セクション: [なし]
説明/参照:
https://docs.microsoft.com/en-us/azure/sentinel/automate-responses-with-playbooks

Explanation:

トピック4、その他の質問
Fabrikam. Inc. は金融サービス会社です。
同社はニューヨーク、ロンドン、シンガポールに支社を構えています。Fabrikamは世界中にリモートユーザーを抱えており、リモートユーザーは支社へのVPN接続を利用して、クラウドリソースを含む会社のリソースにアクセスしています。
ネットワークには、fabrikam.com という Active Directory Domain Services (AD DS) フォレストが含まれており、fabrikam.com という Azure AD テナントと同期しています。Fabrikam は、このフォレストを同期するために、パススルー認証が有効でパスワードハッシュ同期が無効になっている Azure AD Connect を使用しています。
fabrikam.com フォレストには、Group1 と Group2 という名前の 2 つのグローバル グループが含まれています。
Fabrikam の全ユーザーには、Microsoft 365 E5 ライセンスと Azure Active Directory Premium Plan 2 ライセンスが割り当てられています。Fabrikam は Microsoft Defender for Identity と Microsoft Defender for Cloud Apps を実装し、ログコレクターを有効にしています。
Fabrikam には、次の表に示すリソースを含む Azure サブスクリプションがあります。

Fabrikam には、Account1 という Amazon Web Services (AWS) アカウントがあります。Account1 には、カスタム Windows Server 2022 を実行する 100 個の Amazon Elastic Compute Cloud (EC2) インスタンスが含まれています。イメージには Microsoft SQL Server 2019 が含まれており、エージェントはインストールされていません。
ユーザーがVPN接続を使用する場合、Microsoft 365 Defenderは誤検知である「あり得ない移動」アラートを大量に生成します。Defender for Identityは誤検知である「DCSync攻撃の疑い」アラートを大量に生成します。
Fabrikam は次のサービスを実装する予定です。
* クラウド向け Microsoft Defender
* マイクロソフトセンチネル
Fabrikam では、次のビジネス要件を特定しています。
* 可能な限り、最小権限の原則を使用します。
# 管理の手間を最小限に抑えます。
Fabrikam では、次の Microsoft Defender for Cloud Apps の要件を特定しています。
* 不可能な移動アラート ポリシーが各ユーザーの過去のアクティビティに基づいていることを確認します。
* 誤検知によるあり得ない移動アラートの量を減らします。
誤検知アラートを調査するために必要な管理作業を最小限に抑えます。
Fabrikam では、次の Microsoft Defender for Cloud の要件を特定しています。
* Group2 のメンバーがセキュリティ ポリシーを変更できることを確認します。
* Group1 のメンバーが Azure サブスクリプション レベルで規制コンプライアンス ポリシー イニシアチブを割り当てることができることを確認します。
* Azure Arc 対応サーバー用の Azure Connected Machine エージェントの、Account1 の既存および将来のリソースへのデプロイを自動化します。
* 誤検知アラートを調査するために必要な管理作業を最小限に抑えます。
Fabrikam は、次の Microsoft Sentinel 要件を特定しています。
* 組み込みの Advanced Security Information Model (ASIM) 統合パーサーを使用して、過去 7 日間の NXDOMAIN DNS 要求を照会します。
* AWS EC2 インスタンスから、ローカル グループ メンバーシップの変更を含む Windows セキュリティ イベント ログ エントリを収集します。
* ユーザーおよびエンティティの動作分析 (UEBA) を使用して、Azure AD ユーザーの異常なアクティビティを識別します。
* UEBA を使用して、侵害された Azure AD ユーザー資格情報の潜在的な影響を評価します。
* App1 が Microsoft Sentinel 自動化ルールで使用できることを確認します。
* 過去 30 日間に発生したインシデントのトリアージにかかる平均時間を特定します。
* 過去 30 日間に発生したインシデントのクローズまでの平均時間を特定します。
* Group1 のメンバーがプレイブックを作成して実行できることを確認します。
* Group1 のメンバーが分析ルールを管理できることを確認します。
* Jupyter ノートブックを使用して、Pool! でハンティング クエリを実行します。
* グループ2のメンバーがインシデントを管理できることを確認します。
* データクエリのパフォーマンスを最大化します。
* 収集するデータの量を最小限に抑えます。

Windows 10 エンドポイントからのラベル付きファイルを Azure Information Protection - データ検出ダッシュボードに表示するには、まず Microsoft Defender for Endpoint と Azure Information Protection (AIP) 間の組み込み統合を有効にする必要があります。これは、Microsoft Defender セキュリティ センターの [設定] > [高度な機能] で有効になります。有効にすると、Defender for Endpoint は管理対象 Windows デバイス全体のファイルに表示された機密ラベルをインベントリし、そのテレメトリを AIP データ検出エクスペリエンスにストリーミングして、エンドポイント上のラベル付きデータの位置を可視化します。AIP のスキャナー クラスターとコンテンツ スキャン ジョブは、エンドポイント検出ではなく、オンプレミスのリポジトリ (ファイル共有/SharePoint サーバー) を対象としています。
デバイスの正常性/コンプライアンスレポートでは、ラベルインベントリはAIPに表示または転送されません。そのため、最初の構成手順として、Defender for EndpointのAIP統合の高度な機能を有効にし、Windowsクライアント上のラベル付きファイルがAIPデータ検出ダッシュボードに表示されるようにします。

Explanation:

Microsoft Defender for Identity では、アカウントを機密としてマークすると、システムはそれらのアカウントをより厳密に監視して、疑わしいアクティビティや横方向の移動の試みを検出するように指示します。
質問では、攻撃者が悪用する可能性のある複数のアカウントを設定することが目標であると説明されています。Microsoft Defender for Identityのドキュメントには、次のように明記されています。
「機密として指定されたアカウントは、潜在的な侵害の試みを特定するために、監視と検出の優先順位が付けられます。」したがって、アカウントを機密アカウントとして追加することで、目的が達成されます。
# 正解: A. はい