SC-200 Microsoft Security Operations Analyst

Цель курса – предоставить слушателям знания и навыки, необходимые для эффективного мониторинга, выявления и реагирования на инциденты безопасности с использованием технологий Microsoft. Курс охватывает методы анализа данных, управления рисками и внедрение защитных мер для обнаружения угроз и управления инцидентами.

Аудитория

Этот курс предназначен для специалистов в области кибербезопасности, аналитиков операций безопасности, а также ИТ-профессионалов, отвечающих за управление безопасностью и защиту информации в организациях. Аудитория включает людей, работающих с системами мониторинга безопасности, а также тех, кто отвечает за анализ инцидентов и разработку стратегий реагирования на угрозы.

По окончании курса слушатели смогут:

• Объяснять, как Microsoft Defender for Endpoint может устранить риски в вашей среде
• Создать среду Microsoft Defender for Endpoint
• Настроить правила уменьшения поверхности атаки на устройствах с Windows 10
• Выполнять действия на устройстве с помощью Microsoft Defender for Endpoint
• Исследовать домены и IP-адреса в Microsoft Defender for Endpoint
• Исследовать учетные записи пользователей в Microsoft Defender for Endpoint
• Настроить параметры оповещений в Microsoft Defender for Endpoint
• Объяснять, как изменяется угроза в кибербезопасности
• Проводить продвинутый поиск в Microsoft 365 Defender
• Управлять инцидентами в Microsoft 365 Defender
• Объяснять, как Microsoft Defender for Identity может устранить риски в вашей среде
• Исследовать оповещения DLP в Microsoft Cloud App Security
• Объяснять виды действий, которые можно предпринять по делу управления рисками внутренних угроз
• Настраивать автоматическое Provisioning в Azure Defender
• Устранять оповещения в Azure Defender
• Составлять KQL-запросы
• Фильтровать поиски на основе времени события, степени серьезности, домена и других соответствующих данных с использованием KQL
• Извлекать данные из неструктурированных строковых полей с помощью KQL
• Управлять рабочей областью Azure Sentinel
• Использовать KQL для доступа к списку наблюдения в Azure Sentinel
• Управлять индикаторами угроз в Azure Sentinel
• Объяснять различия между Общим форматом событий и коннектором Syslog в Azure Sentinel
• Подключать виртуальные машины Windows Azure к Azure Sentinel
• Настроить агента Log Analytics для сбора событий Sysmon
• Создать новые аналитические правила и запросы с помощью мастера аналитических правил
• Создать сценарий для автоматизации реагирования на инциденты
• Использовать запросы для поиска угроз
• Наблюдать за угрозами в течение времени с помощью прямой трансляции

Необходимая подготовка

Для эффективного обучения на курсе слушатели должны обладать следующими знаниями и навыками:

• Базовые знания Microsoft 365
• Основы понимания продуктов безопасности, соответствия и управления идентификацией Microsoft
• Уровень понимания Windows 10 на среднем уровне
• Знакомство с сервисами Azure, в частности Azure SQL Database и Azure Storage
• Знакомство с виртуальными машинами Azure и виртуальными сетями
• Базовые знания концепций скриптования

Модуль 1: Смягчение угроз с использованием Microsoft Defender для Endpoint

Темы

• Защита от угроз с помощью Microsoft Defender для Endpoint
• Развертывание среды Microsoft Defender для Endpoint
• Реализация улучшений безопасности Windows 10 с помощью Microsoft Defender для Endpoint
• Управление оповещениями и инцидентами в Microsoft Defender для Endpoint
• Проведение расследований устройств в Microsoft Defender для Endpoint
• Выполнение действий на устройстве с помощью Microsoft Defender для Endpoint
• Проведение расследований доказательств и сущностей с использованием Microsoft Defender для Endpoint
• Настройка и управление автоматизацией с помощью Microsoft Defender для Endpoint
• Настройка для оповещений и обнаружений в Microsoft Defender для Endpoint
• Использование управления угрозами и уязвимостями в Microsoft Defender для Endpoint

Лабораторная работа: Смягчение угроз с использованием Microsoft Defender для Endpoint

• Развертывание Microsoft Defender для Endpoint
• Смягчение атак с помощью Defender для Endpoint

Модуль 2: Смягчение угроз с использованием Microsoft 365 Defender

Темы

• Введение в защиту от угроз с Microsoft 365
• Смягчение инцидентов с помощью Microsoft 365 Defender
• Защита своих идентичностей с помощью Azure AD Identity Protection
• Устранение рисков с помощью Microsoft Defender для Office 365
• Защита вашей среды с помощью Microsoft Defender для Identity
• Защита ваших облачных приложений и сервисов с помощью Microsoft Cloud App Security
• Реагирование на оповещения о предотвращении потери данных с использованием Microsoft 365
• Управление внутренними рисками в Microsoft 365

Лабораторная работа: Смягчение угроз с использованием Microsoft 365 Defender

• Смягчение атак с Microsoft 365 Defender
• Управлять инцидентами в Microsoft 365 Defender

Модуль 3: Смягчение угроз с использованием Azure Defender

Темы

• Планирование защиты облачных рабочих нагрузок с использованием Azure Defender
• Объяснение защиты облачных рабочих нагрузок в Azure Defender
• Подключение ресурсов Azure к Azure Defender
• Подключение не-Azure ресурсов к Azure Defender
• Устранение оповещений о безопасности с использованием Azure Defender

Лабораторная работа: Смягчение угроз с использованием Azure Defender

• Развертывание Azure Defender
• Смягчение атак с Azure Defender

Модуль 4: Создание запросов для Azure Sentinel с использованием языка запросов Kusto (KQL)

Темы

• Создание KQL-заявлений для Azure Sentinel
• Анализ результатов запросов с использованием KQL
• Создание много-табличных заявлений с использованием KQL
• Работа с данными в Azure Sentinel с использованием языка запросов Kusto

Лабораторная работа: Создание запросов для Azure Sentinel с использованием языка запросов Kusto (KQL)

• Создание базовых KQL-заявлений
• Анализ результатов запросов с использованием KQL
• Создание много-табличных заявлений с использованием KQL
• Работа со строковыми данными с помощью KQL-заявлений

Модуль 5: Настройка вашей среды Azure Sentinel

Темы

• Введение в Azure Sentinel
• Создание и управление рабочими пространствами Azure Sentinel
• Запрос журналов в Azure Sentinel
• Использование списков наблюдения в Azure Sentinel
• Использование разведданных о угрозах в Azure Sentinel

Лабораторная работа: Настройка вашей среды Azure Sentinel

• Создание рабочего пространства Azure Sentinel
• Создание списка наблюдения
• Создание индикатора угрозы

Модуль 6: Подключение журналов к Azure Sentinel

Темы

• Подключение данных к Azure Sentinel с использованием коннекторов данных
• Подключение сервисов Microsoft к Azure Sentinel
• Подключение Microsoft 365 Defender к Azure Sentinel
• Подключение Windows-хостов к Azure Sentinel
• Подключение журналов Common Event Format к Azure Sentinel
• Подключение источников данных syslog к Azure Sentinel
• Подключение индикаторов угроз к Azure Sentinel

Лабораторная работа: Подключение журналов к Azure Sentinel

• Подключение сервисов Microsoft к Azure Sentinel
• Подключение Windows-хостов к Azure Sentinel
• Подключение Linux-хостов к Azure Sentinel
• Подключение разведданных о threats к Azure Sentinel

Модуль 7: Создание обнаружений и проведение расследований с использованием Azure Sentinel

Темы

• Обнаружение угроз с помощью аналитики Azure Sentinel
• Реакция на угрозы с использованием сценариев Azure Sentinel
• Управление инцидентами безопасности в Azure Sentinel
• Использование аналитики поведения сущностей в Azure Sentinel
• Запрос, визуализация и мониторинг данных в Azure Sentinel

Лабораторная работа: Создание обнаружений и проведение расследований с использованием Azure Sentinel

• Создание аналитических правил
• Моделирование атак для определения логики правил
• Смягчение атак с использованием Azure Sentinel
• Создание рабочих журналов в Azure Sentinel

Модуль 8: Проведение охоты на угрозы в Azure Sentinel

Темы

• Охота на угрозы с помощью Azure Sentinel
• Охота за угрозами с использованием заметок в Azure Sentinel

Лабораторная работа: Охота на угрозы в Azure Sentinel

• Охота на угрозы в Azure Sentinel
• Охота на угрозы с использованием заметок