SC-200日本語試験無料問題集「Microsoft Security Operations Analyst (SC-200日本語版) 認定」
Microsoft Defender for Endpoint プラン 2 を使用し、Device 1 という名前の Windows デバイスを含む Microsoft 365 サブスクリプションがあります。Device1 でライブ応答セッションを開始し、バックグラウンドで File1.exe という名前の実行可能ファイルを起動します。次の操作を実行する必要があります。
* File1 exe のコマンド ID を識別します。
* lnteractwithFile1.exe を実行します。
各アクションに対してどのライブ レスポンス コマンドを実行する必要がありますか? 回答するには、回答領域で適切なオプションを選択します。
注意: 正しい選択ごとに 1 ポイントが付与されます。
* File1 exe のコマンド ID を識別します。
* lnteractwithFile1.exe を実行します。
各アクションに対してどのライブ レスポンス コマンドを実行する必要がありますか? 回答するには、回答領域で適切なオプションを選択します。
注意: 正しい選択ごとに 1 ポイントが付与されます。
正解:
Explanation:
注: この質問は、同じシナリオを示す一連の質問の一部です。このシリーズの各質問には、指定された目標を達成できる可能性のある独自の解決策が含まれています。一部の質問セットには複数の正しい解決策が含まれる場合がありますが、他の質問セットには正しい解決策がない場合があります。
このセクションの質問に回答すると、その質問に戻ることはできません。そのため、これらの質問はレビュー画面には表示されません。
Azure Sentinel を構成しています。
悪意のある IP アドレスからの Azure 仮想マシンへのサインインが検出された場合は、Azure Sentinel でインシデントを作成する必要があります。
解決策: ハンティング ブックマークを作成します。
これは目標を達成していますか?
このセクションの質問に回答すると、その質問に戻ることはできません。そのため、これらの質問はレビュー画面には表示されません。
Azure Sentinel を構成しています。
悪意のある IP アドレスからの Azure 仮想マシンへのサインインが検出された場合は、Azure Sentinel でインシデントを作成する必要があります。
解決策: ハンティング ブックマークを作成します。
これは目標を達成していますか?
正解:B
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
デフォルトのデータ保持期間が 30 日間である Microsoft Sentinel ワークスペースがあります。次の表に示すように、ワークスペースには 2 つのカスタム テーブルが含まれています。
過去 365 日間、各テーブルは 1 日あたり 2 つのレコードを取り込みました。
次の表に示すように、分析ルールで使用する KQL ステートメントを作成します。
次の各ステートメントについて、そのステートメントが true の場合は [はい] を選択します。それ以外の場合は、「いいえ」を選択します。
注: 正しく選択するたびに 1 ポイントの価値があります。
過去 365 日間、各テーブルは 1 日あたり 2 つのレコードを取り込みました。
次の表に示すように、分析ルールで使用する KQL ステートメントを作成します。
次の各ステートメントについて、そのステートメントが true の場合は [はい] を選択します。それ以外の場合は、「いいえ」を選択します。
注: 正しく選択するたびに 1 ポイントの価値があります。
正解:
Explanation:
注: この質問は、同じシナリオを示す一連の質問の一部です。このシリーズの各質問には、指定された目標を達成できる可能性のある独自の解決策が含まれています。一部の質問セットには複数の正しい解決策が含まれる場合がありますが、他の質問セットには正しい解決策がない場合があります。
このセクションの質問に回答すると、その質問に戻ることはできません。そのため、これらの質問はレビュー画面には表示されません。
Azure セキュリティ センターを使用します。
セキュリティ センターでセキュリティ警告を受け取ります。
Security Center でアラートを解決するには、推奨事項を表示する必要があります。
解決策: [セキュリティ アラート] からアラートを選択し、[アクションの実行] を選択して、[脅威の軽減] セクションを展開します。
これは目標を達成していますか?
このセクションの質問に回答すると、その質問に戻ることはできません。そのため、これらの質問はレビュー画面には表示されません。
Azure セキュリティ センターを使用します。
セキュリティ センターでセキュリティ警告を受け取ります。
Security Center でアラートを解決するには、推奨事項を表示する必要があります。
解決策: [セキュリティ アラート] からアラートを選択し、[アクションの実行] を選択して、[脅威の軽減] セクションを展開します。
これは目標を達成していますか?
正解:A
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
オンプレミス ネットワークがあります。
Microsoft Defender for Identity を使用する Microsoft 365 E5 サブスクリプションがあります。
Microsoft Defender ポータルから、User1 というユーザーの Device1 というデバイスでのインシデントを調査します。インシデントには、次の Defender for Identity アラートが含まれています。
個人情報盗難の疑い(パス・ザ・チケット)(外部 ID 2018)
ユーザーやデバイスに影響を与えずにインシデントを封じ込める必要があります。ソリューションは管理の労力を最小限に抑える必要があります。
あなたは何をするべきか?
Microsoft Defender for Identity を使用する Microsoft 365 E5 サブスクリプションがあります。
Microsoft Defender ポータルから、User1 というユーザーの Device1 というデバイスでのインシデントを調査します。インシデントには、次の Defender for Identity アラートが含まれています。
個人情報盗難の疑い(パス・ザ・チケット)(外部 ID 2018)
ユーザーやデバイスに影響を与えずにインシデントを封じ込める必要があります。ソリューションは管理の労力を最小限に抑える必要があります。
あなたは何をするべきか?
正解:E
解答を投票する
Microsoft Defender XOR を使用し、Oevice1 という名前の Windows デバイスを含む Microsoft 365 サブスクリプションがあります。ライブ応答セッションを使用して、Prod on Device! という名前の疑わしいプロセスを調査します。
次のアクションを実行する必要があります。
* 生産を停止します。
* さらなるレビューのために Prod を送信します。
各アクションに対してどのライブ レスポンス コマンドを実行する必要がありますか? 回答するには、回答領域で適切なオプションを選択します。注: 正しい選択ごとに 1 ポイントが付与されます。
次のアクションを実行する必要があります。
* 生産を停止します。
* さらなるレビューのために Prod を送信します。
各アクションに対してどのライブ レスポンス コマンドを実行する必要がありますか? 回答するには、回答領域で適切なオプションを選択します。注: 正しい選択ごとに 1 ポイントが付与されます。
正解:
Explanation:
Userl という名前の Quest ユーザーと workspacel という名前の Microsoft Sentinel ワークスペースを含む Azure サブスクリプションがあります。
User1 が workspace1 で Microsoft Sentinel インシデントを優先順位付けできることを確認する必要があります。ソリューションでは、最小特権の原則を使用する必要があります。
User1 にはどのロールを割り当てる必要がありますか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
User1 が workspace1 で Microsoft Sentinel インシデントを優先順位付けできることを確認する必要があります。ソリューションでは、最小特権の原則を使用する必要があります。
User1 にはどのロールを割り当てる必要がありますか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
正解:
Explanation: