SC200-manage#2
Microsoft Sentinel の各分析ルール種別を、その説明に合わせてマッチングしてください。
項目(ドラッグしてください)
- スケジュールされたルール
- ほぼリアルタイム (NRT) ルール
- 異常ルール (Anomaly)
- 高度なマルチステージ攻撃検出 (Fusion)
スケジュール実行で KQL を評価しアラート生成
約1分間隔で評価する低遅延ルール
ML でベースライン逸脱を Anomalies テーブルに記録
多ソースの低忠実度アラートを相関し高忠実度化
解説
【正しいマッチング完全版】
※ NRT は単一テーブル中心の単純クエリなど制約がある一方で最小遅延、Fusion はロジック非公開でカスタマイズ不可という性質を押さえると区別しやすくなります。
- スケジュールされたルール → スケジュール実行で KQL を評価しアラート生成
- ほぼリアルタイム (NRT) ルール → 約1分間隔で評価する低遅延ルール
- 異常ルール (Anomaly) → ML でベースライン逸脱を Anomalies テーブルに記録
- 高度なマルチステージ攻撃検出 (Fusion) → 多ソースの低忠実度アラートを相関し高忠実度化
【正解マッチング】
| 項目 | カテゴリ |
|---|---|
| スケジュールされたルール | スケジュール実行で KQL を評価しアラート生成 |
| ほぼリアルタイム | 約1分間隔で評価する低遅延ルール |
| 異常ルール | ML でベースライン逸脱を Anomalies テーブルに記録 |
| 高度なマルチステージ攻撃検出 | 多ソースの低忠実度アラートを相関し高忠実度化 |
【ポイント】
分析ルールは検出ロジックと遅延・自動化の特性で使い分けます。スケジュールされたルールは指定間隔で KQL を実行する汎用型で、複数テーブルの join など柔軟なロジックを組めます。ほぼリアルタイム (NRT) ルールは約1分間隔で評価して遅延を最小化する代わりに、単一テーブル中心の単純クエリに制約されます。異常ルール (Anomaly) は機械学習でベースラインからの逸脱を学習し、結果を Anomalies テーブルに記録します。高度なマルチステージ攻撃検出 (Fusion) は複数ソースの低忠実度アラートを相関させて高忠実度のインシデントに昇格させ、ロジックは非公開でカスタマイズできません。遅延・ロジックの柔軟性・ML の有無で区別すると確実です。

コメント