Microsoft Security Operations Analyst (SC-200日本語版) - SC-200日本語 Exam Practice Test
お客様は、Microsoft Defender 36S を使用する Microsoft 365 E5 サブスクリプションをご利用されています。
お客様のネットワークには、Azure ADと同期するオンプレミスのActive Directoryドメインサービス(AD DS)ドメインが含まれています。
デバイスおよびAD DSドメインコントローラーに記録された、直近100件のサインイン試行を特定する必要があります。
KQLクエリはどのように入力すればよいですか?回答するには、回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
お客様のネットワークには、Azure ADと同期するオンプレミスのActive Directoryドメインサービス(AD DS)ドメインが含まれています。
デバイスおよびAD DSドメインコントローラーに記録された、直近100件のサインイン試行を特定する必要があります。
KQLクエリはどのように入力すればよいですか?回答するには、回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
Correct Answer:
Explanation:
To combine sign-in attempts from endpoints and on-premises AD DS domain controllers in Microsoft 365 Defender advanced hunting, you should query the tables that record those events and union them.
DeviceLogonEvents contains interactive and network logon activity collected from devices onboarded to Microsoft Defender for Endpoint , while IdentityLogonEvents contains sign-in activity observed by Microsoft Defender for Identity sensors on domain controllers . Using union appends the rows from both sources into a single result set while preserving columns such as Timestamp , AccountDomain , AccountName , AccountUpn , and AccountSid . This is preferable to a join because the goal is to list sign-in attempts (not correlate rows between tables). Applying take 100 to each table segment ensures you're pulling the 100 most recent entries from each source before unioning, then you can reorder and sort by Timestamp to review the consolidated timeline.
Therefore, to meet the requirement- identify the 100 most recent sign-in attempts recorded on devices and AD DS domain controllers -complete the KQL with union and IdentityLogonEvents .
新しい Azure サブスクリプション用に Azure Sentinel をプロビジョニングします。セキュリティ イベント コネクタを構成しています。
コネクタのテンプレートから新しいルールを作成するときに、イベントごとに新しいアラートを生成することにしました。次のルール クエリを作成します。
アラートをインシデントにグループ化できる 2 つのコンポーネントはどれですか?それぞれの正解は完全な解決策を示します。
注: 正しく選択するたびに 1 ポイントの価値があります。
コネクタのテンプレートから新しいルールを作成するときに、イベントごとに新しいアラートを生成することにしました。次のルール クエリを作成します。
アラートをインシデントにグループ化できる 2 つのコンポーネントはどれですか?それぞれの正解は完全な解決策を示します。
注: 正しく選択するたびに 1 ポイントの価値があります。
Correct Answer: A,D
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
Azure Sentinel を構成しています。
不審なIPアドレスからのサインインが検出された場合は、Microsoft Teamsのチャネルにメッセージを送信する必要があります。
Azure Sentinelで実行すべき2つの操作はどれですか?それぞれの正解は、解決策の一部を示しています。
注:正解ごとに1ポイントが加算されます。
不審なIPアドレスからのサインインが検出された場合は、Microsoft Teamsのチャネルにメッセージを送信する必要があります。
Azure Sentinelで実行すべき2つの操作はどれですか?それぞれの正解は、解決策の一部を示しています。
注:正解ごとに1ポイントが加算されます。
Correct Answer: C,D
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
イメージ ファイルを使用した潜在的な攻撃に関するセキュリティ情報を受け取ります。
攻撃を防ぐには、Microsoft Defender for Endpoint で侵害インジケーター (IoC) を作成する必要があります。
どのタイプのインジケーターを使用する必要がありますか?
攻撃を防ぐには、Microsoft Defender for Endpoint で侵害インジケーター (IoC) を作成する必要があります。
どのタイプのインジケーターを使用する必要がありますか?
Correct Answer: C
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
あなたはMicrosoft 365 Defenderを使用してインシデントを調査しています。
CFOLaptop、CEOLaptop、COOLaptopという名前の3つのデバイスで、サインイン認証の失敗を検出するために、高度なハンティングクエリを作成する必要があります。
クエリをどのように完了すればよいですか? 回答するには、回答の適切なオプションを選択してください。a.
注:正解ごとに1ポイントが加算されます。
CFOLaptop、CEOLaptop、COOLaptopという名前の3つのデバイスで、サインイン認証の失敗を検出するために、高度なハンティングクエリを作成する必要があります。
クエリをどのように完了すればよいですか? 回答するには、回答の適切なオプションを選択してください。a.
注:正解ごとに1ポイントが加算されます。
Correct Answer:
Explanation:
In Microsoft 365 Defender's Advanced Hunting (Kusto Query Language - KQL) , investigators use the DeviceLogonEvents table to search for authentication attempts and filter failed logons. To detect failed sign- ins from specific devices, you begin by applying a where clause that filters only the relevant logon failures and the specific device names you want to investigate.
The correct syntax and logical order-based on Microsoft Security Operations (SecOps) and Microsoft 365 Defender hunting guide -is to first filter ( where ) the Ac tionType to "LogonFailed," then narrow down the dataset to the target devices ( DeviceName in ( " CFOLaptop " , " CEOLaptop " , " COOLaptop " ) ). This ensures that only failed authentication attempts from those three machines are included.
After filtering, the summarize operator is used to group the data by DeviceName and LogonType , counting how many failures occurred per device and logon type. This aggregation step follows Microsoft's recommended practice for incident hunting, allowing analysts to quickly assess which devices are generating unusual authentication failure volumes.
Finally, the project statement selects only the LogonFailures output, simplifying the results for reporting or alerting purposes.
This query structure aligns exactly with Microsoft 365 Defender Advanced Hunting documentation for detecting failed logins on specific endpoints while maintaining query efficiency and clarity, minimizing administrative overhead during investigations
Microsoft Defender for Cloud を使用し、Windows Server を実行する 100 台の仮想マシンを含む Azure サブスクリプションがあります。
仮想マシンからイベント データを収集するには、Defender for Cloud を構成する必要があります。ソリューションでは、管理の労力とコストを最小限に抑える必要があります。
どの 2 つのアクションを実行する必要がありますか?それぞれの正解は、解決策の一部を示しています。
注: 正しく選択するたびに 1 ポイントの価値があります。
仮想マシンからイベント データを収集するには、Defender for Cloud を構成する必要があります。ソリューションでは、管理の労力とコストを最小限に抑える必要があります。
どの 2 つのアクションを実行する必要がありますか?それぞれの正解は、解決策の一部を示しています。
注: 正しく選択するたびに 1 ポイントの価値があります。
Correct Answer: B,E
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
報告された問題を解決するには、異常検出ポリシーの設定を変更して、Microsoft Defender for Cloud Apps の要件を満たす必要があります。
どのポリシーを変更すべきでしょうか?
どのポリシーを変更すべきでしょうか?
Correct Answer: A
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
Azure Security Center には、テストに使用される 10 台の仮想マシンの抑制ルールがあります。仮想マシンは Windows Server を実行します。
仮想マシンの問題のトラブルシューティングを行っています。
Security Center では、過去 5 日間に仮想マシンによって生成されたアラートを表示する必要があります。
あなたは何をするべきか?
仮想マシンの問題のトラブルシューティングを行っています。
Security Center では、過去 5 日間に仮想マシンによって生成されたアラートを表示する必要があります。
あなたは何をするべきか?
Correct Answer: C
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
Microsoft Sentinel ワークスペースがあります。
アカウントへのサインイン試行に失敗すると、複数のアラートを受け取ります。
あなたは、アラートが誤検知であることを特定しました。
アカウントに対して追加のサインイン失敗アラートが生成されないようにする必要があります。ソリューションは次の要件を満たしている必要があります。
* 他のアカウントに対して失敗したサインインのアラートが生成されるようにします。
* 管理労力を最小限に抑える
何をすべきでしょうか?
アカウントへのサインイン試行に失敗すると、複数のアラートを受け取ります。
あなたは、アラートが誤検知であることを特定しました。
アカウントに対して追加のサインイン失敗アラートが生成されないようにする必要があります。ソリューションは次の要件を満たしている必要があります。
* 他のアカウントに対して失敗したサインインのアラートが生成されるようにします。
* 管理労力を最小限に抑える
何をすべきでしょうか?
Correct Answer: C
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
Azure DevOps 組織があり、その中に Repo1 という名前の Azure Repos リポジトリがあり、Microsoft Defender for DevOps にオンボーディングされています。
インフラストラクチャ・アズ・コード(laC)ファイルを作成し、Repo1に保存します。laCファイルは、BicepファイルとHelmチャートの形式でフォーマットされます。
laCファイル内の設定ミスを特定するには、Defender for DevOpsを設定する必要があります。
ファイルの種類ごとに、どのスキャンツールを使用すべきでしょうか?回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
インフラストラクチャ・アズ・コード(laC)ファイルを作成し、Repo1に保存します。laCファイルは、BicepファイルとHelmチャートの形式でフォーマットされます。
laCファイル内の設定ミスを特定するには、Defender for DevOpsを設定する必要があります。
ファイルの種類ごとに、どのスキャンツールを使用すべきでしょうか?回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
Correct Answer:
Explanation:
In Microsoft Defender for DevOps, IaC misconfiguration scanning uses purpose-built analyzers per template type. For Azure Resource Manager (ARM) and Bicep templates, Defender leverages Template Analyzer , which evaluates security best practices and policy compliance specific to Azure resource definitions.
Template Analyzer parses Bicep (and ARM JSON) and flags insecure defaults such as overly permissive network rules, missing encryption settings, insecure identity assignments, and more-making it the correct choice for Bicep files .
For container and Kubernetes ecosystem artifacts, including Helm charts , Defender integrates Terrascan , an open-source static analysis tool that scans Helm/Kubernetes manifests (and Terraform) against hundreds of policies. Terrascan inspects rendered Helm templates to detect issues like privileged containers, hostPath mounts, missing resource limits, and insecure service exposures.
By contrast, CredScan (Credential Scanner) is aimed at finding embedded secrets (keys/passwords) in code and isn't the primary IaC misconfiguration engine for either Bicep or Helm in Defender for DevOps.
Therefore, to detect IaC misconfigurations: use Template Analyzer for Bicep and Terrascan for Helm charts .
SW1という名前のMicrosoft Sentinelワークスペースがあります。
SW1では、以下のエンティティに関連するインシデントを調査します。
* ホスト
* IPアドレス
* ユーザーアカウント
* マルウェア名
インシデントページから直接、侵害指標(LoC)としてラベル付けできるエンティティはどれですか?
SW1では、以下のエンティティに関連するインシデントを調査します。
* ホスト
* IPアドレス
* ユーザーアカウント
* マルウェア名
インシデントページから直接、侵害指標(LoC)としてラベル付けできるエンティティはどれですか?
Correct Answer: B
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
あなたはMicrosoft 365 B5サブスクリプションをお持ちです。統合監査ログを照会するPowerShellスクリプトをお持ちです。
サーバー側のページング処理により、クエリの結果が最初のページしか返されないことがわかりました。すべての結果を取得するには、どのプロパティをクエリすればよいでしょうか?
サーバー側のページング処理により、クエリの結果が最初のページしか返されないことがわかりました。すべての結果を取得するには、どのプロパティをクエリすればよいでしょうか?
Correct Answer: B
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).
ユーザー「User1」と「WS1」という名前のMicrosoft Sentinelワークスペースを含むAzureサブスクリプションをお持ちです。
User1がWS1に対してユーザーおよびエンティティ行動分析(UEBA)を有効にできるようにする必要があります。このソリューションは、最小権限の原則に従う必要があります。
User1にはどの役割を割り当てるべきですか?回答するには、回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
User1がWS1に対してユーザーおよびエンティティ行動分析(UEBA)を有効にできるようにする必要があります。このソリューションは、最小権限の原則に従う必要があります。
User1にはどの役割を割り当てるべきですか?回答するには、回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。
Correct Answer:
Explanation:
Microsoft Entra role: Security Administrator
Role for WS1: Microsoft Sentinel Contributor
To enable User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel , a user must have permission to configure data connectors that access Microsoft Entra ID (Azure AD) identity data and to manage Sentinel settings for the workspace.
This requires roles in two scopes :
1# # Microsoft Entra ID (directory) level - for identity data access.
2# # Sentinel workspace level - for Sentinel feature management.
Step 1: Microsoft Entra (Azure AD) Role # Security Administrator According to Microsoft documentation, enabling UEBA requires connecting Microsoft Sentinel to Microsoft Entra ID to import user and identity behavior data.
The Security Administrator role grants the necessary read permissions to user and sign-in data while still adhering to the principle of least privilege .
* The Global Administrator role would also work but provides excessive privileges beyond what's required for UEBA configuration.
* The Security Operator role is limited to viewing alerts and cannot configure Sentinel connectors.
Hence, Security Administrator is the correct least-privilege directory role.
Step 2: Role for WS1 (Sentinel Workspace) # Microsoft Sentinel Contributor To manage Sentinel configuration and enable features such as UEBA , data connectors , and analytics rules , the Microsoft Sentinel Contributor role is required at the workspace level.
* The Sentinel Contributor role allows enabling/disabling features, managing playbooks, and configuring connectors.
* The Sentinel Automation Contributor role is only for playbook automation permissions.
* The basic Contributor role can manage Azure resources but doesn't grant Sentinel-specific privileges.
# Final answer:
* Microsoft Entra role: Security Administrator
* Role for WS1: Microsoft Sentinel Contributor
Microsoft 365 B5 サブスクリプションには、Group! と Group2 という名前の 2 つのグループが含まれており、Microsoft Copilot for Security を使用しています。Copilot for Security の役割割り当てを、以下の要件を満たすように構成する必要があります。
* Group1 のメンバーがプロンプトを実行し、Microsoft Defender XDR セキュリティインシデントに対応できることを確認します。
* Group2のメンバーがプロンプトを実行できることを確認してください。
最小権限の原則に従うこと。
コパイロット貢献者ロールから「全員」を削除します。
次に実行すべき2つの行動はどれですか?それぞれの正解は、解決策の一部を示しています。注:正解ごとに1ポイントが加算されます。
* Group1 のメンバーがプロンプトを実行し、Microsoft Defender XDR セキュリティインシデントに対応できることを確認します。
* Group2のメンバーがプロンプトを実行できることを確認してください。
最小権限の原則に従うこと。
コパイロット貢献者ロールから「全員」を削除します。
次に実行すべき2つの行動はどれですか?それぞれの正解は、解決策の一部を示しています。注:正解ごとに1ポイントが加算されます。
Correct Answer: B,E
Vote an answer
Explanation: Only visible for Fast2test members. You can sign-up / login (it's free).