SC-900Microsoft セキュリティ ソリューションの機能MEDIUM単一選択

あるセキュリティアナリストが Microsoft Sentinel でインシデントを調査中に、同じ攻撃キャンペーンに関連すると思われる複数のアラートをひとつの作業単位にまとめて管理したいと考えています。Sentinel でアラートをグループ化して調査・対応を追跡する機能はどれか。

  1. A. ハンティングクエリ(Hunting Queries)
  2. B. ウォッチリスト(Watchlists)
  3. C. ブックマーク(Bookmarks)
  4. D. インシデント(Incidents)
解答と解説を見る

正解: D

Microsoft Sentinel のインシデントは、関連する複数のアラートを自動または手動でグループ化して作業単位にしたものです。担当者のアサイン・重大度・ステータス・コメントの管理が行え、対応状況を追跡できます。Bのウォッチリストは既知エンティティリストの管理機能です。Cのブックマークは調査中に注目したイベントやエンティティを保存する機能であり、アラートのグループ化ではありません。Aのハンティングクエリはアナリストが能動的に脅威を探索するためのクエリ集であり、アラート管理ではありません。インシデントがセキュリティ運用の中心的な管理単位です。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題