AZ700-CORE#120-1
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
あなたは Hub-Spoke 構成の Azure 環境でネットワーク監視を構築しています。要件は (1) すべての Spoke サブネットのフロー監視、(2) 異常な通信パターンの自動検知、(3) 6 ヶ月間のログ保持、(4) コンプライアンス監査用のログ完全性保証です。Network Watcher と関連サービスを使って実現します。
解決策
各 Spoke のサブネットに紐づく NSG に対して NSG Flow Logs V2 を有効化し、ログを Storage Account (Cool/Archive 階層) に保存。Traffic Analytics を有効化して Log Analytics Workspace に集約する。Storage Account には Immutability Policy を設定する。
この解決策は要件を満たしますか?
解説
【正解: はい】の理由
NSG Flow Logs V2 で 5-tuple とフロー状態を記録し、Traffic Analytics で Threat Intelligence と異常検知を行い、Storage Account の Immutability Policy + 階層化ストレージ (Hot / Cool / Archive) で 6 ヶ月以上の保持と改ざん防止を実現します。そのため、本構成はネットワーク フロー監視のすべての要件を満たします。
【もし「いいえ」を選んだ場合】
「いいえ」と判定するとこの構成では不十分になりますが、V2 + Traffic Analytics + Immutability の組み合わせはネットワーク監査の標準パターンです。そのため、本構成が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | この解決策は要件を満たしますか? | はい |
| 問2 | この解決策は要件を満たしますか? | いいえ |
| 問3 | この解決策は要件を満たしますか? | いいえ |
コメント