【SC-200】セキュリティ運用環境の管理 WEB問題集(01)

WEB問題集

SC200-manage#1

あなたは Microsoft Sentinel ワークスペースに、多数の Windows サーバーからセキュリティ イベント (イベント ID 4624/4625 など) を継続的に収集する必要があります。各サーバーには Azure Monitor エージェント (AMA) を展開できます。収集するイベントのフィルター条件は、一元的に定義・管理したいと考えています。最も適切な構成はどれですか。

ディスカッション 0
SC200-manage#2

Microsoft Sentinel の各分析ルール種別を、その説明に合わせてマッチングしてください。

項目(ドラッグしてください)
  • スケジュールされたルール
  • ほぼリアルタイム (NRT) ルール
  • 異常ルール (Anomaly)
  • 高度なマルチステージ攻撃検出 (Fusion)
スケジュール実行で KQL を評価しアラート生成
    約1分間隔で評価する低遅延ルール
      ML でベースライン逸脱を Anomalies テーブルに記録
        多ソースの低忠実度アラートを相関し高忠実度化
          ディスカッション 0
          SC200-manage#3

          SOC チームは、特定の重大な脅威シグネチャについて、できる限り遅延を最小化してインシデント化したいと考えています。クエリは単一テーブルに対する単純な条件で、1 分間隔での評価が望ましいとされています。Microsoft Sentinel で構成すべき分析ルールの種類はどれですか。

          ディスカッション 0
          SC200-manage#4

          Microsoft Sentinel でスケジュールされた分析ルールをテンプレートから作成し、運用に乗せるまでの手順を正しい順序に並べてください。

          1. コンテンツ ハブから関連ソリューションを導入しテンプレートを取得
          2. テンプレートから分析ルールを作成し KQL とスケジュールを構成
          3. エンティティ マッピングとインシデント設定を構成
          4. ルールを有効化し、生成されるアラート/インシデントを監視
          ディスカッション 0
          SC200-manage#5
          Microsoft Sentinel の MITRE ATT&CK ページで、アクティブな分析ルールが各戦術・手法をどれだけカバーしているかを示すマトリックス
          Microsoft Learn — Microsoft Sentinel の MITRE ATT&CK カバレッジ 出典: Microsoft Learn — Microsoft Sentinel の MITRE ATT&CK カバレッジ

          セキュリティ運用マネージャーから「現在アクティブな分析ルールが MITRE ATT&CK のどの戦術・手法をカバーし、どこに検出の空白があるかを可視化したい」と依頼されました。図は Microsoft Sentinel のある画面です。この目的に使用する機能はどれですか。

          ディスカッション 0