チュートリアル: 非ネイティブ アクションを使用してインシデント エンティティを抽出する

エンティティ マッピングにより、アラートとインシデントが強化され、その後の調査プロセスと修復アクションに不可欠な情報が得られます。

Microsoft Sentinelプレイブックには、エンティティ情報を抽出するための次のネイティブ アクションが含まれています。

• アカウント
• DNS
• ファイル ハッシュ
• Hosts
• Ips
• URL

これらのアクションに加えて、分析ルール エンティティ マッピングには、マルウェア、プロセス、レジストリ キー、メールボックスなどのネイティブ アクションではないエンティティの種類が含まれています。 このチュートリアルでは、さまざまな組み込みアクションを使用してネイティブ以外のアクションを操作して、関連する値を抽出する方法について説明します。

このチュートリアルでは、以下を実行する方法について説明します。

前提条件

このチュートリアルを完了するには、次の内容があることを確認します。

• Azure サブスクリプション。 無料アカウントをまだ持っていない場合は、作成します。

• 次のリソースに次のロールが割り当てられているAzure ユーザー。

  • Microsoft Sentinelがデプロイされている Log Analytics ワークスペースの共同作成者Microsoft Sentinel。
  • ロジック アプリ共同作成者と 所有者 または同等のリソース グループに、このチュートリアルで作成したプレイブックが含まれるもの。

• このチュートリアルでは、(無料) VirusTotal アカウント で十分です。 運用環境の実装には、VirusTotal Premium アカウントが必要です。

インシデント トリガーを使用してプレイブックを作成する

1. Defender ポータルでMicrosoft Sentinelする場合は、[Microsoft Sentinel>Configuration>Automation] を選択します。 Azure portalでMicrosoft Sentinelする場合は、[構成>Automation] ページを選択します。

2. [Automation] ページで、[インシデントトリガーを使用して作成>Playbook] を選択します。

3. プレイブックの作成ウィザードの [基本] で、サブスクリプションとリソース グループを選択し、プレイブックに名前を付けます。

4. [ 次へ: 接続] >を選択します。

   [接続] で、[Microsoft Sentinel - マネージド ID 接続で接続する] が表示されます。 例:

   

5. [次へ: 確認して>を作成する] を選択します。

6. [ 確認と作成] で、[作成] を選択 し、デザイナーに進みます。

   ロジック アプリ デザイナーは、プレイブックの名前を持つロジック アプリを開きます。

   

配列変数を初期化する

1. ロジック アプリ デザイナーで、変数を追加する手順の下にある [ 新しいステップ] を選択します。

2. [ 操作の選択] の検索ボックスに、フィルターとして 「variables 」と入力します。 アクションの一覧から [ 変数の初期化] を選択します。

3. 変数に関する次の情報を指定します。

   1. 変数名には、 エンティティを使用します。

   2. 型として [配列] を選択 します。

   3. 値の場合は、[ 値 ] フィールドにマウス ポインターを合わせ、左側の青いアイコン グループで [fx ] を選択します。

      

   4. 表示されたダイアログ ボックスで、[ 動的コンテンツ ] タブを選択し、検索ボックスに 「エンティティ」と入力します。

   5. 一覧から [エンティティ] を選択し、[ 追加] を選択します。

      

既存のインシデントを選択する

1. Microsoft Sentinelで、[インシデント] に移動し、プレイブックを実行するインシデントを選択します。

2. 右側のインシデント ページで、[ アクション] > [プレイブックの実行 (プレビュー)] を選択します。

3. [ プレイブック] で、作成した プレイブックの横にある [ 実行] を選択します。

   プレイブックがトリガーされると、 プレイブックが正常にトリガーされ、右上に メッセージが表示されます。

4. [ 実行] を選択し、プレイブックの横にある [ 実行の表示] を選択します。

   [ロジック アプリの実行] ページが表示されます。

5. [ 変数の初期化] で、サンプル ペイロードが [値] の下に表示されます。 後で使用するためのサンプル ペイロードに注意してください。

   

他のエンティティ型から必要なエンティティ型をフィルター処理する

1. Automation ページに戻り、プレイブックを選択します。

2. 変数を追加する手順で、[ 新しいステップ] を選択します。

3. [ アクションの選択] で、検索ボックスに フィルターとして「filter array 」と入力します。 アクションの一覧から [ データ操作] を選択します。

   

4. フィルター配列に関する次の情報を指定します。

   1. [From>Dynamic content] で、先ほど初期化した Entityes 変数を選択します。

   2. 最初の [ 値の選択 ] フィールド (左側) を選択し、[式] を選択 します。

   3. 値 item()?[' を貼り付けますkind'] を選択し、[ OK] を選択します。

      

   4. は 値 と等しい ままにします (変更しないでください)。

   5. 2 番目の [ 値の選択 ] フィールド (右側) に、「 Process」と入力します。 これは、システム内の値と完全に一致している必要があります。

      注:

      このクエリでは、大文字と小文字が区別されます。 kind値がサンプル ペイロードの値と一致していることを確認します。 プレイブックの作成時のサンプル ペイロードを参照してください。

      

結果を JSON ファイルに解析する

1. ロジック アプリで、変数を追加する手順で、[ 新しいステップ] を選択します。

2. [ データ操作>Parse JSON] を選択します。

   

3. 操作に関する次の情報を指定します。

   1. [ コンテンツ] を選択し、[ 動的コンテンツ>Filter 配列] で [ 本文] を選択します。

      

   2. [ スキーマ] で JSON スキーマを貼り付けて、配列から値を抽出できるようにします。 プレイブックの作成時に生成したサンプル ペイロードをコピーします。

      

   3. プレイブックに戻り、[ サンプル ペイロードを使用してスキーマを生成する] を選択します。

      

   4. ペイロードを貼り付けます。 スキーマの先頭に開始角かっこ ([) を追加し、スキーマ ]の末尾に閉じます。

      

      

   5. [完了] を選択します。

新しい値を動的コンテンツとして使用し、将来の使用に使用する

これで、作成した値を動的コンテンツとして使用して、さらにアクションを実行できるようになりました。 たとえば、プロセス データを含む電子メールを送信する場合は、アクション名を変更しなかった場合は、[動的コンテンツ] の [JSON の解析] アクションを見つけることができます。

プレイブックが保存されていることを確認する

プレイブックが保存されていることを確認し、SOC 操作にプレイブックを使用できるようになりました。

次の手順

プレイブックを使用してMicrosoft Sentinelでインシデント タスクを作成して実行する方法については、次の記事に進んでください。