Sentinel インシデントトリガーのロジックアプリを作りましょう
まずは Sentinel インシデント発生時にどのような情報が連携されるのかを理解しましょう!
- Microsoft Sentinel 画面から「オートメーション」を選択し、「インシデント トリガー」を使用したプレイブックを作成します.
インシデントトリガー/アラートトリガー/エンティティトリガーの三種類はそれぞれの活用方法がありますが、まずはインシデントトリガーのプレイブックを選択してください。
- サブスクリプション/リソースグループ/プレイブック名を記入し、作成を行います。
「リソースグループ」は Sentinel ワークスペースとは分けて、個別のリソースグループを作成することをお勧めします(リソースグループ毎消すことが多くなります) プレイブック名はロジックアプリの名前になります。ロジックアプリは数が増えるので、あらかじめ命名規則を定義しておいてください。
参考: 命名規則例
logic-[目的]-[リージョン]
logic-Sentinel-Workshop1-JE
- 無事に作成が完了すると、「Microsoft Sentinel インシデント」をトリガーにしたロジックアプリが作成されます。
Sentinel インシデントから作成したロジックアプリを紐づける
- Sentinel 画面に戻り、「オートメーション」から「オートメーションルール」を作成します。
- 「新しいオートメーション ルールの作成」より、``Microsoft Defender for Cloud`` のデータソースからのインシデント作成時に検知するように設定します
条件として、どのような場合にロジックアプリに紐づけが出来るのかをチェックして下さい インシデントプロパイダー、製品名、タグ、タイトルなど、どのような種類がありますか?
- 作成したロジックアプリを選ぼうとすると、グレーになっていて選択が出来ませんか?
- その場合は、下に表示されている「プレイブックのアクセス許可を管理」するリンクから、作成したリソースグループを Sentinel でアクセス出来るように権限を付与してください。
反映に少し時間がかかる点に注意して下さい。
- 既に多数のプレイブックを作成している場合は、ルール順番に注意して下さい。
MDC のサンプルアラートより、ロジックアプリが起動されるかを確認する
- MDC のサンプルアラートから、サンプルアラートを作成します。
- MDC のアラートを大量に発生させないように、
Resource Managerのみに絞るなど注意して下さい。
トリガーで発砲したロジックアプリを確認しましょう
- ロジックアプリの実行履歴から、実行履歴を確認します。
- ロジックアプリの実行履歴から、入力と出力を確認してみましょう。
Sentinel のインシデントからどのような情報が出力されましたか?
- インシデント名はどのフィールドに含まれていますか?
- インシデントの詳細は?
- 重要度は?
- 他にどのような情報が含まれていますか?
おつかれさまでした!
- Sentinel のインシデントトリガーからどのような情報が引き継がれるのかを確認できました
- 次の演習にチャレンジしてみましょう