修復応答を自動化する

すべてのセキュリティ プログラムには、インシデント対応のための複数のワークフローが含まれています。 これらのプロセスには、関連する関係者への通知、変更管理プロセスの開始、特定の修復手順の適用が含まれる場合があります。

セキュリティの専門家は、できるだけ多くのセキュリティ手順を自動化することをお勧めします。 自動化により、オーバーヘッドが削減されます。 また、定義済みの要件に従って、プロセスステップが迅速かつ一貫して実行されるようにすることで、セキュリティを向上させることもできます。

この記事では、Microsoft Defender for Cloud のワークフロー自動化機能について説明します。 この機能により、セキュリティ アラート、推奨事項、規制コンプライアンスの変更に関する消費ロジック アプリをトリガーできます。 例えば、アラートが発生したときに、ユーザーに特定のユーザーを電子メールで送信することができます。 また、 Azure Logic Apps を使用してロジック アプリを作成する方法についても説明します。

[前提条件]

開始する前に次の操作を実行してください。

• リソース グループの セキュリティ管理者ロール または 所有者 が必要です。

• ターゲット リソースの書き込みアクセス許可が必要です。

• Azure Logic Apps ワークフローを操作するには、次の Logic Apps ロールまたはアクセス許可が必要です。

  • ロジック アプリ オペレーター のアクセス許可が必要です。または、ロジック アプリの読み取りまたはトリガーアクセスが必要です。 このロールを持つユーザーは、ロジック アプリを作成または編集できません。 実行できるのは既存のものだけです。
  • ロジック アプリの作成 と変更には、ロジック アプリ共同作成者のアクセス許可が必要です。

• Logic Apps コネクタを使用する場合は、それぞれのサービス (Outlook、Teams、Slack インスタンスなど) にサインインするために他の資格情報が必要になる場合があります。

ロジック アプリを作成し、自動的に実行するタイミングを定義する

次の手順に従います。

1. Defender for Cloud サイドバーで、[ワークフローの 自動化] を選択します。

   

2. このページでは、新しい自動化ルールを作成したり、既存の自動化ルールを有効、無効、または削除したりできます。 スコープとは、ワークフロー自動化がデプロイされているサブスクリプションを指します。

3. 新しいワークフローを定義するには、[ ワークフロー自動化の追加] を選択します。 新しいオートメーションのオプション ウィンドウが開きます。

   

4. 次のように入力します。

   • オートメーションの名前と説明。
   • この自動ワークフローを開始するトリガー。 たとえば、 SQL という語句を含むセキュリティ アラートが生成されたときにロジック アプリを実行できます。

5. トリガー条件が満たされたときに実行される消費ロジック アプリを指定します。

6. [ アクション ] セクションで、[ Logic Apps] ページにアクセス して、ロジック アプリを作成するプロセスを開始します。

   

   Azure Logic Apps に移動します。

7. (+) [追加] を選択します。

8. すべての必須フィールドに入力し、[ 確認と作成] を選択します。

   

   [デプロイが進行中です] というメッセージが表示されます。 デプロイ完了通知が表示されるまで待ってから、[リソースに移動] を選択します。

9. 入力した情報を確認し、[ 作成] を選択します。

   新しいロジック アプリでは、セキュリティ カテゴリから組み込みの定義済みテンプレートから選択できます。 または、このプロセスがトリガーされたときに発生するイベントのカスタム フローを定義することもできます。

   ヒント

   パラメーターは、独自のフィールドではなく、文字列の一部としてコネクタのロジック アプリに含まれる場合があります。 パラメーターを抽出する方法の例については、「 Microsoft Defender for Cloud ワークフローの自動化を構築するときにロジック アプリパラメーターを操作する」の手順 14 を参照してください。

サポートされているトリガー

ロジック アプリ デザイナーでは、次の Defender for Cloud トリガーがサポートされています。

• Microsoft Defender for Cloud の推奨事項が作成またはトリガーされた場合: ロジック アプリが非推奨または置き換えられた推奨事項に依存している場合、自動化は動作を停止し、トリガーを更新する必要があります。 推奨事項の変更を追跡するには、 リリース ノートを使用します。

• Defender for Cloud アラートが作成またはトリガーされた場合: トリガーをカスタマイズして、関心のある重大度レベルのアラートのみに関連付けることができます。

• Defender for Cloud の規制コンプライアンス評価が作成またはトリガーされた場合: 規制コンプライアンス評価の更新に基づいて自動化をトリガーする必要があります。

1. ロジック アプリを定義したら、[ ワークフロー自動化の追加] ウィンドウに戻ります。

2. [ 最新の情報に更新] を選択して、新しいロジック アプリを選択できるようにします。

3. ロジック アプリを選択し、自動化を保存します。 ドロップダウン メニューには、Defender for Cloud コネクタをサポートするロジック アプリのみが表示されます。

ロジック アプリを手動でトリガーする

セキュリティ アラートまたは推奨事項を表示するときに、ロジック アプリを手動で実行することもできます。

ロジック アプリを手動で実行するには、アラートまたは推奨事項を開き、[ ロジック アプリのトリガー] を選択します。

ワークフロー自動化を大規模に構成する

組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間が大幅に向上します。

組織全体に自動化構成をデプロイするには、提供されている Azure Policy DeployIfNotExist ポリシー (後述) を使用して、ワークフロー自動化手順を作成および構成します。

ワークフローの自動化テンプレートを使用して開始するには、こちらを参照してください。

これらのポリシーを実装するには:

1. 次の表で、適用するポリシーを選択します。

   目標	Policy	ポリシー ID
   セキュリティ アラートのワークフローの自動化	クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する	f1525828-9a90-4fcf-be48-268cdd02361e
   セキュリティに関する推奨事項のワークフローの自動化	クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ	73d6ab6c-2475-4850-afd6-43795f3492ef
   規制コンプライアンスの変化に関するワークフローの自動化	クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する	509122b9-ddd9-47ba-a5f1-d0dac20be63c

   Azure Policy を検索してポリシーを見つけることもできます。 Azure Policy で [ 定義] を選択し、名前で検索します。

2. 関連する Azure Policy ページで、[ 割り当て] を選択します。

   

3. [ 基本 ] タブで、ポリシーのスコープを設定します。 集中管理を使用するには、ワークフロー自動化構成を使用するサブスクリプションを含む 管理グループ にポリシーを割り当てます。

4. [ パラメーター ] タブで、必要な情報を入力します。

   

5. (省略可能)[ 修復 ] タブで既存のサブスクリプションにこの割り当てを適用し、修復タスクを作成するオプションを選択します。

6. 概要ページを確認し、[ 作成] を選択します。

データ型スキーマ

ロジック アプリに渡されるセキュリティ アラートまたは推奨事項イベントの生のイベント スキーマを表示するには、 ワークフローの自動化のためにデータ型スキーマに移動します。 このプロセスは、Defender for Cloud 組み込みの Logic Apps コネクタ (前述) を使用せず、代わりに汎用 HTTP コネクタを使用している場合に役立ちます。 イベント JSON スキーマを使用して、必要に応じて手動で解析できます。

関連コンテンツ

• ワークフロー自動化を使用してセキュリティ対応を自動化する
• Microsoft Defender for Cloud のセキュリティに関する推奨事項
• Microsoft Defender for Cloud のセキュリティアラート