Cursul Microsoft SC-200 – Microsoft Security Operations Analyst îi învață pe participanți să atenueze, să investigheze și să răspundă la amenințări cibernetice utilizând Microsoft Azure Sentinel, Azure Defender și Microsoft 365 Defender. Pentru asta participanții configurează Azure Sentinel și utilizează Kusto Query Language (KQL) pentru a efectua detectarea, analiza și raportarea amenințărilor cibernetice.
Acest curs se adresează persoanelor cu rolul de Security Operations.
Microsoft Security Operations Analyst colaborează cu departamentele unei organizații cu scopul de a securiza sistemele informatice folosite. Scopul lor este de a reduce riscul organizațional prin remedierea rapidă a atacurilor active și consilierea cu privire la îmbunătățirea practicilor de protecție împotriva amenințărilor.
În cadrul cursului Microsoft SC-200: Microsoft Security Operations Analyst vei învăța:
- Cum Microsoft Defender for Endpoint poate remedia riscurile din mediul organizațional
- Să creezi un mediu Microsoft Defender pentru endpoint
- Să configurezi regulile de reducere a suprafeței de atac pe dispozitivele Windows 10
- Să investighezi domenii, adrese IP și conturi de utilizator în Microsoft Defender pentru endpoint
- Să configurezi setările de alertă în Microsoft Defender pentru endpoint
- Să realizezi căutări avansate în Microsoft 365 Defender
- Să gestionezi incidentele în Microsoft 365 Defender
- Să investighezi avertizările DLP în Microsoft Cloud App Security
- Să configurezi accesul automat în Azure Defender
- Să remediezi avertizările în Azure Defender
- Să construiești declarații KQL
- Să filtrezi căutările în funcție de timpul evenimentului, severitate, domeniu și alte date relevante utilizând KQL
- Să gestionezi un spațiu de lucru Azure Sentinel
- Să utilizezi KQL pentru a accesa lista de supraveghere din Azure Sentinel
- Să gestionezi indicatorii de amenințare în Azure Sentinel
- Să conectezi mașinilor virtuale Windows Azure la Azure Sentinel
- Să configurezi agentul Log Analytics pentru a colecta evenimente Sysmon
- Să creezi noi reguli și interogări de analiză utilizând expertul reguli de analiz
Pentru a se înscrie la cursul Microsoft SC-200: Microsoft Security Operations Analyst, participanții trebuie:
- Să aibă o înțelegere de bază a Microsoft 365
- Să aibă o înțelegere intermediară a Windows 10
- Să fie familiarizați cu serviciile Azure, în special Azure SQL Database și Azure Storage
- Să fie familiarizați cu mașinile virtuale Azure și rețelistică virtuală
- Să aibă o înțelegere de bază a conceptelor de scripting.
Modulul 1: Atenuarea amenințărilor utilizând Microsoft Defender for endpoint
În primul modul de training al cursului Microsoft SC-200: Microsoft Security Operations Analyst participanții învață să implementeze platforma Microsoft Defender for Endpoint pentru a detecta, investiga și răspunde la amenințări avansate. De asemenea, cursanții descoperă cum să configureze automatizarea în Microsoft Defender pentru Endpoint prin gestionarea setărilor de mediu. Spre finalul modulului, ei descoperă cum pot afla despre punctele slabe ale mediului utilizând Threat and Vulnerability Management în Microsoft Defender for endpoint.
Modulul 2: Atenuarea amenințărilor folosind Microsoft 365 Defender
În al doilea modul, cursanții învață să analizeze datele din toate domeniile companiei și să remedieze rapid amenințările cu orchestrarea și automatizarea încorporate în Microsoft 365 Defender. Ei află despre amenințările la adresa securității cibernetice și despre modul în care noile instrumente de protecție împotriva amenințărilor de la Microsoft protejează utilizatorii, dispozitivele și datele unei organizații. Apoi descoperă cum să utilizeze detectarea și remedierea avansată a amenințărilor bazate pe identitate pentru a proteja identitățile și aplicațiile Azure Active Directory.
Modulul 3: Atenuarea amenințărilor folosind Azure Defender
Al treilea modul al cursului Microsoft SC-200: Microsoft Security Operations Analyst adresează beneficiile integrării Azure Defender cu Azure Security Center pentru protecția datelor stocate în Azure, cloud hibrid și on-premises.
Modulul 4: Crearea de interogări pentru Azure Sentinel utilizând Kusto Query Language (KQL)
Ulterior, cursanții învață să scrie declarații în Kusto Query Language (KQL) pentru a interoga datele din jurnalul de interogări cu scopul de a efectua detectări, analize și rapoarte în Azure Sentinel. Acest modul se va concentra pe cei mai utilizați operatori. KQL este limbajul de interogare utilizat pentru a analiza datele cu scopul de a extrage statistici, registre de lucru și pentru a identifica potențiale amenințări de securitate în Azure Sentinel. Cursanții învață structura de bază a declarației KQL de la care pot construi declarații mai complexe.
Modulul 5: Configurarea mediului Azure Sentinel
Sistemele tradiționale de gestionare a informațiilor de securitate și a evenimentelor (SIEM) durează de obicei mult timp pentru a configura și configura. De asemenea, nu sunt neapărat proiectate ținând cont de sarcinile de lucru în cloud. Azure Sentinel permite obținerea de informații de securitate valoroase din cloud și din datele locale într-un mod rapid.
În acest modul cursanții învață despre arhitectura spațiilor de lucru Azure Sentinel pentru a configura sistemul astfel încât să îndeplinească cerințele necesare operațiunilor de securitate ale organizației.
Modulul 6: Conectarea jurnalelor de date la Azure Sentinel
În modulul 6 cursanții află cum să conecteze datele tuturor utilizatorilor, ale dispozitivelor, ale aplicațiilor și ale infrastructurii, atât on-premises cât și în cloud la Azure Sentinel. Abordarea principală pentru conectarea jurnalului de date este utilizarea conectorilor de date furnizate de Azure Sentinel. Acest modul oferă o prezentare generală a conectorilor de date disponibili. Spre final, participanții află și despre opțiunile de configurare și datele furnizate de conectorii Azure Sentinel pentru Microsoft 365 Defender.
Modulul 7: Efectuarea investigațiilor folosind Azure Sentinel
Spre finalul cursului participanții află cum să detecteze amenințările descoperite anterior și să remedieze rapid amenințările cu orchestrarea și automatizarea încorporate în Azure Sentinel. Apoi învață să creeze cărți de joc Azure Sentinel pentru a răspunde amenințărilor de securitate. De asemenea, cursanții descoperă cum să gestioneze incidentele în Azure Sentinel și află despre evenimentele și entitățile Azure Sentinel. Spre final ei învață să interogheze, să vizualizeze și să monitorizeze datele în Azure Sentinel.
Modulul 8: Căutarea proactivă a amenințărilor în Azure Sentinel
În ultimul modul de curs Microsoft SC-200: Microsoft Security Operations Analyst participanții învață să identifice proactiv comportamentele de amenințare utilizând interogări Azure Sentinel. Apoi află cum să utilizeze marcajele, livestream și notebook-urile pentru detectarea avansată a amenințărilor de securitate.
Cursul Microsoft SC-300: Microsoft Identity and Access Administrator.
Acest curs îi pregătește pe participanți pentru susținerea examenului Microsoft SC-200: Microsoft Security Operations Analyst și obținerea certificării de Microsoft Certified: Security Operations Analyst Associate.
Microsoft SC-200 – Microsoft Security Operations Analyst
