複数の地理的リージョンにわたる厳格なデータレジデンシー要件。
複数の Microsoft Sentinel ワークスペースをリージョンごとにデプロイします。集中管理には Azure Lighthouse を使用します。
理由: コンプライアンスのためにログデータを地理的境界内に保持しつつ、中央の SOC がすべてのワークスペースで運用できるようにします。
CertLabProMicrosoft Security Operations Analyst
最終確認:2026年5月
SC-200 試験で問われるアーキテクチャパターンのスキャン可能なリファレンス。上から順に読むか、セクションへジャンプ。
複数の地理的リージョンにわたる厳格なデータレジデンシー要件。
複数の Microsoft Sentinel ワークスペースをリージョンごとにデプロイします。集中管理には Azure Lighthouse を使用します。
理由: コンプライアンスのためにログデータを地理的境界内に保持しつつ、中央の SOC がすべてのワークスペースで運用できるようにします。
1日あたり100 GBを超えるデータをインジェストする Sentinel ワークスペース。
Log Analytics ワークスペースの価格ティアを従量課金制 (Pay-As-You-Go) からコミットメントティア (Commitment Tiers) に切り替えます。
理由: コミットメントティアは、標準料金と比較して、大量で予測可能なデータインジェストに対して大幅なコスト削減を提供します。
大量のログ(例:Windows セキュリティイベント)が SIEM コストを押し上げています。
1. データ収集ルール (DCR) を使用してソースでイベントをフィルターします。 2. 宛先テーブルを Basic Logs 用に構成します。
理由: DCR は必要なイベントのみを収集することでインジェストコストを削減します。Basic Logs は、完全な分析を必要としない詳細なデータのストレージコストを削減します。
コンプライアンス要件により、2年以上のデータ保持(例:7年)が必要です。
ワークスペースを90日間のインタラクティブ保持と7年間の合計保持(アーカイブティア)で構成します。
理由: 即時検索性(インタラクティブ)と低コストの長期ストレージ(アーカイブ)のバランスを取ります。アーカイブデータには検索ジョブ (Search Jobs) を介してアクセスします。
オンプレミスの Windows および Linux サーバーからセキュリティイベントを収集します。
管理のために Azure Arc エージェントをインストールし、その後 Arc を介して Azure Monitor Agent (AMA) をデプロイします。
理由: Arc は Azure コントロールプレーンをオンプレミスに拡張し、最新の AMA エージェントによるネイティブな管理とデータ収集を可能にします。
Syslog をサポートするサードパーティデバイス(例:ファイアウォール)からログをインジェストします。
AMA を備えたログフォワーダーとして専用の Linux VM をデプロイします。構造化されたセキュリティデータには CEF 形式を使用します。
理由: エージェントをホストできないデバイスの収集を一元化します。CEF はセキュリティイベントのための正規化されたクエリ可能なスキーマを提供します。
Microsoft Defender XDR からインシデントとアラートを Sentinel にインジェストします。
Microsoft Defender XDR データコネクタと、そのインシデント作成/双方向同期オプションを有効にします。
理由: 統合されたインシデントキューを作成し、Sentinel と Defender ポータルの間でステータス変更が同期されるようにします。
インジェスト量を減らすために、ソースで特定の Windows イベント ID をフィルターします。
XPath クエリを使用して、どのイベント ID を収集するかを指定するデータ収集ルール (DCR) を構成します。
理由: ワークスペースに送信される前に、ソースエージェントでデータをフィルターすることにより、インジェスト量とコストを削減します。
クリティカルイベントに対して可能な限り最速の検出時間を必要とします。
準リアルタイム (Near Real-Time, NRT) 分析ルールを使用します。
理由: NRT ルールは毎分実行され、約1~2分の検出レイテンシーを提供します。これはスケジュールされたルールの最短5分よりもはるかに高速です。
特定の時間枠内でのイベントのしきい値(例:ブルートフォース攻撃)を検出します。
KQL の `summarize ... by bin(TimeGenerated, 5m), ...` を使用して、スケジュールされた分析ルールを作成します。
理由: `bin()` 関数は、正確なしきい値検出のために、イベントを個別かつ重複しない時間枠にグループ化するために不可欠です。
個々のアラートでは見逃してしまう可能性のある、複雑な多段階攻撃を検出します。
高度な多段階攻撃検出のために Fusion 分析ルールを有効にします。
理由: Fusion は ML を使用して、複数のデータソースからの低信頼度シグナルを高い信頼度のインシデントに相関させ、アラート疲労を軽減します。
異常な行動に基づいてインサイダー脅威や侵害されたアカウントを検出します。
ユーザーおよびエンティティ行動分析 (User and Entity Behavior Analytics, UEBA) を有効にします。
理由: UEBA はユーザーおよびエンティティの行動ベースラインを確立し、特定のルールロジックに一致しない重大な逸脱をフラグ付けします。
複数のデータソース(例:様々なベンダーの DNS)に対して、単一のソースに依存しない分析ルールを作成します。
KQL クエリで Advanced Security Information Model (ASIM) パーサーを使用します。
理由: ASIM は正規化されたスキーマを提供し、複数のベンダー固有のテーブルではなく、統合されたビュー(例:`imDns`)に対してクエリを実行できるようにします。
Sentinel コンテンツ(分析ルール、ワークブック)をコードとして管理し、環境全体にデプロイします。
Microsoft Sentinel リポジトリを使用して、GitHub または Azure DevOps リポジトリを接続します。
理由: CI/CD ワークフロー、バージョン管理、セキュリティコンテンツ(Sentinel-as-Code)の自動化された一貫したデプロイを可能にします。
所有者の割り当て、ステータスの変更、タグの追加などの基本的なインシデントトリアージタスクを自動化します。
インシデント作成時にトリガーされる自動化ルールを使用します。
理由: 自動化ルールは軽量かつ同期型であり、Logic App のオーバーヘッドなしでシンプルなトリアージアクションを実行するのに最適です。
外部システムを伴う複雑なインシデント対応(例:Entra ID でユーザーをブロックする、Teams メッセージを送信する)を自動化します。
プレイブック(Azure Logic App)を作成し、自動化ルールからトリガーします。
理由: Logic Apps は、複雑な多段階の応答と統合に必要なオーケストレーションエンジンとコネクタを提供します。
エンティティ(ユーザー、IP、ホスト)間の関係を視覚化して、攻撃の範囲を理解します。
インシデント詳細ページで調査グラフ (Investigation Graph) を使用します。
理由: 攻撃のインタラクティブなマップを提供し、関連するエンティティとアラート間の接続を確認し、ピボットするのを容易にします。
SOC チームの一般的な調査ワークフローを標準化し、加速します。
Microsoft Security Copilot でプロンプトブック (Promptbook) を作成して共有します。
理由: プロンプトブックは、一連の自然言語プロンプトを連鎖させて、一般的なシナリオに対してガイド付きの反復可能な調査プロセスを作成します。
すべての Microsoft Defender 製品のセキュリティ権限を一元的に管理します。
Microsoft Defender XDR 統合 RBAC モデルをアクティブ化します。
理由: 個々の製品固有のロールを単一のきめ細かなアクセス許可モデルに置き換え、管理を簡素化します。
アラートの重大度に基づいて、デバイスを自動的に隔離したり、ファイルを修復したりします。
デバイスグループの自動調査設定を構成し、自動化レベルを「完全 (Full)」または「半自動 (Semi)」に設定します。
理由: 一般的な脅威に対してハンズオフで修復を可能にします。デバイスグループは、ワークステーションとクリティカルサーバーで異なる自動化レベルを許可します。
既知の悪意のあるファイルハッシュ、IPアドレス、またはURLをすべてのエンドポイントで直ちにブロックします。
「ブロックと修復 (Block and Remediate)」アクションを持つ侵害インジケーター (IoC) を作成します。
理由: AV シグネチャの更新を待つよりも速く、組織全体にわたる迅速な封じ込めメカニズムを提供します。
一般的な攻撃手法(例:Office が子プロセスを作成する)をブロックすることでエンドポイントを強化します。
攻撃表面の縮小 (Attack Surface Reduction, ASR) ルールをデプロイし、影響を評価するためにまず「監査 (Audit)」モードで開始し、その後「ブロック (Block)」に切り替えます。
理由: ASR ルールは重要な予防的制御です。監査モードは、展開中のビジネスアプリケーションへの中断を防ぐために不可欠です。
稼働中のエンドポイントで詳細なフォレンジック調査または手動での修復を実行します。
ライブレスポンス (Live Response) 機能を使用してリモートシェルを確立し、フォレンジックパッケージを収集します。
理由: コマンドの実行、ファイルの収集、フォレンジックスクリプトの実行のために、デバイスへの直接リアルタイムアクセスを提供します。
特定の侵害されたデバイス上の攻撃者の行動を再構築します。
デバイスタイムライン (Device Timeline) を分析します。
理由: エンドポイント上のすべてのプロセス、ネットワーク、ファイル、レジストリアクティビティの詳細な時系列イベントログを提供します。
パス・ザ・ハッシュ/チケット (Pass-the-Hash/Ticket) のような資格情報窃盗とラテラルムーブメントの手法を検出します。
すべてのドメインコントローラーに Microsoft Defender for Identity センサーをデプロイします。
理由: Defender for Identity はオンプレミスの AD 認証トラフィックを直接監視し、ID ベースの攻撃に対する高精度なアラートを提供します。
電子メール添付ファイルに埋め込まれたゼロデイマルウェアからユーザーを保護します。
動的配信 (Dynamic Delivery) オプションを含む安全な添付ファイル (Safe Attachments) ポリシーを構成します。
理由: 添付ファイルをサンドボックスで実行して悪意のある動作をチェックする一方で、メール本文は即座に配信し、セキュリティと生産性のバランスを取ります。
ユーザーのメールボックスからフィッシングメールのすべてのインスタンスを検索して削除します。
脅威エクスプローラー (Threat Explorer)(または高度なハンティング (Advanced Hunting))を使用してメールを検索し、ソフト削除またはハード削除アクションを実行します。
理由: 脅威エクスプローラーは、メールシステムから組織全体にわたるアクティブな脅威をパージするための強力な検索および修復ツールです。
管理されていない(非準拠の)デバイスへの機密ファイルのダウンロードをブロックすることで、データ漏洩を防ぎます。
条件付きアクセスアプリ制御 (Conditional Access App Control) を使用して、Defender for Cloud Apps セッションポリシーを構成します。
理由: クラウドアプリセッション内でのユーザーアクティビティをリアルタイムで検査および制御するリバースプロキシとして機能し、データアクセスポリシーを強制します。
人間が操作するランサムウェアのような広範囲にわたるアクティブな攻撃を自動的に封じ込めます。
Microsoft Defender XDR で自動攻撃中断 (Automatic Attack Disruption) を有効にします。
理由: クロスドメインシグナル (XDR) を使用して、侵害されたユーザーアカウントの無効化やデバイスの隔離など、機械速度で決定的なアクションを実行します。
すべての XDR データ(エンドポイント、メール、ID、クラウドアプリ)全体で脅威をプロアクティブに検索します。
Kusto Query Language (KQL) を使用して高度なハンティング (Advanced Hunting) を行います。
理由: 30日間の生テレメトリを横断してハンティングするための強力なクエリベースのインターフェースを提供し、標準検出を回避する脅威の発見を可能にします。
複数のアラートとエンティティを含む複雑なインシデントの全容を迅速に理解します。
インシデントの攻撃ストーリー (Attack Story) または調査グラフ (Investigation Graph) を分析します。
理由: 攻撃チェーン全体を統合し、視覚化し、攻撃者が最初の侵入ポイントから異なる資産を横断してどのように移動したかを示します。
Defender for Cloud ワークロード保護をオンプレミスおよびマルチクラウドサーバーに拡張します。
Azure Arc を使用してサーバーをオンボードし、その後 Defender for Servers プランを有効にします。
理由: Azure Arc はコントロールプレーンブリッジとして機能し、Azure 以外のリソースを Azure に投影して、Defender for Cloud によって管理および保護できるようにします。
複雑なスクリプト(例:PowerShell)の目的と潜在的な悪意を迅速に理解します。
スクリプトを Security Copilot に貼り付け、その機能とリスクの分析を依頼します。
理由: 生成 AI を活用してコードを難読化解除および説明し、スクリプトを実行することなくアーティファクト分析を大幅に加速します。
オンプレミス AD から同期されている侵害されたユーザーアカウントを直ちに封じ込めます。
オンプレミスの Active Directory でアカウントを無効にし、その後即座に AD Connect 同期をトリガーします。
理由: 同期された ID の場合、オンプレミス AD が権限のソースです。そこでアカウントを無効にすることが最も効果的な封じ込めアクションです。
業界標準プロトコルを使用して、TIP から外部脅威インテリジェンスをインジェストします。
Sentinel の「脅威インテリジェンス - TAXII (Threat Intelligence - TAXII)」データコネクタを使用します。
理由: TAXII 2.x サーバーに接続して STIX 形式のインジケーターを自動的にインポートし、脅威インテリジェンスを運用化します。
既知の脅威インジケーター(IP、ドメイン、ハッシュ)をすべてのインジェストされたログソースと相関させます。
インジケーターを ThreatIntelligenceIndicator テーブルにインジェストし、組み込みの「TI マップ...」分析ルールを有効にします。
理由: これらのルールは、脅威インテリジェンスをログ内の正規化されたエンティティフィールドと効率的に照合し、既知の悪意のある活動に関するアラートを生成します。
アラートまたはエンリッチメントのために、カスタムのインジケーターリスト(例:ビジネスパートナーの IP、解雇された従業員のアカウント)を使用します。
ウォッチリスト (Watchlist) を作成し、KQL クエリでデータと結合します。
理由: ウォッチリストはカスタムデータのシンプルなキーバリューストアとして機能し、検出ロジックや誤検知の削減のためにクエリで簡単に使用できます。
成功した KQL ハンティングクエリは、自動検出のために保存され、運用化される必要があります。
1. ハンティングブレードでクエリを保存します。 2. ハンティングクエリをスケジュールされた分析ルールに昇格させます。
理由: アドホックな発見(ハンティング)から自動化された繰り返し可能な検出(分析ルール)への移行を形式化します。
MITRE ATT&CK フレームワークに基づいて、検出カバレッジを評価し、ギャップを特定します。
Sentinel の MITRE ATT&CK ブレードを使用します。分析ルールに関連する戦術/手法のタグを付けます。
理由: 業界標準フレームワークにマッピングされた検出能力の視覚的なヒートマップを提供し、検出エンジニアリングをガイドします。
ハンティング中に見つかった興味深い結果や証拠を、後でフォローアップするために保存します。
KQL クエリ結果からハンティングブックマーク (Hunting Bookmark) を作成します。
理由: クエリ、結果、エンティティコンテキストをキャプチャし、アナリストが完全なインシデントをすぐに作成することなく調査結果を保存できるようにします。