試験SC-200J トピック3 問題343 スレッド
Microsoft SC-200Jのリアル試験問題集
問題 #: 343
トピック #: 3
問題 #: 343
トピック #: 3
Microsoft 365 Defender を使用し、User1 という名前のユーザーを含む Microsoft 365 サブスクリプションがあります。
User1 のアカウントが侵害されたことが通知されます。
User1 がサインインしたデバイスでトリガーされたアラートを確認する必要があります。
クエリをどのように完了すればよいでしょうか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。

User1 のアカウントが侵害されたことが通知されます。
User1 がサインインしたデバイスでトリガーされたアラートを確認する必要があります。
クエリをどのように完了すればよいでしょうか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。

おすすめの解答:

Explanation:
Box 1: join
An inner join.
This query uses kind=inner to specify an inner-join, which prevents deduplication of left side values for DeviceId.
This query uses the DeviceInfo table to check if a potentially compromised user (<account-name>) has logged on to any devices and then lists the alerts that have been triggered on those devices.
DeviceInfo
//Query for devices that the potentially compromised account has logged onto
| where LoggedOnUsers contains '<account-name>'
| distinct DeviceId
//Crosscheck devices against alert records in AlertEvidence and AlertInfo tables
| join kind=inner AlertEvidence on DeviceId
| project AlertId
//List all alerts on devices that user has logged on to
| join AlertInfo on AlertId
| project AlertId, Timestamp, Title, Severity, Category
DeviceInfo LoggedOnUsers AlertEvidence "project AlertID"
Box 2: project
Reference:
https://docs.microsoft.com/en-us/microsoft-365/security/defender/advanced-hunting-query-emails-devices?view=
加藤** 2026-07-04 12:13:38
コメント
他人の解答コメントを賛成するのも、その解答に一票を入れることになります。したがって、すでに同じ意見の投票コメントが存在する場合、新規コメントをする代わりに賛成することもできます。
コメントを通報する
コメント中
今すぐ 新規登録 / ログイン (無料です)。