルールの作成 ] パネルが開きます。
オートメーション ルールに、その動作を説明する名前を付けます。[ インシデントが作成されたとき ] をトリガーとして選択します ([ インシデントが更新されたとき] を使用することもできます)。
条件を追加して、新しいタスクを追加するインシデントを決定します。
たとえば、 Analytics ルール名でフィルター処理します。
分析ルールまたは特定のワークフローに従って処理する必要がある分析ルールのグループによって検出された脅威の種類に基づいて、インシデントにタスクを追加できます。 ドロップダウン リストから関連する分析ルールを検索して選択します。
または、すべての種類の脅威に対してインシデントに関連するタスクを追加することもできます (この場合は、既定の [ すべて ] をそのまま選択します)。
どちらの場合も、さらに条件を追加して、自動化ルールが適用されるインシデントの範囲を絞り込むことができます。 詳細については、 自動化ルールへの高度な条件の追加に関するページを参照してください。
考慮する必要がある点の 1 つは、インシデントにタスクが表示される順序が、タスクの作成時間によって決まるということです。 自動化ルールの順序を設定すると、すべてのインシデントに必要なタスクを追加するルールが最初に実行され、その後、特定の分析ルールによって生成されたインシデントに必要なタスクを追加するルールのみが実行されます。
[ アクション] で、[ タスクの追加] を選択します。
![オートメーション ルールで [タスクの追加] アクションを選択しているスクリーンショット。](media/create-tasks-automation-rule/add-task-action.png)
タスクごとに、[ タスク タイトル ] フィールドにタイトルを入力し、(必要に応じて) [ + 説明の追加] を選択して説明フィールドを開きます。
インシデントのタスク リスト パネルには、既定でタスク タイトルのみが表示されます。 タスクの説明は、タスク アイテムが展開されている場合にのみ表示されます。
説明フィールドでは、画像、リンク、リッチ テキストの書式設定など、タスクの自由形式の説明を追加できます (下の例では、ハイパーリンク、番号付きリスト、コード ブロック形式のテキストを参照してください)。
[ + アクションの追加 ] を選択し、最後の 3 つの手順を繰り返して、同じインシデント グループにさらにタスクを追加します。
タスクが作成され、自動化ルールの [ タスクの追加 ] アクションの順序に従ってインシデントに追加されます。
残りの手順、ルールの有効期限と注文を完了し、最後に [適用] を選択して、自動化ルールの作成を完了します。 詳細については、「Microsoft Sentinel自動化ルールを作成して使用して応答を管理する」を参照してください。
[順序] 設定について: インシデントにタスクが表示される順序は、次の 2 つの点によって異なります。
- [順序] 設定の数値によって決まる、自動化ルールの実行 順序 。..
- 各オートメーション ルール内で定義されているタスクアクションの 追加 の順序。
次の手順
- インシデント タスクの詳細については、こちらをご覧ください。
- インシデントを調査する方法について説明します。
- プレイブックを使用してインシデントのグループにタスクを自動的に追加する方法について説明します。
- タスクを使用して、Microsoft Sentinelのインシデント ワークフローを処理する方法について説明します。
- 自動化ルールとその作成方法について詳しくは、こちらをご覧ください。