Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

この記事では、Microsoft Sentinel プレイブックの概要と、それを使ってセキュリティ オーケストレーション、オートメーション、応答 (SOAR) 操作を実装し、時間とリソースを節約しながらより良い結果を実現する方法について説明します。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

プレイブックとは

通常、SOC アナリストには、セキュリティ アラートやインシデントが日常的に押し寄せています。その量のあまりの多さに、対応するスタッフは圧倒されています。 この結果、多くのアラートが無視され、多くのインシデントが調査されず、気付かずに行われる攻撃に対して組織は脆弱な状態のままになっていることが非常によくあります。

これらのアラートのほとんどではないにしても多くは、定義された特定の修復アクションで対処できる、繰り返し起こるパターンに従っています。 アナリストには、対処するために管理するインシデントの基本的な修復と調査も任されています。 これらのアクティビティを自動化できる限り、SOC の生産性と効率が大幅に向上し、アナリストは調査活動により多くの時間とエネルギーを費やすことができます。

プレイブックは、Microsoft Sentinel からルーチンとして実行するこれらの修復アクションのコレクションであり、脅威への対応を自動化および調整するのに役立ちます。 次の 2 つの方法で実行することができます。

  • 手動は、特定のエンティティまたはアラートに対してオンデマンドで実行します
  • 自動は、オートメーション ルールによってトリガーされた場合に、特定のアラートまたはインシデントに応答して実行します。

たとえば、アカウントとマシンが侵害された場合、SOC チームにインシデントが通知されるまで、プレイブックでマシンをネットワークから分離し、アカウントをブロックすることができます。

[オートメーション] ページの [Active playbooks](アクティブなプレイブック) タブには、選択したサブスクリプションで使用可能なすべてのアクティブなプレイブックが表示されますが、プレイブックのリソース グループに Microsoft Sentinel のアクセス許可を明示的に付与しない限り、既定では、プレイブックは属するサブスクリプション内でのみ使用できます。

統合セキュリティ オペレーション プラットフォームにオンボードした後、[アクティブなプレイブック] タブには、オンボードされたワークスペースのサブスクリプションを含む定義済みのフィルターが表示されます。 Azure portal で、Azure サブスクリプション フィルターを使用して、ほかのサブスクリプションのデータを追加します。

プレイブック テンプレート

プレイブック テンプレートは、事前に構築されてテストされた、すぐに使用できるワークフローであり、ニーズに合わせてカスタマイズできます。 テンプレートは、プレイブックをゼロから開発するときのベスト プラクティスのリファレンスとして、または新しい自動化シナリオのためのインスピレーションを得るためにも、役に立つ場合があります。

プレイブック テンプレートは、プレイブック自体としては使用できません。 それらからプレイブック (テンプレートの編集可能なコピー) を作成します。

プレイブック テンプレートは、次のソースから取得できます。

  • [オートメーション] ページの [プレイブック テンプレート] タブには、インストール済みのプレイブック テンプレートが一覧表示されます。 同じテンプレートから複数のアクティブなプレイブックを作成できます。

    新しいバージョンのテンプレートが発行されると、そのテンプレートから作成されたアクティブなプレイブックが、更新プログラムが利用できることを示すラベルとともに [Active playbooks](アクティブなプレイブック) タブに表示されます。

  • プレイブック テンプレートは、Microsoft Sentinel の [コンテンツ ハブ] ページからインストールする製品ソリューションまたはスタンドアロン コンテンツの一部として使用できます。 詳細については、Microsoft Sentinel のコンテンツとソリューションに関する記事および「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。

  • Microsoft Sentinel GitHub リポジトリには、多くのプレイブック テンプレートが含まれています。 [Azure に配置する] ボタンを選択することで、Azure サブスクリプションにデプロイできます。

技術的には、プレイブック テンプレートは、いくつかのリソース (Azure Logic Apps ワークフローや、関連する各接続の API 接続など) で構成される ARM テンプレートです。

重要

プレイブック テンプレートは、現在、プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Azure Logic Apps の基本概念

Microsoft Sentinel のプレイブックは、エンタープライズ全体のシステムでタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスである Azure Logic Apps で作成されたワークフローに基づいています。 つまり、プレイブックでは Azure Logic Apps の組み込みテンプレートにあるすべての機能を活用できます。

Note

Azure Logic Apps では個別のリソースが作成されるため、追加料金が適用される場合があります。 詳細については、Azure Logic Apps の価格ページを参照してください。

Azure Logic Apps は、コネクタを使用して他のシステムやサービスと通信します。 コネクタといくつかの重要な属性に関する簡単な説明を次に示します。

  • マネージド コネクタ: 特定の製品またはサービスに対する API 呼び出しに関連する一連のアクションとトリガー。 Azure Logic Apps では、Microsoft と Microsoft 以外の両方のサービスと通信するための多数のコネクタが提供されています。 詳細については、Azure Logic Apps コネクタとそのドキュメントに関するページを参照してください。

  • カスタム コネクタ: 事前構築コネクタとして使用できないサービスと通信する必要がある場合があります。 カスタム コネクタは、ユーザーがコネクタを作成 (および共有) し、独自のトリガーとアクションを定義するのを許可することで、このニーズに対応しています。 詳細については、独自のカスタム Azure Logic Apps コネクタの作成に関するページを参照してください。

  • Microsoft Sentinel コネクタ: Microsoft Sentinel と対話するプレイブックを作成するには、Microsoft Sentinel コネクタを使用します。 詳細については、Microsoft Sentinel コネクタに関するドキュメントを参照してください。

  • トリガー: ワークフロー (この場合はプレイブック) を開始するコネクタ コンポーネント。 Microsoft Sentinel トリガーには、トリガーされたときにプレイブックで受信されることが想定されているスキーマが定義されています。 現在、Microsoft Sentinel コネクタには次の 3 つのトリガーがあります。

  • アクション: アクションは、トリガー後に発生するすべてのステップです。 それらは並列に、または複合条件のマトリックスに、連続的に配列できます。

  • 動的フィールド: トリガーとアクションの出力スキーマによって決定され、実際の出力によって設定される一時フィールド。これは、その後のアクションで使用できます。

ロジック アプリの種類

Microsoft Sentinel では、次のロジック アプリ リソースの種類がサポートされるようになりました。

  • 従量課金: マルチテナント Azure Logic Apps で実行され、従来のオリジナルの Azure Logic Apps エンジンを使用します。
  • Standard。これはシングルテナント Azure Logic Apps で実行され、再設計された Azure Logic Apps エンジンを使用します。

Standard ロジック アプリの種類には、より高いパフォーマンス、固定価格、複数のワークフロー機能、より簡単な API 接続管理、仮想ネットワークやプライベート エンドポイントのサポートなどのネイティブ ネットワーク機能 (下記の注を参照)、組み込みの CI/CD 機能、より優れた Visual Studio Code 統合、更新されたワークフロー デザイナーなどが提供されます。

このロジック アプリ バージョンを使用するには、Microsoft Sentinel で新しい Standard プレイブックを作成します (下記の注を参照)。 Consumption プレイブックを使用するのと同じ方法で、これらのプレイブックを使用できます。

  • 自動化ルールや分析ルールにアタッチします。
  • インシデントとアラートの両方から、必要に応じて実行します。
  • [アクティブなプレイブック] タブで管理します。

Note

  • Standard ワークフローは現在、プレイブック テンプレートをサポートしていません。つまり、Microsoft Sentinel で Standard ワークフローベースのプレイブックを直接作成することはできません。 代わりに、Azure Logic Apps でワークフローを作成する必要があります。 ワークフローを作成すると、Microsoft Sentinel にプレイブックとして表示されます。

  • ロジック アプリの Standard ワークフローは、前述のようにプライベート エンドポイントをサポートしますが、Microsoft Sentinel では、Standard ワークフローに基づくプレイブックでのプライベート エンドポイントの使用をサポートするために、ロジック アプリでアクセス制限ポリシーを定義する必要があります。

    アクセス制限ポリシーが定義されていないと、Microsoft Sentinel の一覧からプレイブックを選択するときに (手動での実行、オートメーション ルールまたはプレイブック ギャラリーへの追加を問わず) プライベート エンドポイントのあるワークフローが引き続き表示され、選択可能になっている場合があります。それらを選択することはできますが、実行は失敗します。

  • インジケーターでは、Standard ワークフローが "ステートフル" または "ステートレス" として識別されます。 Microsoft Sentinel では、現時点ではステートレス ワークフローはサポートされていません。 ステートフルおよびステートレス ワークフローの相違点について説明します。

この 2 つのリソースの種類には多くの相違点があります。そのうちのいくつかは、Microsoft Sentinel のプレイブックで使用できるいくつかの方法に影響を与えます。 そのような場合は、知っておく必要がある内容がドキュメントに示されます。 詳細については、Azure Logic Apps のドキュメントのリソースの種類とホスト環境の違いに関するページを参照してください。

必要なアクセス許可

Azure Logic Apps を使用して Microsoft Sentinel でプレイブックを作成して実行する機能を SecOps チームに付与するには、セキュリティ運用チーム、またはチームの特定のユーザーに Azure ロールを割り当てます。 次に、使用可能なさまざまなロールと、それらを割り当てる必要があるタスクについて説明します。

Azure Logic Apps 用の Azure ロール

  • ロジック アプリの共同作成者を使用すると、ロジック アプリを管理し、プレイブックを実行できます。ただし、それらへのアクセスを変更することはできません (そのためには、所有者ロールが必要です)。
  • ロジック アプリのオペレーターを使用すると、ロジック アプリの読み取り、有効化、無効化を行うことができます。ただし、編集および更新はできません。

Microsoft Sentinel 用の Azure ロール

  • Microsoft Sentinel 共同作成者ロールを使用すると、プレイブックを分析または自動化ルールにアタッチできます。

  • Microsoft Sentinel レスポンダー ロールを使用すると、プレイブックを手動で実行するためにインシデントにアクセスできます。 ただし、プレイブックを実際に実行するには、次も必要です...

    • Microsoft Sentinel プレイブック オペレーター ロールを使用すると、プレイブックを手動で実行できます。
    • Microsoft Sentinel Automation 共同作成者を使用すると、オートメーション ルールでプレイブックを実行できます。 他の目的では使用できません。

詳細情報

プレイブックの作成手順

プレイブックのユース ケース

Azure Logic Apps プラットフォームでは何百ものアクションとトリガーが提供されているため、ほとんどすべての自動化シナリオを作成できます。 Microsoft Sentinel では、次の SOC シナリオから開始することをお勧めします。このシナリオでは、既製のプレイブック テンプレートをすぐに使用できます。

エンリッチメント

データを収集し、よりスマートな意思決定を行うためにインシデントにアタッチします。

次に例を示します。

Microsoft Sentinel インシデントが、IP アドレス エンティティを生成する分析ルールによってアラートから作成されました。

このインシデントによって、次の手順でプレイブックを実行する自動化ルールがトリガーされます。

  • 新しい Microsoft Sentinel インシデントが作成されたときに開始します。 インシデントで表されるエンティティが、インシデント トリガーの動的フィールドに格納されます。

  • 各 IP アドレスについて、外部の脅威インテリジェンス プロバイダー (Virus Total など) に対してクエリを実行し、さらに多くのデータを取得します。

  • 返されたデータと分析情報をインシデントのコメントとして追加します。

双方向の同期

プレイブックを使用して、Microsoft Sentinel インシデントを他のチケット システムと同期できます。

次に例を示します。

すべてのインシデント作成用の自動化ルールを作成し、ServiceNow でチケットを開くプレイブックをアタッチします。

オーケストレーション

SOC チャット プラットフォームを使用して、インシデント キューの制御を強化します。

次に例を示します。

Microsoft Sentinel インシデントが、ユーザー名と IP アドレス エンティティを生成する分析ルールによってアラートから作成されました。

このインシデントによって、次の手順でプレイブックを実行する自動化ルールがトリガーされます。

  • 新しい Microsoft Sentinel インシデントが作成されたときに開始します。

  • セキュリティ アナリストがインシデントを認識できるように、Microsoft Teams または Slack のセキュリティ オペレーション チャネルにメッセージを送信します。

  • シニア ネットワーク管理者とセキュリティ管理者に、アラートのすべての情報をメールで送信します。このメール メッセージには、ブロックするか無視するかをユーザーが選択できるボタンが含まれます。

  • 管理者からの応答を受信するまで待ってから、実行を続けます。

  • 管理者が [ブロック] を選択した場合は、アラートに含まれている IP アドレスをブロックするコマンドをファイアウォールに、そしてそのユーザーを無効にする別のものを Microsoft Entra ID に送信します。

回答

人間への依存を最小限に抑えて、直ちに脅威に対応します。

2 つの例を挙げます。

例 1:Microsoft Entra ID Protection によって検出された、侵害されたユーザーを示す分析ルールに対応します。

  • 新しい Microsoft Sentinel インシデントが作成されたときに開始します。

  • 侵害された疑いがあるインシデント内の各ユーザー エンティティに対して、次を実行します。

    • Teams メッセージを該当するユーザーに送信して、ユーザーが不審な行動を取ったことに関する確認を要求します。

    • Microsoft Entra ID Protection を確認して、ユーザーが侵害された状態であることを確認します。 Microsoft Entra ID Protection では、ユーザーに危険のラベルを付け、既に構成されている強制ポリシーを適用します。たとえば、次回のサインイン時に MFA を使用するようにユーザーに要求します。

      Note

      この特定の Microsoft Entra アクションでは、ユーザーに対する強制アクティビティを開始することも、強制ポリシーの構成を開始することもありません。 必要に応じて、既に定義されているポリシーを適用するように Microsoft Entra ID Protection に指示するだけです。 すべての強制は、Microsoft Entra ID Protection に定義されている適切なポリシーに完全に依存します。

例 2:Microsoft Defender for Endpoint によって検出された、侵害されたマシンを示す分析ルールに対応します。

調査中またはハンティング中の手動対応

コンテキストから外れることなく、アクティブな調査アクティビティの過程で脅威に対応します。

新しいエンティティ トリガー (プレビュー段階) により、調査中に検出した個々の脅威アクターに対して、調査内から一度に 1 つずつすぐにアクションを実行できます。 このオプションは、特定のインシデントに接続されていない脅威ハンティング コンテキストでも使用できます。 コンテキストでエンティティを選択し、そこでアクションを実行することで、時間を節約し、複雑さを軽減できます。

このプレイブックの種類を使用してエンティティに対して実行できるアクションは次のとおりです。

  • 侵害されたユーザーをブロックする。
  • ファイアウォール内の悪意のある IP アドレスからのトラフィックをブロックする。
  • ネットワーク上の侵害されたホストを分離する。
  • 安全または安全でないアドレスのウォッチリストまたは外部 CMDB に IP アドレスを追加する。
  • 外部の脅威インテリジェンス ソースからファイル ハッシュ レポートを取得し、それをコメントとしてインシデントに追加する。

プレイブックの実行方法

プレイブックは、手動でも自動でも実行できます。

これらは自動的に実行されるように設計されており、通常の操作の過程で実行する方法が理想的です。 分析ルールの自動応答 (アラートの場合) または自動化ルールのアクション (インシデントの場合) として定義することにより、プレイブックは自動的に実行されます。

ただし、プレイブックを手動で実行することが求められる状況があります。 次に例を示します。

  • 新しいプレイブックを作成する場合は、運用環境に配置する前にテストする必要があります。

  • 特定のプレイブックが実行されるタイミング、および実行されるかどうかについて、より詳細な制御と人間の入力が必要になる場合があります。

    インシデント、アラート、またはエンティティを開き、そこに表示されている関連プレイブックを選択して実行することで、プレイブックを手動で実行します。 現在この機能は、アラートについては一般提供されており、インシデントおよびエンティティについてはプレビュー段階です。

自動応答を設定する

セキュリティ運用チームは、繰り返し発生するタイプのインシデントやアラートに対する所定の対応を完全に自動化することにより、作業負荷を大幅に削減できます。これにより、一般的でないインシデントやアラートに集中し、パターンの分析や脅威ハンティングなどを行うことができます。

自動応答を設定すると、分析ルールがトリガーされるたびに、アラートの作成に加えて、ルールによって作成されたアラートを入力として受け取るプレイブックが実行されます。

アラートによってインシデントが作成された場合は、インシデントによって自動化ルールがトリガーされます。それにより、アラートによって作成されたインシデントを入力として受け取るプレイブックが実行されます。

アラート作成の自動応答

アラートの作成によってトリガーされ、アラートを入力として受け取るプレイブックの場合 (その最初の手順は "Microsoft Sentinel アラート" です)、プレイブックを分析ルールにアタッチします。

  1. 自動応答を定義するアラートを生成する分析ルールを編集します。

  2. [自動応答] タブの [アラートの自動化] で、アラートが作成されたときにこの分析ルールによってトリガーされる 1 つ以上のプレイブックを選択します。

インシデント作成の自動応答

インシデントの作成によってトリガーされ、インシデントを入力として受け取るプレイブックの場合 (その最初の手順は、"Microsoft Sentinel インシデント" です)、オートメーション ルールを作成し、そこで [プレイブックの実行] アクションを定義します。 これは、2 つの方法で実行できます。

  • 自動応答を定義するインシデントを生成する分析ルールを編集します。 [自動応答] タブの [インシデントの自動化] で、自動化ルールを作成します。 これにより、この分析ルール専用の自動応答が作成されます。

  • [自動化] ページの [自動化ルール] タブから、新しい自動化ルールを作成し、適切な条件と必要なアクションを指定します。 この自動化ルールは、指定された条件を満たすすべての分析ルールに適用されます。

    注意

    Microsoft Sentinel には、インシデント トリガー プレイブックを実行するためのアクセス許可が必要です。

    手動でも自動化ルールからでも、インシデント トリガーに基づいてプレイブックを実行するために、Microsoft Sentinel ではそれを行うために特別に認可されたサービス アカウントが使用されます。 (ユーザー アカウントではなく) このアカウントを使用すると、サービスのセキュリティ レベルが向上し、自動化ルール API で CI/CD のユース ケースをサポートできるようになります。

    このアカウントには、プレイブックが存在するリソース グループに対する明示的なアクセス許可を (Microsoft Sentinel Automation 共同作成者ロールの形で) 付与する必要があります。 その時点で、手動でも自動化ルールからでも、そのリソース グループ内のすべてのプレイブックを実行できます。

    プレイブックの実行アクションを自動化ルールに追加すると、プレイブックを選択するためのドロップダウン リストが表示されます。 Microsoft Sentinel でアクセス許可を持たないプレイブックは、使用不可として ("淡色表示" で) 表示されます。 [プレイブックのアクセス許可の管理] リンクを選択すると、その場で Microsoft Sentinel にアクセス許可を付与できます。

    マルチテナント (Lighthouse) のシナリオでは、プレイブックを呼び出す自動化ルールが別のテナントにある場合でも、プレイブックが存在するテナントに対するアクセス許可を定義する必要があります。 そのためには、プレイブックのリソース グループに対して所有者アクセス許可を持っている必要があります。

    マネージド セキュリティ サービス プロバイダー (MSSP) が直面する固有のシナリオがあります。このシナリオでは、サービス プロバイダーは自身のテナントにサインインしているときに、Azure Lighthouse を使用して顧客のワークスペースに自動化ルールを作成します。 この自動化ルールにより、顧客のテナントに属するプレイブックが呼び出されます。 この場合、Microsoft Sentinel には両方のテナントに対するアクセス許可が付与されている必要があります。 顧客テナント内では、通常のマルチテナント シナリオと同様、_[プレイブックのアクセス許可の管理] ウィンドウ内でそれらを付与します。 サービス プロバイダー テナント内で関連するアクセス許可を付与するには、プレイブックが存在するリソース グループに対して、Microsoft Sentinel Automation 共同作成者ロールを使用して、Azure Security Insights アプリへのアクセス権を付与する追加の Azure Lighthouse 委任を追加する必要があります。 この委任を追加する方法を確認してください

自動化ルールを作成するための完全な手順に関する記事を参照してください。

プレイブックを手動で実行する

完全自動化は、自動化が適切だと考えられる数のインシデント処理、調査、軽減タスクに最適なソリューションです。 ただし、一種のハイブリッド自動化にも利点があります。プレイブックを使用してさまざまなシステムに対する一連のアクティビティを 1 つのコマンドに統合する一方で、いつどこで実行するかを決めた場合にのみプレイブックを実行できます。 次に例を示します。

  • 特定の状況下で、SOC アナリストにより多くの人間による入力と、制御を求めたい場合があります。

  • また、調査や脅威ハンティングの過程で、別の画面にピボットすることなく、特定の脅威アクター (エンティティ) に対してオンデマンドでアクションを実行できるようにすることもできます。 (この機能は現在プレビュー段階です)。

  • SOC エンジニアに、特定のエンティティに対して動作し (現在プレビュー段階)、手動でのみ実行できるプレイブックを作成させることをお勧めします。

  • 作成したプレイブックを自動化ルールに完全にデプロイする前に、エンジニアがそれらをテストできるようにしたい場合があります。

これらおよびその他の理由により、Microsoft Sentinel では、エンティティ、インシデント (現在プレビュー段階)、アラートに対して、オンデマンドでプレイブックを手動で実行できます。

  • 特定のインシデントでプレイブックを実行するには[インシデント] ページのグリッドからインシデントを選択します。 Azure portal で、インシデントの詳細ペインから [アクション] を選択し、コンテキスト メニューから [Run playbook (Preview)](プレイブックの実行 (プレビュー)) を選択します。 Defender ポータルで、インシデントの詳細ページから直接 [Run playbook (Preview)](プレイブックの実行 (プレビュー)) 選択します。

    これにより、[Run playbook on incident](インシデントでプレイブックを実行する) パネルが開きます。

  • アラートでプレイブックを実行するには、インシデントを選択し、インシデントの詳細を入力し、[アラート] タブからアラートを選択し、[プレイブックの表示] を選択します。

    これにより、[Alert playbooks](アラート プレイブック) パネルが開きます。

  • エンティティでプレイブックを実行するには、次のいずれかの方法でエンティティを選択します。

    • インシデントの [エンティティ] タブで、一覧からエンティティを選択し、一覧の行の末尾にある [プレイブックの実行 (プレビュー)] リンクを選択します。
    • [調査グラフ] からエンティティを選択し、エンティティのサイド パネルで [プレイブックの実行 (プレビュー)] ボタンを選択します。
    • [エンティティの動作] でエンティティを選択し、エンティティ ページから左側のパネルの [プレイブックの実行 (プレビュー)] ボタンを選択します。

    これらのすべてで、[<"エンティティ型"> へのプレイブックの実行] パネルが開かれます。

いずれのパネルにも、[プレイブック][実行] という 2 つのタブが表示されます。

  • [プレイブック] タブには、ユーザーがアクセスでき、適切なトリガー (Microsoft Sentinel インシデントMicrosoft Sentinel アラート、または Microsoft Sentinel エンティティ) が使用されるすべてのプレイブックの一覧が表示されます。 一覧の各プレイブックには [実行] ボタンがあります。これを選択すると、プレイブックをすぐに実行できます。
    一覧に表示されないインシデント トリガー プレイブックを実行する場合は、上記の Microsoft Sentinel のアクセス許可に関する注意を参照してください。

  • [実行] タブには、選択したインシデントまたはアラートでプレイブックが実行されたすべての時間の一覧が表示されます。 完了したばかりの実行がこの一覧に表示されるまでには数秒かかることがあります。 特定の実行を選択すると、Azure Logic Apps で完全な実行ログが開きます。

プレイブックを管理する

[アクティブなプレイブック] タブには、現在 Azure に表示されているサブスクリプションによってフィルター処理された、アクセス権を持つすべてのプレイブックの一覧が表示されます。 サブスクリプション フィルターは、グローバル ページ ヘッダーの [ディレクトリ + サブスクリプション] メニューから使用できます。

プレイブック名をクリックすると、Azure Logic Apps 内のプレイブックのメイン ページが表示されます。 [状態] 列は、有効になっているか無効になっているかを示しています。

[プラン] 列は、プレイブックで、Azure Logic Apps のリソースの種類として Standard または Consumption のどちらが使用されているかを示します。 プランの種類でリストをフィルター処理して、プレイブックの種類を 1 つだけ表示できます。 Standard 型のプレイブックでは名前付け規則 LogicApp/Workflow が使用されていることがわかります。 この規則では、Standard プレイブックが表すワークフローが、単一のロジック アプリ内に他のワークフローと一緒に存在しているという事実を反映します。

[トリガーの種類] は、このプレイブックを開始する Azure Logic Apps トリガーを表します。

トリガーの種類 プレイブック内のコンポーネントの種類を示す
Microsoft Sentinel のインシデント、アラート、エンティティ プレイブックは、Sentinel トリガー (インシデント、アラート、エンティティ) のいずれかによって開始されます
Microsoft Sentinel アクションの使用 プレイブックは Sentinel 以外のトリガーで開始されますが、Microsoft Sentinel アクションが使用されます
その他 プレイブックには、Sentinel コンポーネントは含まれていません
初期化されていない プレイブックは作成されていますが、コンポーネント (トリガーまたはアクション) は含まれていません。

プレイブックの [Azure Logic Apps] ページでは、実行されたすべての回のログ、および結果 (成功または失敗、その他の詳細) など、プレイブックに関する詳細情報を確認できます。 適切なアクセス許可がある場合は、Azure Logic Apps でワークフロー デザイナーを開き、プレイブックを直接編集することもできます。

API 接続

API 接続は、Azure Logic Apps を他のサービスに接続するために使用されます。 Azure Logic Apps のコネクタに対する新しい認証が行われるたびに、API 接続の種類の新しいリソースが作成され、サービスへのアクセスを構成しているときに提供された情報が含まれます。

すべての API 接続を表示するには、Azure portal のヘッダー検索ボックスに「API 接続」と入力します。 次の列に注意してください。

  • 表示名 - 接続を作成するたびに指定する "わかりやすい" 名前。
  • 状態 - 接続の状態 (エラー、接続済み) を示します。
  • リソース グループ - API 接続は、プレイブック (Azure Logic Apps) リソースのリソース グループに作成されます。

API 接続を表示するもう 1 つの方法は、[すべてのリソース] ページにアクセスし、[API 接続] の種類でフィルター処理することです。 この方法を使用すると、一度に複数の接続の選択、タグ付け、削除を実行できます。

既存の接続の承認を変更するには、接続リソースを入力し、 [API 接続の編集] を選択します。

次の推奨されるプレイブック、および他の同様のプレイブックを、コンテンツ ハブ、または Microsoft Sentinel GitHub リポジトリで入手できます。

次のステップ