WEB問題集
あなたは Microsoft Sentinel ワークスペースに、多数の Windows サーバーからセキュリティ イベント (イベント ID 4624/4625 など) を継続的に収集する必要があります。各サーバーには Azure Monitor エージェント (AMA) を展開できます。収集するイベントのフィルター条件は、一元的に定義・管理したいと考えています。最も適切な構成はどれですか。
解説
【正解: C】の理由
AMA 経由の「Windows セキュリティ イベント」コネクタは、データ収集規則 (DCR) によって取り込むイベントを一元的に定義・管理できる現行の推奨方式です。DCR では「すべて」「共通」「最小」などの定義済みセットや、XPath による細かなフィルターを指定でき、対象マシンへ一括適用できます。これにより収集対象を集中管理しつつ取り込みコストを抑えられます。MMA (Log Analytics エージェント) は既に非推奨で新規構成には使いません。WEF はコレクター集約が必要な場合の選択肢で、フィルターの一元管理という要件には DCR が直接的です。Syslog は Linux/ネットワーク機器向けで Windows セキュリティ イベントには適しません。したがって AMA + DCR が適切です。
【他選択肢が違う理由】
- A: WEF は各サーバーに直接 AMA を入れずコレクターへ集約する方式で、本要件のフィルター一元管理は DCR が担います。
- B: Syslog コネクタは Linux やネットワーク機器向けで、Windows のセキュリティ イベント収集には適しません。
- D: MMA(Log Analytics エージェント)は非推奨であり、新規のデータ収集構成には使用しません。
【参考】
Microsoft Sentinel の各分析ルール種別を、その説明に合わせてマッチングしてください。
- スケジュールされたルール
- ほぼリアルタイム (NRT) ルール
- 異常ルール (Anomaly)
- 高度なマルチステージ攻撃検出 (Fusion)
解説
【正しいマッチング完全版】
※ NRT は単一テーブル中心の単純クエリなど制約がある一方で最小遅延、Fusion はロジック非公開でカスタマイズ不可という性質を押さえると区別しやすくなります。
- スケジュールされたルール → スケジュール実行で KQL を評価しアラート生成
- ほぼリアルタイム (NRT) ルール → 約1分間隔で評価する低遅延ルール
- 異常ルール (Anomaly) → ML でベースライン逸脱を Anomalies テーブルに記録
- 高度なマルチステージ攻撃検出 (Fusion) → 多ソースの低忠実度アラートを相関し高忠実度化
【正解マッチング】
| 項目 | カテゴリ |
|---|---|
| スケジュールされたルール | スケジュール実行で KQL を評価しアラート生成 |
| ほぼリアルタイム | 約1分間隔で評価する低遅延ルール |
| 異常ルール | ML でベースライン逸脱を Anomalies テーブルに記録 |
| 高度なマルチステージ攻撃検出 | 多ソースの低忠実度アラートを相関し高忠実度化 |
【ポイント】
分析ルールは検出ロジックと遅延・自動化の特性で使い分けます。スケジュールされたルールは指定間隔で KQL を実行する汎用型で、複数テーブルの join など柔軟なロジックを組めます。ほぼリアルタイム (NRT) ルールは約1分間隔で評価して遅延を最小化する代わりに、単一テーブル中心の単純クエリに制約されます。異常ルール (Anomaly) は機械学習でベースラインからの逸脱を学習し、結果を Anomalies テーブルに記録します。高度なマルチステージ攻撃検出 (Fusion) は複数ソースの低忠実度アラートを相関させて高忠実度のインシデントに昇格させ、ロジックは非公開でカスタマイズできません。遅延・ロジックの柔軟性・ML の有無で区別すると確実です。
【参考】
SOC チームは、特定の重大な脅威シグネチャについて、できる限り遅延を最小化してインシデント化したいと考えています。クエリは単一テーブルに対する単純な条件で、1 分間隔での評価が望ましいとされています。Microsoft Sentinel で構成すべき分析ルールの種類はどれですか。
解説
【正解: B】の理由
ほぼリアルタイム (NRT) 分析ルールは約 1 分間隔で実行されるように設計されており、重大なシグネチャを最小遅延で検出してインシデント化する要件に最適です。NRT はスケジュールされたルールのサブセットで、単一テーブルに対する比較的単純なクエリを前提とするなどいくつかの制約がありますが、本シナリオ (単一テーブル・単純条件・1 分間隔) はその制約に収まります。スケジュールされたルールは最短でも数分間隔が一般的で、1 分間隔の最小遅延要件には NRT が適します。異常ルールは ML でベースラインからの逸脱を Anomalies テーブルに記録するもので単独のアラートは生成しません。脅威インテリジェンス ルールは脅威インジケーターとの突合に特化し、任意シグネチャの最小遅延検出という用途とは異なります。したがって NRT が適切です。
【他選択肢が違う理由】
- A: スケジュールされたルールは数分以上の間隔が一般的で、1 分間隔の最小遅延という要件を満たしにくいです。
- C: 脅威インテリジェンス ルールはインジケーター突合に特化し、任意シグネチャの最小遅延検出には適しません。
- D: 異常ルールは ML でベースライン逸脱を記録するもので、単独ではアラートを生成しません。
【参考】
Microsoft Sentinel でスケジュールされた分析ルールをテンプレートから作成し、運用に乗せるまでの手順を正しい順序に並べてください。
- コンテンツ ハブから関連ソリューションを導入しテンプレートを取得
- テンプレートから分析ルールを作成し KQL とスケジュールを構成
- エンティティ マッピングとインシデント設定を構成
- ルールを有効化し、生成されるアラート/インシデントを監視
解説
【正しい順序】
- コンテンツ ハブから関連ソリューションを導入しテンプレートを取得
- テンプレートから分析ルールを作成し KQL とスケジュールを構成
- エンティティ マッピングとインシデント設定を構成
- ルールを有効化し、生成されるアラート/インシデントを監視
【ポイント】
- ステップ 1 コンテンツ ハブからソリューション/テンプレートを導入: まず利用するルール テンプレートを取得する必要があるため最初に行います。
- ステップ 2 テンプレートから作成し KQL とスケジュールを構成: テンプレートを基にクエリ・間隔・ルックバック・しきい値を設定します。
- ステップ 3 エンティティ マッピングとインシデント設定を構成: アラートをエンティティに対応付け、インシデント生成や重複排除を設定します。
- ステップ 4 有効化して監視: 有効化後にアラート/インシデントを監視し、必要に応じてチューニングします。
【誤った順序の問題点】
- 構成前に有効化する: クエリやマッピング未設定のまま有効化すると誤検知や検出漏れが発生します。
- テンプレート取得前にマッピングを行う: ルールが未作成の段階でエンティティ マッピングは構成できません。
【参考】
セキュリティ運用マネージャーから「現在アクティブな分析ルールが MITRE ATT&CK のどの戦術・手法をカバーし、どこに検出の空白があるかを可視化したい」と依頼されました。図は Microsoft Sentinel のある画面です。この目的に使用する機能はどれですか。
解説
【正解: D】の理由
Microsoft Sentinel の MITRE ATT&CK ページは、アクティブな分析ルール (および一部のハンティング クエリ) が MITRE ATT&CK の各戦術・手法をどの程度カバーしているかをマトリックス形式で可視化し、検出が手薄な領域 (カバレッジの空白) を一目で把握できる機能です。これにより、攻撃ベクトルに対する検出の網羅性を評価し、追加すべきルールを計画できます。ブックはデータの可視化ダッシュボードを作る汎用機能で、ATT&CK カバレッジ専用のマッピング表示ではありません。ライブ ストリームは進行中のクエリ結果をリアルタイムに監視するハンティング機能です。コンテンツ ハブはソリューションやルール テンプレートを導入する場所で、現状のカバレッジ評価そのものは行いません。したがって MITRE ATT&CK ページが適切です。
【他選択肢が違う理由】
- A: ブックは汎用の可視化ダッシュボードで、ATT&CK カバレッジ専用のマッピング表示ではありません。
- B: ライブ ストリームは進行中クエリのリアルタイム監視で、カバレッジ全体の評価には用いません。
- C: コンテンツ ハブはソリューション/テンプレートの導入場所で、現状カバレッジの評価機能ではありません。
