SC-900Microsoft コンプライアンス ソリューションの機能HARD単一選択

ある企業が Microsoft Purview 監査(Premium)の高度な機能を活用して、セキュリティインシデント調査の精度を高めたいと考えている。監査(Premium)で追加提供される機能として正しいものを選べ。

  1. A. MailItemsAccessed(個別のメールアクセス記録)などの重要イベントが追加され、より詳細なフォレンジック調査が可能になる
  2. B. ユーザーの監査ログに対してリアルタイムの異常検知アラートを自動生成し、Defender ポータルにインシデントを作成する
  3. C. 監査ログのデータが Microsoft Sentinel のワークブックに自動連携され、KQL クエリなしで可視化できる
  4. D. 監査ログを SIEM(Azure Sentinel)にリアルタイムストリーミングする専用コネクタが自動設定される
解答と解説を見る

正解: A

監査(Premium)では、Standard では記録されない重要な高価値イベントが追加される。特に MailItemsAccessed イベントは、どのメールアイテムにどのようにアクセスされたかを詳細に記録するものであり、メールボックスの不正アクセス(Compromise)調査において攻撃者がどのメールを読んだかを特定するフォレンジック調査に不可欠である。また保持期間が最大 1 年(E5)または 10 年(アドオン)に延長される点も Premium の重要な追加機能である。選択肢Dの Sentinel へのリアルタイムストリーミングは監査 Premium の機能ではなく、別途データコネクタの設定が必要であり自動設定はされない。選択肢Bのリアルタイム異常検知アラートは監査ログの機能ではなく、Microsoft Defender や Sentinel のアラートルールが担う。選択肢Cの Sentinel への自動連携も Premium の機能ではなく、別途設定が必要である。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題