- Microsoft Sentinel ではオートメーション機能を用いて、Logic Apps を通じて様々な自動化操作を行う機能を提供しています。
- Microsoft Sentinel のインシデント運用で用いられる、インシデントの自動操作を体験する演習用として公開しました。
- テンプレートを導入することで、ユーザー側で定義した条件に対するインシデントの操作(自動クローズ、タグ付け、重要度変更など)を体験できます。
Microsoft Defender for Cloud が発砲するサンプルイベント検知時に、Microsoft Sentinel 側でインシデントを自動操作することを体験することが出来ます。
条件は以下で設定しています。
- インシデント名
**[SAMPLE ALERTS]**が含まれている場合
条件が TRUE の場合のアクションとして、以下を設定しています。
- 重要度を下げる (INFORMATIONAL)
- インシデントを自動クローズさせる(理由は
Undetermined、コメントは "サンプルアラートのためクローズ" を追加) - タグを付与
SAMPLE
本テンプレートを導入すると、以下ロジックアプリが作成されます。ワークフローをご確認下さい。
以下ボタンを押していただき、テンプレートを用いてロジックアプリを展開します。 後のクリーンナップのため、専用のリソースグループを作成することをお勧めします。
本テンプレートでは、Microsoft Sentinel との API 接続にマネージド ID を用いています。
Microsoft Sentinel と接続するためには Microsoft.SecurityInsights/incidents/read 権限が必要になります。
演習では、Microsoft Sentinel レスポンダーロールを付与して、接続のための権限を手動でアサインして下さい。
以下がイメージになります。
Microsoft Sentinel から、「オートメーション」機能より、ロジックアプリを起動するためのオートメーションルールを作成します。
Sentinel側のインシデントを確認してみます。
- MDfC 側からのアラートは見つかりましたか?
- Sentinel のインシデント状態に
終了も入れてチェックしてみましょう
- Sentinel のインシデント状態に
- インシデントの重要度はどうなっていますか?
- MDfC 側の重要度は High / Medium / Low 様々なものが出ています。Sentinel のインシデントはどうでしょうか?
- インシデントのコメントは有りましたか?
- インシデントにタグが付与されていますか?
- 本テンプレートは Microsoft Sentinel オートメーションを体験するための演習用として作成されたものです。
- 本テンプレートは個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。
- 現版では、マネージド ID に対する RBAC アサインは手動としています。
- 作成者 Hisashi Nakada (hisashin0728)