Курс был разработан для специалистов, работающих в сфере обеспечения безопасности, и помогает в подготовке к экзамену «SC-200: Аналитик по безопасности Microsoft (Microsoft Security Operations Analyst)».
Предварительные требования:
Для эффективного обучения на данном курсе, слушатели должны обладать знаниями:
-
базовое понимание Microsoft 365;
-
базовое понимание продуктов Microsoft для обеспечения безопасности, соответствия требованиям и идентификации;
-
среднее понимание Windows 10;
-
ознакомленность со службами Azure, в частности с базой данных SQL Azure и хранилищем Azure;
-
ознакомленность с виртуальными машинами Azure и виртуальными сетями;
-
базовое понимание концепций создания сценариев.
Цель курса:
По окончании курса слушатели приобретут знания и смогут:
-
объяснять, как Microsoft Defender для Endpoint может устранять риски в вашей среде;
-
создавать Microsoft Defender для среды Endpoint;
-
настраивать правила уменьшения области атаки на устройствах с Windows 10;
-
выполнять действия на устройстве с помощью Microsoft Defender для Endpoint;
-
расследовать домены и IP-адреса в Microsoft Defender для Endpoint;
-
расследовать учетные записи пользователей в Microsoft Defender для Endpoint;
-
настраивать параметры предупреждений в Microsoft Defender для Endpoint;
-
объяснять, как меняется ландшафт угроз;
-
проводить расширенную охоту в Microsoft 365 Defender;
-
управлять инцидентами в Microsoft 365 Defender;
-
объяснять, как Microsoft Defender для идентификации может устранять риски в вашей среде;
-
изучить предупреждения DLP в Microsoft Cloud App Security;
-
объяснять типы действий, которые вы можете предпринять, работая с обращениями с инсайдерскими рисками;
-
настраивать автоматическую подготовку в Azure Defender;
-
исправлять предупреждения в Azure Defender;
-
создавать операторы KQL;
-
фильтровать поиск по времени события, серьезности, домену и другим релевантным данным с помощью KQL;
-
извлекать данные из неструктурированных строковых полей с помощью KQL;
-
управлять рабочим пространством Azure Sentinel;
-
использовать KQL для доступа к списку наблюдения в Azure Sentinel;
-
управлять индикаторами угроз в Azure Sentinel;
-
объяснять различия в формате общих событий и коннектора системного журнала в Azure Sentinel;
-
подключать виртуальные машины Windows Azure к Azure Sentinel;
-
настраивать агента Log Analytics для сбора событий Sysmon;
-
создавать новые правила и запросы аналитики с помощью мастера правил аналитики;
-
создавать сценарий для автоматизации реагирования на инциденты;
-
использовать запросы для поиска угроз;
Аудитория курса:
Аналитики по безопасности Microsoft сотрудничают с заинтересованными сторонами в организации для обеспечения безопасности ИТ-систем в организации. Их цель - снизить организационный риск за счет быстрого устранения активных атак в среде, предоставляя рекомендации по усовершенствованию методов защиты от угроз и направления нарушений политики организации соответствующим заинтересованным сторонам. В обязанности специалиста входит управление угрозами, мониторинг и реагирование с использованием различных решений безопасности в своей среде. Аналитики в первую очередь исследуют угрозы, реагируют на них и отслеживают их с помощью Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender и сторонних продуктов безопасности. Поскольку аналитики операционной безопасности использует результаты работы этих инструментов, они также являются критически важными заинтересованными сторонами при настройке и развертывании данных технологий.
1. Устранение угроз с помощью Microsoft Defender для Endpoint
-
Защита от угроз с помощью Microsoft Defender для Endpoint
-
Развертывание Microsoft Defender для среды Endpoint
-
Внедрение улучшений безопасности Windows 10 с помощью Microsoft Defender для Endpoint
-
Управление предупреждениями и инцидентами в Microsoft Defender для Endpoint
-
Выполнение расследований на устройстве в Microsoft Defender для Endpoint
-
Выполнение действий на устройстве с помощью Microsoft Defender для Endpoint
-
Выполнение расследования доказательств и сущностей с помощью Microsoft Defender для Endpoint
-
Настройка и управление автоматизацией с помощью Microsoft Defender для Endpoint
-
Настройка предупреждений и обнаружений в Microsoft Defender для Endpoint
-
Использование управления угрозами и уязвимостями в Microsoft Defender для Endpoint
2. Устранение угроз с помощью Microsoft 365 Defender
-
Введение в защиту от угроз с помощью Microsoft 365
-
Устранение инцидентов с помощью Microsoft 365 Defender
-
Защита идентификаций с помощью Azure AD Identity Protection
-
Устранение рисков с помощью Microsoft Defender для Office 365
-
Защита среды с помощью Microsoft Defender для идентификации
-
Защита облачных приложений и сервисов с помощью Microsoft Cloud App Security
-
Реакция на предупреждения о предотвращении потери данных с помощью Microsoft 365
-
Управление внутренними рисками в Microsoft 365
3. Устранение угроз с помощью Azure Defender
-
Планирование защиты облачных рабочих нагрузок с помощью Azure Defender
-
Объяснение защиты облачных рабочих нагрузок в Azure Defender
-
Подключение ресурсов Azure к Azure Defender
-
Подключение ресурсов, не относящихся к Azure, к Azure Defender
-
Исправление предупреждений системы безопасности с помощью Azure Defender
4. Создание запросов для Azure Sentinel с помощью языка запросов Kusto (KQL)
-
Создание инструкций KQL для Azure Sentinel
-
Анализ результатов запроса с помощью KQL
-
Создание многотабличных операторов с помощью KQL
-
Работа с данными в Azure Sentinel с помощью языка запросов Kusto
5. Настройка среды Azure Sentinel
-
Введение в Azure Sentinel
-
Создание рабочих областей Azure Sentinel и управление ими
-
Журналы запросов в Azure Sentinel
-
Использование списков наблюдения в Azure Sentinel
-
Использование аналитики угроз в Azure Sentinel
6. Подключение журналов к Azure Sentinel
-
Подключение данных к Azure Sentinel с помощью коннекторов данных
-
Подключение служб Microsoft к Azure Sentinel
-
Подключение Microsoft 365 Defender к Azure Sentinel
-
Подключение хостов Windows к Azure Sentinel
-
Подключение журналов общего формата событий к Azure Sentinel
-
Подключение источников данных системного журнала к Azure Sentinel
-
Подключение индикаторов угроз к Azure Sentinel
7. Создание обнаружения и проведение расследования с помощью Azure Sentinel
-
Обнаружение угроз с помощью аналитики Azure Sentinel
-
Реагирование на угрозы с помощью сценариев Azure Sentinel
-
Управление инцидентами безопасности в Azure Sentinel
-
Использование аналитики поведения сущностей в Azure Sentinel
-
Запрос, визуализация и мониторинг данных в Azure Sentinel
8. Выполнение поиска угроз в Azure Sentinel
-
Охота на угрозы с помощью Azure Sentinel
-
Поиск угроз с помощью записных книжек в Azure Sentinel