あるグローバル企業のセキュリティチームが、Microsoft Sentinel で同一ユーザーによる複数国からの短時間ログイン(Impossible Travel)を検出する仕組みを構築しています。このような検出ロジックを定義するために使用する Microsoft Sentinel の機能はどれか。
- A. インシデント(Incidents)
- B. 分析ルール(Analytics Rules)
- C. プレイブック(Playbooks)
- D. ウォッチリスト(Watchlists)
解答と解説を見る
正解: B
Microsoft Sentinel の分析ルール(Analytics Rules)は、KQL(Kusto Query Language)クエリを定期実行して条件に合致したイベントからアラートやインシデントを生成します。Impossible Travel のような複雑な相関検出もスケジュールルールで実装できます。Dのウォッチリストは既知の IP リストや資産管理データを管理してクエリ内で参照する補助機能であり、検出ロジックの定義機能ではありません。Cのプレイブックは検出後の自動応答であり、検出ロジック自体を記述する機能ではありません。Aのインシデントは分析ルールが生成したアラートをグループ化した管理単位です。検出ロジックを定義するのは分析ルールです。