Part3:Sentinelでインシデント検知から自動対応まで
はじめに
これまでの記事で、収集したログがSentinel上で自動分析され、インシデントとして検知されるようになりました。しかし、この状態ではSentinelにログインしなければインシデントに気づくことができません。
自動対応の第一歩として、まずは「検知→通知」の仕組みを実装してみます。
検知から自動対応への流れ
自動対応の設定は以下の2つの方法で実現できます:
- 分析ルールウィザードの「自動応答」設定から
- オートメーション機能から
前回で「自動応答」の設定をしていない分析ルールを作成済みです。
今回は、「オートメーション」機能から分析ルールにより
作成されたインシデントに反応するものを実装していきます。
オートメーション作成例
インシデントの種類によって適切な自動対応は異なりますが、以下に代表的なパターンをご紹介します。
以下も参考になりますので是非。
Recommended playbook use cases, templates, and examples
不審サインイン
システム連携
- Azure Firewall/Azure WAFに検出元IPをブロック登録
- Entra IDの該当ユーザーを一時無効化(Disable user)
- サインインセッションを失効(Revoke sessions)
- パスワード強制リセット
事故管理
- Teams/メール通知の送信
- ServiceNow等でのチケット自動作成
- インシデントにTI(脅威インテリジェンス)判定を自動書き込み
OAuth/アプリの不正利用
システム連携
- 該当サービスプリンシパルの無効化/削除
パスワードスプレー/ブルートフォース攻撃
システム連携
- 攻撃元IPをWAF/Firewallに即時ブロック登録
端末でのマルウェア検知
システム連携
- 該当端末の隔離実行
- 上長への自動通知
悪意ある受信トレイルール作成(メール転送/削除ルール)
システム連携
- 該当ルールの無効化/削除を自動実行
今回は前回の分析ルール「Bulk Changes to Privileged Account Permissions」に
メール通知の送信を足す形で作っていこうと思います。
実際にオートメーションを作成してみる
オートメーションのためには
Automation rule と playbook が必要です。
playbookで メール通知の送信 というアクションを作っておき、
Automation ruleで「Bulk Changes to Privileged Account Permissions」の
インシデントが作られたときにこのplaybookを実行させるルールを作る形になります。
playbook作成準備 - Sentinel SOAR Essentials導入
playbookはlogicappsにより作成できます。
logicappsを一から自作してもいいですが…今回やるのはメール送るだけですので
ここは出来合いのものを使います。
コンテンツハブにある Sentinel SOAR Essentials に以下のような簡単なplaybookは含まれてます。
・メール送信
・TeamsやSlack送信
なお導入はコンテンツ ハブからSentinel SOAR Essentialsをインストールするだけです。
playbook作成 - Send-basic-email logic apps
では作っていきます。
- 「オートメーション」の Playbook templates から Send basic email を Create playbook します。
- リソースグループは自分はSentinelを作ったリソースグループと一緒にしました。diagnosticsはチェック入れてません。
- 送り先を指定します。
- コネクター:このアクション(logic apps)がsentinelとメールにつなぐためのコネクタです。この時点では特に設定はいらないのですが、後でsentinelのマネージドIDだったりメールにつなぐためのコネクタについてで別途操作が要ります。後ほど。
- 以上で出来ました。作りましょう。
playbook作成 - Send-basic-email logic apps - コネクタ承認
logic apps用のマネージドIDやらメールにつなぐためのコネクタでの承認してあげないといけません。
Logic apps に Send-basic-email というのができてますので、API接続からいろいろ承認してあげましょう。
- Send-basic-email Logic apps の API接続 にて o365-Send-basic-email を選択
- api - o365承認
playbook作成 - Automation rule
最後に、Automation rule を作っていきます。
- Microsoft Sentinel | オートメーション の Create から Automation rule を選択
- 以下の様に作りました※名前はお好きに、トリガー、conditionで前回作成した分析ルールにより生じるインシデントのみをトリガーにメールを生じるようにしています
実際にオートメーションを試してみる
これでインシデント作成時、メールが飛ぶようになります。
インシデントは前回の操作時に作成されるものを使い、以下の流れでやっていきます。
検知テストの再実行
- 特権変更を再度実行
- インシデントが作成されるとともにメールが送信(例は以下)
まとめ
以上でインシデントが発生すると通知が自動でメールで飛ぶようにできました。
あとはこれをTeams、Slack、場合によってはLINEやチケット管理システム起票などすることで、
セキュリティを常時監視、そして検知した人が上長にエスカレーション、
緊急対応などができるベースができてきています。
次回以降では、通知とともにより高度な自動対応パターン、例で挙げたような
不審アクセス(MFA fatigueなど)があった時の自動対応として
・Entra IDの該当ユーザーを一時無効化
・パスワード強制リセット
を実行していく例をやってみたいと思います。