【Defender EASM × Microsoft Sentinel × Logic Apps】 高リスク資産の存在を検知して管理者にメールで通知する

🎯 やりたいこと

Microsoft Defender External Attack Surface Management（Defender EASM）で検出された資産の情報を Microsoft Sentinel に取り込み、高リスク資産 を KQL で分析し、Logic Apps でメール通知する基本的な仕組みを作ったので手順を共有します。

2025 年5月24日時点の検証内容をもとに記事を作成しています。

---

✅ 全体構成

1. Defender EASM のログを Microsoft Sentinel に取り込む
2. Logic Apps でアラートをトリガーにメールを送信するワークフローを作成
3. 高リスク資産（High Severity）を検出する分析ルールを Microsoft Sentinel で作成
4. アラートをトリガーとして管理者にメール通知を行う

---

🔍 Step 1: Defender EASM ログの取り込み

1. ログを取り込む予定の Sentinel の Log Analytics ワークスペースへ移動し、[エージェント] タブからワークスペース ID と主キーを取得します。

   

2. Azure Portal > Defender EASM > ログを取り込みたいワークスペース名 > 管理 > データ接続 へ移動し、Log Analytics の [接続の追加] を選択します。
   先ほど取得したワークスペース ID を入力し、API キー欄には主キーの値を入力します。

   

3. Microsoft Sentinel 側に Defender EASM のログを取り込むと、カスタム ログ テーブル EasmRisk_CL に資産のリスクレベルを含む情報が格納されます。

   📍格納場所：Azure Portal > Microsoft Sentinel > 全般 > ログ > カスタム ログ > EasmRisk_CL

   

---

🤖 Step 2: Logic Apps でアラートをトリガーにメールを送信するワークフローを作成

1. Azure Portal で「Logic Apps」を検索します。

   

2. [Add] を選択します。

   

3. 以下のスクリーンショットに従って Logic Apps のデプロイを行います。

   • 従量課金を選択
     

   • サブスクリプション、リソースグループ、ロジック アプリ名、リージョンなどを設定
     

   • 確認と作成
     

   • デプロイが完了
     

4. Logic Apps > デプロイしたロジックアプリ名 > 開発ツール > ロジック アプリ デザイナー へ移動します。

   

5. [トリガーの追加] を選択し、「Microsoft Sentinel アラート」というトリガーを指定します。

   

6. [+] ボタンをクリックし、「Office 365 Outlook」を選択します。

   

7. アクションの追加から「メールの送信 (v2)」を選択します。

   

8. メール送信元にするアカウントでサインインします。

   

9. メールの宛先、文面などを設定します。

   

10. [Save] を選択し、ロジックアプリを保存します。

    

11. Logic Apps を Sentinel 上で実行できるように、アクセス制御 (IAM) を設定します。

    • Azure Portal > リソースグループ > 対象のリソースグループ名 > アクセス制御 (IAM) > 追加 > ロールの割り当ての追加
      

    • 「Microsoft Sentinel 共同作成者」を選択し、[次へ] を選択
      

    • アクセスの割り当て先を「マネージド ID」とし、作成したロジックアプリを選択
      

    • [次へ] → [レビューと割り当て] を選択
      
      

---

🧪 Step 3: 高リスク資産をチェックしてアラートを挙げる分析ルールの作成

Microsoft Sentinel にて、直近6時間で検出された高リスク資産があるかをチェックする分析ルールを作成します。

6 時間という値は一例です。必要に応じて調整してください

1. Azure Portal > Microsoft Sentinel > 構成 > 分析 > 作成 > スケジュール済みクエリ ルール へ移動します。

   

2. 分析ルールの名前、説明などを任意に設定し、[次へ: ルールのロジックを設定 >] を選択します。

   

3. 以下のクエリを貼り付け、スケジュールを設定します。

   EasmRisk_CL
   | where CategoryName_s == "High Severity"
   | where TimeGenerated > ago(6h)
   | count 
   

   

4. アラートのしきい値を設定し、[次へ: インシデントの設定 >] を選択します。

   

5. [次へ: 自動応答 >] を選択します。

   

6. 先ほど作成した Logic Apps を設定し、[次へ: 確認と作成] を選択します。

   💡 ハマりポイント：
   以下の画像のように、ロジックアプリがグレーアウトして選択できない場合は、[Manage playbook permissions] からアクセス権を付与してください。
   

   

7. [保存] を選択します。

   

8. Microsoft Sentinel > 構成 > 分析 にて、作成したルールが一覧に表示されていることを確認します。

   

---

📧 Step 4: アラートをトリガーとして管理者にメール通知

Microsoft Sentinel > 脅威管理 > インシデント に移動します。
分析ルールに該当する資産が検出されると、インシデント ページにアラートが表示されます（2025/5/24 11:24）。

同時に、管理者宛にメールが自動で送信されていることも確認できます（2025/5/24 11:24）。

---

📝 まとめ

本記事では、以下の流れで Microsoft Defender EASM の検出結果をもとに、Microsoft Sentinel および Logic Apps を活用して管理者へ自動通知する仕組みを構築しました。

• Defender EASM のログを Sentinel に取り込み、カスタムログテーブルとして扱う
• KQL により高リスク資産（High Severity）の検出ロジックを作成
• スケジュール済みクエリルールとして分析ルールを設定し、アラートを生成
• アラートをトリガーに Logic Apps を呼び出し、メール通知を自動化

---

以上、Defender EASM × Microsoft Sentinel × Logic Apps を連携させた基本的なアラート通知の仕組みについてのご紹介でした。
何かご不明な点やご質問、誤りなどがありましたら、ぜひコメントでお知らせください。