SC-100日本語 無料問題集「Microsoft Cybersecurity Architect (SC-100日本語版)」
ホットスポットに関する質問
Linux を実行するオンプレミス サーバーが 1,000 台あります。
WS1という名前のMicrosoft Sentinelワークスペースを含むAzureサブスクリプションがあり、
Linux を実行する仮想マシン 1,000 台。
すべてのオンプレミスの Linux サーバーは Azure Arc にオンボードされます。
Microsoft Sentinel の Azure Monitor エージェント コネクタを使用して、共通イベント フォーマット (CEF) ログを収集する予定です。
ログから特定のイベントを収集するためのソリューションを設計する必要があります。ソリューションは以下の要件を満たす必要があります。
- 必要な Microsoft Entra ID の数を最小限に抑えます。
- WS1 に配信されるイベントの数を最小限に抑えます。
- 必要なイベントがすべて取り込まれていることを確認します。
- 管理上の労力を最小限に抑えます。
解決策には何を含めるべきですか? 回答するには、回答エリアでオプションを選択してください。
注意: 正解ごとに 1 ポイントが付与されます。
Linux を実行するオンプレミス サーバーが 1,000 台あります。
WS1という名前のMicrosoft Sentinelワークスペースを含むAzureサブスクリプションがあり、
Linux を実行する仮想マシン 1,000 台。
すべてのオンプレミスの Linux サーバーは Azure Arc にオンボードされます。
Microsoft Sentinel の Azure Monitor エージェント コネクタを使用して、共通イベント フォーマット (CEF) ログを収集する予定です。
ログから特定のイベントを収集するためのソリューションを設計する必要があります。ソリューションは以下の要件を満たす必要があります。
- 必要な Microsoft Entra ID の数を最小限に抑えます。
- WS1 に配信されるイベントの数を最小限に抑えます。
- 必要なイベントがすべて取り込まれていることを確認します。
- 管理上の労力を最小限に抑えます。
解決策には何を含めるべきですか? 回答するには、回答エリアでオプションを選択してください。
注意: 正解ごとに 1 ポイントが付与されます。
正解:
Explanation:
Box 1: Create Data collection rules (OCRs)
Minimize the number of events delivered to WS1.
Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent Use the Syslog via AMA and Common Event Format (CEF) via AMA connectors to quickly filter and ingest syslog messages, including messages in Common Event Format (CEF), from Linux machines and from network and security devices and appliances.
Create data collection rule (DCR)
To get started, open either the Syslog via AMA or Common Event Format (CEF) via AMA data connector in Microsoft Sentinel and create a data collection rule (DCR).
Note: See step 10 below.
1. For Microsoft Sentinel in the Azure portal, under Configuration, select Data connectors. For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel > Configuration > Data connectors.
2. For syslog, type Syslog in the Search box. From the results, select the Syslog via AMA connector. For CEF, type CEF in the Search box. From the results, select the Common Event Format (CEF) via AMA connector.
3. Select Open connector page on the details pane.
4. In the Configuration area, select +Create data collection rule.
5. In the Basic tab:
Type a DCR name.
Select your subscription.
Select the resource group where you want to locate your DCR.
6. Select Next: Resources >.
7. Use the available filters or search box to find your log forwarder VM. Expand a subscription in the list to see its resource groups, and a resource group to see its VMs.
8. Select the log forwarder VM that you want to install the AMA on. The check box appears next to the VM name when you hover over it.
9. Select the log forwarder VM that you want to install the AMA on. The check box appears next to the VM name when you hover over it.
*-> 10. In the Collect tab, select the minimum log level for each facility. When you select a log level, Microsoft Sentinel collects logs for the selected level and other levels with higher severity.
For example, if you select LOG_ERR, Microsoft Sentinel collects logs for the LOG_ERR, LOG_CRIT, LOG_ALERT, and LOG_EMERG levels.
11. Review your selections and select Next: Review + create.
Box 2: System-assigned managed identities for all on-premises servers and uses-assigned managed identities for the Azure virtual machines.
Minimize the number of Microsoft Entra ID identities required.
* On-premises servers
Managed identity
At creation, the Microsoft Entra ID system-assigned identity can only be used to update the status of the Azure Arc-enabled servers, for example, the 'last seen' heartbeat. Grant identity access to Azure resources to enable applications on your server to access Azure resources, for example, to request secrets from a Key Vault.
* Azure virtual machines
User assigned managed identities can be used on more than one resource.
Reference:
https://learn.microsoft.com/en-us/azure/sentinel/connect-cef-syslog-ama
https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/scenarios/hybrid/arc-enabled- servers/eslz-identity-and-access-management
あなたの会社は Microsoft 365 E5 サブスクリプションを持っています。
最高コンプライアンス責任者は、職場環境におけるプライバシー管理を強化する予定です。プライバシー管理を強化するソリューションを推奨する必要があります。ソリューションは次の要件を満たす必要があります。
* 未使用の個人データを特定し、ユーザーがデータの取り扱いに関する賢明な決定を下せるようにします。
* ユーザーが Microsoft Teams で個人データを送信するときに、ユーザーに通知とガイダンスを提供します。
* プライバシー リスクを軽減するための推奨事項をユーザーに提供します。
推奨事項には何を含めるべきですか?
最高コンプライアンス責任者は、職場環境におけるプライバシー管理を強化する予定です。プライバシー管理を強化するソリューションを推奨する必要があります。ソリューションは次の要件を満たす必要があります。
* 未使用の個人データを特定し、ユーザーがデータの取り扱いに関する賢明な決定を下せるようにします。
* ユーザーが Microsoft Teams で個人データを送信するときに、ユーザーに通知とガイダンスを提供します。
* プライバシー リスクを軽減するための推奨事項をユーザーに提供します。
推奨事項には何を含めるべきですか?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Azure サブスクリプションと Microsoft 365 サブスクリプションがあります。
あなたの会社では、複数のソフトウェア・アズ・ア・サービス (SaaS) アプリケーションを使用しています。
Microsoft クラウド セキュリティ ベンチマーク (MCSB) および Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA) に準拠するために、アプリケーション全体のユーザー アクティビティを可視化し、潜在的に危険な動作をリアルタイムで検出するソリューションを設計する予定です。
どのサービスをお勧めしますか?
あなたの会社では、複数のソフトウェア・アズ・ア・サービス (SaaS) アプリケーションを使用しています。
Microsoft クラウド セキュリティ ベンチマーク (MCSB) および Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA) に準拠するために、アプリケーション全体のユーザー アクティビティを可視化し、潜在的に危険な動作をリアルタイムで検出するソリューションを設計する予定です。
どのサービスをお勧めしますか?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
注: この問題は、同じシナリオを提示する一連の問題の一部です。一連の問題にはそれぞれ、定められた目標を満たす可能性のある独自の解答が含まれています。問題セットによっては、複数の正解が存在する場合もあれば、正解がない場合もあります。
このセクションの質問に回答した後は、その質問に戻ることはできません。そのため、これらの質問はレビュー画面に表示されません。
Azure Front Door インスタンスを通じて Azure App Service Web アプリへのアクセスを提供するためのセキュリティ戦略を設計しています。
Web アプリが Front Door インスタンス経由のアクセスのみを許可するようにするためのソリューションを推奨する必要があります。
解決策: ゲートウェイを必要とする仮想ネットワーク統合を構成することをお勧めします。
これは目標を満たしていますか?
このセクションの質問に回答した後は、その質問に戻ることはできません。そのため、これらの質問はレビュー画面に表示されません。
Azure Front Door インスタンスを通じて Azure App Service Web アプリへのアクセスを提供するためのセキュリティ戦略を設計しています。
Web アプリが Front Door インスタンス経由のアクセスのみを許可するようにするためのソリューションを推奨する必要があります。
解決策: ゲートウェイを必要とする仮想ネットワーク統合を構成することをお勧めします。
これは目標を満たしていますか?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
ホットスポットに関する質問
Microsoft Entra テナントと Azure サブスクリプションがあります。
リスクベースの条件付きアクセス ポリシーの使用を評価して、ワークロード ID のリソースへのアクセスを制御します。
どのタイプの ID にポリシーを適用する必要がありますか? また、どのシグナル ソースをポリシーの一部として使用できますか? 回答するには、回答領域で適切なオプションを選択してください。
注意: 正しい選択ごとに 1 ポイントが付与されます。
Microsoft Entra テナントと Azure サブスクリプションがあります。
リスクベースの条件付きアクセス ポリシーの使用を評価して、ワークロード ID のリソースへのアクセスを制御します。
どのタイプの ID にポリシーを適用する必要がありますか? また、どのシグナル ソースをポリシーの一部として使用できますか? 回答するには、回答領域で適切なオプションを選択してください。
注意: 正しい選択ごとに 1 ポイントが付与されます。
正解:
Explanation:
Box 1: Service principal
For controlling access of workload identities to resources with a risk-based Conditional Access policy in Microsoft Entra, the service principal identity type is the most suitable.
Box 2: Microsoft Entra ID Protection
For risk-based Conditional Access policies in Microsoft Entra ID that control access for workload identities, the best signal source is Microsoft Entra ID Protection, specifically the service principal risk signals. This allows you to identify and respond to potentially risky service principals based on their behavior and activities.
Reference:
https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-risk- policies
ドラッグアンドドロップの質問
お客様は、クラウドベースのセキュリティ情報・イベント管理(SIEM)としてMicrosoft Sentinelを導入しました。お客様は投資価値を最大化したいと考えており、脅威が損害や業務の中断を引き起こす前に、コスト効率の高い方法で脅威を検知・対応することで、インシデント管理ライフサイクルを強化する方法を尋ねています。
クライアントがこの目標を達成するのに役立つ Sentinel コンポーネントを特定する必要があります。
各シナリオにどのSentinelツールを推奨すべきでしょうか?適切なツールを適切なインシデント管理アクティビティにドラッグしてください。各ツールは1回、複数回、または全く使用しない場合があります。
お客様は、クラウドベースのセキュリティ情報・イベント管理(SIEM)としてMicrosoft Sentinelを導入しました。お客様は投資価値を最大化したいと考えており、脅威が損害や業務の中断を引き起こす前に、コスト効率の高い方法で脅威を検知・対応することで、インシデント管理ライフサイクルを強化する方法を尋ねています。
クライアントがこの目標を達成するのに役立つ Sentinel コンポーネントを特定する必要があります。
各シナリオにどのSentinelツールを推奨すべきでしょうか?適切なツールを適切なインシデント管理アクティビティにドラッグしてください。各ツールは1回、複数回、または全く使用しない場合があります。
正解:
Explanation:
The client should use a playbook to automatically isolate an infected machine. A Sentinel playbook is a reusable set of steps to perform common security-related tasks, such as investigating and responding to incidents. Playbooks can be created using Logic Apps Designer in Sentinel and can be triggered manually or automatically in response to security events.
Microsoft Sentinel allows you to create custom playbooks that are tailored to your organization's specific needs. For example, you could create a playbook that automatically responds to alerts about suspicious logins by obtaining more information about the user and their activity.
The client should use a workbook to visualize and monitor threat data. Microsoft Sentinel Workbooks, which is based on Azure Monitor Workbooks, is a reusable tool that you can use to visualize and analyze data from your Azure monitoring metrics. You can create workbooks containing multiple visuals and then save them so you can access them later. Workbooks are stored in JavaScript Object Notation (JSON) format and can be exported and imported from one Azure tenant to another.
The client should use a notebook to analyze data with Python machine learning. A Jupyter notebook is an interactive, web-based environment for code execution commonly used to develop machine learning tasks. Jupyter notebooks in Sentinel enable you to interactively analyze and visualize data in your workspace.
With Jupyter notebooks in Microsoft Sentinel, you can:
- Query and analyze data interactively.
- Visualize data to gain insights and better understand relationships.
- Build and share machine learning models.
The client should not use a runbook. A runbook is used in Azure Automation to define process automation. Runbooks can be written in PowerShell or Python or created using graphical tools.
あなたの会社はシアトルにオンプレミス ネットワークと Azure サブスクリプションを持っています。オンプレミス ネットワークにはリモート デスクトップ サーバーが含まれています。
同社はフランスのサードパーティ開発会社と契約して、リソースを開発し、Azure サブスクリプションでホストされている仮想マシンにデプロイします。
現在、同社はリモート デスクトップ サーバーへの RDP 接続を確立しています。企業は、リモート デスクトップ接続から、リモート デスクトップ サーバーにインストールされているカスタム管理ツールを使用して、Azure でホストされている仮想マシンにアクセスできます。リモート デスクトップ サーバーへのすべてのトラフィックはファイアウォールによってキャプチャされ、ファイアウォールはフランスからサーバーへの特定の接続のみを許可します。
ゼロトラスト モデルに基づいた最新のセキュリティ ソリューションを推奨する必要があります。このソリューションでは、開発者の待ち時間を最小限に抑える必要があります。
どの 3 つのアクションをお勧めしますか? それぞれの正解は、解決策の一部を示しています。
注: 正しく選択するたびに 1 ポイントの価値があります。
同社はフランスのサードパーティ開発会社と契約して、リソースを開発し、Azure サブスクリプションでホストされている仮想マシンにデプロイします。
現在、同社はリモート デスクトップ サーバーへの RDP 接続を確立しています。企業は、リモート デスクトップ接続から、リモート デスクトップ サーバーにインストールされているカスタム管理ツールを使用して、Azure でホストされている仮想マシンにアクセスできます。リモート デスクトップ サーバーへのすべてのトラフィックはファイアウォールによってキャプチャされ、ファイアウォールはフランスからサーバーへの特定の接続のみを許可します。
ゼロトラスト モデルに基づいた最新のセキュリティ ソリューションを推奨する必要があります。このソリューションでは、開発者の待ち時間を最小限に抑える必要があります。
どの 3 つのアクションをお勧めしますか? それぞれの正解は、解決策の一部を示しています。
注: 正しく選択するたびに 1 ポイントの価値があります。
正解:A、D、E
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
ケーススタディ1 - Fabrikam, Inc
概要
Fabrikam, Inc. は、ニューヨークに本社、パリに支店を持つ保険会社です。
既存の環境
オンプレミス環境
オンプレミス ネットワークには、corp.fabrikam.com という名前の単一の Active Directory ドメイン サービス (AD DS) ドメインが含まれています。
Azure環境
Fabrikam には次の Azure リソースがあります。
- corp.fabrikam.com と同期する fabrikam.onmicrosoft.com という名前の Microsoft Entra テナント
- Sub1 という名前の単一の Azure サブスクリプション
- 米国東部 Azure リージョンの Vnet1 という仮想ネットワーク
- 西ヨーロッパの Azure リージョンにある Vnet2 という仮想ネットワーク
- Azure Web アプリケーション ファイアウォール (WAF) が有効になっている FD1 という名前の Azure Front Door インスタンス
- Microsoft Sentinel ワークスペース
- ClaimDetails というテーブルを含む ClaimsDB という Azure SQL データベース
- アプリケーション サーバーとして構成され、Microsoft Defender for Cloud にオンボードされていない仮想マシン 20 台
- テスト目的のみに使用される TestRG という名前のリソース グループ
- 個人に割り当てられたセッションホストを含む Azure Virtual Desktop ホストプール
- Sub1 のすべてのリソースは、米国東部または西ヨーロッパのいずれかのリージョンにあります。
パートナー
Fabrikamは、アプリケーション開発をContoso, Ltd.という会社と契約しています。Contosoは以下のインフラストラクチャを保有しています。
- contoso.onmicrosoft.com という名前の Microsoft Entra
- ContosoAWS1 という名前の Amazon Web Services (AWS) 実装。これには、Contoso の Fabrikam 開発者のアプリケーションのテスト ワークロードをホストするために使用される AWS EC2 インスタンスが含まれており、アプリケーションをテストまたは更新するために Fabrikam のリソースに接続します。
開発者は、fabrikam.onmicrosoft.com 内の Contoso Developers というセキュリティ グループに追加され、Sub1 のロールに割り当てられます。ContosoDevelopers グループには、ClaimsDB データベースの db.owner ロールが割り当てられます。
コンプライアンスイベント
Fabrikam は次のコンプライアンス環境を展開しています。
- Defender for Cloud は、Sub1 内のすべてのリソースが HIPAA HITRUST 標準に準拠しているかどうかを評価するように構成されています。
- 現在、HIPAA HITRUST 標準に準拠していないリソースは手動で修復されます。
- Qualys は、サーバーの標準的な脆弱性評価ツールとして使用されます。
問題ステートメント
Defender for Cloud のセキュリティスコアは、すべての仮想マシンが以下の推奨事項を生成していることを示しています。マシンには脆弱性評価ソリューションが必要です。すべての仮想マシンは Defender for Cloud に準拠している必要があります。
ClaimAppの展開
Fabrikamは、ClaimsAppというインターネットアクセス可能なアプリケーションを実装する予定です。その仕様は次のとおりです。
- ClaimsApp は、Vnet1 および Vnet2 に接続する Azure App Service インスタンスにデプロイされます。
- ユーザーは、https://claims.fabrikam.com の URL を使用して ClaimsApp に接続します。
- ClaimsApp は ClaimsDB 内のデータにアクセスします。
- ClaimsDB は、Azure 仮想ネットワークからのみアクセスできる必要があります。
- ClaimsApp のアプリ サービス権限を ClaimsDB に割り当てる必要があります。
アプリケーション開発要件
Fabrikam は、アプリケーション開発に次のような要件があると考えています。
- Azure DevTest ラボは開発者がテストに使用します。
- すべてのアプリケーション コードは GitHub Enterprise に保存する必要があります。
- アプリケーションのデプロイを管理するために Azure Pipelines が使用されます。
- すべてのアプリケーションコードの変更は、セキュリティ脆弱性がないかスキャンする必要があります。これには、平文で機密情報を含むアプリケーションコードや設定ファイルも含まれます。スキャンは、コードをリポジトリにプッシュする時点で実施する必要があります。
セキュリティ要件
Fabrikam では、次のセキュリティ要件を特定しています。
- インターネットにアクセス可能なアプリケーションは、北朝鮮からの接続を防ぐ必要があります。
- InfraSec というグループのメンバーのみが、ネットワーク セキュリティ グループ (NSG) と、Sub1 の Azure Firewall、VJM、および Front Door のインスタンスを構成できるようにする必要があります。
- 管理者は、仮想マシンのリモート管理を実行するために、セキュアホストに接続する必要があります。セキュアホストは、カスタムオペレーティングシステムイメージからプロビジョニングする必要があります。
AWS 要件
Fabrikam は、ContosoAWSV でホストされるデータに対して次のセキュリティ要件を特定しています。
- AWS EC2 インスタンスがセキュア スコアの推奨事項に準拠していない場合は、Fabrikam のセキュリティ管理者に通知します。
- セキュリティ管理者が Azure 環境から AWS サービス ログを直接クエリできることを確認します。
Contoso 開発者の要件
Fabrikam は、Contoso 開発者に対して次の要件を特定しています。
- 毎月、ContosoDevelopers グループのメンバーシップを検証する必要があります。
- Contoso の開発者は、Sub1 のリソースにアクセスするために、既存の contoso.onmicrosoft.com 資格情報を使用する必要があります。
- Comoro の開発者が ClaimDetails テーブルの MedicalHistory という列のデータを表示できないようにする必要があります。
コンプライアンス要件
Fabrikam は、Sub1 の仮想マシンを HIPPA HITRUST 標準に準拠させるため、自動的に修復したいと考えています。TestRG の仮想マシンはコンプライアンス評価から除外する必要があります。
ホットスポットに関する質問
Contoso 開発者の要件を満たすには、Microsoft Entra ID で何を作成する必要がありますか?
概要
Fabrikam, Inc. は、ニューヨークに本社、パリに支店を持つ保険会社です。
既存の環境
オンプレミス環境
オンプレミス ネットワークには、corp.fabrikam.com という名前の単一の Active Directory ドメイン サービス (AD DS) ドメインが含まれています。
Azure環境
Fabrikam には次の Azure リソースがあります。
- corp.fabrikam.com と同期する fabrikam.onmicrosoft.com という名前の Microsoft Entra テナント
- Sub1 という名前の単一の Azure サブスクリプション
- 米国東部 Azure リージョンの Vnet1 という仮想ネットワーク
- 西ヨーロッパの Azure リージョンにある Vnet2 という仮想ネットワーク
- Azure Web アプリケーション ファイアウォール (WAF) が有効になっている FD1 という名前の Azure Front Door インスタンス
- Microsoft Sentinel ワークスペース
- ClaimDetails というテーブルを含む ClaimsDB という Azure SQL データベース
- アプリケーション サーバーとして構成され、Microsoft Defender for Cloud にオンボードされていない仮想マシン 20 台
- テスト目的のみに使用される TestRG という名前のリソース グループ
- 個人に割り当てられたセッションホストを含む Azure Virtual Desktop ホストプール
- Sub1 のすべてのリソースは、米国東部または西ヨーロッパのいずれかのリージョンにあります。
パートナー
Fabrikamは、アプリケーション開発をContoso, Ltd.という会社と契約しています。Contosoは以下のインフラストラクチャを保有しています。
- contoso.onmicrosoft.com という名前の Microsoft Entra
- ContosoAWS1 という名前の Amazon Web Services (AWS) 実装。これには、Contoso の Fabrikam 開発者のアプリケーションのテスト ワークロードをホストするために使用される AWS EC2 インスタンスが含まれており、アプリケーションをテストまたは更新するために Fabrikam のリソースに接続します。
開発者は、fabrikam.onmicrosoft.com 内の Contoso Developers というセキュリティ グループに追加され、Sub1 のロールに割り当てられます。ContosoDevelopers グループには、ClaimsDB データベースの db.owner ロールが割り当てられます。
コンプライアンスイベント
Fabrikam は次のコンプライアンス環境を展開しています。
- Defender for Cloud は、Sub1 内のすべてのリソースが HIPAA HITRUST 標準に準拠しているかどうかを評価するように構成されています。
- 現在、HIPAA HITRUST 標準に準拠していないリソースは手動で修復されます。
- Qualys は、サーバーの標準的な脆弱性評価ツールとして使用されます。
問題ステートメント
Defender for Cloud のセキュリティスコアは、すべての仮想マシンが以下の推奨事項を生成していることを示しています。マシンには脆弱性評価ソリューションが必要です。すべての仮想マシンは Defender for Cloud に準拠している必要があります。
ClaimAppの展開
Fabrikamは、ClaimsAppというインターネットアクセス可能なアプリケーションを実装する予定です。その仕様は次のとおりです。
- ClaimsApp は、Vnet1 および Vnet2 に接続する Azure App Service インスタンスにデプロイされます。
- ユーザーは、https://claims.fabrikam.com の URL を使用して ClaimsApp に接続します。
- ClaimsApp は ClaimsDB 内のデータにアクセスします。
- ClaimsDB は、Azure 仮想ネットワークからのみアクセスできる必要があります。
- ClaimsApp のアプリ サービス権限を ClaimsDB に割り当てる必要があります。
アプリケーション開発要件
Fabrikam は、アプリケーション開発に次のような要件があると考えています。
- Azure DevTest ラボは開発者がテストに使用します。
- すべてのアプリケーション コードは GitHub Enterprise に保存する必要があります。
- アプリケーションのデプロイを管理するために Azure Pipelines が使用されます。
- すべてのアプリケーションコードの変更は、セキュリティ脆弱性がないかスキャンする必要があります。これには、平文で機密情報を含むアプリケーションコードや設定ファイルも含まれます。スキャンは、コードをリポジトリにプッシュする時点で実施する必要があります。
セキュリティ要件
Fabrikam では、次のセキュリティ要件を特定しています。
- インターネットにアクセス可能なアプリケーションは、北朝鮮からの接続を防ぐ必要があります。
- InfraSec というグループのメンバーのみが、ネットワーク セキュリティ グループ (NSG) と、Sub1 の Azure Firewall、VJM、および Front Door のインスタンスを構成できるようにする必要があります。
- 管理者は、仮想マシンのリモート管理を実行するために、セキュアホストに接続する必要があります。セキュアホストは、カスタムオペレーティングシステムイメージからプロビジョニングする必要があります。
AWS 要件
Fabrikam は、ContosoAWSV でホストされるデータに対して次のセキュリティ要件を特定しています。
- AWS EC2 インスタンスがセキュア スコアの推奨事項に準拠していない場合は、Fabrikam のセキュリティ管理者に通知します。
- セキュリティ管理者が Azure 環境から AWS サービス ログを直接クエリできることを確認します。
Contoso 開発者の要件
Fabrikam は、Contoso 開発者に対して次の要件を特定しています。
- 毎月、ContosoDevelopers グループのメンバーシップを検証する必要があります。
- Contoso の開発者は、Sub1 のリソースにアクセスするために、既存の contoso.onmicrosoft.com 資格情報を使用する必要があります。
- Comoro の開発者が ClaimDetails テーブルの MedicalHistory という列のデータを表示できないようにする必要があります。
コンプライアンス要件
Fabrikam は、Sub1 の仮想マシンを HIPPA HITRUST 標準に準拠させるため、自動的に修復したいと考えています。TestRG の仮想マシンはコンプライアンス評価から除外する必要があります。
ホットスポットに関する質問
Contoso 開発者の要件を満たすには、Microsoft Entra ID で何を作成する必要がありますか?
正解:
Explanation:
Box 1: A guest account in the fabrikham.onmicrosoft.com tenant
The Contoso devlopers must use their existing contoso.onmicrosoft.com credentials.
Box 2: An access review
Scenario: Every month, the membership of the ContosoDevelopers group must be verified.
Microsoft Entra ID access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. User's access can be reviewed on a regular basis to make sure only the right people have continued access.
Access review is part of Microsoft Entra ID governance.
Reference:
https://docs.microsoft.com/en-us/azure/active-directory-domain-services/synchronization
https://docs.microsoft.com/en-us/azure/active-directory/governance/access-reviews-overview