SC-900Microsoft セキュリティ ソリューションの機能MEDIUM単一選択

ある企業が Microsoft Sentinel を使用しており、インシデント調査において同じ攻撃者から発生した複数のアラート(異なるデータソース由来)を 1 つのインシデントに自動統合したいと考えています。Sentinel でアラートをインシデントにグループ化する際のグルーピング条件として正しくないものはどれか。

  1. A. 同じアラートの重大度を持つアラートをグループ化する
  2. B. 一定の時間ウィンドウ内に発生したアラートをグループ化する
  3. C. 同じ分析ルールから生成されたアラートをグループ化する
  4. D. 同じエンティティ(ユーザーや IP)を共有するアラートをグループ化する
解答と解説を見る

正解: A

Microsoft Sentinel のインシデントグルーピング設定では、同じエンティティ共有・同じ分析ルール由来・指定時間ウィンドウ内という条件でアラートをインシデントにまとめることができます。しかし「同じ重大度を持つ」という条件はグルーピングの条件として提供されておらず、正しくありません。重大度は個々のアラートの属性であり、異なる攻撃から発生した高重大度アラートをすべて同一インシデントにまとめることは調査上も不適切です。Dはエンティティベースのグルーピングとして正しい。Cはルールベースのグルーピングとして正しい。Bは時間ウィンドウベースのグルーピングとして正しい。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題