プレイブック接続の構成
デプロイ後 - デプロイされた各プレイブックで接続を作成/検証します。すべてのコネクタが承認されるまで、ロジック アプリにはエラーが発生し、保存は無効になります。
APIコネクタの承認
| コネクタ | 説明 |
| /記録された未来のアイデンティティ | Microsoft Power Platform コネクタ |
| /RFI-カスタムコネクタ | RecordedFuture-カスタムコネクタ |
| /azureloganalyticsデータコレクター |
Azure Log Analytics データコレクター Log Analytics ワークスペース キーを見つける方法 |
| /azuremonitorlogs | Azure モニター ログ |
| /アズリード | Microsoft Entra ID パワー プラットフォーム コネクタ |
| /アズリード | Azure AD Identity保護 |
検索プレイブックパラメータの設定
検索プレイブックは、プレイブック パラメータを使用して構成されます。パラメーターはロジック アプリ デザイナーで検索および設定できます。
検索プレイブックのプレイブックパラメータ:
Microsoft EntraID グループを作成し、オブジェクト ID を Playbook のパラメーターとして提供する必要があります。詳細については、Microsoft EntraID グループのドキュメントを参照してください。
Log Analytics ワークスペースを作成し、プレイブックにパラメーターとして ID を指定する必要があります。
Recorded Future API トークンに接続して検索するために、organization_domain を承認する必要があります。 これはAPIリクエストプロセス中に行われます
注: lookup_lookback_days は必ず search_lookback_days と同じかそれより大きく設定してください。そうしないと、情報漏洩 / 侵入認証情報の検索で空の結果が得られるという状況が発生する可能性があります。
| パラメータ | 説明 |
| 組織ドメイン | 検索する組織ドメイン。 |
| 検索ルックバック日数 | 検索期間 / 今日から何日前まで検索するか(例:過去 14 日間を検索するには、「-14」と入力します。 |
| マルウェアログログ分析カスタムログ名 | 認証情報ダンプの検索結果を保存する Log Analytics カスタム ログの名前 (「_CL」で終わる必要があります)。 |
| credential_dumps_log_analytics_custom_log_name | マルウェア ログ検索結果を保存する Log Analytics カスタム ログの名前 (「_CL」で終わる必要があります)。 |
| アクティブディレクトリのセキュリティグループID | 危険にさらされているユーザーの Microsoft EntraID グループのオブジェクト ID。事前に手動で作成する必要があります。ページ上部のサービス検索で「グループ」を検索してください。詳細については、Microsoft EntraID グループのドキュメントを参照してください。 |
| ルックアップルックバック日数 | 検索期間 / 今日から何日前まで検索するか(例:過去 14 日間を検索するには、「-14」と入力します。必ず、search_lookback_days と同じかそれより大きい lookup_lookback_days を使用してください。そうしないと、検索からの情報漏洩 / 侵入認証情報の検索で空の結果が得られるという状況が発生する可能性があります。 |
| ルックアップ結果ログ分析カスタムログ名 | ルックアップ結果を保存する Log Analytics カスタム ログの名前 (「_CL」で終わる必要があります)。 |
| アクティブディレクトリドメイン | (オプション、空のままにすることもできます) - Microsoft EntraID ドメインが組織ドメインと異なる場合、このパラメータは情報漏洩 / 侵入認証情報を変換して Microsoft EntraID 内の対応するユーザーを見つけるために使用されます (例: 情報漏洩 / 侵入メール: Leaked@mycompany.com)、 Microsoft EntraIDドメイン: @mycompany.onmicrosoft.com、したがって、パラメーター active_directory_domain = mycompany.onmicrosoft.com (「@」なしのドメインのみ) を設定すると、検索プレイブックは、漏洩した電子メールのドメインを active_directory_domain パラメーターで指定されたドメインに置き換えてから、Microsoft EntraID で対応するユーザーを検索します: leaked@mycompany.com -> leaked@mycompany.onmicrosoft.com。(ルックアップ プレイブック - データのルックアップには元の電子メールが引き続き使用されます)。 |
検索プレイブック「外部ユースケース」のプレイブック パラメータは「ワークフォース ユースケース」と同じですが、「外部ユースケース」では credential_dumps_log_analytics_custom_log_name パラメータは必要ありません。
アクションがユースケースに対して有効でない場合は、検索プレイブックから基本プレイブックのステップを削除します。ユーザーを危険として設定するなどのアクションには、Microsoft からの追加ライセンスが必要です (RFI-confirm-EntraID-risky-user)。
プレイブックを実行する
RFI-search-workforce-user または RFI-search-extern-user が繰り返しスケジュールに従って実行されています。日程変更や間隔変更も可能です。
アクセスログ分析カスタムログ
Log Analytics カスタム ログを表示するには:
- AzureポータルからLog Analyticsワークスペースサービスに移動します
- ソリューションを展開したログ分析ワークスペースを選択します
- 左側のメニューで「ログ」をクリックし、左から2番目のメニューを展開して「カスタムログ」を選択します。