AZ700-SEC#86
各 Azure セキュリティ ログ を、保存先の標準的な選択肢を選んでください。
| ステートメント | 選択 |
|---|---|
長期保持 (1 年以上) + ライフサイクル管理 + コンプライアンス 長期保持 (1 年以上) とコンプライアンス要件を重視する場合は Storage Account への保存が標準で、Lifecycle Management で Hot → Cool → Archive の階層化を自動化できます。これにより、コストを抑えつつ監査要件を満たせます。 | |
KQL クエリによる分析 + Workbook 可視化 + Sentinel 統合 KQL クエリ ベースの分析や Workbook での可視化、Sentinel SIEM 統合を行う場合は Log Analytics Workspace への送信が必須です。そのため、SOC 運用には Workspace が中心となります。 | |
診断ログを Storage と Workspace の両方に送信して 両方のメリットを享受 診断設定では Storage Account と Log Analytics Workspace の両方に送信先を指定可能で、長期保持と分析の両方のメリットを同時に得ることができます。そのため、本番運用では両方を併用する設計が標準パターンです。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| 長期保持 | Storage Account |
| KQL クエリによる分析 + Workbook 可視化 + Sentinel 統合 | Log Analytics Workspace |
| 診断ログを Storage と Workspace の両方に送信して 両方のメリットを享受 | どちらでも |
【各判定の詳細】
- 「長期保持」→ Storage Account: 長期保持 (1 年以上) とコンプライアンス要件を重視する場合は Storage Account への保存が標準で、Lifecycle Management で Hot → Cool → Archive の階層化を自動化できます。これにより、コストを抑えつつ監査要件を満たせます。
- 「KQL クエリによる分析 + Workbook 可視化 + Sentinel 統合」→ Log Analytics Workspace: KQL クエリ ベースの分析や Workbook での可視化、Sentinel SIEM 統合を行う場合は Log Analytics Workspace への送信が必須です。そのため、SOC 運用には Workspace が中心となります。
- 「診断ログを Storage と Workspace の両方に送信して 両方のメリットを享受」→ どちらでも: 診断設定では Storage Account と Log Analytics Workspace の両方に送信先を指定可能で、長期保持と分析の両方のメリットを同時に得ることができます。そのため、本番運用では両方を併用する設計が標準パターンです。
コメント