Microsoft Azure Sentinel
統合バージョン: 44.0
この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードの zip 形式のコピーを Cloud Storage バケットからダウンロードできます。
ユースケース
- オンプレミス ホストと、Microsoft 365 や Microsoft 365 Cloud App Security などのクラウドベースの Microsoft サービスから流れるイベントに基づいて Sentinel で作成されたアラートをモニタリングして検査します。
- Sentinel で収集および関連付けられたデータを使用して、特定のインシデントを調査しながら、情報を補強します。アナリストは、Sentinel で収集および保存されたデータを調査で使用できます。たとえば、特定の情報にドリルダウン(アラート データの検査、Syslog ログの検査など)したり、特定の期間または特定のホストのアクティビティをクエリしたりできます。
前提条件
Microsoft Security Insights API に対してリクエストを実行するには、まず Microsoft Entra ID で認可を構成する必要があります。権限を構成する必要があります。
- Microsoft Entra アプリを作成します。
- クライアント シークレットを作成します。
- 登録済みの Microsoft Entra アプリに Microsoft Sentinel ワークスペースへのアクセス権を付与します。
- Microsoft Entra アプリケーションを使用してアクセス トークンを取得します。
Microsoft Entra アプリを作成する
ユーザー管理者またはパスワード管理者として Azure ポータルにログインします。
[Microsoft Entra ID] を選択します。
[App registrations] > [New registration] に移動します。
アプリの名前を入力します。
該当する [サポートされているアカウントの種類] を選択します。
[Register] をクリックします。
アプリケーション(クライアント)ID とディレクトリ(テナント)ID の値を保存します。これらの値は、後で統合パラメータを構成するときに使用します。
クライアント シークレットを作成する
[証明書とシークレット] > [新しいクライアント シークレット] に移動します。
クライアント シークレットの説明を入力し、有効期限を設定します。
[追加] をクリックします。
統合を構成するときに
Client Secretパラメータ値として使用するために、クライアント シークレットの値(シークレット ID ではない)を保存します。クライアント シークレットの値は 1 回だけ表示されます。
登録済みの Microsoft Entra に Microsoft Sentinel ワークスペースへのアクセス権を付与する
Microsoft Sentinel の概要ページに移動します。
[設定] をクリックします。
[アクセス制御(IAM)] をクリックします。
[ロールの割り当てを追加] セクションで、[追加] をクリックします。
次のパラメータを構成します。
Role =
Azure Sentinel Contributor。アクセス権を
default, Microsoft Entra ID user group, or service principalに割り当てます。
[選択] セクションで、アプリを検索する検索条件を指定し、アプリのロール割り当てを追加します。
Microsoft Sentinel のワークスペース ページに移動します。次のパラメータを見つけて構成します。
Azure Resource GroupAzure Sentinel Workspace Name
Microsoft Azure Sentinel を Google SecOps SOAR と統合する
Google Security Operations で統合を構成する手順の詳細については、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| Azure サブスクリプション ID | 文字列 | なし | はい | Microsoft Azure サブスクリプション ID。Azure Portal > [サブスクリプション] > [<サブスクリプション>] > [サブスクリプション ID] で確認できます。 |
| Azure Active Directory ID | 文字列 | なし | はい | Microsoft Entra テナント ID は、[Microsoft Entra] > [アプリの登録] > [統合用に構成したアプリケーション] > [ディレクトリ(テナント)ID] で確認できます。 |
| API ルート | 文字列 | https://management.azure.com | はい | 統合で使用する Management.azure.com API のルート URL。 |
| Azure リソース グループ | 文字列 | なし | はい | Microsoft Sentinel が配置されている Azure リソース グループの名前。 |
| Azure Sentinel ワークスペース名 | 文字列 | なし | はい | 使用する Microsoft Sentinel ワークスペースの名前。Azure ポータル > Microsoft Sentinel > Microsoft Sentinel ワークスペースで確認できます。 |
| クライアント ID | 文字列 | なし | はい | この統合のために Microsoft Entra でアプリ登録に追加されたクライアント(アプリケーション)ID。 |
| クライアント シークレット | パスワード | なし | はい | Azure Sentinel アプリ登録で入力されたシークレット。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、Microsoft Sentinel ワークスペースへの接続をテストします。
ユースケース
このアクションは、Google Security Operations Marketplace タブの統合構成ページで接続性をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「指定された接続パラメータを使用して Microsoft Sentinel ワークスペースに正常に接続されました!」と出力されます。 成功しなかった場合: 「Microsoft Sentinel ワークスペースへの接続に失敗しました。Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
インシデントの一覧表示
指定された検索条件に基づいて Microsoft Sentinel インシデントを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 期間 | Integer | 3 | いいえ | インシデントを取得する期間を時間で指定します。 |
| ステータス | 文字列 | 新規、有効、クローズ | いいえ | 検索するインシデントのステータスを指定します。パラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| 重大度 | 文字列 | 情報、低、中、高 | いいえ | 検索するインシデントの重大度を指定します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| 取得するインシデントの数 | Integer | 200 | いいえ | 取得するインシデントの数。デフォルトでは、最新の 200 件のインシデントが返されます。 |
ユースケース
このアクションを使用すると、Google SecOps プレイブックから Microsoft Sentinel インシデントを一覧表示できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
ケースウォール
| 結果のタイプ | 値/ 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功してデータを取得した場合: 「Successfully returned Microsoft Sentinel incidents」と出力します。 見つからない場合: 「アクションでインシデントが見つかりませんでした」と出力します。 エラーの場合: 「Microsoft Sentinel インシデントのリスト取得に失敗しました。Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |
| テーブル | 表のタイトル: Microsoft Sentinel で検出されたインシデント: 列: incident_number、incident_id、title、description、severity、status、labels、assigned to、alert product names、created time、last updated time |
全般 |
| 添付ファイル | List_Incidents.json - には、returned by the action の技術的な JSON データが含まれます。 | 全般 |
JSON ビューア |
クエリ結果の JSON ビューアを表示します。 | 全般 |
インシデントの詳細を更新する
Microsoft Sentinel インシデントを更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インシデントのケース番号 | Integer | なし | はい | 更新する Azure Sentinel インシデント番号を指定します。 |
| タイトル | 文字列 | なし | いいえ | Azure Sentinel インシデントの新しいタイトルを指定します。 |
| 重大度 | DDL | 更新されていません(有効な値: 更新されていません、情報、低、中、高) |
いいえ | Azure Sentinel インシデントの新しい重大度を指定します。 |
| 説明 | 文字列 | なし | いいえ | Azure Sentinel インシデントの新しい説明を指定します。 |
| 割り当て先 | 文字列 | なし | いいえ | インシデントの割り当て先となるユーザーを指定します。 |
| ステータス | DDL | 更新なし(指定可能な値: 更新なし、新規、有効、クローズ) | いいえ | Azure Sentinel インシデントの新しいステータスを指定します。 |
| 終了理由 | DDL | 更新なし(有効な値: |
いいえ | インシデントのステータスが [Closed] に設定されている場合は、インシデントの [Closed Reason] を指定します。 |
| 結びのコメント | 文字列 | なし | いいえ | クローズされた Azure Sentinel インシデントに提供する省略可能なクローズ コメント。 |
| 再試行の回数 | Integer | 1 | はい | インシデントの更新が失敗した場合にアクションが再試行する回数を指定します。 |
| 再試行間隔 | Integer | 20 | はい | インシデント更新の再試行の間、アクションが待機する期間を指定します。 |
ユースケース
このアクションを使用すると、Google SecOps ハンドブックから Microsoft Sentinel インシデントを更新できます。Microsoft Sentinel インシデントの分析を含むワークフローの結果アクションとして使用できます。Google SecOps でインシデントが処理されると、インシデントを更新してインシデントの分析の進行状況を示すことができます(assignedTo の設定、Status の inProgress への設定など)。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
リクエスト 2 の JSON 結果が返され、次の更新されたインシデントの詳細が含まれます。
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Microsoft Sentinel インシデント {0} が正常に更新されました」と出力します。format(IncidentID)。 指定されたインシデント ケース番号でインシデントが見つからない場合: 「Microsoft Sentinel Incident with case number {0} was not found!」(ケース番号 {0} の Microsoft Sentinel インシデントが見つかりませんでした)と出力します。format(incident_case_number)。 エラーの場合: 「Microsoft Sentinel インシデントの更新に失敗しました。Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
インシデント ラベルを更新する
特定の Microsoft Sentinel インシデントのラベルを更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インシデントのケース番号 | Integer | 2273 | はい | 新しいラベルで更新する Azure Sentinel インシデント番号を指定します。 |
| ラベル | 文字列 | 不正なソフトウェア | はい | インシデントに追加する新しいラベルを指定します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| 再試行の回数 | Integer | 1 | はい | インシデントの更新が失敗した場合にアクションが再試行する回数を指定します。 |
| 再試行間隔 | Integer | 20 | はい | インシデント更新の再試行の間でアクションが待機する期間を指定します。 |
ユースケース
このアクションを使用すると、Google SecOps ハンドブックから Microsoft Sentinel インシデント ラベルを更新できます。ユーザーは、必要に応じてこのアクションを使用して、特定のタグ(ラベル)を特定のインシデントに割り当てることができます。たとえば、特定のホストがこのインシデントに含まれている場合は、特定のラベルが必要です。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
リクエスト 2 の JSON 結果が返され、更新されたインシデントの詳細が含まれます。
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
ケースウォール
| 結果のタイプ | 値/ 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Microsoft Sentinel インシデント {0} を次のラベルで正常に更新しました: {1}」.format(IncidentID, [labels_list])。
指定されたインシデント ケース番号でインシデントが見つからない場合: "Microsoft Sentinel incident with case number {0} was not found!".format(incident_case_number)。 インシデントにすでに存在するラベルが指定されている場合(isSuccess=False): 「次のラベルは、インシデント {0} の Microsoft Sentinel ラベルにすでに存在するため、追加されませんでした: {1}」.format(IncidentID, [labels_list]) エラーの場合: 「Microsoft Sentinel インシデントのラベルを更新できませんでした。Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
インシデントの統計情報を取得する
Azure Sentinel インシデントの統計情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 期間 | Integer | 3 | いいえ | 統計情報を表示する期間を指定します。 |
ユースケース
このアクションは、Microsoft Sentinel イベントの Google SecOps Playbook レポートを表示するために使用できます。このアクションは、ユーザーが Microsoft Sentinel のアラームを操作するプレイブックの一部を形成します。たとえば、警告が処理されて削除されたときに、このアクションを実装して、Microsoft Sentinel インシデントの結果を [教訓] ページに表示できます。
逆に、Windows Sentinel アプリを使用する代わりに、Google SecOps に留まるためのユーザー インターフェース メソッドにすることもできます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功してデータを取得した場合: 「Microsoft Sentinel インシデントの統計情報を正常に返しました」と出力されます。 エラーの場合: 「Microsoft Sentinel インシデントの統計情報の取得に失敗しました。Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
| 表 1 | テーブルのタイトル: 重大度別の Microsoft Sentinel インシデント統計情報: 列: 重大(totalCriticalSeverity にマッピング)、高(totalHighSeverity にマッピング)、中(totalMediumSeverity にマッピング)、低(totalLowSeverity にマッピング)、情報(totalInformationalSeverity にマッピング) |
全般 |
| 表 2 | テーブルのタイトル: ステータス別の Microsoft Sentinel インシデント統計情報: 列: New(totalNewStatus にマッピング)、InProgress(totalInProgressStatus にマッピング)、Resolved(totalResolvedStatus にマッピング)、Dismissed(totalDismissedStatus にマッピング)、TruePositive(totalTruePositiveStatus にマッピング) FalsePositive(totaFalsePositiveStatus にマッピング) |
全般 |
JSON ビューア |
クエリ結果の JSON ビューアを表示します。 | 全般 |
アラートルールを一覧表示する
Azure Sentinel のスケジュール設定されたルールのリストを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラートルールの重大度 | 文字列 | 情報、低、中、高、重大 | いいえ | 検索するアラートルールの重大度を指定します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| 特定のアラートルールの種類を取得する | 文字列 | なし | いいえ | アクションが返すアラートのタイプを指定します。パラメータは、カンマ区切りの文字列として複数の値を受け入れます。 値が指定されていない場合は、可能なすべてのアラートタイプを返します。 |
| 特定のアラートルールの戦術を取得する | 文字列 | なし | いいえ | アラート ルールの戦術アクションが返す内容を指定します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 値が指定されていない場合は、考えられるすべてのアラートタイプを返します。 |
| 有効なアラートルールのみを取得しますか? | チェックボックス | オフ | いいえ | 有効なアラート ルールのみを返すかどうかを指定します。 |
| 返されるルールの最大数 | Integer | なし | いいえ | アクションが返すスケジュール設定されたアラート ルールの数(例: 50)。 |
ユースケース
このアクションを使用すると、Google SecOps プレイブックから Microsoft Sentinel アラート ルールを一覧表示できます。アラートルールを一覧表示して、環境内で疑わしい脅威や異常の種類ごとにアラートルールが準備されていることを確認できます。状況が適切に処理されていないことがわかった場合は、既存のアラートルールをすぐに更新するか、新しいアラートルールを作成できます。Microsoft Sentinel アラート ルールにより、脅威のトリアージ、調査、修復をすぐに実行できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「構成された Microsoft Sentinel アラート ルールが正常に一覧表示されました」と出力されます。 エラーの場合: 「Microsoft Sentinel アラート ルールのリスト取得に失敗しました。Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
| テーブル | テーブルのタイトル: 見つかった Microsoft Sentinel アラート ルール: 列: AlertID(name にマッピング)、Name(displayName にマッピング)、Enabled、Description、Tactics、Last Modification Time(lastModificationUtc にマッピング) |
全般 |
| 添付ファイル | List_AlertRules.json - には、returned by the action の技術的な JSON データが含まれます。 | 全般 |
JSON ビューア |
クエリ結果の JSON ビューアを表示します。 | 全般 |
アラート ルールの詳細を取得する
Azure Sentinel のスケジュールされたアラート ルールの詳細を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| AlertRuleID | 文字列 | なし | はい | アラートルールの ID を指定します。 |
ユースケース
このアクションを使用すると、Google SecOps ハンドブックから Microsoft Sentinel アラート ルールの詳細を取得できます。たとえば、一部のアラートの頻度が増加し、そのほとんどが誤検出である場合や、1 つのアラートルールで処理される状況が多すぎて、脅威を特定しやすくするためにそれらを分離したい場合は、このアクションを使用してアラートルールの構成を適切に把握できます。アラートルールの結果に基づいて、アラートルールを更新するか、削除するか、変更しないかを決定できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功し、データを取得した場合: 「Microsoft Sentinel アラートルール {0} の詳細が正常に返されました」と出力します。format(AlertRuleID)。 指定された AlertID でアラート ルールが見つからない場合: 「Microsoft Sentinel アラート ルール(ID: {0})が見つかりませんでした」と出力します。format(AlertRuleID)。
エラーの場合: 「Microsoft Sentinel アラート ルールの詳細を取得できませんでした。Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |
| テーブル | テーブルのタイトル: Microsoft Sentinel アラート ルールの詳細: 列: AlertID(name にマッピング)、Name(displayName にマッピング)、Enabled、Description、Query、Frequency(queryFrequency にマッピング)、Period of Lookup data(queryPeriod にマッピング)、Trigger(triggerOperator と triggerThreshold の組み合わせとしてマッピング)、Tactics、Enable Suppression(suppressionEnabled としてマッピング)、Suppression Duration(suppressionDuration としてマッピング)、Last Modification Time(lastModificationUtc にマッピング) |
全般 |
JSON ビューア |
クエリ結果の JSON ビューアを表示します。 | 全般 |
アラートルールを作成する
Azure Sentinel のスケジュール設定されたアラートルールを作成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ルールを有効にする | DDL | なし | はい | このアラート ルールを無効にするか有効にするかを指定します。 |
| 名前 | 文字列 | なし | はい | アラート ルールの表示名を指定します。 |
| 重大度 | DDL | なし | はい | このアラート ルールの重大度を指定します。 |
| クエリ | 文字列 | なし | はい | このアラート ルールのクエリを指定します。 |
| 頻度 | 文字列 | なし | はい | クエリの実行頻度を指定します。形式は PT + 数字 +(M、H、D)です。 ここで、M は分、H は時間、D は日を表します。 最小値は 5 分、最大値は 14 日です。 |
| ルックアップ データの期間 | 文字列 | なし | はい | 最後のルックアップ データの時間を指定します。形式は P + 数字 + (M、H、D) です。 ここで、M は分、H は時間、D は日を表します。最小値は 5 分、最大値は 14 日です。 |
| トリガー オペレーター | DDL | なし | はい | このアラートルールのトリガー演算子を指定します。 |
| トリガーのしきい値 | Integer | なし | はい | このアラート ルールのトリガーしきい値を指定します。 |
| 抑制を有効にする | DDL | なし | はい | アラートの生成後にクエリの実行を停止するかどうかを指定します。 |
| 抑制期間 | 文字列 | なし | はい | アラートが生成された後にクエリの実行を停止する期間を指定します。次の形式を使用します。PT + 数字 + (M、H、D)。 ここで、M は分、H は時間、D は日を表します。 例: P1M - 1 分 P10H - 10 時間 P2D - 2 日。 最小値は 5 分、最大値は 14 日です。 |
| 説明 | 文字列 | なし | いいえ | このアラートルールの説明を指定します。 |
| 戦術 | 文字列 | なし | いいえ | このアラートルールの戦術を指定します。 パラメータには、カンマ区切りの複数の値を指定できます。 |
ユースケース
このアクションを使用すると、Google SecOps プレイブックから Microsoft Sentinel アラート ルールを作成できます。カスタム アラートルールを作成すると、環境内で疑わしい脅威や異常の種類を検索できます。Microsoft Sentinel アラート ルールにより、脅威をトリアージ、調査、修復できるように、すぐに通知を受け取ることができます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Microsoft Sentinel アラート ルールが正常に作成されました」と出力されます。 エラーの場合: 「Microsoft Sentinel アラート ルールの作成に失敗しました!Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
アラートルールを更新する
Azure Sentinel のスケジュールされたアラート ルールを更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| AlertRuleID | 文字列 | なし | はい | アラートルールの AlertRuleID を指定します。 |
| 名前 | 文字列 | なし | いいえ | アラート ルールの表示名を指定します。 |
| アラート ルールを有効にする | DDL | なし | いいえ | このアラート ルールを無効にするか有効にするかを指定します。 |
| 重大度 | DDL | なし | いいえ | このアラート ルールの重大度を指定します。 |
| クエリ | 文字列 | なし | いいえ | このアラートルールのクエリを指定します。 |
| 頻度 | 文字列 | なし | いいえ | クエリの実行頻度を指定します。形式は PT + 数字 +(M、H、D)です。 ここで、M は分、H は時間、D は日を表します。例: PT1M - 1 分ごとにクエリを実行する PT10H - 10 時間ごとにクエリを実行する PT2D - 2 日ごとにクエリを実行します。 最小値は 5 分、最大値は 14 日です。 |
| ルックアップ データの期間 | 文字列 | なし | いいえ | 最後のルックアップ データの時間を指定します。形式は P + 数字 + (M、H、D) です。 ここで、M は分、H は時間、D は日を表します。. 例: P1M - 1 分 P10H - 10 時間 P2D - 2 日。 最小値は 5 分、最大値は 14 日です。 |
| トリガー オペレーター | DDL | なし | いいえ | このアラートルールのトリガー演算子を指定します。 |
| トリガーのしきい値 | Integer | なし | いいえ | このアラート ルールのトリガーしきい値を指定します。 |
| 抑制を有効にする | DDL | なし | いいえ | アラートの生成後にクエリの実行を停止するかどうかを指定します。 |
| 抑制期間 | 文字列 | なし | いいえ | アラートが生成された後にクエリの実行を停止する期間を指定します。次の形式を使用します。PT + 数字 + (M、H、D)。 ここで、M は分、H は時間、D は日を表します。 例: P1M - 1 分 P10H - 10 時間 P2D - 2 日。 最小値は 5 分、最大値は 14 日です。 |
| 説明 | 文字列 | なし | いいえ | このアラートルールの説明を指定します。 |
| 戦術 | 文字列 | なし | いいえ | このアラートルールの戦術を指定します。 パラメータは、カンマ区切りの複数の値を受け入れます。 |
ユースケース
このアクションを使用すると、Google SecOps ハンドブックから Microsoft Sentinel アラート ルールを更新できます。たとえば、一部のアラートの頻度が増加し、そのほとんどが誤検出である場合は、このアクションを使用して、ニーズに合わせてアラート ルールの構成を更新できます。Microsoft Sentinel アラート ルールにより、脅威をトリアージ、調査、修復できるように、すぐに通知を受け取ることができます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Successfully updated Microsoft Sentinel alert rule with ID {0}」と出力します。format(AlertRuleID)。 指定された AlertID でアラート ルールが見つからない場合: 「Microsoft Sentinel アラート ルール(ID: {0})が見つかりませんでした」と出力します。format(AlertRuleID)。 エラーの場合: 「Microsoft Sentinel アラート ルールの更新に失敗しました。エラーは {0}」.format(exception.stacktrace) です。 |
全般 |
アラート ルールを削除する
Azure Sentinel のスケジュール設定されたアラート ルールを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| AlertRuleID | 文字列 | なし | はい | 削除するアラートルールの ID を指定します。 |
ユースケース
このアクションを使用すると、Google SecOps から Microsoft Sentinel アラート ルールを削除できます。アラートルールが古すぎて目的を果たしていない場合や、ルールが誤検出のみを生成する場合は、この操作で削除できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Microsoft Sentinel アラートルール {0} を削除しました」と出力します。format(AlertRuleID)。 指定された AlertID でアラートルールが見つからない場合: 「Microsoft Sentinel アラートルール(ID: {0})が見つかりませんでした」と出力します。format(AlertRuleID)。 エラーの場合: 「Microsoft Sentinel アラート ルールの削除に失敗しました!エラーは {0}」.format(exception.stacktrace) です。 |
全般 |
カスタム ハンティング ルールを一覧表示する
Azure Sentinel のカスタム ハンティング ルールのリストを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返すハンティング ルール名 | 文字列 | なし | いいえ | ハンティング ルールのアクションが返す名前を指定します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 値が指定されていない場合は、考えられるすべてのアラートタイプを返します。 |
| 特定のハンティング ルールの戦術を取得する | 文字列 | なし | いいえ | ハンティング ルールの戦術アクションが返す内容を指定します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 値が指定されていない場合は、考えられるすべてのアラートタイプを返します。 |
| 返されるルールの最大数 | Integer | なし | いいえ | アクションが返すスケジュール設定されたアラート ルールの数(例: 50)。 |
ユースケース
このアクションを使用すると、Microsoft Sentinel 用の Google SecOps プレイブックのカスタムのハンティング ルールとよく使うハンティング ルールを一覧表示できます。ネットワークで動作する最も希少で非常に重要なプロセスに関するデータのハンティング ルールをすべて確立するには、カスタム ハンティング ルールと優先ハンティング ルールについて言及する必要があります。一部の状況が正しく処理されていないことがわかった場合は、既存のハンティング ルールを直ちに更新して作成できます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Successfully returned Microsoft Sentinel hunting rules」と出力されます。 エラーの場合: 「Microsoft Sentinel のハンティング ルールの一覧取得に失敗しました!Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
| テーブル | テーブルのタイトル: 見つかった Microsoft Sentinel のハンティング ルール: 列: HuntingRuleID(name にマッピング)、title(displayName にマッピング)、category、description(タグ辞書の description パラメータにマッピング)、tactics(タグ辞書の tactics パラメータにマッピング)、query、作成時間(タグ辞書の CreatedTimeUtc パラメータにマッピング) |
全般 |
| 添付ファイル | List_HuntingRules.json - には、returned by the action の技術的な JSON データが含まれます。 | 全般 |
JSON ビューア |
クエリ結果の JSON ビューアを表示します。 | 全般 |
カスタム ハンティング ルールの詳細を取得する
Azure Sentinel カスタム ハンティング ルールの詳細を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| HuntingRuleID | 文字列 | なし | はい | ハンティング ルールの ID を指定します。 |
ユースケース
Microsoft Sentinel の標準または優先のハンティング ルールに関する情報には、Google SecOps プレイブックを使用してアクセスできます。このツールは、たとえば、ハンティング ルールから受け取った詳細情報が分析に適していない場合や、ハンティング ルールが正しく構成されているかどうかを確認する場合に使用します。結果に基づいて、編集、削除、変更なしのいずれにするかを判断します。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Successfully returned Microsoft Sentinel hunting rule {0} details」と出力します。format(HuntingRuleID)。 指定された AlertID でアラート ルールが見つからない場合: 「Microsoft Sentinel 検索ルール(ID: {0})が見つかりませんでした」と出力します。format(HuntingRuleID)。 エラーの場合: 「Microsoft Sentinel のハンティング ルールの詳細を取得できませんでした。Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |
| テーブル | テーブルのタイトル: Microsoft Sentinel のハンティング ルールの詳細: 列: HuntingRuleID(名前にマッピング)、Name(displayName にマッピング)、Description、Query、Tactic、Creation TIme |
全般 |
| 添付ファイル | List_HuntingRules.json - には、returned by the action の技術的な JSON データが含まれます。 | 全般 |
JSON ビューア |
クエリ結果の JSON ビューアを表示します。 | 全般 |
カスタム ハンティング ルールを作成する
Azure Sentinel カスタム ハンティング ルールを作成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | はい | このハンティング ルールで実行するクエリを指定します。 |
| 表示名 | 文字列 | なし | はい | ハンティング ルールの表示名を指定します。 |
| 説明 | 文字列 | なし | いいえ | ハンティング ルールの説明を指定します。 |
| 戦術 | 文字列 | なし | いいえ | このハンティング ルールの戦術を指定します。このパラメータは、カンマ区切りの複数の値を受け入れます。 |
ユースケース
このアクションを使用すると、Google SecOps プレイブックから新しい Microsoft Sentinel ハンティング ルールを作成できます。たとえば、ハンティング ルールにはクエリが含まれています。このクエリは、インフラストラクチャで実行されている最も一般的でないプロセスに関するデータを提供できます。これらのプロセスが実行されるたびにアラートを受け取る必要はありません。完全に無害な場合もありますが、クエリを定期的に確認して、異常なものがないかどうかを確認することをおすすめします。つまり、ネットワーク環境からより多くの情報を収集するために使用される可能性があります。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Microsoft Sentinel のハンティング ルールが正常に作成されました」と出力されます。 エラーの場合: 「Microsoft Sentinel のハンティング ルールの作成に失敗しました。Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
カスタム ハンティング ルールを更新する
Azure Sentinel のカスタム ハンティング ルールを更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| HuntingRuleID | 文字列 | なし | はい | ハンティング ルールの ID を指定します。 |
| 表示名 | 文字列 | なし | いいえ | ハンティング ルールの表示名を指定します。 |
| クエリ | 文字列 | なし | いいえ | このハンティング ルールで実行するクエリを指定します。 |
| 説明 | 文字列 | なし | いいえ | 説明を指定します。 |
| 戦術 | 文字列 | なし | いいえ | このハンティング ルールの戦術を指定します。 このパラメータには、カンマ区切りの複数の値を指定できます。 |
ユースケース
このアクションは、Google SecOps プレイブックからカスタムの Microsoft Sentinel ハンティング ルールを更新するために使用できます。たとえば、ハンティング ルールが非常に古いと思われる場合に、この操作を使用して、クエリや説明などの複数のパラメータを更新します。インシデントの調査を行う際には情報が重要になるため、すべてのハンティング ルールを更新して関連情報を表示する必要があります。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Successfully updated Microsoft Sentinel hunting rule with ID {0}」と出力します。format(HuntingRuleID)。 指定された HuntingRuleID でハンティング ルールが見つからない場合: 「Microsoft Sentinel ハンティング ルール(ID {0})が見つかりませんでした」と出力します。format(HuntingRuleID)。 エラーの場合: 「Microsoft Sentinel のハンティング ルールの更新に失敗しました。Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
カスタム ハンティング ルールを削除する
Azure Sentinel のカスタム ハンティング ルールを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| HuntingRuleID | 文字列 | なし | はい | 削除するハンティング ルールの ID を指定します。 |
ユースケース
このアクションは、Google SecOps からカスタムの Microsoft Sentinel ハンティング ルールを削除するために使用できます。たとえば、ハンティング ルールが非常に古く、調査プロセスに必要ないと思われる場合は、削除することをおすすめします。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Successfully deleted Microsoft Sentinel hunting rule with ID {0}」と出力します。format(HuntingRuleID)。 指定された HuntingRuleID でハンティング ルールが見つからない場合: 「Microsoft Sentinel ハンティング ルール(ID {0})が見つかりませんでした」と出力します。format(HuntingRuleID)。 エラーの場合: 「Microsoft Sentinel のハンティング ルールの削除に失敗しました!Error is {0}".format(exception.stacktrace) を出力します。 |
全般 |
カスタム ハンティング ルールを実行する
カスタムまたはお気に入りの Microsoft Sentinel ハンティング ルールを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| HuntingRuleID | 文字列 | なし | はい | ハンティング ルールの ID を指定します。 |
| タイムアウト | Integer | なし | いいえ | Azure Sentinel ハンティング ルール API 呼び出しのタイムアウト値を指定するために使用されるパラメータ。 |
ユースケース
このアクションを使用すると、Google SecOps プレイブックから Microsoft Sentinel 検索ルールを実行できます。ハンティング ルールクエリを実行すると、インフラストラクチャで実行されている最も一般的でないプロセスに関するデータが提供されます。これらのプロセスが実行されるたびにアラートを受け取る必要はありません。完全に無害な場合もありますが、クエリを定期的に確認して、異常がないかどうかを確認することをおすすめします。つまり、ネットワーク環境からより多くの情報を収集するために使用できます。これにより、調査担当者はインシデントに関するすべてのニュアンスを把握し、さらなる意思決定を行うことができます。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「Hunting rule executed successfully」と出力されます。 指定された HuntingRuleID でハンティング ルールが見つからない場合: 「Microsoft Sentinel ハンティング ルール(ID: {0})が見つかりませんでした」と出力します。format(HuntingRuleID) 何も見つからなかった場合: 「Hunting rule executed successfully, but did not return any results.」と出力します。
エラーの場合: 「次のエラーによりハンティング ルールが完了しませんでした:
{0}」format(exception.stacktrace) を出力します。 タイムアウトの場合: 「ハンティング ルールがタイムアウトにより完了しませんでした: {0}」format(exception.stacktrace) を出力します。
クエリ結果が切り捨てられた場合: 「Hunting rule results exceeded limits and were truncated, please rewrite your query!」と出力します。 |
全般 |
| テーブル | テーブルのタイトル: Microsoft Sentinel ハンティング ルールの結果 列: クエリ結果に基づいて列を動的に生成します |
全般 |
| 添付ファイル | Run_Hunting_rule_{HuntingRuleID}_response.json - には、returned by the action の技術的な JSON データが含まれます。 | 全般 |
JSON ビューア |
クエリ結果の JSON ビューアを表示します。 | 全般 |
KQL クエリを実行する
指定されたアクション入力パラメータに基づいて Azure Sentinel KQL クエリを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| KQL クエリ | 文字列 | なし | はい | Azure Sentinel で実行する KQL クエリ。たとえば、Sentinel で利用可能なセキュリティ アラートを取得するには、クエリは \"SecurityAlert\" になります。他のアクション入力パラメータ(期間、上限)を使用して、クエリ結果をフィルタします。KQL クエリの例については、Sentinel の [ログ] ウェブページをご覧ください。 |
| 期間 | 文字列 | なし | いいえ | 検索する期間を指定します。時刻値は ISO 8601 準拠である必要があります。たとえば、過去 10 時間の検索や、検索する時間間隔の指定に使用できます。形式は PT + 数字 + (M、H、D) とします。 ここで、M は分、H は時間、D は日を表します。 |
| クエリのタイムアウト | Integer | 180 | いいえ | Azure Sentinel ハンティング ルール API 呼び出しのタイムアウト値。python プロセスのタイムアウトが原因で、指定された値よりも早くアクションがタイムアウトしないように、このパラメータに合わせて Google SecOps アクションの python プロセスのタイムアウトを調整する必要があります。 |
| レコードの上限 | Integer | 100 | いいえ | 取得するレコードの数。省略可能なパラメータ。設定すると、kql クエリに「| limit x」が追加されます。ここで、x はレコードの上限に設定された値です。kql クエリで「limit」がすでに設定されている場合や、不要な場合は削除できます。 |
ユースケース
ケースの調査中に高度なクエリを実行します。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | 成功した場合: 「クエリが正常に実行されました」と出力されます。 何も見つからなかった場合: 「クエリは正常に実行されましたが、結果は返されませんでした。」と出力します。 エラーの場合: 「次のエラーによりクエリが完了しませんでした: {0}」format(exception.stacktrace) を出力します。 タイムアウトの場合: 「次のタイムアウトによりクエリが完了しませんでした:
{0}」format(exception.stacktrace) を出力します。 クエリ結果が切り捨てられた場合: 「Query results exceeded limits and were truncated, please rewrite your query!」と出力します。 |
|
| テーブル | テーブルのタイトル: KQL クエリ結果 列: クエリ結果に基づいて列を動的に生成します |
全般 |
| 添付ファイル | Run_KQL_query_response.json - には、returned by the action の技術的な JSON データが含まれます。 | 全般 |
JSON ビューア |
クエリ結果の JSON ビューアを表示します。 | 全般 |
インシデントにコメントを追加
Azure Sentinel インシデントにコメントを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インシデント番号 | Integer | なし | はい | コメントを追加するインシデント番号を指定します。 |
| 追加するコメント | 文字列 | なし | はい | インシデントに追加するコメントを指定する |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
コネクタ
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
Microsoft Azure Sentinel インシデント コネクタ - 非推奨
Google SecOps SOAR では、Microsoft Azure Sentinel インシデント コネクタが、Azure Security Insights API を使用して、特定の Microsoft Sentinel ワークスペースからインシデントをアラートとして取り込みます。
コネクタは、インシデントのリスト アクションやインシデントの詳細を取得アクションと同様の機能を使用し、Azure Security Insights エンドポイントに接続して、指定された期間に生成されたインシデントのリストを取得します。
コネクタのユースケース
コネクタを使用して、Microsoft Sentinel ワークスペースで新しいインシデントをモニタリングし、Google SecOps SOAR サーバーに取り込みます。
特定のイベントタイプのフローを確保するには、データコネクタを Microsoft Sentinel に追加します。たとえば、Windows ホストのセキュリティ イベントをデータコネクタの 1 つとして追加するには、Windows ホストに Microsoft Sentinel エージェントをインストールし、取り込むイベントのタイプ(セキュリティ イベント、ファイアウォール イベント、DNS イベントなど)を構成します。
特定の条件に基づいてアラートを生成するには、ルールクエリを使用してアラートルールを定義します。アラート ルールで警告が作成されると、Microsoft Sentinel がトリガーされ、イベントの生成、データ事故の保存、ポータルのインシデント ページでのインシデントの表示が行われます。
インシデント データをプログラムで読み書きするには、Security Insights REST API を使用します。
コネクタ パラメータ
コネクタを構成するには、次のパラメータを使用します。
| パラメータ | |
|---|---|
Product Field Name |
必須
商品名が保存されるフィールドの名前。 デフォルト値は |
Event Field Name |
必須
イベント名が保存されるフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合は、デフォルトの環境が使用されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値の このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Azure Subscription ID |
必須 Azure サブスクリプション ID。 |
Azure Active Directory ID |
必須 Microsoft Entra テナント ID。 |
Api Root |
必須 統合で使用する management.azure.com API のルート URL。 デフォルト値は |
Azure Resource Group |
必須 Microsoft Sentinel が配置されている Azure リソース グループの名前。 |
Azure Sentinel Workspace Name |
必須 使用する Microsoft Sentinel ワークスペースの名前。 |
Client ID |
必須 この統合に使用される Microsoft Entra アプリケーション(クライアント)ID。 |
Client Secret |
必須 Microsoft Entra クライアント シークレットの値。 |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 デフォルト値は 180 秒です。 |
Offset Time In Hours |
必須
インシデントを取得する現在までの時間数。 デフォルト値は 24 時間です。 |
Incident Statuses to Fetch |
必須
取得するインシデントのステータス。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 デフォルト値は |
Incident Severities to Fetch |
必須
取得するインシデントの重大度。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 デフォルト値は |
Max Incidents per Cycle |
必須
1 回のコネクタ実行で処理するインシデントの数。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 デフォルト値は 10 です。 |
Proxy Server Address |
省略可
使用するプロキシ サーバーのアドレス。 |
Proxy Server Username |
省略可
認証に使用するプロキシのユーザー名。 |
Proxy Server Password |
省略可
認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタは、ブロックリストと動的リストをサポートしていません。
コネクタはプロキシをサポートしています。
Microsoft Azure Sentinel インシデント コネクタ v2
Microsoft Sentinel を使用する場合は、Microsoft Azure Sentinel インシデント コネクタ v2 を使用することをおすすめします。主な変更点としては、Microsoft Sentinel API の新しいインシデント エンドポイントへの移行、コネクタ エンティティの処理と解析のロジックの導入などがあります。特定の Microsoft Sentinel インシデントをフィルタして、インシデント名に基づいて取得するには、動的リストを使用します。
Microsoft Sentinel UI にはインシデント エンティティが表示されるが、API からは返されない(エンティティ リストが空である)可能性があります。そのため、コネクタはこのようなインシデントの取り込みに時間がかかり、次のコネクタ実行のバックログでクエリを実行します。エンティティ情報が API レスポンスで利用可能になると、コネクタはインシデントを取り込みます。
スケジュール設定された Sentinel アラートとスケジュール設定されていない Sentinel アラートの処理
Microsoft Azure Sentinel インシデント コネクタで、Azure Sentinel のスケジュール設定されたアラート以外のすべてのアラートに対してエンティティが誤って表示される問題を解決するため、Microsoft Azure Sentinel インシデント コネクタ v2 では、すべてのエンティティに対して追加のイベントが追加されます。
つまり、コネクタが Google SecOps イベントで IP、アカウント、またはホスト名エンティティを受信すると、検出されたエンティティごとに Google SecOps イベントが追加されます。新しく作成されたイベントを使用して、Google SecOps SOAR でエンティティを作成し、エンティティ プロパティをマッピングできます。最初のイベントはそのまま残ります。新しいイベントは、Google SecOps アラートにのみ追加されます。他のエンティティ タイプはこのロジックの影響を受けず、追加のイベントが作成されることなく、最初のイベントに残ります。
追加のイベントの作成を有効にするため、コネクタは entity Sentinel API エンドポイントを使用してデータを取得します。スケジュールされたアラートと NRT アラートの両方で、デフォルトでログ分析 KQL クエリを使用してアラートとイベントのデータを取得します。選択すると、コネクタ構成の [すべてのアラートタイプでイベント作成に同じアプローチを使用しますか?] パラメータは、スケジュールされたアラートとスケジュールされていないアラートを含むすべてのアラートに同じエンティティベースのアプローチを使用します。このオプションは慎重に使用することをおすすめします。
コネクタ パラメータ
コネクタを構成するには、次のパラメータを使用します。
| パラメータ | |
|---|---|
Product Field Name |
必須
商品名が保存されるフィールドの名前。 デフォルト値は |
Event Field Name |
必須
イベント名が保存されるフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合は、デフォルトの環境が使用されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値の このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Azure Subscription ID |
必須 Azure サブスクリプション ID。 |
Azure Active Directory ID |
必須 Microsoft Entra テナント ID。 |
Api Root |
必須 インテグレーションで使用する API ルート URL。 デフォルト値は |
OAUTH2 Login Endpoint Url |
必須 OAuth 2.0 認証に使用するエンドポイント URL。 |
Azure Resource Group |
必須 Microsoft Sentinel が配置されている Azure リソース グループの名前。 |
Azure Sentinel Workspace Name |
必須 使用する Microsoft Sentinel ワークスペースの名前。 |
Client ID |
必須 この統合に使用される Microsoft Entra アプリケーション(クライアント)ID。 |
Client Secret |
必須 Microsoft Entra クライアント シークレットの値。 |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 デフォルト値は 180 秒です。 |
Offset Time In Hours |
必須
インシデントを取得する現在までの時間数。 デフォルト値は 24 時間です。 |
Incident Statuses to Fetch |
必須
取得するインシデントのステータス。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 デフォルト値は |
Incident Severities to Fetch |
必須
取得するインシデントの重大度。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 デフォルト値は |
Use the same approach with event creation for all alert types?
|
Optional チェックすると、コネクタはすべてのアラートタイプに同じアプローチを使用します。オフにすると、コネクタは Azure Sentinel のスケジュール設定されたアラート タイプに別の方法を使用し、アラートの詳細で指定されたクエリを実行してアラートの原因となったイベントを取得しようとします。 デフォルトではオフになっています。 |
Use whitelist as a blacklist |
必須
オンにすると、動的リストがブロックリストとして使用されます。 デフォルトではオフになっています。 |
Alerts padding period |
必須
コネクタがインシデントのアラートを取得する時間枠(分単位)。 デフォルト値は 60 分です。 |
Proxy Server Address |
省略可
使用するプロキシ サーバーのアドレス。 |
Proxy Server Username |
省略可
認証に使用するプロキシのユーザー名。 |
Proxy Server Password |
省略可
認証に使用するプロキシ パスワード。 |
Max Backlog Incidents per Cycle |
必須
1 回のコネクタ実行中にバックログから取得するインシデントの数。 デフォルト値は 10 です。 |
StartTimeFallback |
必須
フォールバック フィールドが見つからない場合、コネクタは デフォルト値は |
EndTimeFallback |
必須
フォールバック フィールドが見つからない場合、コネクタは デフォルト値は |
Enable Fallback Logic Debug? |
省略可
オンにすると、コネクタはフォールバックに使用された値を含むデバッグ フィールドを作成されたイベントに追加します。 デフォルトではオフになっています。 |
VendorFieldFallback |
必須
デフォルト値は |
ProductFieldFallback |
必須
デフォルト値は |
EventFieldFallback |
必須
デフォルト値は |
Max New Incidents per cycle |
必須
1 回のコネクタ実行で処理するインシデントの数。 デフォルト値は 10 です。 |
Wait For Scheduled/NRT Alert Object |
省略可
有効にすると、コネクタは Scheduled/NRT アラート オブジェクトが使用可能になるまで待機します。 |
Scheduled Alerts Events Limit to Ingest |
省略可
単一の Azure Sentinel スケジュール設定アラートまたは NRT アラートで取り込むイベントの最大数。 デフォルト値は 100 です。 |
Incidents Padding Period (minutes) |
省略可
コネクタがインシデントを取得して返すまでの期間(分単位)。これらのインシデントは時系列順ではありません。 |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
省略可
オンにすると、エンティティのない Microsoft Sentinel インシデントから Google SecOps アラートが作成されます。それ以外の場合、コネクタはスケジュールされたアラートと NRT アラートに対してのみ Google SecOps アラートを作成し、他のすべての Microsoft Sentinel インシデント タイプをスキップします。 デフォルトではオフになっています。 |
Incident's Alerts Limit to Ingest |
省略可
Microsoft Sentinel のインシデントごとに取り込むアラートの最大数。 |
Alert Name Template |
省略可
指定されている場合、コネクタは Microsoft Sentinel API レスポンスで返されたインシデント データからこの値を使用して プレースホルダは このフィールドの最大長は 256 文字です。 値が指定されていない場合や、無効なテンプレートを指定した場合は、コネクタはデフォルトのアラート名を使用します。 |
Rule Generator Template |
省略可
指定されている場合、コネクタは Microsoft Sentinel API レスポンスで返されたインシデント データからこの値を使用して プレースホルダは このフィールドの最大長は 256 文字です。 値が指定されていない場合や、無効なテンプレートが指定されている場合、コネクタはデフォルトのルール ジェネレータ値を使用します。 |
[アラート名] フィールドと [ルール ジェネレータ] フィールドをカスタマイズする
このコネクタを使用すると、アラート名テンプレート パラメータとルール生成ツール テンプレート パラメータを使用して、Siemplify アラート名フィールドとルール生成ツール フィールドの値をカスタマイズできます。テンプレートの場合、コネクタは API から返された Microsoft Sentinel インシデント データから情報を取得します。
次の例は、API から返されたインシデント データを表示して、アラートで使用可能でテンプレートに使用できるフィールドを参照します。
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
コネクタルール
コネクタは、ブロックリストと動的リストをサポートしています。
コネクタはプロキシをサポートしています。
Microsoft Sentinel インシデント トラッキング コネクタ
Microsoft Sentinel インシデント トラッキング コネクタを使用して、Microsoft Sentinel インシデントを操作し、Sentinel インシデントの更新を新しい Google SecOps アラートとして取得します。動的リストを使用して、取得するインシデント名を指定できます。このコネクタでは、SourceGroupIdentifier パラメータに基づいて Google SecOps アラートのグループ化を構成することをおすすめします。
コネクタの入力
コネクタを構成するには、次のパラメータを使用します。
| パラメータ | |
|---|---|
Product Field Name |
必須
商品名が保存されるフィールドの名前。 デフォルト値は |
Event Field Name |
必須
イベント名が保存されるフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合は、デフォルトの環境が使用されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値の このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Azure Subscription ID |
必須 Azure サブスクリプション ID。 |
Entra ID Directory ID |
必須 Microsoft Entra テナント ID。 |
Api Root |
必須 インテグレーションで使用する API ルート URL。 デフォルト値は |
OAUTH2 Login Endpoint Url |
必須 OAuth 2.0 認証に使用するエンドポイント URL。 |
Azure Resource Group |
必須 Microsoft Sentinel が配置されている Azure リソース グループの名前。 |
Azure Sentinel Workspace Name |
必須 使用する Microsoft Sentinel ワークスペースの名前。 |
Client ID |
必須 この統合に使用される Microsoft Entra アプリケーション(クライアント)ID。 |
Client Secret |
必須 Microsoft Entra クライアント シークレットの値。 |
Script Timeout (Seconds) |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 デフォルト値は 480 秒です。 |
Verify SSL |
Optional 選択すると、統合によって Microsoft サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトで選択されています。 |
Max Hours Backwards |
必須
最初のコネクタ イテレーションの前にインシデントを取得する時間数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーションに 1 回だけ適用されます。 デフォルト値は 24 時間です。 |
Incident Statuses to Fetch |
必須
取得するインシデントのステータス。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 デフォルト値は |
Incident Severities to Fetch |
必須
取得するインシデントの重大度。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 デフォルト値は |
Max Incidents per Cycle |
必須
1 回のコネクタ実行でバックログから取得するインシデントの数。 デフォルト値は 10 です。 |
Use the same approach with event creation for all alert types?
|
Optional 選択すると、コネクタはすべてのアラートタイプに同じアプローチを使用します。 選択されていない場合、コネクタは Microsoft Sentinel のスケジュールされたアラート タイプに別の方法を使用し、アラートの詳細で指定されたクエリを実行してアラートの原因となったイベントの取得を試みます。 デフォルトでは選択されていません。 |
Incidents Tags To Ingest |
省略可
取り込むインシデント タグのカンマ区切りリスト。コネクタは、このリストのタグがないインシデントを無視します。 |
Use whitelist as a blacklist |
必須
選択すると、動的リストがブロックリストとして使用されます。 デフォルトでは選択されていません。 |
Backlog Expiration Timer |
必須
コネクタがインシデントをバックログに保持する期間(分単位)。 デフォルト値は 60 分です。 |
StartTimeFallback |
必須
フォールバック フィールドが見つからない場合、コネクタは デフォルト値は |
EndTimeFallback |
必須
フォールバック フィールドが見つからない場合、コネクタは デフォルト値は |
Enable Fallback Logic Debug? |
省略可
選択すると、コネクタはフォールバックに使用される値を含むデバッグ フィールドを作成されたイベントに追加します。 デフォルトでは選択されていません。 |
VendorFieldFallback |
必須
デフォルト値は |
ProductFieldFallback |
必須
デフォルト値は |
EventFieldFallback |
必須
デフォルト値は |
Max Backlog Incidents per cycle |
必須
1 回のコネクタ実行でバックログから取得するインシデントの数。 デフォルト値は 10 です。 |
Disable Overflow |
Optional 選択すると、コネクタはイベント オーバーフローを無効にします。 デフォルトでは選択されていません。 |
Total Number of Scheduled Alerts Events Limit to Ingest |
省略可
単一の Microsoft Sentinel スケジュール設定アラートまたは NRT アラートで取り込むイベントの最大数。 デフォルト値は 100 です。 |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
省略可
このオプションを選択すると、コネクタはエンティティのない Microsoft Sentinel インシデントから Google SecOps アラートを作成します。それ以外の場合、コネクタはスケジュールされたアラートと NRT アラートに対してのみ Google SecOps アラートを作成し、他のすべての Microsoft Sentinel インシデント タイプをスキップします。 デフォルトでは選択されていません。 |
Incident's Alerts Limit to Ingest |
省略可
Microsoft Sentinel インシデントごとに取り込むアラートの最大数。 |
Incidents Padding Period (minutes) |
省略可
コネクタがインシデントを取得して返すまでの期間(分)。コネクタがインシデントを時系列順に返さない。 |
Alert Name Template |
省略可
指定した場合、コネクタは Microsoft Sentinel API レスポンスで返されたインシデント データからこの値を使用して、Google SecOps SOAR アラート名を取得します。 プレースホルダは このフィールドの最大長は 256 文字です。 値が指定されていない場合や、無効なテンプレートを指定した場合は、コネクタはデフォルトのアラート名を使用します。 |
Rule Generator Template |
省略可
指定した場合、コネクタは、Microsoft Sentinel API レスポンスで返されたインシデント データからこの値を Google SecOps SOAR ルール ジェネレータに使用します。 プレースホルダは このフィールドの最大長は 256 文字です。 値が指定されていない場合や、無効なテンプレートが指定されている場合、コネクタはデフォルトのルール ジェネレータ値を使用します。 |
How many hours to track ingested incident for updates |
必須
コネクタが、新しいイベントやエンティティの追加、インシデントの詳細などの更新について、すでに取り込まれた Sentinel インシデントを追跡する期間。 デフォルト値は 24 時間です。 |
Wait For Scheduled/NRT Alert Object |
省略可
有効にすると、コネクタは Scheduled/NRT アラート オブジェクトが使用可能になるまで待機します。 |
Proxy Server Address |
省略可
使用するプロキシ サーバーのアドレス。 |
Proxy Server Username |
省略可
認証に使用するプロキシのユーザー名。 |
Proxy Server Password |
省略可
認証に使用するプロキシ パスワード。 |
コネクタルール
Microsoft Sentinel インシデント追跡コネクタは、ブロックリストと動的リストをサポートしています。
ジョブ
Microsoft Sentinel 統合は、Microsoft Sentinel - Sync Incidents ジョブをサポートしています。
Microsoft Sentinel - インシデントを同期する
Microsoft Sentinel - Sync Incidents ジョブを使用して、Google SecOps アラートと Microsoft Sentinel インシデントを同期します。これにより、コメント、ステータス、タグが 2 つのシステム間で同期されます。
ジョブが正しい情報を特定するには、Google SecOps ケースに Microsoft Sentinel Incident タグが必要です。アラートが Microsoft Azure Sentinel Incident Connector v2 から発生していない場合は、ジョブが正しい情報を見つけられるように、ケースに Incident_ID コンテキスト値を追加する必要があります。
ジョブの動作
このジョブは、次の 2 つの主要な部分で構成されています。 1. このジョブは、Microsoft Sentinel から Google SecOps にアラートのステータス、コメント、タグを同期します。1. このジョブは、Google SecOps からの更新を Microsoft Sentinel に同期します。
ジョブは、安定したパフォーマンスを確保するために、反復ごとに最大数のケースを処理します。ケースの最終更新日時に基づいて、更新が漏れないようにします。
いずれかのシステムでアラートがクローズされると、ジョブによってクローズが同期されます。ステータスのマッピングは次のとおりです。
Maliciousは、True Positiveの理由で Microsoft Sentinel のステータスClosedにマッピングされます。Not Maliciousは、False Positiveの理由で Microsoft Sentinel のステータスClosedにマッピングされます。- その他の終了値は、理由が
Unknownの Microsoft Sentinel ステータスClosedにマッピングされます。
コメントは双方向に同期されます。同期ループを防ぐため、ジョブは各コメントに接頭辞を適用します。
タグも同じ接頭辞で同期され、その生成元が区別されます。
API レート制限に関する重要な注意事項
このジョブは Microsoft Graph API を利用してインシデントを管理します。この API のレート制限は 1 分あたり 20 件のリクエストです。この上限に達して統合の他のコンポーネントに影響を与えるリスクを軽減するため、このジョブ専用の Microsoft Entra ID アプリを別途設定することを強くおすすめします。
必要な権限は SecurityIncident.ReadWrite.All のみです。
求人のパラメータ
[Microsoft Sentinel - Sync Incidents] ジョブには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Environment Name |
必須。 インシデントを同期する環境の名前。 デフォルト値は |
Azure Active Directory ID |
必須。 Azure で使用する固有のディレクトリ ID です。テナント ID とも呼ばれます。 |
OAUTH2 Login Endpoint Url |
必須。 ジョブが認証トークンをリクエストする OAuth 2.0 エンドポイントの URL。 デフォルト値は |
API Root |
必須。 Graph API のベース URL。ジョブは、このルート URL に特定の API 呼び出しを追加してデータを取得します。 デフォルト値は |
Client ID |
必須。 Azure Active Directory に登録されているアプリケーションの固有 ID。この ID は、Microsoft Sentinel へのアクセスを認証してアプリケーションに許可するために使用されます。 |
Client Secret |
必須。
|
Max Hours Backwards |
必須。 インシデントを同期する過去の時間数。 デフォルト値は |
Verify SSL |
必須/省略可。 選択すると、Microsoft Sentinel サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで有効になっています。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。