メインコンテンツへスキップ

概要

Microsoft Sentinel 統合(INT-009)は、Sentinel のインシデントを CaseBender に取り込み、ケースが クローズされたときに Sentinel へディスポジションを返すことができます。

インバウンド取り込み

Sentinel のインシデントは、スケジュールに基づいて 自動的にプル(推奨)される か、Webhook / Logic App で プッシュ され、その後、正規化されてアラートに変換 されます。

アウトバウンド同期

CaseBender でリンクされたケースがクローズされると、Sentinel のインシデントのステー タスと分類が監査コメント付きで更新されます。
推奨: 自動ポーリングを有効にしてください。 CaseBender はスケジュールに基づき、 Log Analytics ワークスペースから直接新しいインシデントをプルできます。Logic App、 データコネクタ、インバウンドエンドポイントは不要です。 自動ポーリング を参照してください。
この統合は Azure Security Insights REST API を使用し、client-credentials フロー(スコープ management.azure.com)で Azure AD(Entra ID)アプリケーション を用いて認証します。

機能

前提条件

1

Azure AD アプリケーションを登録

Microsoft Entra 管理センターでアプリケーションを登録し、 client secret を作成します。Directory (tenant) IDApplication (client) ID、 secret の値をメモします。
2

ワークスペースのロールを割り当て

アプリケーションに、Sentinel が有効な Log Analytics ワークスペースに対して Microsoft Sentinel Reader ロール(インバウンド用)を付与します。アウトバウンドクローズには Microsoft Sentinel Responder を付与します。
3

ワークスペースの座標を収集

Subscription IDResource GroupLog Analytics ワークスペース名 をメモします。
4

ネットワーク送信

CaseBender のポーラーが login.microsoftonline.commanagement.azure.com に到達できる必要が あります。

CaseBender で統合を構成

1

統合カタログを開く

Settings → Integrations → Create に移動し、SIEM カテゴリの Microsoft Sentinel を 選択します。
2

Azure 認証情報とワークスペースを入力

3

自動ポーリングを有効にする(推奨)

4

ケースの自動作成を構成

インバウンド(自動ポーリング)

1

スケジュール取得

各間隔で、CaseBender は properties/lastModifiedTimeUtc が前回のカーソルより大きいワークスペース のインシデントを昇順で列挙します。初回実行時は pollingInitialLookbackHours 以内に変更された インシデントが取り込まれます。
2

カーソル + 重複排除

CaseBender は統合ごとのカーソルを最新の lastModifiedTimeUtc まで進めます。インシデントは インシデント名で重複排除 されるため、ウィンドウが重なっても重複は作成されません。
3

正規化

各インシデントは CaseBender のアラートに正規化され、アウトバウンドクローズが後で参照できるよう Sentinel インシデントの識別子が保持されます。
ポーリングは CaseBender のバックグラウンドポーリングサービスで実行されます。login.microsoftonline.commanagement.azure.com に(直接またはプロキシ経由で)到達できることを確認してください。

アウトバウンド: Sentinel へのディスポジション同期

リンクされたケースがクローズされると、CaseBender は Sentinel インシデントの statusClosed へ)と classification を更新し、監査コメントを追加します。アウトバウンドには Microsoft Sentinel Responder ロールが必要です。

セキュリティ上の考慮事項

  • 最小権限 — インバウンドのみの場合は Sentinel Reader を付与し、アウトバウンドクローズを有効に する場合のみ Sentinel Responder を追加します。
  • シークレットの取り扱い — 組織のポリシーに従って client secret をローテーションしてください。
  • ネットワーク — 送信を login.microsoftonline.commanagement.azure.com に制限してください。

トラブルシューティング

tenant/client の ID と secret、およびアプリケーションがワークスペースに対して Sentinel Reader ロール を持っていることを確認してください。subscription ID、resource group、ワークスペース名が正しいことを 確認します。
Enable automatic polling がオンで、ワークスペースの座標が正しいことを確認してください。ポーラー が management.azure.com に到達できることを確認します。初回実行時は pollingInitialLookbackHours 以内のインシデントのみが取り込まれます。CaseBender のすべてのサービスが稼働していることを確認してください — Docker では docker compose psworkermisp-processor サービスが Up である必要があります。
アプリケーションに Sentinel Responder ロールがあり、ケースが Sentinel インシデントにリンクされて いることを確認してください。同期結果はケースのタイムラインで確認できます。

関連ドキュメント