SC-200日本語試験無料問題集「Microsoft Security Operations Analyst (SC-200日本語版) 認定」
次の環境があります。
アズールセンチネル
Microsoft 365 サブスクリプション
ID 用の Microsoft Defender
Azure Active Directory (Azure AD) テナント
すべての Active Directory メンバー サーバーとドメイン コントローラーからセキュリティ ログを収集するように Azure Sentinel を構成します。
Microsoft Defender for Identity は、スタンドアロン センサーを使用して展開します。
Active Directory で機密グループがいつ変更されたかを確実に検出できるようにする必要があります。
どの 2 つのアクションを実行する必要がありますか?それぞれの正解は、解決策の一部を示しています。
注: 正しく選択するたびに 1 ポイントの価値があります。
アズールセンチネル
Microsoft 365 サブスクリプション
ID 用の Microsoft Defender
Azure Active Directory (Azure AD) テナント
すべての Active Directory メンバー サーバーとドメイン コントローラーからセキュリティ ログを収集するように Azure Sentinel を構成します。
Microsoft Defender for Identity は、スタンドアロン センサーを使用して展開します。
Active Directory で機密グループがいつ変更されたかを確実に検出できるようにする必要があります。
どの 2 つのアクションを実行する必要がありますか?それぞれの正解は、解決策の一部を示しています。
注: 正しく選択するたびに 1 ポイントの価値があります。
正解:A,D
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Microsoft Defender for Endpoint を使用する Microsoft 365 E5 サブスクリプションがあります。次の要件を満たす検出ルールを作成する必要があります。
* 重大なソフトウェア脆弱性のあるデバイスが過去 1 時間アクティブであった場合にトリガーされます
* 重複する結果の数を制限します
KQL クエリをどのように完成させるべきでしょうか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
* 重大なソフトウェア脆弱性のあるデバイスが過去 1 時間アクティブであった場合にトリガーされます
* 重複する結果の数を制限します
KQL クエリをどのように完成させるべきでしょうか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
正解:
Explanation:
Common Event Format (CEF) メッセージを Azure Sentinel に送信する外部ソリューションを接続する予定です。
ログ フォワーダーをデプロイする必要があります。
どの 3 つのアクションを順番に実行する必要がありますか?回答するには、アクションのリストから適切なアクションを回答領域に移動し、正しい順序で並べます。
ログ フォワーダーをデプロイする必要があります。
どの 3 つのアクションを順番に実行する必要がありますか?回答するには、アクションのリストから適切なアクションを回答領域に移動し、正しい順序で並べます。
正解:
Explanation:
Reference:
https://docs.microsoft.com/en-us/azure/sentinel/connect-cef-agent?tabs=rsyslog
Microsoft Defender for Endpoint を使用する Microsoft 365 E5 サブスクリプションがあります。
次の表に示すオンプレミス デバイスがあります。
マルウェアに感染したデバイスに対するインシデント対応計画を準備しています。次の要件を満たす対応アクションを推奨する必要があります。
* マルウェアが管理対象デバイスと通信して感染するのをブロックします。
* 管理対象デバイスを制御する機能には影響しません。
各デバイスに対してどのアクションを使用する必要がありますか? 回答するには、回答で適切なオプションを選択します。注: 正しい選択ごとに 1 ポイントが付与されます。
次の表に示すオンプレミス デバイスがあります。
マルウェアに感染したデバイスに対するインシデント対応計画を準備しています。次の要件を満たす対応アクションを推奨する必要があります。
* マルウェアが管理対象デバイスと通信して感染するのをブロックします。
* 管理対象デバイスを制御する機能には影響しません。
各デバイスに対してどのアクションを使用する必要がありますか? 回答するには、回答で適切なオプションを選択します。注: 正しい選択ごとに 1 ポイントが付与されます。
正解:
Explanation:
Microsoft Defender XDR を使用する Microsoft 365 E5 サブスクリプションをお持ちです。
ネットワークには、Microsoft Entra テナントと同期するオンプレミスの Active Directory ドメイン サービス (AD DS) ドメインが含まれています。
AD DS オブジェクトを列挙するには、AD DS ユーザーによる LDAP 要求を識別する必要があります。
KQL クエリをどのように完了すればよいですか? 回答するには、回答領域で適切なオプションを選択します。
注意: 正しい選択ごとに 1 ポイントが付与されます。
ネットワークには、Microsoft Entra テナントと同期するオンプレミスの Active Directory ドメイン サービス (AD DS) ドメインが含まれています。
AD DS オブジェクトを列挙するには、AD DS ユーザーによる LDAP 要求を識別する必要があります。
KQL クエリをどのように完了すればよいですか? 回答するには、回答領域で適切なオプションを選択します。
注意: 正しい選択ごとに 1 ポイントが付与されます。
正解:
Explanation:
SW1 という名前の Microsoft Sentinel ワークスペースがあります。
SW1 では、ユーザーおよびエンティティの動作分析 (UEBA) を有効にします。
次のタスクを実行するには、KQL を使用する必要があります。
* 各エンティティ タイプのフィールドを持つエンティティ データを表示します。
* ルールのパフォーマンスを分析して、ルールの品質を評価します。
各タスクに対して KQL でどのテーブルを使用する必要がありますか? 回答するには、適切なテーブルを正しいタスクにドラッグします。
各テーブルは、1 回、複数回、またはまったく使用されない場合があります。コンテンツを表示するには、ペイン間の分割バーをドラッグするか、スクロールする必要がある場合があります。
注意: 正しい選択ごとに 1 ポイントが付与されます。
SW1 では、ユーザーおよびエンティティの動作分析 (UEBA) を有効にします。
次のタスクを実行するには、KQL を使用する必要があります。
* 各エンティティ タイプのフィールドを持つエンティティ データを表示します。
* ルールのパフォーマンスを分析して、ルールの品質を評価します。
各タスクに対して KQL でどのテーブルを使用する必要がありますか? 回答するには、適切なテーブルを正しいタスクにドラッグします。
各テーブルは、1 回、複数回、またはまったく使用されない場合があります。コンテンツを表示するには、ペイン間の分割バーをドラッグするか、スクロールする必要がある場合があります。
注意: 正しい選択ごとに 1 ポイントが付与されます。
正解:
Explanation:
注: この質問は、同じシナリオを示す一連の質問の一部です。このシリーズの各質問には、指定された目標を達成できる可能性のある独自の解決策が含まれています。一部の質問セットには複数の正しい解決策が含まれる場合がありますが、他の質問セットには正しい解決策がない場合があります。
このセクションの質問に回答すると、その質問に戻ることはできません。そのため、これらの質問はレビュー画面には表示されません。
Active Directory との ID 統合のために Microsoft Defender を構成しています。
Microsoft Defender for ID ポータルから、攻撃者が悪用できるようにいくつかのアカウントを構成する必要があります。
解決策: 各アカウントを機密アカウントとして追加します。
これは目標を達成していますか?
このセクションの質問に回答すると、その質問に戻ることはできません。そのため、これらの質問はレビュー画面には表示されません。
Active Directory との ID 統合のために Microsoft Defender を構成しています。
Microsoft Defender for ID ポータルから、攻撃者が悪用できるようにいくつかのアカウントを構成する必要があります。
解決策: 各アカウントを機密アカウントとして追加します。
これは目標を達成していますか?
正解:B
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Microsoft 365 Defender を使用し、User1 という名前のユーザーを含む Microsoft 365 サブスクリプションがあります。
User1 のアカウントが侵害されたことが通知されます。
User1 がサインインしたデバイスでトリガーされたアラートを確認する必要があります。
クエリをどのように完了すればよいでしょうか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
User1 のアカウントが侵害されたことが通知されます。
User1 がサインインしたデバイスでトリガーされたアラートを確認する必要があります。
クエリをどのように完了すればよいでしょうか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
正解:
Explanation:
Box 1: join
An inner join.
This query uses kind=inner to specify an inner-join, which prevents deduplication of left side values for DeviceId.
This query uses the DeviceInfo table to check if a potentially compromised user (<account-name>) has logged on to any devices and then lists the alerts that have been triggered on those devices.
DeviceInfo
//Query for devices that the potentially compromised account has logged onto
| where LoggedOnUsers contains '<account-name>'
| distinct DeviceId
//Crosscheck devices against alert records in AlertEvidence and AlertInfo tables
| join kind=inner AlertEvidence on DeviceId
| project AlertId
//List all alerts on devices that user has logged on to
| join AlertInfo on AlertId
| project AlertId, Timestamp, Title, Severity, Category
DeviceInfo LoggedOnUsers AlertEvidence "project AlertID"
Box 2: project
Reference: https://docs.microsoft.com/en-us/microsoft-365/security/defender/advanced-hunting-query-emails- devices?view=o365-worldwide