Казахстан, г. Алматы, ул. Шевченко 90, БЦ «Каратал», офис 53
Казахстан, г. Астана, ул. Иманова 19, БЦ Деловой Дом "Алма-Ата", офис 612

направление: Azure кол-во дней: 4
вендор: Microsoft кол-во часов: 32
код курса: SC-200T00

Курс был разработан для специалистов, работающих в сфере обеспечения безопасности, и помогает в подготовке к экзамену «SC-200: Аналитик по безопасности Microsoft (Microsoft Security Operations Analyst)».

Предварительные требования:

Для эффективного обучения на данном курсе, слушатели должны обладать знаниями:

  • базовое понимание Microsoft 365;
  • базовое понимание продуктов Microsoft для обеспечения безопасности, соответствия требованиям и идентификации;
  • среднее понимание Windows 10;
  • ознакомленность со службами Azure, в частности с базой данных SQL Azure и хранилищем Azure;
  • ознакомленность с виртуальными машинами Azure и виртуальными сетями;
  • базовое понимание концепций создания сценариев.

Цель курса:

По окончании курса слушатели приобретут знания и смогут:

  • объяснять, как Microsoft Defender для Endpoint может устранять риски в вашей среде;
  • создавать Microsoft Defender для среды Endpoint;
  • настраивать правила уменьшения области атаки на устройствах с Windows 10;
  • выполнять действия на устройстве с помощью Microsoft Defender для Endpoint;
  • расследовать домены и IP-адреса в Microsoft Defender для Endpoint;
  • расследовать учетные записи пользователей в Microsoft Defender для Endpoint;
  • настраивать параметры предупреждений в Microsoft Defender для Endpoint;
  • объяснять, как меняется ландшафт угроз;
  • проводить расширенную охоту в Microsoft 365 Defender;
  • управлять инцидентами в Microsoft 365 Defender;
  • объяснять, как Microsoft Defender для идентификации может устранять риски в вашей среде;
  • изучить предупреждения DLP в Microsoft Cloud App Security;
  • объяснять типы действий, которые вы можете предпринять, работая с обращениями с инсайдерскими рисками;
  • настраивать автоматическую подготовку в Azure Defender;
  • исправлять предупреждения в Azure Defender;
  • создавать операторы KQL;
  • фильтровать поиск по времени события, серьезности, домену и другим релевантным данным с помощью KQL;
  • извлекать данные из неструктурированных строковых полей с помощью KQL;
  • управлять рабочим пространством Azure Sentinel;
  • использовать KQL для доступа к списку наблюдения в Azure Sentinel;
  • управлять индикаторами угроз в Azure Sentinel;
  • объяснять различия в формате общих событий и коннектора системного журнала в Azure Sentinel;
  • подключать виртуальные машины Windows Azure к Azure Sentinel;
  • настраивать агента Log Analytics для сбора событий Sysmon;
  • создавать новые правила и запросы аналитики с помощью мастера правил аналитики;
  • создавать сценарий для автоматизации реагирования на инциденты;
  • использовать запросы для поиска угроз;

Аудитория курса:

Аналитики по безопасности Microsoft сотрудничают с заинтересованными сторонами в организации для обеспечения безопасности ИТ-систем в организации. Их цель - снизить организационный риск за счет быстрого устранения активных атак в среде, предоставляя рекомендации по усовершенствованию методов защиты от угроз и направления нарушений политики организации соответствующим заинтересованным сторонам. В обязанности специалиста входит управление угрозами, мониторинг и реагирование с использованием различных решений безопасности в своей среде. Аналитики в первую очередь исследуют угрозы, реагируют на них и отслеживают их с помощью Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender и сторонних продуктов безопасности. Поскольку аналитики операционной безопасности использует результаты работы этих инструментов, они также являются критически важными заинтересованными сторонами при настройке и развертывании данных технологий.

1. Устранение угроз с помощью Microsoft Defender для Endpoint

  • Защита от угроз с помощью Microsoft Defender для Endpoint
  • Развертывание Microsoft Defender для среды Endpoint
  • Внедрение улучшений безопасности Windows 10 с помощью Microsoft Defender для Endpoint
  • Управление предупреждениями и инцидентами в Microsoft Defender для Endpoint
  • Выполнение расследований на устройстве в Microsoft Defender для Endpoint
  • Выполнение действий на устройстве с помощью Microsoft Defender для Endpoint
  • Выполнение расследования доказательств и сущностей с помощью Microsoft Defender для Endpoint
  • Настройка и управление автоматизацией с помощью Microsoft Defender для Endpoint
  • Настройка предупреждений и обнаружений в Microsoft Defender для Endpoint
  • Использование управления угрозами и уязвимостями в Microsoft Defender для Endpoint

2. Устранение угроз с помощью Microsoft 365 Defender

  • Введение в защиту от угроз с помощью Microsoft 365
  • Устранение инцидентов с помощью Microsoft 365 Defender
  • Защита идентификаций с помощью Azure AD Identity Protection
  • Устранение рисков с помощью Microsoft Defender для Office 365
  • Защита среды с помощью Microsoft Defender для идентификации
  • Защита облачных приложений и сервисов с помощью Microsoft Cloud App Security
  • Реакция на предупреждения о предотвращении потери данных с помощью Microsoft 365
  • Управление внутренними рисками в Microsoft 365

3. Устранение угроз с помощью Azure Defender

  • Планирование защиты облачных рабочих нагрузок с помощью Azure Defender
  • Объяснение защиты облачных рабочих нагрузок в Azure Defender
  • Подключение ресурсов Azure к Azure Defender
  • Подключение ресурсов, не относящихся к Azure, к Azure Defender
  • Исправление предупреждений системы безопасности с помощью Azure Defender

4. Создание запросов для Azure Sentinel с помощью языка запросов Kusto (KQL)

  • Создание инструкций KQL для Azure Sentinel
  • Анализ результатов запроса с помощью KQL
  • Создание многотабличных операторов с помощью KQL
  • Работа с данными в Azure Sentinel с помощью языка запросов Kusto

5. Настройка среды Azure Sentinel

  • Введение в Azure Sentinel
  • Создание рабочих областей Azure Sentinel и управление ими
  • Журналы запросов в Azure Sentinel
  • Использование списков наблюдения в Azure Sentinel
  • Использование аналитики угроз в Azure Sentinel

6. Подключение журналов к Azure Sentinel

  • Подключение данных к Azure Sentinel с помощью коннекторов данных
  • Подключение служб Microsoft к Azure Sentinel
  • Подключение Microsoft 365 Defender к Azure Sentinel
  • Подключение хостов Windows к Azure Sentinel
  • Подключение журналов общего формата событий к Azure Sentinel
  • Подключение источников данных системного журнала к Azure Sentinel
  • Подключение индикаторов угроз к Azure Sentinel

7. Создание обнаружения и проведение расследования с помощью Azure Sentinel

  • Обнаружение угроз с помощью аналитики Azure Sentinel
  • Реагирование на угрозы с помощью сценариев Azure Sentinel
  • Управление инцидентами безопасности в Azure Sentinel
  • Использование аналитики поведения сущностей в Azure Sentinel
  • Запрос, визуализация и мониторинг данных в Azure Sentinel

8. Выполнение поиска угроз в Azure Sentinel

  • Охота на угрозы с помощью Azure Sentinel
  • Поиск угроз с помощью записных книжек в Azure Sentinel