ある企業の SOC チームが、Microsoft Sentinel のスケジュール分析ルールで KQL クエリを設定しています。クエリ頻度(Query Frequency)を 5 分、ルックバック期間(Lookback Period)を 60 分に設定した場合、このルールの動作として正しい説明はどれか。
- A. 60 分ごとに直近 5 分間のデータを分析するため、データのギャップが生じる
- B. 5 分ごとに直近 60 分間のデータを分析するため、同じイベントが複数回のルール実行で検出される可能性がある
- C. 5 分ごとに直近 5 分間のデータのみを分析するため、データの重複処理は発生しない
- D. 60 分ごとに直近 60 分間のデータを分析するため、完全に重複なしで処理される
解答と解説を見る
正解: B
Microsoft Sentinel のスケジュール分析ルールでは、クエリ頻度(Query Frequency)はルールを実行する間隔、ルックバック期間(Lookback Period)はクエリが対象とするデータの時間範囲です。頻度 5 分・ルックバック 60 分の場合、5 分ごとに直近 60 分間のデータを分析します。重複防止のためにアラート重複排除(Suppress Alerts)やエンティティ重複排除の設定が別途必要になります。Cは頻度とルックバックを同一とする誤解です。Aは頻度とルックバックを逆にした誤解です。Dも頻度 60 分という誤解であり、正しくありません。