ある企業のセキュリティチームが、Microsoft Sentinel でフィッシングメールを検出した際に、自動的に送信元 IP をブロックリストに追加し、被害ユーザーのパスワードをリセットして、Slack に通知を送りたいと考えています。これらの一連の自動アクションを定義する Sentinel コンポーネントはどれか。
- A. 分析ルール(Analytics Rules)
- B. データコネクタ(Data Connectors)
- C. プレイブック(Playbooks)
- D. ウォッチリスト(Watchlists)
解答と解説を見る
正解: C
Microsoft Sentinel のプレイブックは Azure Logic Apps 上に構築されており、アラートやインシデントをトリガーに IP ブロック・パスワードリセット・Slack/Teams 通知・チケット起票など複数のアクションを連鎖的に実行できます。SOAR(Security Orchestration, Automation and Response)の中心機能です。Aの分析ルールはアラート生成のロジックを定義しますが、外部サービスへのアクション実行はプレイブックが担います。Bのデータコネクタはログ取り込みの設定です。Dのウォッチリストはエンティティリストの管理機能であり、自動アクションとは異なります。