セキュリティアナリストが Microsoft Sentinel でアラートを自動的に処理し、Teams へ通知を送信してチケットを起票するワークフローを実装したいと考えています。この自動化を実現する Microsoft Sentinel の機能はどれか。
- A. ウォッチリスト(Watchlists)
- B. プレイブック(Playbooks)
- C. 分析ルール(Analytics Rules)
- D. データコネクタ(Data Connectors)
解答と解説を見る
正解: B
Microsoft Sentinel のプレイブックは Azure Logic Apps をベースとした SOAR(Security Orchestration, Automation and Response)機能です。アラートや脅威インシデントをトリガーにして、Teams 通知・チケット起票・IP ブロックなどの自動アクションを実行できます。Cの分析ルールはログを分析してアラートやインシデントを生成するルールエンジンであり、アクション実行は担いません。Dのデータコネクタはログをワークスペースに取り込むための設定であり自動応答機能ではありません。Aのウォッチリストは既知の IP や資産リストを管理してクエリで参照する機能であり、自動化ワークフローとは異なります。