SC200-manage#3
SOC チームは、特定の重大な脅威シグネチャについて、できる限り遅延を最小化してインシデント化したいと考えています。クエリは単一テーブルに対する単純な条件で、1 分間隔での評価が望ましいとされています。Microsoft Sentinel で構成すべき分析ルールの種類はどれですか。
解説
【正解: B】の理由
ほぼリアルタイム (NRT) 分析ルールは約 1 分間隔で実行されるように設計されており、重大なシグネチャを最小遅延で検出してインシデント化する要件に最適です。NRT はスケジュールされたルールのサブセットで、単一テーブルに対する比較的単純なクエリを前提とするなどいくつかの制約がありますが、本シナリオ (単一テーブル・単純条件・1 分間隔) はその制約に収まります。スケジュールされたルールは最短でも数分間隔が一般的で、1 分間隔の最小遅延要件には NRT が適します。異常ルールは ML でベースラインからの逸脱を Anomalies テーブルに記録するもので単独のアラートは生成しません。脅威インテリジェンス ルールは脅威インジケーターとの突合に特化し、任意シグネチャの最小遅延検出という用途とは異なります。したがって NRT が適切です。
【他選択肢が違う理由】
- A: スケジュールされたルールは数分以上の間隔が一般的で、1 分間隔の最小遅延という要件を満たしにくいです。
- C: 脅威インテリジェンス ルールはインジケーター突合に特化し、任意シグネチャの最小遅延検出には適しません。
- D: 異常ルールは ML でベースライン逸脱を記録するもので、単独ではアラートを生成しません。

コメント