SC-200試験対策:よく出る問題と回答 音声学習ガイド - iPhoneの読み上げで聴いて覚える
はじめに
この記事は、SC-200(Microsoft Security Operations Analyst)試験でよく出題されるポイントを、問題と回答の形式でまとめた音声学習ガイドです。
iPhoneのSafariで、この記事を開いたまま、「読み上げ機能」を使えば、ハンズフリーで学習できます。通勤中や家事の合間、散歩中など、スキマ時間を有効活用してください。
読み上げ機能の使い方は、この記事の最後にまとめています。
それでは、学習を始めましょう。
第1章 セキュリティ運用環境の管理
この章では、Microsoft Defenderポータルや、Microsoft Sentinelの運用環境に関する問題を扱います。試験全体の25パーセントから30パーセントを占める重要な分野です。
問題1 Microsoft Defender XDRポータルの役割
問題です。Microsoft Defender XDRポータルの主な役割は何ですか。3つ挙げてください。
回答です。Microsoft Defender XDRポータルの主な役割は、次の3つです。
1つ目は、統合インシデント管理です。複数のセキュリティ製品からのアラートを1つのインシデントに自動的に相関付けし、一元管理します。
2つ目は、自動調査と修復です。インシデント発生時に、自動調査を実行し、脅威の影響範囲を特定して、修復アクションを提案または自動実行します。
3つ目は、高度なハンティングです。KQLを使用して、エンドポイント、メール、IDなど複数のデータソースを横断的に脅威ハンティングできます。
覚えておくべきポイントは、Defender XDRが「統合」と「自動化」をキーワードとした、セキュリティ運用の中核プラットフォームであるということです。
問題2 Microsoft Defender for Endpointのオンボーディング
問題です。Microsoft Defender for Endpointにデバイスをオンボーディングする方法として、最も大規模な環境に適しているものはどれですか。
選択肢A、ローカルスクリプト。選択肢B、グループポリシー。選択肢C、Microsoft Intune。選択肢D、手動構成。
回答です。正解は、選択肢Cの「Microsoft Intune」です。
Microsoft Intuneを使用すると、クラウドベースで大規模なデバイス群に対して、構成プロファイルを展開できます。数千台規模のデバイスに対して一括でオンボーディングでき、コンプライアンスポリシーとの統合も可能です。
選択肢Aのローカルスクリプトは、少数のデバイスやテスト環境に適しています。選択肢Bのグループポリシーは、オンプレミスのActive Directory環境では有効ですが、Intuneほどのスケーラビリティはありません。選択肢Dの手動構成は、現実的ではありません。
試験では、「大規模環境」「クラウドネイティブ」というキーワードが出たら、Intuneを選びましょう。
問題3 Microsoft Sentinelのワークスペース設計
問題です。ある企業は、東京とニューヨークにオフィスがあり、それぞれ異なるコンプライアンス要件を持っています。Microsoft Sentinelのワークスペースは、いくつ作成するべきですか。
回答です。この場合、2つのワークスペースを作成するべきです。
Microsoft Sentinelでは、原則として単一ワークスペースが推奨されます。しかし、データの地理的な保存要件、つまりデータレジデンシー要件が異なる場合は、リージョンごとにワークスペースを分ける必要があります。
東京オフィスのデータは日本リージョンのワークスペースに、ニューヨークのデータは米国リージョンのワークスペースに保存します。
試験で複数ワークスペースの根拠を問われたら、次の4つの理由を思い出してください。1つ目はデータレジデンシー要件。2つ目はコンプライアンス要件の違い。3つ目は課金の分離。4つ目はアクセス制御の分離です。
問題4 Microsoft Sentinelのデータコネクタ
問題です。Microsoft SentinelにMicrosoft Entra IDのサインインログを取り込むには、どのデータコネクタを使用しますか。
回答です。Microsoft Entra ID データコネクタを使用します。旧称はAzure Active Directory コネクタです。
このコネクタでは、サインインログ、監査ログ、プロビジョニングログなどを取り込めます。設定時には、取り込むログの種類をチェックボックスで選択します。
試験でよく出るデータコネクタを5つ覚えましょう。1つ目はMicrosoft Entra ID。2つ目はMicrosoft 365 Defender。3つ目はMicrosoft Defender for Cloud。4つ目はAzure Activity。5つ目はCommon Event Format、略してCEFです。
特にCEFは、サードパーティ製品からのログ取り込みに使われる標準フォーマットで、試験で頻繁に出題されます。
問題5 ログの保持期間
問題です。Microsoft Sentinelのログ分析ワークスペースにおいて、無料で保持できるデータの期間は何日間ですか。
回答です。無料で保持できる期間は、90日間です。
Log Analyticsワークスペースでは、最初の90日間はデータ保持が無料です。90日を超えると、保持日数に応じた追加料金が発生します。最大で730日間、つまり2年間まで保持できます。
さらに長期間の保持が必要な場合は、アーカイブ機能を使用します。アーカイブされたデータは、低コストで最大7年間保持できますが、検索には復元操作が必要です。
試験では、コスト最適化の観点から、90日、730日、7年という3つの数字を覚えておきましょう。
第2章 保護と検出の構成
この章では、Microsoft Defenderの各製品や、Sentinelの分析ルールに関する問題を扱います。試験全体の25パーセントから30パーセントを占めます。
問題6 Defender for Endpointの攻撃面縮小ルール
問題です。攻撃面縮小ルール、英語ではAttack Surface Reduction Rules、略してASRルールについて説明してください。試験でよく問われるASRルールを3つ挙げてください。
回答です。ASRルールとは、マルウェアがよく悪用する動作をブロックするための、予防的なセキュリティ機能です。
試験でよく出る3つのASRルールは以下のとおりです。
1つ目は、「Office アプリケーションによる子プロセスの作成をブロック」です。マクロから PowerShell などの子プロセスが起動されることを防ぎます。
2つ目は、「メールクライアントからの実行可能コンテンツの作成をブロック」です。メール経由のマルウェア感染を防ぎます。
3つ目は、「難読化されたスクリプトの実行をブロック」です。攻撃者がよく使う、コードの難読化テクニックを検出してブロックします。
ASRルールには、ブロック、監査、警告、無効の4つのモードがあります。試験では、まず「監査モード」で動作を確認してから「ブロックモード」に切り替えるという運用手順が、正解になることが多いです。
問題7 Defender for Office 365のSafe Attachments
問題です。Microsoft Defender for Office 365のSafe Attachments機能で、メールの配信を遅延させずに添付ファイルを検査する方法はどれですか。
選択肢A、ブロック。選択肢B、置換。選択肢C、動的配信。選択肢D、監視。
回答です。正解は、選択肢Cの「動的配信」です。
動的配信モードでは、メールの本文をまず受信者に配信し、添付ファイルはサンドボックスでのスキャンが完了するまでプレースホルダーに置き換えます。スキャンが完了すると、安全な添付ファイルは自動的に利用可能になります。
選択肢Aのブロックは、悪意があると判定された添付ファイルを完全にブロックしますが、配信は遅延します。選択肢Bの置換は、悪意のある添付ファイルを警告メッセージに置き換えます。選択肢Dの監視は、検出するだけで、ブロックしません。
「配信を遅延させない」というキーワードが出たら、動的配信を選びましょう。
問題8 Defender for Cloud Appsのポリシー
問題です。社員が許可されていないクラウドストレージサービスにファイルをアップロードしていることを検出したい場合、Defender for Cloud Appsのどのポリシーを使用しますか。
回答です。「アクセスポリシー」または「セッションポリシー」と組み合わせた「クラウドディスカバリー異常検出ポリシー」を使用します。
具体的には、まず「クラウドディスカバリー」機能で、組織内で使用されているクラウドアプリを可視化します。次に、「承認されていないアプリ」としてマークし、アクセスポリシーで該当アプリへのアップロードをブロックまたは警告します。
試験では、「シャドーIT」「未承認アプリ」というキーワードが出たら、Defender for Cloud Appsを思い出してください。クラウドディスカバリーによるアプリの可視化と、セッションポリシーによるリアルタイム制御が、2つの重要な機能です。
問題9 Microsoft Sentinelの分析ルール
問題です。Microsoft Sentinelで、複数の弱いシグナルを組み合わせて高度な攻撃を検出するために使用される分析ルールのタイプは何ですか。
回答です。Fusionルールです。
Fusionは、機械学習ベースの分析ルールで、複数のデータソースからの弱いシグナルを自動的に相関付けして、多段階攻撃を検出します。たとえば、不審なサインインの後に、通常とは異なるリソースへのアクセスが発生した場合、個々のイベントだけでは脅威と判定できなくても、Fusionが組み合わせることで高い確度の脅威として検出できます。
Sentinelの分析ルールには4つのタイプがあります。1つ目はスケジュールクエリルール。KQLクエリを定期実行します。2つ目はMicrosoftセキュリティルール。他のDefender製品からアラートを取り込みます。3つ目がFusionルール。機械学習で多段階攻撃を検出します。4つ目は異常検出ルール。行動分析で異常を検出します。
問題10 KQLの基本構文
問題です。KQLで、過去24時間以内に5回以上サインインに失敗したユーザーを検索するクエリの基本的な構成要素を説明してください。
回答です。このクエリは、次の5つの要素で構成されます。
1つ目は、テーブル名です。サインインログを格納する「SigninLogs」テーブルを指定します。
2つ目は、時間フィルターです。「where TimeGenerated greater than ago 24 hours」で、過去24時間のデータに絞ります。
3つ目は、条件フィルターです。「where ResultType not equals 0」で、失敗したサインインだけに絞ります。ResultTypeが0は成功を意味します。
4つ目は、集計です。「summarize FailureCount equals count by UserPrincipalName」で、ユーザーごとに失敗回数を集計します。
5つ目は、しきい値フィルターです。「where FailureCount greater than or equals 5」で、5回以上の失敗を抽出します。
KQLの処理順序は、パイプ記号で区切られた各ステップが上から順に実行されます。試験では、where、summarize、project、extend、joinの5つのオペレーターが最も重要です。
第3章 インシデント対応の管理
この章は、試験全体の25パーセントから30パーセントを占める最重要セクションです。インシデントの調査、対応、自動化について出題されます。
問題11 インシデントの優先度
問題です。Microsoft Defender XDRで、インシデントの優先度はどのように決定されますか。
回答です。インシデントの優先度は、主に次の4つの要素から自動的に決定されます。
1つ目は、アラートの重大度です。関連するアラートの中で最も高い重大度が、インシデントの重大度に影響します。
2つ目は、影響を受けるアセットの重要度です。重要なサーバーや管理者アカウントが含まれる場合、優先度が上がります。
3つ目は、アラートの数です。多くのアラートが相関付けされているインシデントほど、複雑な攻撃の可能性が高く、優先度が上がります。
4つ目は、エンティティのリスクスコアです。ユーザーやデバイスの行動分析に基づくリスクスコアが考慮されます。
試験では、インシデントのトリアージ手順として、「重大度が高」のインシデントから順に対応するのが正解です。
問題12 インシデント対応のライフサイクル
問題です。NISTのインシデント対応ライフサイクルの4つのフェーズを順番に答えてください。
回答です。NISTのインシデント対応ライフサイクルは、次の4つのフェーズで構成されます。
第1フェーズは、「準備」です。インシデント対応計画の策定、ツールの整備、チームのトレーニングを行います。
第2フェーズは、「検出と分析」です。セキュリティイベントの検出、アラートのトリアージ、インシデントの影響範囲の分析を行います。
第3フェーズは、「封じ込め、根絶、復旧」です。脅威の拡散を防ぎ、マルウェアを除去し、システムを正常な状態に戻します。
第4フェーズは、「事後活動」です。インシデントの振り返り、レッスンズラーンド、プロセスの改善を行います。
SC-200の試験では、各フェーズでどのMicrosoftツールを使用するかが問われます。例えば、検出にはSentinelの分析ルール、封じ込めにはDefender for Endpointのデバイス隔離、事後活動にはSentinelのワークブックによるレポート作成が該当します。
問題13 デバイスの隔離
問題です。侵害が疑われるデバイスを、ネットワークから隔離しつつ、Defender for Endpointとの通信は維持したい場合、どの機能を使用しますか。
回答です。「デバイスの分離」、英語では「Device Isolation」機能を使用します。
デバイスの分離を実行すると、対象デバイスはすべてのネットワーク接続が切断されますが、Defender for Endpointサービスとの通信チャネルだけは維持されます。これにより、隔離中でもリモートでの調査やフォレンジックが可能です。
分離には2つのモードがあります。「完全な分離」では、Defender以外のすべての接続をブロックします。「選択的な分離」では、Defenderに加えて、Outlookや Teams など一部のアプリケーションの通信を許可します。
試験では、「ネットワークから切り離すが調査は続けたい」という要件が出たら、デバイスの分離を選びましょう。
問題14 自動調査と修復
問題です。Microsoft Defender XDRの自動調査と修復、英語ではAIR(Automated Investigation and Response)について、自動化レベルを3つ説明してください。
回答です。自動調査と修復の自動化レベルは、次の3つです。
1つ目は、「完全自動」です。脅威の調査から修復アクションの実行まで、すべて自動で行います。人間の承認は不要です。
2つ目は、「半自動」です。調査は自動で行いますが、修復アクションの実行には、セキュリティ管理者の承認が必要です。これはアクションセンターで承認します。
3つ目は、「自動調査なし」です。自動調査機能を無効にして、すべて手動で対応します。
試験では、「組織のポリシーにより修復アクションに承認が必要」という条件が出たら、「半自動」を選びましょう。デフォルト設定は「完全自動」ですが、多くの組織では変更の影響を確認するため「半自動」から始めることが推奨されています。
問題15 Microsoft SentinelのSOARプレイブック
問題です。Microsoft Sentinelで、インシデント発生時に自動的にTeamsに通知を送信するには、何を構成しますか。
回答です。Sentinelのオートメーションルールと、ロジックアプリベースのプレイブックを構成します。
手順は次のとおりです。まず、Azure Logic Appsでプレイブックを作成し、Teams通知のアクションを定義します。次に、Sentinelのオートメーションルールで、特定の条件に一致するインシデントが発生した際に、このプレイブックを自動実行するよう設定します。
プレイブックのトリガーには、「インシデントトリガー」と「アラートトリガー」の2種類があります。Teamsへの通知にはインシデントトリガーを使い、インシデントの詳細情報をメッセージに含めるのが一般的です。
試験で「自動化」「通知」「Teams連携」というキーワードが出たら、「オートメーションルール」プラス「プレイブック(ロジックアプリ)」の組み合わせを選びましょう。
問題16 エビデンスと対応アクション
問題です。Microsoft Defender XDRのインシデント調査で、「エビデンス」タブに表示される情報は何ですか。
回答です。エビデンスタブには、インシデントに関連する具体的なアーティファクトが表示されます。
エビデンスには、次の種類があります。ファイルのエビデンスでは、マルウェアファイルやスクリプトのハッシュ値、ファイルパス、検出理由が表示されます。プロセスのエビデンスでは、実行されたプロセス名、コマンドライン引数、親プロセスが表示されます。ネットワークのエビデンスでは、通信先のIPアドレスやURLが表示されます。レジストリのエビデンスでは、変更されたレジストリキーが表示されます。
各エビデンスには、「悪意あり」「疑わしい」「情報」といった判定が付けられ、関連する修復アクションが提案されます。修復アクションには、ファイルの隔離、プロセスの停止、URLのブロックなどがあります。
第4章 セキュリティ脅威の管理
この章は、試験全体の15パーセントから20パーセントを占めます。脅威ハンティングや、脅威インテリジェンスの活用について出題されます。
問題17 脅威ハンティングの概念
問題です。脅威ハンティングと、従来のアラートベースの検出の違いを説明してください。
回答です。最大の違いは、「能動的」か「受動的」かという点です。
従来のアラートベースの検出は、受動的なアプローチです。あらかじめ定義されたルールに基づいてアラートが発生するのを待ちます。既知の脅威パターンには有効ですが、未知の攻撃や、ルールをすり抜ける高度な攻撃は検出できません。
一方、脅威ハンティングは、能動的なアプローチです。セキュリティアナリストが仮説を立て、その仮説を検証するためにデータを積極的に検索します。「もし攻撃者がこのテクニックを使ったら、どのような痕跡が残るか」と考えて調査します。
試験では、脅威ハンティングの3つのステップを覚えましょう。第1ステップは仮説の策定。第2ステップはデータの調査と分析。第3ステップは結果に基づく検出ルールの作成です。ハンティングで発見したパターンを分析ルールに変換することで、将来の同様の脅威を自動的に検出できるようになります。
問題18 MITRE ATT&CKフレームワーク
問題です。MITRE ATT&CKフレームワークとは何ですか。また、SC-200の試験でどのように出題されますか。
回答です。MITRE ATT&CKは、実際の攻撃で観察された戦術、テクニック、手順を体系的にまとめたナレッジベースです。「アタック」と読みます。
フレームワークは、14の戦術カテゴリーで構成されています。代表的なものを順番に紹介します。初期アクセスは、攻撃者がシステムに最初に侵入する方法です。実行は、悪意のあるコードを実行する方法です。永続化は、攻撃者がアクセスを維持する方法です。権限昇格は、より高い権限を取得する方法です。防御回避は、検出を回避する方法です。資格情報アクセスは、認証情報を盗む方法です。ラテラルムーブメントは、ネットワーク内を横方向に移動する方法です。
SC-200の試験では、Sentinelの分析ルールやインシデントに、MITRE ATT&CKの戦術とテクニックがマッピングされます。インシデントの詳細画面で「初期アクセス」や「実行」などの戦術が表示された場合、攻撃のどの段階にあるかを判断する問題が出ます。
問題19 脅威インテリジェンスの活用
問題です。Microsoft Sentinelに脅威インテリジェンスのIOC(Indicators of Compromise)を取り込む方法を2つ挙げてください。
回答です。IOCをSentinelに取り込む方法は、主に次の2つです。
1つ目は、脅威インテリジェンスプラットフォームコネクタを使用する方法です。TAXII(タクシー)サーバーやMicrosoft Defender Threat Intelligenceなどの外部ソースから、STIX形式のIOCを自動的に取り込みます。TAXIIとSTIXは脅威情報を共有するための国際標準規格です。
2つ目は、手動でIOCを登録する方法です。SentinelのThreat Intelligenceブレードから、IPアドレス、ドメイン名、ファイルハッシュなどのインジケーターを直接登録します。
取り込まれたIOCは、分析ルールの「脅威インテリジェンスマッチング分析」ルールで自動的に照合されます。組織のログデータに含まれるIPアドレスやドメインが、IOCと一致した場合、アラートが生成されます。
試験では、「STIX」と「TAXII」がセットで出題されることが多いです。STIXはデータ形式、TAXIIは通信プロトコルと覚えましょう。
問題20 Microsoft Security Copilot
問題です。Microsoft Security Copilotの主な活用場面を3つ挙げてください。
回答です。Microsoft Security Copilotは、生成AIを活用したセキュリティ支援ツールです。主な活用場面は次の3つです。
1つ目は、インシデントの要約と分析です。複雑なインシデントの全体像を自然言語で要約し、影響範囲や推奨される対応策を提示します。
2つ目は、KQLクエリの生成と説明です。自然言語で「過去1週間で不審なPowerShell実行があったか調べて」と入力すると、対応するKQLクエリを自動生成します。また、既存のKQLクエリを自然言語で説明してくれます。
3つ目は、脅威インテリジェンスの分析です。特定のIPアドレスや脆弱性に関する最新の脅威情報を収集し、組織への影響を分析します。
Security Copilotは2025年4月から一般提供が開始されました。試験では、Copilotの機能そのものよりも、Copilotを使って何ができるかという活用シナリオが出題される傾向にあります。
第5章 応用問題
ここからは、試験でよく出題されるシナリオベースの問題を扱います。実際の試験に近い形式で出題します。
問題21 シナリオ問題:フィッシング攻撃の調査
問題です。あなたはContosoという会社のセキュリティ運用アナリストです。複数の社員がフィッシングメールを受信したとの報告がありました。一部の社員はメール内のリンクをクリックしています。あなたが最初にとるべき対応は何ですか。
回答です。最初にとるべき対応は、Microsoft Defender for Office 365のThreat Explorerを使用して、フィッシングメールの影響範囲を特定することです。
具体的な手順は次のとおりです。
ステップ1として、Threat Explorerでフィッシングメールの送信元アドレス、件名、またはURLでフィルターし、同じキャンペーンのメールをすべて特定します。
ステップ2として、影響を受けたユーザーの一覧を確認し、リンクをクリックしたユーザーを特定します。
ステップ3として、フィッシングメールをソフト削除またはハード削除して、まだ開封していないユーザーの受信トレイからメールを除去します。
ステップ4として、リンクをクリックしたユーザーについて、Defender for Endpointで端末の調査を行い、マルウェア感染の有無を確認します。
ステップ5として、必要に応じてユーザーのパスワードリセットとセッショントークンの無効化を実施します。
試験のシナリオ問題では、「影響範囲の特定」が最優先であることを覚えておきましょう。対策を実施する前に、まず状況を正確に把握することが重要です。
問題22 シナリオ問題:ランサムウェア対応
問題です。Defender for Endpointから、複数のデバイスでランサムウェアの疑いがあるアラートが発生しました。どのような順序で対応しますか。
回答です。ランサムウェアインシデントへの対応は、次の順序で行います。
最優先として、感染が確認されたデバイスを即座にネットワークから隔離します。Defender for Endpointのデバイス分離機能を使用します。これにより、ランサムウェアの横展開(ラテラルムーブメント)を防ぎます。
次に、感染範囲の特定を行います。Defender XDRのインシデントページで、関連するアラートとエビデンスを確認し、影響を受けたデバイスとユーザーの全体像を把握します。
続いて、高度なハンティングで追加の侵害の痕跡を検索します。ランサムウェアが使用するファイル名、プロセス名、通信先などのIOCを使って、まだ検出されていない感染デバイスがないか確認します。
その後、修復アクションを実行します。マルウェアファイルの隔離、悪意のあるプロセスの停止、影響を受けたユーザーのパスワードリセットを行います。
最後に、復旧と事後対応を行います。クリーンなバックアップからのデータ復元、感染経路の特定と再発防止策の実装を行います。
重要なポイントは、ランサムウェア対応では「隔離が最優先」ということです。調査よりも先に、まず拡散を止めることが正解です。
問題23 シナリオ問題:不正アクセスの検出
問題です。Microsoft Sentinelで、通常とは異なる国からの管理者アカウントへのサインインを検出するために、どのような構成を行いますか。
回答です。この要件に対しては、次の構成を行います。
まず、Microsoft Entra IDデータコネクタでサインインログをSentinelに取り込みます。
次に、スケジュールクエリの分析ルールを作成します。このルールでは、管理者ロールを持つアカウントのサインインログから、通常の国以外からのアクセスを検出するKQLクエリを定義します。
あわせて、UEBA(User and Entity Behavior Analytics)を有効にします。UEBAは、ユーザーの通常行動のベースラインを学習し、普段と異なる場所からのサインインを異常として検出します。
さらに、オートメーションルールとプレイブックを構成して、検出時に管理者への通知と、条件付きアクセスポリシーによる多要素認証の強制を自動実行します。
試験では、「異常な場所からのサインイン」を検出する問題に対して、「UEBA」と「分析ルール」を組み合わせるのが正解パターンです。
問題24 Defender for Cloudの推奨事項
問題です。Microsoft Defender for Cloudのセキュアスコアが低下しました。スコアを改善するために、最初に行うべきことは何ですか。
回答です。最初に行うべきことは、Defender for Cloudの「推奨事項」ページを確認し、最も影響の大きい推奨事項から対応することです。
推奨事項は、セキュアスコアへの影響度順にソートできます。影響度が高い推奨事項を優先的に対応することで、効率的にスコアを改善できます。
よく出題される推奨事項の例を挙げます。「仮想マシンにエンドポイント保護ソリューションをインストールする」は、影響度が高い推奨事項です。「ストレージアカウントへのパブリックアクセスを無効にする」も、頻出します。「管理ポートへのアクセスを制限する」は、JIT(ジャストインタイム)VMアクセスの構成を求められます。
試験では、セキュアスコアの改善手順として、「推奨事項の確認」「影響度順の優先付け」「修復の実行」「スコアの再評価」という流れが正解です。直接スコアを操作する方法は存在しません。
問題25 ワークブックとレポート
問題です。経営層にセキュリティ運用の状況を月次で報告するために、Microsoft Sentinelのどの機能を使用しますか。
回答です。Microsoft Sentinelの「ワークブック」機能を使用します。
ワークブックは、Azure Monitorワークブックをベースにしたダッシュボード・レポート機能です。KQLクエリの結果をグラフや表で視覚化し、インタラクティブなレポートを作成できます。
Sentinelには、多数のワークブックテンプレートが用意されています。たとえば、「インシデント概要ワークブック」では、月間のインシデント数、重大度の分布、平均対応時間を表示します。「脅威インテリジェンスワークブック」では、IOCのマッチング状況や脅威のトレンドを可視化します。
これらのテンプレートをカスタマイズして、組織固有のKPIやメトリクスを追加することで、経営層向けの月次レポートとして活用できます。
試験では、「レポート」「ダッシュボード」「可視化」というキーワードが出たら、ワークブックを選びましょう。
第6章 重要キーワード総まとめ
最後に、試験でよく出題される重要キーワードを、ジャンルごとにまとめて復習しましょう。
製品と機能の対応
Microsoft Defender for Endpointは、デバイスの保護、EDR、デバイス分離、ASRルールの機能を提供します。
Microsoft Defender for Office 365は、メールの保護、Safe Attachments、Safe Links、Threat Explorerの機能を提供します。
Microsoft Defender for Identityは、オンプレミスのActive Directory環境におけるID脅威の検出を提供します。
Microsoft Defender for Cloud Appsは、クラウドアプリの可視化と制御、シャドーITの検出を提供します。
Microsoft Defender for Cloudは、マルチクラウド環境のセキュリティ態勢管理とセキュアスコアを提供します。
Microsoft Sentinelは、SIEM機能とSOAR機能を統合した、クラウドネイティブのセキュリティ情報イベント管理プラットフォームです。
覚えるべき数字
ログ保持期間は、90日間が無料、730日間が最大保持、7年間がアーカイブの最大保持です。
試験の合格基準は、1000点満点中700点以上です。
試験時間は120分です。
NISTインシデント対応フェーズは4つです。
MITRE ATT&CKの戦術カテゴリーは14個です。
よく出る略語
KQLは、Kusto Query Languageの略で、ログ検索のクエリ言語です。
SIEMは、Security Information and Event Managementの略で、セキュリティ情報イベント管理です。
SOARは、Security Orchestration, Automation and Responseの略で、セキュリティのオーケストレーション、自動化、対応です。
EDRは、Endpoint Detection and Responseの略で、エンドポイントの検出と対応です。
XDRは、Extended Detection and Responseの略で、拡張された検出と対応です。
UEBAは、User and Entity Behavior Analyticsの略で、ユーザーとエンティティの行動分析です。
IOCは、Indicators of Compromiseの略で、侵害の痕跡です。
ASRは、Attack Surface Reduction Rulesの略で、攻撃面縮小ルールです。
JITは、Just-In-Time Accessの略で、ジャストインタイムアクセスです。
iPhoneの読み上げ機能の使い方
この記事をiPhoneのSafariで音声学習するための設定手順を説明します。
方法1 選択テキストの読み上げ
iPhoneの設定アプリを開き、「アクセシビリティ」をタップします。「読み上げコンテンツ」をタップします。「選択項目の読み上げ」をオンにします。
使い方は、Safariで読み上げたいテキストを選択し、表示されるメニューから「読み上げ」をタップします。
方法2 画面全体の読み上げ
同じく「読み上げコンテンツ」の設定で、「画面の読み上げ」をオンにします。
使い方は、Safariでこの記事を開いた状態で、画面上部から二本指で下にスワイプします。コントローラーが表示され、ページ全体を自動的に読み上げます。再生速度の調整も可能です。
方法3 Siriによる読み上げ
Safariでこの記事を表示した状態で、「Hey Siri、画面を読み上げて」と話しかけます。
読み上げ速度のおすすめ
初回学習時は、0.75倍速でゆっくり聴くのがおすすめです。復習時は、1.25倍速から1.5倍速で聴くと、効率的に復習できます。
おわりに
この記事では、SC-200試験でよく出る25問の問題と回答を、音声学習に適した形式でまとめました。
前編と後編の完全ガイドもあわせて学習すると、より理解が深まります。
前編はこちらです。SC-200完全ガイド(前編):試験概要からセキュリティ運用環境・保護設定まで
後編はこちらです。SC-200完全ガイド(後編):インシデント対応・脅威管理から合格戦略まで
繰り返し聴いて、合格を目指してください。