Sentinel でインシデント検知時に、SOAR を用いてウォッチリストに登録したホワイトリストユーザーを除外する

1. はじめに

Microsoft Sentinel でインシデント検知運用を行うと、様々な形で誤検知チューニングを行う必要が出てきます。
誤検知チューニングの方法は幾つかの方法があるのですが、この記事では SOAR 機能と呼ばれるロジックアプリを用いて、インシデントに含まれるアカウント(ユーザー)情報から、Sentinel のウォッチリスト (DB) をチェックして自動クローズさせる手法をご紹介します。

なお、前回 IP アドレス/サブネットで自動クローズする手法をご紹介していますので、IP 設定についてはこちらをご参照下さい。

2. [参考] 誤検知チューニングどこで行う？

本記事ですが、インシデントを検知した後にロジックアプリを起動して除外する方法になります。
誤検知チューニングの方式をまとめると、以下のイメージです。今回の投稿はこちらの青枠の箇所を試してみます。

3. プレイブックテンプレートを用いる

ロジックアプリ開発に慣れている方は自作出来そうな要件ですが、Sentinel ウォッチリストを取り込んでマッチングさせるテクニックが必要なので、今回 Sentinel のプレイブックテンプレートを用いることにしました。
元々は Github Azure Sentinel で公開されていたものですが、現在は Microsoft Sentinel のプレイブックテンプレート画面から選んでデプロイすることが出来るようになっています。
テンプレートを見ると、他にもウォッチリストの入出力の参考になるものがあるので、自社カスタマイズされる方は参考になるのではと思います。

4. やってみる

ユーザー情報をウォッチリストの DB に lookup して除外するテンプレートは存在しないのですが、途中までプロセスが同じで使いまわしが可能なプレイブックテンプレートが提供されています。本記事では以下のプレイブックテンプレートを活用して検証を行いました。
「ウォッチリスト - ユーザー VIP の場合にインシデントの重要度とタイトルを変更する - インシデント トリガー」

4.1 テンプレートのデプロイ

実際にデプロイして試してみます。
テンプレートからデプロイするので、ロジックアプリを保存するリソースグループ、リージョン、プレイブック名を記入します。デフォルトでは Watchlist-ChangeIncidentSeverityandTitleIFUserVIP がプレイブック名になっていますが、今回の目的は対象のユーザーがあればクローズする意図なので、名前を Watchlist-CloseIncidentSafeUsers と変更しています。

Sentinel 側に lookup するウォッチリスト名がパラメータになっています。（この後作成する必要あり）
ホワイトリストユーザーを登録して管理するウォッチリスト名を記入しましょう。
本検証では whitelist-users-for-entities と付けています。

ロジックアプリから Microsoft Sentinel へはマネージド ID、Azure Monitorに対して API 接続が行うテンプレートになっています。

4.2 ウォッチリストの作成

ロジックアプリから lookup するためのホワイトリストユーザーを登録するウォッチリストを作成します。
エイリアスがロジックアプリ側からクエリーチェックするキーワードなのでご注意下さい。

ウォッチリストの登録方法は幾つかの方法があります。
大量のデータが有る場合は Azure Storage に一度アップロードしたものを用いることが出来ますが、今回は Azure Portal から CSV でアップロードを行いました。

サーチキーは username としてウォッチリストを作成しています。

4.3 ロジックアプリを編集する

次にロジックアプリを編集します。
テンプレートでデプロイしたロジックアプリを開き、ロジックアプリデザイナーを開きます。

今回、VIP ユーザーでは・・・といった条件は不要になるため、規定の True 条件 (元々は VIP ユーザーのウォッチリストに Match していたら True) の内容を削除しちゃいます。

変わりに、規定条件が True (ウォッチリストのホワイトリストユーザーに　Match していたら) の場合、インシデントを自動クローズする処理を追加します。

フローを日本語化するとこんな感じです。

1. Sentinel のインシデント作成時にロジックアプリ起動する
2. インシデント情報から、エンティティ属性のアカウントを取得 (/entities/account 属性)
3. For Each 繰り返し処理
4. ウォッチリスト取得 (指定したホワイトリストユーザー DB)
5. Condition 条件 (エンティティがホワイトリストユーザーに Match するか)
   1. [Yes]
      1. インシデントを更新 (自動クローズ)
   2. [No]

4.4 ロジックアプリ API の承認と権限設定

Sentinel のウォッチリストを読み取るための権限が必要になるため、このロジックアプリの Managed ID に対して Sentinel レスポンダーロールを付与してあげます。

5. 最後にオートメーションで対象のインシデントや分析ルールを指定する

ロジックアプリとウォッチリストの設定が終わりましたら、起動するためのオートメーション設定を Sentinel で行います。
オートメーション設定では多数の設定を行うケースがほとんどなので、このルールを起動するための順番には注意しましょう。

6. テスト結果例

このテンプレートが実行され、成功すると以下のようなアクションになります。

• エンティティにホワイトリストのアカウント名/ユーザー情報が含んだインシデントが生成される（誤検知）
• ロジックアプリが起動して、ウォッチリストをチェックして自動クローズする
  • 重要度変更 ( Informational )
  • ステータスを Closed
  • コメント追加

9. まとめ

Sentinel のプレイブックテンプレートは様々なものが提供されているのですが、ロジックアプリの中身まで見ないとどのような処理が行われて何が出来るのか分かり難いと思いました。誤検知チューニングの方法の一例になりますが、どなたかの参考になれば幸いです。

＊本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。