Microsoft Security Operations Analyst (SC-200日本語版) - SC-200日本語 Exam Practice Test

Microsoft Sentinelワークスペースをお持ちです。
次の図に示すように、Query1 という名前のクエリがあります。

Parser 1 という名前のカスタムパーサーを作成する予定です。Parser1 で Query1 を使用する必要があります。最初に何をすべきでしょうか?
Correct Answer: D
Explanation: Only visible for ExamsLabs members. You can sign-up / login (it's free).
Windows セキュリティ イベント ログを収集するには、Microsoft Sentinel の要件を満たす必要があります。どうすればよいですか?回答するには、回答領域で適切なオプションを選択してください。注: 正解ごとに 1 ポイントが加算されます。
Correct Answer:

Explanation:
To collect Windows Security event logs in Microsoft Sentinel , each monitored server or virtual machine must send its logs to a Log Analytics workspace , which Sentinel uses as its data foundation. This requires deploying the Log Analytics agent (formerly OMS agent) to the Windows systems.
The Log Analytics agent collects data such as event logs (including Security, Application, and System logs) and forwards them to the connected Log Analytics workspace. Once the agent is installed and configured, the data becomes available for analysis and correlation in Microsoft Sentinel.
Why not the other agents:
* The Azure Monitor agent (AMA) is newer but, at this time, some Sentinel connectors and data collection rules still rely on the Log Analytics agent for Windows event collection.
* The Windows Azure VM Agent is only responsible for enabling Azure management extensions, not log collection.
Once the data is ingested into Sentinel, analysts use KQL (Kusto Query Language) to query, investigate, and create analytics rules or workbooks. KQL is the native query language for both Azure Monitor Logs and Microsoft Sentinel .
Therefore, the correct configuration is:
# Deploy the Log Analytics agent
# Query by using KQL
以下のKQLクエリを含むカスタム検出ルールがあります。

以下の各項目について、該当する場合は「はい」を選択してください。該当しない場合は「いいえ」を選択してください。
注:正解ごとに1ポイントが加算されます。
Correct Answer:

Explanation:
お客様は、WS1 という名前の Microsoft Sentinel ワークスペースを含む Azure サブスクリプションをお持ちです。
新しい攻撃ベクトルを検出するハンティングクエリを作成します。この攻撃ベクトルは、MITRE ATT & CKデータベースに記載されている戦術に対応します。
新たな攻撃経路が検出された際には、WS1にインシデントが作成されるようにする必要があります。
何を設定すればよいですか?
Correct Answer: B
Explanation: Only visible for ExamsLabs members. You can sign-up / login (it's free).
Microsoft 365のサブスクリプションを購入します。
Microsoft Cloud App Security を構成する予定です。
ボットネットネットワークから発信されたMicrosoft 365アプリへの接続を検出する、カスタムテンプレートベースのポリシーを作成する必要があります。
何を使用すべきですか?回答するには、回答欄で適切な選択肢を選んでください。
注:正解ごとに1ポイントが加算されます。
Correct Answer:

Explanation:
Policy template type: Access policy
Filter based on: IP address tag
In Microsoft Defender for Cloud Apps (formerly Microsoft Cloud App Security), policies are used to detect, alert, and control access or activity patterns across cloud applications.
To detect connections originating from a botnet network , you need a policy that evaluates real-time access conditions such as the user's IP address, device, or location at the time of the connection attempt. This is achieved through an Access policy , which controls and monitors session access to cloud apps using Conditional Access App Control.
Microsoft documentation specifies that Access policies can filter based on IP address ranges, tags, or risk levels. The "IP address tag" is particularly used to classify addresses into categories like "Risky,"
"Anonymous proxy," "Botnet," etc. Microsoft's built-in IP address tagging capability recognizes malicious or suspicious sources, including known botnet IPs.
* Activity policies monitor in-app user actions such as file downloads, sharing, or admin operations-not the connection origin.
* Anomaly detection policies rely on behavioral analytics and machine learning, not static IP classifications, and cannot explicitly target botnet IPs.
Therefore, to meet the requirement of detecting connections to Microsoft 365 apps from botnet networks , you must configure an Access policy that filters based on the IP address tag set to "Botnet."
Microsoft Sentinelを使用するAzureサブスクリプションがあり、その中にUser1という名前のユーザーが存在します。
User1 が Azure AD のエンティティ動作に対してユーザーおよびエンティティ動作分析 (UEBA) を有効にできるようにする必要があります。このソリューションは、最小権限の原則を使用する必要があります。
「使用済み」にはどの役割を割り当てるべきでしょうか?回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
Correct Answer:

Explanation:

Enabling User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel requires permissions in both Azure Active Directory (Microsoft Entra ID) and Microsoft Sentinel because UEBA integrates identity data from Azure AD to perform behavioral analytics and anomaly detection.
Here's the reasoning based on Microsoft's official documentation and the principle of least privilege:
1# # Azure AD role # Security administrator
* The Security Administrator role in Azure AD allows a user to manage security-related features , including security settings and integration of identity signals with other services like Microsoft Sentinel.
* This role has the rights necessary to grant Sentinel access to Azure AD data for UEBA without requiring broader, high-privilege roles such as Global Administrator .
* Microsoft documentation explicitly recommends the Security Administrator role to enable UEBA because Sentinel uses Azure AD identity information and risk detections for its entity behavior modeling.
2# # Azure role # Microsoft Sentinel Contributor
* Within Sentinel, the Microsoft Sentinel Contributor role allows a user to configure settings, enable features like UEBA, and manage analytic rules, workbooks, and connectors , but does not grant rights to access workspace data directly (which would be excessive).
* It's the appropriate role for managing Sentinel features while adhering to the least privilege principle.
* The Sentinel Responder role is too limited-it can handle incidents but cannot enable or configure UEBA.
# Final Answer:
* Azure AD role: Security administrator
* Azure role: Microsoft Sentinel Contributor
Amazon Web Services (AWS) のログから特定の条件を検索し、インシデントを生成するには、Azure Sentinel の分析ルールを使用する必要があります。
どの3つの行動を順番に実行すべきでしょうか?回答するには、行動リストから適切な行動を回答欄に移動させ、正しい順序に並べ替えてください。
Microsoft 365 E5
Correct Answer:

Explanation:

Comprehensive and Detailed Explanation with all Microsoft Security Operations (SecOps) documents :
=
To search for specific criteria in Amazon Web Services (AWS) logs and generate incidents using Microsoft Sentinel , the configuration process follows a structured sequence according to Microsoft Sentinel documentation and the Azure Sentinel playbook for AWS integration.
* Add the Amazon Web Services (AWS) connector
* Before Sentinel can analyze AWS data, you must integrate AWS logs using the Amazon Web Services data connector . This connector streams AWS CloudTrail and other AWS log data into your Sentinel workspace. Microsoft's documentation states: "Use the Amazon Web Services (AWS) connector to stream CloudTrail events and security logs into Microsoft Sentinel for analysis and alerting."
* Without this connector, Sentinel cannot query or detect AWS-specific activities.
* Create a custom analytics rule that uses a scheduled query
* Once data ingestion is established, you create an analytics rule in Sentinel using a scheduled query to continuously search for specific conditions (e.g., unauthorized access attempts, changes to VPC settings, etc.).
* Microsoft specifies: "Custom analytics rules run KQL queries on a schedule to detect specific patterns or anomalies across ingested data sources."
* Set the alert logic
* After defining your rule, you configure the alert logic to determine when Sentinel should trigger an alert or incident. This includes setting thresholds, event frequency, severity levels, and entity mappings.
* Microsoft Sentinel's official guidance notes: "Alert logic defines the conditions under which an alert is generated from the query results."
お客様は、Microsoft Defenderを使用するMicrosoft 365 E5サブスクリプションと、Azure Sentineを使用するAzureサブスクリプションをお持ちです。
既知の悪意のあるメール送信者から送信されたメールに含まれるファイルを持つすべてのデバイスを特定する必要があります。クエリはSHA256ハッシュの一致に基づいて実行されます。
質問にはどのように回答すればよいですか?回答するには、回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
Correct Answer:

Explanation:

To correlate malicious email attachments with endpoints, Microsoft Defender data schemas expose attachment metadata in EmailAttachmentInfo (including the SHA256 hash) and endpoint file activity in DeviceFileEvents (which also records SHA256 for observed files). The recommended investigation pattern is:
(1) filter email telemetry to the suspected sender and keep only attachments with a populated hash; (2) join that result with endpoint file events on the SHA256 hash to find devices where an identical file (by cryptographic hash) was seen. In KQL, isnotempty(SHA256) ensures you only pass attachments with a valid hash to the join, and join ... on SHA256 performs an exact-match correlation across datasets. This method aligns with Defender's guidance to use hash-based correlation as the most reliable way to match artifacts across different security workloads (email vs. endpoint), since filenames and paths can change, but a cryptographic hash uniquely identifies file content. The final project selects operational fields for response- timestamps, file name and hash, device identifiers/names, message IDs, and sender/recipient-so the SOC can quickly pivot to the impacted devices and the original email that delivered the file.
Workspace1 という名前の Log Analytics ワークスペースを含む Azure サブスクリプションをお持ちです。
AzureアクティビティログとMicrosoft Entra IDログをWorkspace1に転送するように構成します。
リスクの高いユーザーによって照会または変更されたAzureリソースを特定する必要があります。
KQLクエリはどのように入力すればよいですか?回答するには、回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
Correct Answer:

Explanation:
Table to start from: MicrosoftGraphActivityLogs
Function to extract the path: parse_url(RequestUri).Path
To find which Azure resources were queried or modified by risky users , you should analyze API calls made to Microsoft Graph (and ARM where applicable) and join them with Identity Protection risk signals .
In Log Analytics, MicrosoftGraphActivityLogs records Graph API calls with useful fields for this task, including UserId , RequestUri , RequestMethod , ResponseStatusCode , and RequestId . These fields let you identify what resource endpoint was accessed, how (GET/POST/PATCH/DELETE), and whether the request succeeded.
You then join these API events with AADRiskyUsers on the user identifier ( $left.UserId == $right.Id ) to restrict results to users currently assessed as risky. To normalize the resource that was targeted, parse the endpoint from the full URL. The correct way is to extract just the path component using parse_url (RequestUri).Path , then clean version segments (e.g., /v1.0/ , /beta/ ) with replace_string / replace_regex to produce a comparable resourcePath . Finally, summarizing with dcount(RequestId) by UserId , RiskState , resourcePath , RequestMethod , and ResponseStatusCode yields a concise mapping of which resources risky users queried or modified.
Therefore, the two correct choices are MicrosoftGraphActivityLogs and parse_url(RequestUri).Path .
Microsoft Defender for Cloud の要件を満たすには、Account! にネイティブ クラウド コネクタをデプロイする必要があります。Account! で最初に行うべきことは何ですか?
Correct Answer: A
Explanation: Only visible for ExamsLabs members. You can sign-up / login (it's free).
オンプレミス ネットワークがあります。
Microsoft Defender for Identity を使用する Microsoft 365 E5 サブスクリプションがあります。
Microsoft Defender ポータルから、User1 というユーザーの Device1 というデバイスでのインシデントを調査します。インシデントには、次の Defender for Identity アラートが含まれています。
個人情報盗難の疑い(パス・ザ・チケット)(外部 ID 2018)
ユーザーやデバイスに影響を与えずにインシデントを封じ込める必要があります。ソリューションは管理の労力を最小限に抑える必要があります。
あなたは何をするべきか?
Correct Answer: D
Explanation: Only visible for ExamsLabs members. You can sign-up / login (it's free).
注: この質問は、同じシナリオを示す一連の質問の一部です。このシリーズの各質問には、指定された目標を達成できる可能性のある独自の解決策が含まれています。一部の質問セットには複数の正しい解決策が含まれる場合がありますが、他の質問セットには正しい解決策がない場合があります。
このセクションの質問に回答すると、その質問に戻ることはできません。そのため、これらの質問はレビュー画面には表示されません。
Active Directory との ID 統合のために Microsoft Defender を構成しています。
Microsoft Defender for ID ポータルから、攻撃者が悪用できるようにいくつかのアカウントを構成する必要があります。
解決策: アカウントを Active Directory グループに追加し、そのグループを機密グループとして追加します。
これは目標を達成していますか?
Correct Answer: A
Explanation: Only visible for ExamsLabs members. You can sign-up / login (it's free).
Microsoft Defender for Cloudを使用するAzureサブスクリプションがあり、RG1という名前のリソースグループが含まれています。RG1内の仮想マシンに対して、ジャストインタイム(JIT)VMアクセスを構成する必要があります。ソリューションは、以下の要件を満たす必要があります。
* リクエストの最大時間を2時間に制限してください。
* プロトコルアクセスをリモートデスクトッププロトコル(RDP)のみに制限します。
管理業務の手間を最小限に抑える。
何を使うべきでしょうか?
Correct Answer: B
Explanation: Only visible for ExamsLabs members. You can sign-up / login (it's free).