Sentinelのオートメーションルールを試してみる

はじめに

Sentinelのオートメーションルールとは、特定のインシデントやアラートが検出された際に、設定したアクションが自動的に実行されるルールです。
例)特定のインシデントが発生した場合に、管理者に通知する

 

手作業では手間がかかる工程においても、オートメーションルールを活用することで自動化が実現できます。
このようなルールを作成して活用することで、セキュリティ管理者の運用負荷の軽減が期待できるのではないでしょうか。

今回は、オートメーションルールの作成と動作確認を実際に試してみました。
参考になりますと幸いです。

 

【オートメーションルールの作成場所】

Microsoft Azure(https://portal.azure.com/)> Microsoft Sentinel > 構成 > オートメーション

 

 

オートメーションルールの構成要素

■トリガー
 →オートメーションルールは、インシデントの作成/更新 または アラートが作成された時にトリガーされ発動します。
■条件
 →アクションを実行するための条件を指定します。
■アクション
 →条件を満たした時に実行するアクションを定義します。

 

これら3つの要素をカスタマイズして、自分独自のルールを作成することができます。

 

ルールを作成する

実現したいこと:分析ルール名「Test」によって検出されたインシデントに対して、所有者を自動的に割り当てたい

■トリガー:インシデントが作成されたとき
■条件:分析ルール名「Test」
■アクション:所有者の割り当て

 

 

動作の確認

検出されたインシデントに対して、所有者が自動的に割り当てられました。

 

おわりに

今回は簡単なルールということもありますが、オートメーションルールの作成方法・使い方はシンプルでした。


他にもSentinelには分析ルール・クエリなど様々な機能があります。
弊社では導入支援等を行っているため、お気軽にお問い合わせください。

お問い合わせはこちら

いいね (この記事が参考になった人の数:1)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください