Microsoft Sentinel でインシデント作成時時に管理者へ通知したい場合、標準機能では実現できません。ですが、Logic Apps と連携することで可能となります。
本記事では、Microsoft Sentinel にてインシデントが作成された際に、自動的に管理者へメール通知をする方法をご紹介します。
構成イメージ
Microsoft Sentinel 単体でのメール通知機能は存在しないため、Logic Apps と連携する必要があります。
今回は、Microsoft Sentinel 上でインシデントが作成された時をトリガーとし、管理者へメール通知する方法をご紹介します。
※ Logic Apps をカスタマイズすることで、メール通知以外にも脅威への対処を実施することも可能です。
メール送信用 Logic Apps の作成
初めに、アラートが発報された場合にメールを送信するために、Logic Apps を作成します。
- Azure Portal にて「Microsoft Sentinel」を検索し、選択します。
- 対象の対象の Log Analytics ワークスペースを選択します。
- 「構成」タブ内の「オートメーション」を選択します。
- 「+作成」を選択し「インシデント トリガーを使用したプレイブック」を選択します。
- 「基本情報」タブにて任意の Logic Apps 名を入力し「接続」を選択します。
- 「接続」タブは既定値のまま「レビューと作成」を選択します。
- 設定内容を確認し「プレイブックの作成」を選択します。
- 作成が完了するとロジックアプリデザイナーの画面に遷移します。
- 「+」からアクションの追加を選択します。
- 「office 365 Outlook」内にある「メールの送信(V2)」を選択します。
- メール送信者とするアカウントでサインインします。
- 「パラメーター」タブにて宛先、件名、本文を入力します。
※ 空白を選択し稲妻マークを選択すると、動的な値を選ぶことが可能です。
今回は以下の通り、作成されたインシデントに関する内容を、動的な値を使用して設定します。
- 作成が完了したら「保存」を選択します。
オートメーションルールの作成
Logic Apps が動作するようにするためには、オートメーションルールを作成する必要があります。
オートメーションルールを作成することで、インシデントと Logic Apps がリンクされ、動作が自動化されます。
- Microsoft Sentinel トップページより「構成」タブ内の「オートメーション」を選択します。
- 「+作成」を選択し「オートメーションルール」を選択します。
- 以下を参考に値を入力し、入力後に「適用」を選択します。
- オートメーションルール:任意
- トリガー:インシデントが作成されたとき
- 条件:既定値
- カスタマイズすることで特定のインシデントのみ通知することも可能)
- 操作1:プレイブックの実行
- 操作2:作成した Logic Apps
- ルールの有効期限:既定値
- 順序:1
- オートメーションルールが保存されたことを確認します。
メール通知の設定は以上で完了です。
動作確認
- Microsoft Sentinel トップページより「脅威管理」タブ内の「インシデント」を選択します。
- 「+インシデントの作成」を任意の値を入力し「作成」を選択します。
- インシデントが作成されたことを確認します。
- インシデントが作成されると Logic Apps が動作し以下の様な形でメールが送信されます。
最後に
今回は、Microsoft Sentinelにインシデントが作成された際に、自動的に管理者へメール通知する方法についてご紹介しました。
通知内容はカスタマイズ可能ですので、用途に合った内容を設定すると、より正確な情報や対応のエスカレーションが可能になるかと思います。
今後もMicrosoft Sentinel に関する内容をご紹介させていただければと思います。今回はご一読いただきありがとうございました。
森田 侑紀仁(日本ビジネスシステムズ株式会社)
2020年度新卒入社。 主にMicrosoft Sentinel、Microsoft Defender for Endpointの設計・構築に携わっております。 趣味はドライブ・野球観戦(主に千葉ロッテ)です。
担当記事一覧