SC200-manage#5
セキュリティ運用マネージャーから「現在アクティブな分析ルールが MITRE ATT&CK のどの戦術・手法をカバーし、どこに検出の空白があるかを可視化したい」と依頼されました。図は Microsoft Sentinel のある画面です。この目的に使用する機能はどれですか。
解説
【正解: D】の理由
Microsoft Sentinel の MITRE ATT&CK ページは、アクティブな分析ルール (および一部のハンティング クエリ) が MITRE ATT&CK の各戦術・手法をどの程度カバーしているかをマトリックス形式で可視化し、検出が手薄な領域 (カバレッジの空白) を一目で把握できる機能です。これにより、攻撃ベクトルに対する検出の網羅性を評価し、追加すべきルールを計画できます。ブックはデータの可視化ダッシュボードを作る汎用機能で、ATT&CK カバレッジ専用のマッピング表示ではありません。ライブ ストリームは進行中のクエリ結果をリアルタイムに監視するハンティング機能です。コンテンツ ハブはソリューションやルール テンプレートを導入する場所で、現状のカバレッジ評価そのものは行いません。したがって MITRE ATT&CK ページが適切です。
【他選択肢が違う理由】
- A: ブックは汎用の可視化ダッシュボードで、ATT&CK カバレッジ専用のマッピング表示ではありません。
- B: ライブ ストリームは進行中クエリのリアルタイム監視で、カバレッジ全体の評価には用いません。
- C: コンテンツ ハブはソリューション/テンプレートの導入場所で、現状カバレッジの評価機能ではありません。

コメント