Microsoft Sentinel のインシデントトリガーによる Azure OpenAI 連携を実践してみましょう
Microsoft Sentinel のインシデント発生時に、Azure OpenAI に問い合わせを行い、分析ルールの日本語訳を行います。
Sentinel のインシデントが検知すると、分析ルールの補足 (Description) を ChatGPT が翻訳するテンプレートになります。
JapanEast のリソースグループでテンプレートを利用して下さい
- 本演習で作成するリソース(例:ロジックアプリなど)のためのリソースグループを作成して下さい
- 演習 1 と同じリソースグループでも OK です - 以下設定例です。リージョンは東日本を前提として下さい
- リソースグループ名
rg-Sentinel-AzureOpenAI-Workshop - リージョン
Japan East
ARM テンプレートを用いて、ロジックアプリを導入します。
- Microsoft Sentinel ではオートメーション機能を用いて、Logic Apps を通じて様々な自動化操作を行う機能を提供しています。
- テンプレートを導入することで、インシデント発生時に Azure OpenAI に問い合わせを行い、prompt を用いて分析ルール補足分の翻訳を実行します。
以下から、ARM テンプレートをデプロイして下さい。
演習 1 と同様にロジックアプリの内容を編集して下さい。
ロジックアプリから Microsoft Sentinel のインシデントを更新させるため、ロジックアプリのマネージド ID に対して、以下 2 つのロールを付与します。
演習1とは異なり、マネージド ID による認証でよりセキュアな接続を行います
- ロールの付与は、なるべくリソースグループではなくサブスクリプション単位で付与を行ってください。
- リソースグループに付与する場合は、Sentinel レスポンダーは Sentinel が適用されているリソースグループ
- Cognitive Services OpenAI User は AOAI が適用されているグループに適用する必要があります。
- Sentinel レスポンダー
- Cognitive Services OpenAI User
[2023.5.18 Update] Azure OpenAI のリクエストに対しても、マネージド ID 経由で「Cognitive Service OpenAI User」権限で接続が出来るようになりました!
展開されたロジックアプリの REST API は URL がサンプルになっています。
自テナントに合わせた設定に更新して下さい。
| Parameter | Sample |
|---|---|
| https://your-resource-name.openai.azure.com | https://(自分のエンドポイント).openai.azure.com |
| deployment-id | モデル デプロイ名 |
展開されたロジックアプリに対して Microsoft Sentinel がアクセスできるように、「設定」よりプレイブックのアクセス許可を与えます。
最後に、インシデント発生時にプレイブックが起動するようにオートメーションルールを作成します。
もし、メール通知などのプレイブックを事前設定されている場合は、通知前に設定することで和訳された内容を通知することが出来るようになります。
テストしてみましょう!
設定が完了しましたら、Microsoft Sentinel に対してアラートを発砲してみましょう。
確認してみましょう!
- Sentinel 分析ルールの翻訳は、どのように行われましたか?
- Azure OpenAI に対して、どのような prompt を送りましたか?
- Sentinel インシデント更新はどのように行われましたか?
- Azure OpenAI に対して、パラメータ設定はありましたか?
お疲れさまでした!
次の振り返りに移って下さい。