Microsoft Sentinel と統合する

この記事では、Jira Service Management Cloud の一部のお客様に段階的に展開されている、Jira Service Management でネイティブに利用できる新しいアラート機能を取り上げています。ご利用のサイトにはまだ表示されていないか、利用できない可能性があります。

統合でできるようになること

Jira Service Management は、Microsoft Sentinel との Webhook 統合に対応しています。Jira Service Management は Microsoft Sentinel インシデントのディスパッチャーとして機能し、オンコールスケジュールに基づいて適切な通知先が決定されます。また、通知はメール、テキストメッセージ (SMS)、電話、iOS や Android のプッシュ通知によって行われ、アラートは承認またはクローズされるまでエスカレーションされます。

統合による機能

Microsoft Sentinel でインシデントが作成されると、Jira Service Management でアラートが作成されます。
Microsoft Sentinel でインシデントがクローズされると、Jira Service Management で関連するアラートがクローズされます。

統合をセットアップする

Microsoft Sentinel は API ベースの統合です。次の手順でセットアップを行います。

Jira Service Management で Microsoft Sentinel 統合を追加する
Microsoft Sentinel で統合を設定する

Microsoft Sentinel 統合を追加する

双方向統合は Free プランと Standard プランではサポートされていません。他のすべての統合は Free と Standard でチームレベルでサポートされています。ただし、送信統合を機能させるには、上位のプランにアップグレードする必要があります。Settings (歯車アイコン) > Products (Jira 設定の下) > OPERATIONS からサイトレベルで統合を追加できるのは、Premium プランと Enterprise プランのみです。

統合をチームの運用ページから追加すると、そのチームが統合の所有者になります。つまり、Jira Service Management は、この統合を通じて受信したアラートをチームにのみ割り当てます。

Jira Service Management で Microsoft Sentinel 統合を追加するには、次の手順に従います。

チームの運用ページに移動します。
左側のナビゲーションパネルで、[統合]、[統合を追加] の順に選択します。
検索を実行して、「Microsoft Sentinel」を選択します。
次の画面で、統合の名前を入力します。
オプション: 特定のチームが統合からのアラートを受信するようにする場合は、[Assignee team (担当者チーム)] のチームを選択します。
[続行] を選択します。
この時点で、統合が保存されます。
[統合を設定する手順] セクションを展開して、API キーをコピーします。
このキーは、後ほど Microsoft Sentinel で統合を設定する際に使用します。
[統合をオンにする] を選択します。
統合のために作成したルールは、統合をオンにした場合にのみ機能します。

Microsoft Sentinel で統合を設定する

Microsoft Sentinel と Jira Service Management の統合を設定するには、次の手順に従います。

Azure デプロイテンプレートを使用してロジックアプリを作成します。
[Subscription (サブスクリプション)] と [Resource Group (リソースグループ)] の値を入力します。
[Logic App Name (ロジックアプリ名)] に名前を入力します。
前に Compass からコピーした URL を [Endpoint (エンドポイント)] に貼り付けます。
[Review + create (レビュー + 作成)] を選択します。
[作成] を選択します。
テンプレートから作成された API 接続リソースに移動します。
[General (一般)] を選択してから、[Edit API connection (API 接続の編集)] を選択します。
接続を承認して [Save (保存)] を選択します。
Sentinel ワークスペースに移動します。[Configuration (設定)] で、[Automation (自動化)] を選択します。
[Create (作成)] を選択してから、[Automation Rule (自動化ルール)] を選択します。
[Action (アクション)] で、[Run Playbook (プレイブックを実行)] を選択して、テンプレートから作成されたロジックアプリを選択します。
[適用] を選択します。
2 つ目の自動化ルールを作成します。
[Trigger (トリガー)] で、[When incident is updated (インシデントの更新時)] を選択します。
新しい条件を追加します。[Condition (条件)] を選択してから、[Condition (And) (条件 (And))] を選択し、フィールド [Status (ステータス)] を [Changed (変更)] に設定します。
[適用] を選択します。

Microsoft Sentinel から送信されたペイロードのサンプル

(JSON 形式)

{
  "id": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "description": "This is a demo incident",
  "title": "My incident",
  "severity": "Low",
  "status": "New",
  "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "labels": [
    {
      "labelName": "My label",
      "labelType": "User"
    }
  ],
  "resourceGroupName": "myRg",
  "workspaceName": "myWorkspace",
  "subscriptionId": "d0cfe6b2-9ac0-4464-9919-dccaee2e48c0"
}

この内容はお役に立ちましたか?

正確ではなかった

明確ではなかった

関係なかった

さらにヘルプが必要ですか?

アトラシアンコミュニティをご利用ください。

コミュニティに質問