Microsoft Defender XDR (旧称 Microsoft 365 Defender) でカスタム検出ルールを作成する場合、検出頻度によって、指定された KQL クエリをデータセットに対して評価するためにルールが実行される頻度が決まります。
このシナリオの目的は、過去14日間のデバイステレメトリをカバーしつつ、50時間（約2日）ごとに1回通信するコマンドアンドコントロール（C2）エージェントのトラフィックを検出することです。要件では以下の点を重視しています。
* 過去14日間に通信したすべてのデバイスを特定し、
* クエリの効率とコストのバランスを取りながら、検出の待ち時間 (侵害されたデバイスが識別される速さ) を最小限に抑えます。
オプション
頻度
評価
A) 3時間ごと
約50時間ごとにビーコンを送信するエージェントにとっては頻度が高すぎます。不要な計算が発生し、検出のメリットは得られません。
B). 24時間ごと
最適です。Defender XDRの標準的なログ取り込み遅延に合わせて毎日評価を実施し、50時間の通信時間枠内に十分収まるようにします。リソースを無駄にすることなく、タイムリーな特定を実現します。
C) 1時間ごと
頻度が高すぎるため、C2 トラフィックは 50 時間に 1 回しか発生しないため、不必要なコンピューティング リソースが消費され、検出の有効性は向上しません。
D) 12時間ごと
毎日よりもわずかに速いですが、50時間のビーコン間隔を考えると、依然として冗長です。検出時間を大幅に短縮することなく、コストが増加します。
Microsoft の Defender XDR ドキュメントには次のように記載されています。
「コマンドアンドコントロール通信や稀なログオンパターンなど、頻度の低い、または定期的なアクティビティを識別するルールの場合、コストを最小限に抑え、パフォーマンスを最適化するために、予想されるアクティビティ間隔に基づいて検出頻度を設定してください。毎日または複数日にわたる動作の場合は、24時間間隔での検出が推奨されます。」C2エージェントは50時間ごとに通信するため、24時間間隔での検出頻度を設定することで、クエリが十分な頻度で実行され、侵害されたデバイスを迅速に検出できると同時に、重複した実行や過剰な処理オーバーヘッドを回避できます。
# 最終回答: B. 24時間ごと

説明

Explanation:

Microsoft Sentinel では、データ コネクタは、さまざまな Azure および Azure 以外のソースからログとテレメトリを Log Analytics ワークスペースに収集するメカニズムです。
複数の Azure サブスクリプション (既存および新規のリソースの両方) を Sentinel に自動的に接続することが目標である場合、適切な方法は、診断設定に依存するコネクタで Azure Policy を使用することです。
多くの Azure リソース（キー コンテナー、ストレージ アカウント、Azure Firewall、アクティビティ ログなど）は、診断設定を介して Sentinel にログを送信します。このコネクタ タイプを使用すると、エージェントや手動構成を必要とせずに、ログを Sentinel ワークスペースに直接エクスポートできます。
Azure Policy を使用すると、これらの診断設定を現在および将来のすべてのリソースに自動的に適用および展開できるため、管理オーバーヘッドを最小限に抑えながら継続的なログの取り込みが可能になります。
Azure Policy を適用する際、既存のリソースにはまだ診断設定が構成されていない可能性があります。この問題を解決するには、修復タスクを作成します。これにより、Azure Policy は新しいリソースだけでなく、既存のリソースにもコンプライアンス設定を適用します。修復タスクがない場合、新しく作成されたリソースのみが自動的にコンプライアンスに準拠します。
* コネクタの種類: サブスクリプション全体にわたるポリシーベースの展開に使用される診断設定。
* 使用: 修復タスク # により、ポリシーが既存のリソースと新しいリソースの両方に完全に適用されるようになります。
# 最終回答:
* コネクタタイプ: 診断設定
* 使用: 修復タスク