ある企業が Microsoft Sentinel のコストを削減しつつ、セキュリティ監視の品質を維持したいと考えています。コスト最適化のために「基本ログ(Basic Logs)」を使う場合、標準ログ(Analytics Logs)と比較して制限される機能はどれか。
- A. データコネクタが使用できなくなり、手動アップロードのみになる
- B. ログの保持期間が最大 8 日に制限される
- C. スケジュール分析ルールでの使用や、標準的な KQL 演算子の一部が制限される
- D. ブックマーク機能が使用できなくなる
解答と解説を見る
正解: C
Microsoft Sentinel の基本ログ(Basic Logs)は、Log Analytics ワークスペースのコストを削減するための低コスト層であり、保持期間は最大 8 日(正確には 8 日まで対話的クエリ可能、その後 30〜730 日はアーカイブ)という制限がある一方、スケジュール分析ルールでの直接利用やいくつかの KQL 演算子が制限されます。Bの「保持期間が最大 8 日」は不正確で、8 日は対話的クエリ可能期間の制限であり、保持自体はアーカイブにより最大 730 日まで可能です。基本ログのより本質的な制限は、スケジュール分析ルールで直接利用できない点と KQL 演算子の制限です。Aはデータコネクタ使用不可は誤りです。Dのブックマーク機能制限は誤りです。
📚 関連サービスの解説: Log Analytics