概要
Microsoft Sentinel 統合(INT-009)は、Sentinel のインシデントを CaseBender に取り込み、ケースが クローズされたときに Sentinel へディスポジションを返すことができます。インバウンド取り込み
Sentinel のインシデントは、スケジュールに基づいて 自動的にプル(推奨)される
か、Webhook / Logic App で プッシュ され、その後、正規化されてアラートに変換
されます。
アウトバウンド同期
CaseBender でリンクされたケースがクローズされると、Sentinel のインシデントのステー
タスと分類が監査コメント付きで更新されます。
この統合は Azure Security Insights REST API を使用し、client-credentials
フロー(スコープ
management.azure.com)で Azure AD(Entra ID)アプリケーション
を用いて認証します。機能
前提条件
1
Azure AD アプリケーションを登録
Microsoft Entra 管理センターでアプリケーションを登録し、
client secret を作成します。Directory (tenant) ID、Application (client) ID、
secret の値をメモします。
2
ワークスペースのロールを割り当て
アプリケーションに、Sentinel が有効な Log Analytics ワークスペースに対して Microsoft Sentinel
Reader ロール(インバウンド用)を付与します。アウトバウンドクローズには Microsoft Sentinel
Responder を付与します。
3
ワークスペースの座標を収集
Subscription ID、Resource Group、Log Analytics ワークスペース名 をメモします。
4
ネットワーク送信
CaseBender のポーラーが
login.microsoftonline.com と management.azure.com に到達できる必要が
あります。CaseBender で統合を構成
1
統合カタログを開く
Settings → Integrations → Create に移動し、SIEM カテゴリの Microsoft Sentinel を
選択します。
2
Azure 認証情報とワークスペースを入力
3
自動ポーリングを有効にする(推奨)
4
ケースの自動作成を構成
インバウンド(自動ポーリング)
1
スケジュール取得
各間隔で、CaseBender は
properties/lastModifiedTimeUtc が前回のカーソルより大きいワークスペース
のインシデントを昇順で列挙します。初回実行時は pollingInitialLookbackHours 以内に変更された
インシデントが取り込まれます。2
カーソル + 重複排除
CaseBender は統合ごとのカーソルを最新の
lastModifiedTimeUtc まで進めます。インシデントは
インシデント名で重複排除 されるため、ウィンドウが重なっても重複は作成されません。3
正規化
各インシデントは CaseBender のアラートに正規化され、アウトバウンドクローズが後で参照できるよう
Sentinel インシデントの識別子が保持されます。
ポーリングは CaseBender のバックグラウンドポーリングサービスで実行されます。
login.microsoftonline.com
と management.azure.com に(直接またはプロキシ経由で)到達できることを確認してください。アウトバウンド: Sentinel へのディスポジション同期
リンクされたケースがクローズされると、CaseBender は Sentinel インシデントのstatus(Closed へ)と
classification を更新し、監査コメントを追加します。アウトバウンドには Microsoft Sentinel Responder
ロールが必要です。
セキュリティ上の考慮事項
- 最小権限 — インバウンドのみの場合は Sentinel Reader を付与し、アウトバウンドクローズを有効に する場合のみ Sentinel Responder を追加します。
- シークレットの取り扱い — 組織のポリシーに従って client secret をローテーションしてください。
- ネットワーク — 送信を
login.microsoftonline.comとmanagement.azure.comに制限してください。
トラブルシューティング
認証が失敗する
認証が失敗する
tenant/client の ID と secret、およびアプリケーションがワークスペースに対して Sentinel Reader ロール
を持っていることを確認してください。subscription ID、resource group、ワークスペース名が正しいことを
確認します。
ポーリングは有効だがインシデントが表示されない
ポーリングは有効だがインシデントが表示されない
Enable automatic polling がオンで、ワークスペースの座標が正しいことを確認してください。ポーラー
が
management.azure.com に到達できることを確認します。初回実行時は pollingInitialLookbackHours
以内のインシデントのみが取り込まれます。CaseBender のすべてのサービスが稼働していることを確認してください — Docker では
docker compose ps で worker と misp-processor サービスが Up である必要があります。ケースのクローズが Sentinel を更新しない
ケースのクローズが Sentinel を更新しない
アプリケーションに Sentinel Responder ロールがあり、ケースが Sentinel インシデントにリンクされて
いることを確認してください。同期結果はケースのタイムラインで確認できます。