Microsoft Sentinelは、自動化ルールとプレイブックを備えたセキュリティ オーケストレーション、オートメーション、および応答 (SOAR) 機能を提供します。 自動化ルールは簡単なインシデント処理と対応を容易にしますが、プレイブックでは、脅威に対応して修復するために、より複雑な一連のアクションが実行されます。 この記事では、SOAR のユース ケースを特定する方法と、Splunk SOAR オートメーションを自動化ルールとプレイブックをMicrosoft Sentinelに移行する方法について説明します。
オートメーション ルールとプレイブックの違いの詳細については、次の記事を参照してください。
SOAR のユース ケースを特定する
SPLunk から SOAR ユース ケースを移行する際に考慮する必要がある点を次に示します。
- ユース ケースの品質。 明確に定義された手順に基づいて自動化ユース ケースを選択し、バリエーションを最小限に抑え、誤検知率を低くします。
- 手動による介入。 自動応答は、幅広い効果を持つことができます。 影響の大きい自動化には、影響の大きいアクションを実行する前に確認するための人間の入力が必要です。
- バイナリ条件。 応答の成功を高めるために、自動化されたワークフロー内の意思決定ポイントは、バイナリ条件を使用して、可能な限り制限する必要があります。 自動意思決定に 2 つの変数しかない場合、人間の介入の必要性が減り、結果の予測可能性が高まります。
- 正確なアラートまたはデータ。 応答アクションは、アラートなどのシグナルの精度に依存します。 アラートとエンリッチメント ソースは信頼できる必要があります。 信頼度の高いウォッチリストや脅威インテリジェンスなどのMicrosoft Sentinelリソースは、信頼性を高めます。
- アナリスト ロール。 自動化は優れているものの、アナリストにとって最も複雑なタスクを予約します。 検証を必要とするワークフローへの入力の機会を提供します。 要するに、応答の自動化では、アナリスト機能を拡張する必要があります。
SOAR ワークフローを移行する
このセクションでは、Splunk SOAR の主要な概念がMicrosoft Sentinelコンポーネントにどのように変換されるかを示し、SOAR ワークフロー内の各ステップまたはコンポーネントを移行する方法の一般的なガイドラインを示します。
| ステップ (図) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | メイン インデックスにイベントを取り込みます。 | Log Analytics ワークスペースにイベントを取り込みます。 |
| 2 | コンテナーを作成します。 | カスタム詳細機能を使用してインシデントにタグを付けます。 |
| 3 | ケースを作成します。 | Microsoft Sentinelは、共有エンティティや重大度など、ユーザー定義の条件に従ってインシデントを自動的にグループ化できます。 次に、これらのアラートによってインシデントが生成されます。 |
| 4 | プレイブックを作成します。 | Azure Logic Apps では、複数のコネクタを使用して、Microsoft Sentinel、Azure、サード パーティ、ハイブリッド クラウド環境全体でアクティビティを調整します。 |
| 4 | ブックを作成します。 | Microsoft Sentinelは、プレイブックを分離して実行するか、順序付けされたオートメーション ルールの一部として実行します。 定義済みの Security Operations Center (SOC) 手順に従って、アラートまたはインシデントに対してプレイブックを手動で実行することもできます。 |
SOAR コンポーネントのマップ
主要な Splunk SOAR コンポーネントにマップされる Logic Apps 機能Microsoft SentinelまたはAzureを確認します。
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| プレイブック エディター | ロジック アプリ デザイナー |
| トリガー | Trigger |
| •コネクタ •アプリ • Automation Broker |
• コネクタ • Hybrid Runbook Worker |
| アクション ブロック | 操作 |
| 接続ブローカー | Hybrid Runbook Worker |
| Community | • [Automation > テンプレート] タブ • コンテンツ ハブ カタログ • GitHub |
| Decision | 条件付き制御 |
| コード | Azure関数コネクタ |
| プロンプト | 承認メールの送信 |
| フォーマット | データ操作 |
| 入力プレイブック | 以前に実行したステップまたは明示的に宣言された変数の結果から変数入力を取得する |
| ユーティリティ ブロック API ユーティリティを使用してパラメーターを設定する | API を使用してインシデントを管理する |
Microsoft Sentinelでのプレイブックと自動化ルールの運用化
Microsoft Sentinelで使用するプレイブックのほとんどは、[Automation > テンプレート] タブ、コンテンツ ハブ カタログ、または GitHub のいずれかで使用できます。 ただし、場合によっては、プレイブックをゼロから作成するか、既存のテンプレートから作成する必要があります。
通常、Azure Logic App Designer機能を使用してカスタム ロジック アプリをビルドします。 ロジック アプリ コードは、Azure Resource Manager (ARM) テンプレートに基づいており、複数の環境にわたるAzure Logic Apps の開発、デプロイ、移植性を容易にします。 カスタム プレイブックをポータブル ARM テンプレートに変換するには、 ARM テンプレート ジェネレーターを使用できます。
これらのリソースは、最初から、または既存のテンプレートから独自のプレイブックを構築する必要がある場合に使用します。
- Microsoft Sentinelでのインシデント処理を自動化する
- Microsoft Sentinelのプレイブックを使用して脅威対応を自動化する
- チュートリアル: Microsoft Sentinelでオートメーション ルールでプレイブックを使用する
- インシデント対応、オーケストレーション、自動化にMicrosoft Sentinelを使用する方法
- Microsoft Sentinelでのインシデント対応を強化するためのアダプティブ カード
SOAR 移行後のベスト プラクティス
SOAR 移行後に考慮する必要があるベスト プラクティスを次に示します。
- プレイブックを移行したら、プレイブックを広範囲にテストして、移行されたアクションが期待どおりに動作することを確認します。
- AUTOMATION を定期的に確認して、SOAR をさらに簡素化または強化する方法を確認します。 Microsoft Sentinelは、現在の応答実装の有効性をさらに簡素化または向上させるために役立つ新しいコネクタとアクションを常に追加します。
- プレイブックの正常性監視ブックを使用して 、プレイブックのパフォーマンスを監視します。
- マネージド ID とサービス プリンシパルを使用する: Logic Apps 内のさまざまなAzure サービスに対して認証し、シークレットをAzure Key Vaultに格納し、フロー実行の出力を隠します。 また、 これらのサービス プリンシパルのアクティビティを監視することをお勧めします。
次の手順
この記事では、SOAR オートメーションを Splunk から Microsoft Sentinel にマップする方法について説明しました。