SC-200 문제 216
사용자들이 악성 이메일을 수신하는 경우가 증가하고 있다는 사실을 알려드립니다.
Microsoft 365 Defender에서 고급 헌팅 쿼리를 생성하여 이메일 수신자의 계정이 손상되었는지 확인해야 합니다. 이 쿼리는 알려진 악성 이메일을 수신한 후 1시간 이내에 수신자가 수행한 최근 20건의 로그인 정보를 반환해야 합니다.
질의를 어떻게 완료해야 하나요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
Microsoft 365 Defender에서 고급 헌팅 쿼리를 생성하여 이메일 수신자의 계정이 손상되었는지 확인해야 합니다. 이 쿼리는 알려진 악성 이메일을 수신한 후 1시간 이내에 수신자가 수행한 최근 20건의 로그인 정보를 반환해야 합니다.
질의를 어떻게 완료해야 하나요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
SC-200 문제 217
임원팀 문제를 조사하려면 고급 헌팅 쿼리를 만들어야 합니다.
질의를 어떻게 완료해야 하나요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
질의를 어떻게 완료해야 하나요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
SC-200 문제 218
Microsoft Sentinel 작업 영역에서 KQL 쿼리를 작성해야 합니다. 쿼리는 마지막 레코드의 EventID 값이 4624인 계정에 대한 SecurityEvent 레코드를 반환해야 합니다. 쿼리를 어떻게 완료해야 합니까? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 각 선택 항목은 1점입니다.
참고: 각 선택 항목은 1점입니다.
SC-200 문제 219
sws1이라는 Microsoft Sentinel 작업 공간이 있습니다.
여러 Azure Storage 계정의 저장소 키를 나열하는 사용자를 식별하려면 헌팅 쿼리를 만들어야 합니다 . 솔루션은 단일 저장소 계정의 저장소 키를 나열하는 사용자를 제외해야 합니다.
질의를 어떻게 완료해야 하나요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
여러 Azure Storage 계정의 저장소 키를 나열하는 사용자를 식별하려면 헌팅 쿼리를 만들어야 합니다 . 솔루션은 단일 저장소 계정의 저장소 키를 나열하는 사용자를 제외해야 합니다.
질의를 어떻게 완료해야 하나요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
SC-200 문제 220
설명:
Microsoft Defender XDR에서 Deception 규칙을 구성하고 사용자 지정 유인 파일을 제공해야 합니다.
* Planting 경로를 HOME으로 설정하면 해당 파일이 사용자 홈 디렉토리에 배포됩니다.
다음 사항을 결정해야 합니다.
* 사용자 정의 미끼 파일에 지원되는 파일 유형은 무엇입니까?
* 파일이 있어야 하는 홈 디렉토리.
# 검증된 답변 = EXE, XLSX, PDF
Microsoft Defender for Endpoint Deception 설명서에 따르면:
"맞춤형 미끼 파일은 EXE, XLSX 또는 PDF 파일 형식을 사용하여 만들 수 있습니다. 이러한 파일 형식은 기만 시나리오에 지원되며 공격자가 접근하거나 실행할 경우 경고를 발생시킬 수 있습니다." 플랫폼이 이러한 파일 형식을 사용하는 이유는 적대 세력이 측면 이동이나 정찰 중에 이러한 파일 형식과 자주 상호 작용하기 때문입니다.
* EXE: 가치 있거나 유혹적인 것처럼 보이는 실행 파일을 시뮬레이션합니다.
* XLSX / PDF: 비즈니스 관련 또는 민감한 문서를 나타냅니다.
따라서 EXE, XLSX, PDF 루어 파일을 동시에 업로드하거나 그 중 하나를 선택할 수 있습니다.
# 올바른 선택: EXE, XLSX 및 PDF
# 검증된 답변 = 활성 사용자
Planting path = HOME으로 설정하면 Defender는 활성 사용자의 홈 디렉토리에 기만 아티팩트(유인 파일)를 심습니다.
이를 통해 현재 로그인한 사용자의 컨텍스트 내에서 유인 파일이 표시되고 접근 가능해집니다. 이는 공격자가 파일을 탐색하거나 빼낼 가능성이 가장 높은 위치입니다.
Microsoft의 기만 기능 참조에 따르면:
"심기 경로가 HOME으로 설정되면 기만 파일은 기기의 활성 사용자 홈 디렉터리에 저장됩니다. 이를 통해 대화형 세션 중에 파일이 표시되고 해당 계정을 사용하는 공격자가 접근할 수 있습니다." 표준 HOME 심기에는 "Active Directory 사용자", "로컬 사용자" 또는 "심기된 캐시 사용자"와 같은 다른 옵션이 사용되지 않습니다. 기만 시스템은 활성 세션의 컨텍스트를 타겟팅하여 효과를 극대화하고 오탐지를 줄입니다.
# 올바른 선택: 활성 사용자
구성 측면
올바른 옵션
파일 유형:
EXE, XLSX 및 PDF
홈 디렉토리:
활성 사용자
요약:
Microsoft Defender XDR Deception에서 심기 경로를 HOME으로 설정하여 사용자 지정 유인 파일을 만들 때 다음을 수행해야 합니다.
* EXE, XLSX, PDF 파일 형식을 사용하세요.
* 대상 장치의 활성 사용자 홈 디렉토리에 저장합니다.
이러한 선택 사항은 Microsoft Defender XDR Deception의 공식 문서 및 M365 E5 SecOps 학습 자료와 일치합니다.
질문 1부: 맞춤형 미끼에 어떤 유형의 파일을 사용할 수 있나요?