ある金融機関がオンプレミスの Active Directory 環境に対するパスワードスプレー攻撃やゴールデンチケット攻撃を検出し、侵害された可能性のあるユーザーアカウントを特定したいと考えています。最も適切な Microsoft セキュリティ製品はどれか。

正解: B

Microsoft Defender for Identity（旧 Azure ATP）はオンプレミス Active Directory のトラフィックを監視し、パスワードスプレー・ゴールデンチケット・Pass-the-Hash などの高度な AD 攻撃手法を検出します。Aの Defender for Endpoint はデバイスレベルの EDR であり、AD プロトコルレベルの攻撃検出はできません。Cの Defender for Office 365 はメール・Teams の保護に特化しており AD 攻撃は対象外です。Dの Sentinel は SIEM であり多様なログを収集・分析できますが、AD 攻撃を専門的に検出するセンサー機能は Defender for Identity が担います。Sentinel は Defender for Identity のアラートを取り込む形で連携します。