チュートリアル: インシデントの IP アドレス評判情報を自動的にチェックして記録する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

インシデントの重大度を迅速かつ簡単に評価する方法の 1 つは、その中の IP アドレスが悪意のあるアクティビティのソースであることがわかっているかどうかを確認することです。 これを自動的に行う方法を使用すると、多くの時間と労力を節約できます。

このチュートリアルでは、Microsoft Sentinel自動化ルールとプレイブックを使用して、インシデント内の IP アドレスを脅威インテリジェンス ソースに対して自動的にチェックし、それぞれの結果を関連するインシデントに記録する方法について説明します。

このチュートリアルを完了すると、次のことができるようになります。

  • テンプレートからプレイブックを作成する
  • プレイブックの他のリソースへの接続を構成して承認する
  • プレイブックを呼び出すオートメーション ルールを作成する
  • 自動化されたプロセスの結果を確認する

重要

2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します

Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。

前提条件

このチュートリアルを完了するには、次の内容があることを確認します。

  • Azure サブスクリプション。 無料アカウントをまだ持っていない場合は、作成します。

  • Microsoft Sentinel ソリューションがデプロイされ、データが取り込まれる Log Analytics ワークスペース。

  • 次のリソースに次のロールが割り当てられているAzure ユーザー。

    • Microsoft Sentinelがデプロイされている Log Analytics ワークスペースの共同作成者Microsoft Sentinel。
    • ロジック アプリ共同作成者所有者 または同等のリソース グループに、このチュートリアルで作成したプレイブックが含まれるもの。

  • Content Hub からインストールされた VirusTotal ソリューション

  • このチュートリアルでは、(無料) VirusTotal アカウント で十分です。 運用環境の実装には、VirusTotal Premium アカウントが必要です。

  • Azureモニター エージェントは、環境内の少なくとも 1 つのマシンにインストールされ、インシデントが生成され、Microsoft Sentinelに送信されます。

テンプレートからプレイブックを作成する

Microsoft Sentinelには、カスタマイズして使用して多数の基本的な SecOps の目標とシナリオを自動化できる、既製のすぐに使用できるプレイブック テンプレートが含まれています。 インシデント内の IP アドレス情報を強化する IP アドレス情報を見つけましょう。

  1. Microsoft Sentinelで、[構成>Automation] を選択します。

  2. [オートメーション] ページで、[プレイブック テンプレート (プレビュー)] タブを選択します。

  3. エンティティ、インシデント、またはアラート トリガーの IP エンリッチメント - ウイルス総数レポート テンプレートのいずれかを見つけて選択します。 必要に応じて、 エンリッチメント タグでリストをフィルター処理して、テンプレートを見つけます。

  4. 詳細ウィンドウから [ プレイブックの作成 ] を選択します。 例:

    IP エンリッチメント - ウイルスの合計レポート - エンティティ トリガー テンプレートが選択されているスクリーンショット。

  5. プレイブックの作成ウィザードが開きます。 [基本] タブで、次の 操作 を行います。

    1. それぞれのドロップダウン リストから サブスクリプションリソース グループリージョン を選択します。

    2. 推奨される名前 "Get-VirusTotalIPReport" の末尾にを追加して、プレイブック名を編集します。 この方法では、このプレイブックの元のテンプレートを確認しながら、同じテンプレートから別のプレイブックを作成する場合に備えて一意の名前を付けることができます。 "Get-VirusTotalIPReport-Tutorial-1" と呼びましょう。

    3. [Log Analytics でログ診断を有効にする] オプションはオフのままにします。

    4. [ 次へ: 接続] >を選択します。

  6. [ 接続 ] タブには、このプレイブックが他のサービスに対して行う必要があるすべての接続と、同じリソース グループ内の既存の Logic App ワークフローで接続が既に行われている場合に使用される認証方法が表示されます。

    1. Microsoft Sentinel接続はそのままにしておきます ("マネージド ID で接続する" と表示されます)。

    2. 接続に "新しい接続が構成されます" と表示される場合は、チュートリアルの次の段階でこれを行うように求められます。 または、これらのリソースへの接続が既にある場合は、接続の左側にある展開矢印を選択し、展開された一覧から既存の接続を選択します。 この演習では、そのままにします。

      プレイブック作成ウィザードの [接続] タブのスクリーンショット。

    3. [次へ] を選択します。>を確認して作成します。

  7. [ レビューと作成 ] タブで、ここに表示されているとおりに入力したすべての情報を確認し、[ プレイブックの作成] を選択します。

    プレイブック作成ウィザードの [確認と作成] タブのスクリーンショット。

    プレイブックがデプロイされると、その進行状況に関する一連の簡単な通知が表示されます。 その後、 ロジック アプリ デザイナー が開き、プレイブックが表示されます。 プレイブックを実行できるように、操作するリソースへのロジック アプリの接続を承認する必要があります。 次に、プレイブックの各アクションを確認して、環境に適していることを確認し、必要に応じて変更を加えます。

    ロジック アプリ デザイナー ウィンドウで開いているプレイブックのスクリーンショット。

ロジック アプリの接続を承認する

テンプレートからプレイブックを作成したときに、Azure Log Analytics データ コレクターとウイルスの合計接続が後で構成されると言われたことを思い出してください。

プレイブック作成ウィザードのレビュー情報のスクリーンショット。

これを行う場所を次に示します。

ウイルスの合計接続を承認する

  1. [ For each]\(各 アクション\) を選択して展開し、その内容を確認します。これには、各 IP アドレスに対して実行されるアクションが含まれます。 例:

    ロジック アプリ デザイナーの for-each ループ ステートメント アクションのスクリーンショット。

  2. 最初に表示されるアクション 項目は[ 接続] というラベルが付き、オレンジ色の警告三角形があります。

    代わりに、その最初のアクションに [ IP レポートの取得 (プレビュー)] というラベルが付いている場合は、ウイルス合計への既存の接続が既にあり、 次の手順に進むことができます。

    1. [ 接続 ] アクションを選択して開きます。

    2. 表示されている接続の [無効] 列のアイコンを選択します。

      無効なウイルスの合計接続構成のスクリーンショット。

      接続情報の入力を求められます。

      [ウイルスの合計] に API キーとその他の接続の詳細を入力する方法を示すスクリーンショット。

    3. 接続名として「ウイルスの合計」と入力します。

    4. x-api_keyの場合は、ウイルスの合計アカウントから API キーをコピーして貼り付けます。

    5. [更新] を選択します。

    6. これで、[ IP レポートの取得 (プレビュー)] アクションが正しく表示されます。 (ウイルスの合計アカウントを既に持っていた場合, あなたは既にこの段階になります。)

      IP アドレスをウイルスの合計に送信して、そのレポートを受信するアクションを示すスクリーンショット。

Log Analytics 接続を承認する

次のアクションは、IP アドレス レポートの結果に基づいて、各ループのアクションの残りの部分を決定する 条件 です。 レポートの IP アドレスに与えられた 評判 スコアを分析します。 0 より大きいスコアは、アドレスが無害であることを示します。スコアが 0 より低い場合は、悪意があることを示します。

ロジック アプリ デザイナーでの条件アクションのスクリーンショット。

条件が true か false かに関係なく、Log Analytics のテーブルにレポート内のデータを送信して、クエリと分析を行い、インシデントにコメントを追加します。

ただし、ご覧のとおり、承認する必要がある無効な接続が増えています。

定義された条件の true シナリオと false シナリオを示すスクリーンショット。

  1. True フレームで [接続] アクションを選択します。

  2. 表示されている接続の [無効] 列のアイコンを選択します。

    無効な Log Analytics 接続構成のスクリーンショット。

    接続情報の入力を求められます。

    Log Analytics のワークスペース ID とキーとその他の接続の詳細を入力する方法を示すスクリーンショット。

  3. 接続名として「Log Analytics」と入力します。

  4. [ ワークスペース ID] に、Log Analytics ワークスペース設定の [概要 ] ページから ID をコピーして貼り付けます。

  5. [更新] を選択します。

  6. これで、[ データの送信 ] アクションが正しく表示されます。 (Logic Apps から Log Analytics 接続を既に使用している場合は、既にこの段階になります)。

    Log Analytics のテーブルにウイルスの合計レポート レコードを送信するアクションを示すスクリーンショット。

  7. [False] フレームで [接続] アクションを選択します。 このアクションでは、True フレーム内の接続と同じ接続が使用されます。

  8. Log Analytics という名前の接続がマークされていることを確認し、[キャンセル] を選択します。 これにより、アクションがプレイブックに正しく表示されるようになります。

    2 つ目の無効な Log Analytics 接続構成のスクリーンショット。

    これで、プレイブック全体が表示され、適切に構成されます。

  9. とても重要です! [ロジック アプリ デザイナー] ウィンドウの上部にある [保存] を選択することを忘れないでください。 プレイブックが正常に保存されたことを通知するメッセージが表示されたら、[Automation] ページの [アクティブなプレイブック*] タブにプレイブックが表示されます。

自動化ルールを作成する

ここで、実際にこのプレイブックを実行するには、インシデントの作成時に実行される自動化ルールを作成し、プレイブックを呼び出す必要があります。

  1. [Automation] ページで、上部のバナーから [+ 作成] を選択します。 ドロップダウン メニューの [ オートメーション ルール] を選択します。

    [オートメーション] ページからオートメーション ルールを作成するスクリーンショット。

  2. [ 新しい自動化ルールの作成 ] パネルで、規則に「チュートリアル: IP 情報をエンリッチする」という名前を付けます。

    自動化ルールの作成、名前付け、条件の追加のスクリーンショット。

  3. [ 条件] で、[ + 追加 ] と [ 条件 (And)] を選択します。

    オートメーション ルールに条件を追加するスクリーンショット。

  4. 左側のプロパティ ドロップダウンから [IP アドレス ] を選択します。 [演算子] ドロップダウンから [ 含む ] を選択し、値フィールドを空白のままにします。 これは、実質的に、ルールが、何かを含む IP アドレス フィールドを持つインシデントに適用されることを意味します。

    この自動化によって分析ルールがカバーされるのを止めたくはありませんが、自動化を不必要にトリガーしたくないので、IP アドレス エンティティを含むインシデントにカバレッジを制限します。

    オートメーション ルールに追加する条件を定義するスクリーンショット。

  5. [ アクション] で、ドロップダウンから [ プレイブックの実行 ] を選択します。

  6. 表示される新しいドロップダウンを選択します。

    プレイブックの一覧からプレイブックを選択する方法を示すスクリーンショット - パート 1。

    サブスクリプション内のすべてのプレイブックの一覧が表示されます。 灰色で表示されているものは、アクセスできないものです。 [ プレイブックの検索 ] テキスト ボックスで、上で作成したプレイブックの名前 (または名前の任意の部分) を入力します。 プレイブックの一覧は、入力した各文字で動的にフィルター処理されます。

    プレイブックの一覧からプレイブックを選択する方法を示すスクリーンショット - パート 2。

    プレイブックが一覧に表示されたら、それを選択します。

    プレイブックの一覧からプレイブックを選択する方法を示すスクリーンショット - パート 3。

    プレイブックが淡色表示されている場合は、[ プレイブックのアクセス許可の管理 ] リンクを選択します (プレイブックを選択した下の細かい印刷段落の上のスクリーンショットを参照)。 開いたパネルで、使用可能なリソース グループの一覧からプレイブックを含むリソース グループを選択し、[ 適用] を選択します。

  7. [ + アクションの追加] をもう一度選択します。 次に、表示される新しいアクション ドロップダウンから、[タグの追加] を選択します。

  8. [ + タグの追加] を選択します。 タグ テキストとして「Tutorial-Enriched IP アドレス」と入力し、[ OK] を選択します

    オートメーション ルールにタグを追加する方法を示すスクリーンショット。

  9. 残りの設定はそのままにして、[ 適用] を選択します。

自動化が成功したことを確認する

  1. [ インシデント ] ページで、タグ テキスト Tutorial-Enriched IP アドレス検索 バーに入力し、Enter キーを押して、そのタグが適用されたインシデントの一覧をフィルター処理します。 これらは、自動化ルールが実行されたインシデントです。

  2. これらのインシデントの 1 つ以上を開き、そこに IP アドレスに関するコメントがあるかどうかを確認します。 これらのコメントが存在すると、プレイブックがインシデントで実行されたことを示します。

リソースをクリーンアップする

この自動化シナリオを引き続き使用しない場合は、次の手順で作成したプレイブックとオートメーション ルールを削除します。

  1. [ オートメーション ] ページで、[ アクティブなプレイブック ] タブを選択します。

  2. 検索バーに作成したプレイブックの名前 (または名前の一部) を入力します。
    (表示されない場合は、フィルターが [すべて選択] に設定されていることを確認します)。

  3. 一覧のプレイブックの横にある [チェック] ボックスにマークを付け、上部のバナーから [削除] を選択します。
    (削除しない場合は、代わりに [無効] を選択できます)。

  4. [ オートメーション ルール ] タブを選択します。

  5. 検索バーに作成したオートメーション ルールの名前 (または名前の一部) を入力します。
    (表示されない場合は、フィルターが [すべて選択] に設定されていることを確認します)。

  6. 一覧のオートメーション ルールの横にある [チェック] ボックスにマークを付け、上部のバナーから [削除] を選択します。
    (削除しない場合は、代わりに [無効] を選択できます)。

関連コンテンツ

基本的なインシデント エンリッチメント シナリオを自動化する方法を学習したので、自動化と、それを使用できるその他のシナリオの詳細について学習します。

  • Last updated on