プレイブックを使用してMicrosoft Sentinelでインシデント タスクを作成して実行する

この記事では、プレイブックを使用してインシデント タスクを作成し、必要に応じて実行して、Microsoft Sentinelで複雑なアナリスト ワークフロー プロセスを管理する方法について説明します。

プレイブックの [タスクの追加] アクション (Microsoft Sentinel コネクタ) を使用して、プレイブックをトリガーしたインシデントにタスクを自動的に追加します。 Standardワークフローと従量課金ワークフローの両方がサポートされています。

詳細については、「タスクを使用してMicrosoft Sentinelでインシデントを管理する」を参照してください。

前提条件

• インシデントを表示および編集するには、Microsoft Sentinelレスポンダー ロールが必要です。これは、タスクの追加、表示、編集に必要です。

• プレイブックを作成および編集するには、 Logic Apps 共同作成者 ロールが必要です。

詳細については、「プレイブックの前提条件Microsoft Sentinel」を参照してください。

プレイブックを使用してタスクを追加して実行する

このセクションでは、次の操作を行うプレイブック アクションを追加する手順の例を示します。

• セキュリティ侵害されたユーザーのパスワードをリセットして、インシデントにタスクを追加します
• Microsoft Entra ID Protection (AADIP) にシグナルを送信して実際にパスワードをリセットする別のプレイブック アクションを追加します
• インシデントのタスクを完了としてマークする最後のプレイブック アクションを追加します。

これらのアクションを追加して構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、[インシデントにタスクを追加] アクションを追加し、次の操作を行います。

   1. [ インシデント ARM ID ] フィールドの [ インシデント ARM ID ] 動的コンテンツ項目を選択します。

   2. タイトルとして 「ユーザー パスワードのリセット 」と入力 します。

   3. 省略可能な説明を追加します。

   例:

   

2. [エンティティ - アカウントの取得 (プレビュー)] アクションを追加します。 エンティティの動的コンテンツ 項目 (Microsoft Sentinel インシデント スキーマから) を [エンティティ] リスト フィールドに追加します。 例:

   

3. コントロール アクション ライブラリから For ループを追加します。 [エンティティ - アカウントの取得] 出力の [アカウント] 動的コンテンツ 項目を [前の手順の出力の選択] フィールドに追加します。 例:

   

4. [ For each]\(各ループ\ ) で、[ アクションの追加] を選択します。 その後で以下の手順に従います。

   1. Microsoft Entra ID Protection コネクタを検索して選択する
   2. [ 危険なユーザーを侵害済みとして確認する (プレビュー)] アクションを選択します。
   3. [アカウント] Microsoft Entraユーザー ID の動的コンテンツ 項目を userIds Item - 1 フィールドに追加します。

   このアクションは、ユーザーのパスワードをリセットするために、Microsoft Entra ID Protection 内のモーション プロセスに設定されます。

   

   注:

   [アカウント Microsoft Entra ユーザー ID] フィールドは、AADIP でユーザーを識別する 1 つの方法です。 すべてのシナリオで必ずしも最良の方法であるとは限りませんが、例としてここに示されています。

   サポートについては、侵害されたユーザーを処理する他のプレイブック、またはMicrosoft Entra ID Protection のドキュメントを参照してください。

5. Microsoft Sentinel コネクタから [タスクを完了済みとしてマークする] アクションを追加し、[インシデント タスク ID] 動的コンテンツ 項目を [タスク ARM ID] フィールドに追加します。 例:

   

プレイブックを使用してタスクを条件付きで追加する

このセクションでは、インシデントに表示される IP アドレスを調査するプレイブック アクションを追加するためのサンプル 手順について説明します。

• この調査の結果、IP アドレスが悪意のある場合、プレイブックはアナリストがその IP アドレスを使用してユーザーを無効にするタスクを作成します。
• IP アドレスが既知の悪意のあるアドレスでない場合、プレイブックによって別のタスクが作成され、アナリストがユーザーに連絡してアクティビティを確認します。

これらのアクションを追加して構成するには、次の手順を実行します。

1. Microsoft Sentinel コネクタから、[エンティティ - IP の取得] アクションを追加します。 エンティティの動的コンテンツ 項目 (Microsoft Sentinel インシデント スキーマから) を [エンティティ] リスト フィールドに追加します。 例:

   

2. コントロール アクション ライブラリから For ループを追加します。 [エンティティ - IP の取得] 出力から IP 動的コンテンツ 項目を [前の手順の出力の選択] フィールドに追加します。 例:

   

3. [ For each ] ループ内で、[ アクションの追加] を選択し、次の操作を行います。

   1. [ウイルスの合計] コネクタを検索して選択します。
   2. [ IP レポートの取得 (プレビュー)] アクションを 選択します。
   3. [エンティティ - IP の取得] 出力から IP アドレスの動的コンテンツ 項目を [IP アドレス] フィールドに追加します。

   例:

   

4. [ For each ] ループ内で、[ アクションの追加] を選択し、次の操作を行います。

   1. コントロール アクション ライブラリから条件を追加します。
   2. [IP レポートの取得] 出力から [最終分析統計] [悪意のある動的コンテンツ] 項目を追加します。 [ 詳細 ] を選択して検索する必要がある場合があります。
   3. [ より大きい ] 演算子を選択し、値として「 0 」と入力します。

   この条件は、「ウイルスの合計 IP レポートに結果がありましたか」という質問をします。例えば：

   

5. [True] オプションで、[アクションの追加] を選択し、次の操作を行います。

   1. Microsoft Sentinel コネクタから [インシデントにタスクを追加する] アクションを選択します。
   2. [ インシデント ARM ID ] フィールドの [ インシデント ARM ID ] 動的コンテンツ項目を選択します。
   3. タイトル として「ユーザーを侵害済みとしてマーク する」と入力 します。
   4. 省略可能な説明を追加します。

   例:

   

6. [False] オプションで、[アクションの追加] を選択し、次の操作を行います。

   1. Microsoft Sentinel コネクタから [インシデントにタスクを追加する] アクションを選択します。
   2. [ インシデント ARM ID ] フィールドの [ インシデント ARM ID ] 動的コンテンツ項目を選択します。
   3. 「 ユーザーに連絡する」と入力して、アクティビティを[タイトル] として確認します。
   4. 省略可能な説明を追加します。

   例:

   

関連コンテンツ

詳細については、以下を参照してください:

• Microsoft Sentinelを使用してインシデントを調査する
• 自動化ルールを使用してMicrosoft Sentinelでインシデント タスクを作成する
• Microsoft Sentinelでのインシデント タスクの操作