SC200-manage#1
あなたは Microsoft Sentinel ワークスペースに、多数の Windows サーバーからセキュリティ イベント (イベント ID 4624/4625 など) を継続的に収集する必要があります。各サーバーには Azure Monitor エージェント (AMA) を展開できます。収集するイベントのフィルター条件は、一元的に定義・管理したいと考えています。最も適切な構成はどれですか。
解説
【正解: C】の理由
AMA 経由の「Windows セキュリティ イベント」コネクタは、データ収集規則 (DCR) によって取り込むイベントを一元的に定義・管理できる現行の推奨方式です。DCR では「すべて」「共通」「最小」などの定義済みセットや、XPath による細かなフィルターを指定でき、対象マシンへ一括適用できます。これにより収集対象を集中管理しつつ取り込みコストを抑えられます。MMA (Log Analytics エージェント) は既に非推奨で新規構成には使いません。WEF はコレクター集約が必要な場合の選択肢で、フィルターの一元管理という要件には DCR が直接的です。Syslog は Linux/ネットワーク機器向けで Windows セキュリティ イベントには適しません。したがって AMA + DCR が適切です。
【他選択肢が違う理由】
- A: WEF は各サーバーに直接 AMA を入れずコレクターへ集約する方式で、本要件のフィルター一元管理は DCR が担います。
- B: Syslog コネクタは Linux やネットワーク機器向けで、Windows のセキュリティ イベント収集には適しません。
- D: MMA(Log Analytics エージェント)は非推奨であり、新規のデータ収集構成には使用しません。

コメント