はじめに
Microsoft Sentinel は、Microsoft Threat Intelligence コネクタを通じて脅威インテリジェンスを取得し、組み込みの分析ルールを使用してプロキシなどのログを脅威インテリジェンスとマッピングし、インシデントを生成することができます。しかし、Sentinel が連携できる Microsoft Threat Intelligence (MSTI) の情報にはレピュテーション (評価:有害と判断する指標) が含まれていません。
MSTI の Premium ライセンスを保有している場合や Security Copilot を使用している場合、Defender XDR ポータルの Intel エクスプローラーから以下のようにレピュテーションを確認することが可能です。
この情報を Logic Apps を使用して自動的に取得し、Sentinel インシデントに情報を付与したり、自動的にクローズするプレイブックを作成することができます。
実装方法としては MSTI の API Add-on ラインセスと Security Copilot コネクタを使用する方法がありますが、今回はライセンス調達不要で簡易に検証可能な Security Copilot で実装してきます。
Logic Apps 設定
まずマネージド ID を有効化し、Microsoft Sentinel レスポンダーの権限を付与しておきます。
フロー全体はこちらです。
トリガーは [Microsoft Sentinel incident] を使用します。
Sentinel コネクタで IP エンティティを取得します。
次にフラグ用の変数を作成しておきます。
Security Copilot コネクタで取得した IP エンティティのレピュテーションを取得します。
Direct Skill Name には [GetReputationsForIndicators] を指定しています。IP エンティティが Array 形式での取得になるため、For each 処理が自動的に追加されます。
取得したレピュテーションを Sentinel インシデントのコメントに追記します。
Condition を使用し、Security Copilot からの応答結果で有害と判断できる場合、フラグを 1 にします。念のため、条件には大文字小文字で指定しています。
ここからは任意ですが、1 つでも有害の場合にはフラグが 1 となるので、そちらを元にメールを送信する、もしくは 0 の場合にインシデントをクローズする処理を入れています。
オートメーション ルール
こちらを自動実行する場合は、Sentinel のオートメーション ルールが必要です。[オートメーション ルール] から追加し、対象となるインシデントを指定、アクションでさきほど作成した Logic Apps を指定しておきます。
動作確認
すでにインシデントが発生している場合、以下のように手動実行で検証が可能です。
Security Copilot コネクタでは以下のように処理されます。
対象のインシデントでは以下のようにコメントが追加されています。
サンプル ARM テンプレート
こちらにサンプルの ARM テンプレートを提供しています。
デプロイ後、以下の対応が必要になります。
- マネージド ID の有効化、権限の付与
- Security Copilot、Office365 コネクタの接続情報の更新
まとめ
本記事ではプレイブックを使用して、Sentinel インシデントの IP エンティティに対してレピュテーション情報を付与し、さらにレピュテーションに応じて処理する方法を検証しました。
サンプルでは IP のみですが、他のエンティティでも同様に動作すると思いますので、必要に応じて適宜カスタマイズしてご利用ください。
Discussion