Microsoft Sentinel でアラート発報時の対応を自動化するために、 Logic Apps を利用することがあります。
ただ、そのために作成した Logic Apps が、意図しない形で動作が失敗するケースが考えられます。これは、テスト等で Logic Apps の動作確認を行ったとしても、完全に防ぐことは出来ません。
そのため、Logic Apps を実装する際は何らかの方法で動作の監視を行い、動作が失敗した場合に管理者へ通知を行うなど、素早く気づけるように構成する必要があります。
本記事では、Azure Monitor を活用し、Logic Apps の動作が失敗した場合に、自動的に管理者へメール通知をする方法をご紹介します。
構成イメージ
今回は、 Azure Monitor を利用して Logic Apps の監視を行います。
※ Azure Monitor による監視を行う場合、事前に Logic Apps を作成しておく必要があります。
アラートルールの作成
Azure Monitor より、 Logic Apps を監視するためのアラートルールを作成します。
- Azure Portal にて「モニター」を検索し、選択します。
- 「アラート」を選択します。
- 「+作成」を選択し、「アラートルール」を選択します。
- 「リソースの選択」にて、監視対象の Logic Apps を選び「適用」を選択します。
- 「スコープ」タブに選択した Logic Apps が表示されたことを確認し「条件」を選択します。
- 「シグナル名」にて「Runs Failed」を選択します。
- アラートロジックの値を設定します。今回は「ルックバック期間」を「1分」と設定し、他は既定値のまま「アクション」を選択します。*1
※ 今回の設定では、Logic Apps の実行結果を1分間隔で確認し、失敗していた場合にアラートが発報されます。 - Select actionsにて「Use action groups」を選択します。
- 「アクショングループの選択」を選択します。
- 「+アクショングループの作成」を選択します。
- 「基本」タブにて必要な値を入力し、「通知」を選択します。
- 通知タイプにて「電子メール/SMS メッセージ/プッシュ/音声」を選択します。
- 「電子メール」にチェックを入れ、通知先のメールアドレスを入力し「OK」を選択します。
- 「名前」を入力し、「アクション」を選択します。
※通知先の名称を入れることで管理が容易になります。(どこの宛先が含まれているか、など)
- 「アクション」タブは既定値のまま、「タグ」を選択します。
- 「タグ」タブは既定値のまま、「確認と作成」を選択します。
※任意の値で設定してください。
- 設定した内容の確認を行い、問題なければ「作成」を選択します。
- アラートルールの作成画面に戻るので、「詳細」を選択します。
- 「詳細」タブにて任意の「重大度」「アラートルール」「説明」を入力し、「タグ」を選択します。
- 「タグ」タブは既定値のまま、「確認および作成」を選択します。
※任意の値で設定してください。
- 設定内容を確認し、問題なければ「作成」を選択します。
- モニターのトップページより、「アラートルール」を選択します。
- 作成したアラートが存在し、状態が「有効」になっていることを確認します。
動作の確認
作成したアラートルールが正常に動作することを確認します。
今回は、Logic Apps を失敗させるために、事前にアクションをフロー内に組み込んでおきます。
- アラートルール作成時に選択した Logic Apps を編集し、「Teriminate」のアクションを追加し、「Status」を「Failed」に設定します。
- Logic Apps を実行し、失敗させます。
- アラートルールが発報され、管理者に以下のメールが送信されます。
※ 動作確認が終わったら、Logic Apps を再度編集し、「Teriminate」のアクションを削除しておきます。
最後に
今回は、Logic Apps の動作が失敗した場合に、自動的に管理者へメール通知をする方法をご紹介しました。
Logic Apps の動作を監視することで迅速に実行失敗に気づき、必要な対処を行うことが可能になります。
Logic Apps の監視を検討する際に本記事が少しでも参考になればと思います。
今後も Microsoft Sentinel に関する内容をご紹介させていただければと思います。今回はご一読いただきありがとうございました。
*1:他にも、詳細にアラート発報を行う条件を選択することが可能です。
森田 侑紀仁(日本ビジネスシステムズ株式会社)
2020年度新卒入社。 主にMicrosoft Sentinel、Microsoft Defender for Endpointの設計・構築に携わっております。 趣味はドライブ・野球観戦(主に千葉ロッテ)です。
担当記事一覧