Курс SC-200: Microsoft Security Operations Analyst

SC-200: Microsoft Security Operations Analyst

Узнайте, как исследовать, реагировать и отслеживать угрозы, используя Microsoft Azure Sentinel, Azure Defender и Microsoft 365 Defender. На курсе SC-200: Microsoft Security Operations Analyst вы научитесь смягчать киберугрозы с помощью этих технологий. В частности, вы научитесь настраивать и использовать Azure Sentinel, а также использовать язык запросов Kusto (KQL) для обнаружения, анализа и составления отчетов. Курс предназначен для людей, работающих в области безопасности, и помогает подготовиться к экзамену SC-200: Аналитик по операциям безопасности Microsoft.

Модуль 1: Устранение угроз с помощью Microsoft Defender для конечных точек

Реализуйте платформу Microsoft Defender для конечных точек для обнаружения, исследования и реагирования на продвинутые угрозы. Узнайте, как Microsoft Defender для конечных точек может помочь вашей организации оставаться в безопасности. Научитесь разворачивать среду Microsoft Defender для конечных точек, включая подключение устройств и настройку безопасности. Научитесь исследовать инциденты и оповещения с использованием Microsoft Defender для конечных точек. Выполните продвинутый поиск и проконсультируйтесь с экспертами по угрозам. Вы также узнаете, как настроить автоматизацию в Microsoft Defender для конечных точек, управляя настройками окружающей среды. Наконец, вы узнаете о слабых местах вашей среды с помощью управления угрозами и уязвимостями в Microsoft Defender для конечных точек.

Темы:

Защита от угроз с помощью Microsoft Defender для конечных точек
Развертывание среды Microsoft Defender для конечных точек
Реализация улучшений безопасности Windows 10 с помощью Microsoft Defender для конечных точек
Управление оповещениями и инцидентами в Microsoft Defender для конечных точек
Проведение исследований устройств с использованием Microsoft Defender для конечных точек
Выполнение действий на устройстве с помощью Microsoft Defender для конечных точек
Проведение исследований свидетельств и сущностей с использованием Microsoft Defender для конечных точек
Настройка и управление автоматизацией с помощью Microsoft Defender для конечных точек
Настройка оповещений и обнаружений в Microsoft Defender для конечных точек
Использование управления угрозами и уязвимостями в Microsoft Defender для конечных точек

Модуль 2: Устранение угроз с помощью Microsoft 365 Defender

Анализируйте данные об угрозах в разных доменах и быстро устраняйте угрозы с помощью встроенной оркестрации и автоматизации в Microsoft 365 Defender. Узнайте о кибербезопасности и о том, как новые инструменты защиты от угроз от Microsoft защищают пользователей, устройства и данные вашей организации. Используйте продвинутое обнаружение и устранение угроз, основанных на идентификации, чтобы защитить ваши идентификаторы и приложения Azure Active Directory от компрометации.

Темы:

Введение в защиту от угроз с Microsoft 365
Устранение инцидентов с использованием Microsoft 365 Defender
Защита ваших идентификаторов с помощью Azure AD Identity Protection
Устранение рисков с Microsoft Defender для Office 365
Защита вашей среды с помощью Microsoft Defender для идентификации
Обеспечение безопасности ваших облачных приложений и сервисов с помощью Microsoft Cloud App Security
Реагирование на оповещения о предотвращении потери данных с использованием Microsoft 365
Управление внутренними рисками в Microsoft 365

Модуль 3: Устранение угроз с помощью Azure Defender

Используйте Azure Defender в интеграции с Azure Security Center для защиты и обеспечения безопасности рабочих нагрузок в Azure, гибридном облаке и на локальных платформах. Изучите назначение Azure Defender, взаимосвязь Azure Defender с Azure Security Center и способы активации Azure Defender. Вы также узнаете о защите и обнаружении угроз, предоставляемых Azure Defender для каждой облачной рабочей нагрузки. Узнайте, как вы можете добавить возможности Azure Defender в вашу гибридную среду.

Темы:

Планирование защиты облачных рабочих нагрузок с использованием Azure Defender
Объяснение защиты облачных рабочих нагрузок в Azure Defender
Подключение активов Azure к Azure Defender
Подключение ресурсов, не являющихся частью Azure, к Azure Defender
Устранение оповещений о безопасности с использованием Azure Defender

Модуль 4: Создание запросов для Azure Sentinel с использованием языка запросов Kusto (KQL)

Создавайте выражения языка запросов Kusto (KQL) для запросов данных журналов, чтобы выполнять обнаружение, анализ и отчетность в Azure Sentinel. Этот модуль сосредоточится на наиболее часто используемых операторах. Примеры выражений KQL будут демонстрировать запросы, связанные с таблицами безопасности. KQL - это язык запросов, используемый для анализа данных для создания аналитики, рабочих книг и отслеживания угроз в Azure Sentinel. Узнайте, как базовая структура выражения KQL является основой для создания более сложных выражений. Узнайте, как суммировать и визуализировать данные с помощью выражения KQL, что является основой для создания обнаружений в Azure Sentinel. Узнайте, как использовать язык запросов Kusto (KQL) для манипулирования строковыми данными, полученными из источников журналов.

Темы:

Составление выражений KQL для Azure Sentinel
Анализ результатов запросов с использованием KQL
Создание многостолбчатых выражений с использованием KQL
Работа с данными в Azure Sentinel с использованием языка запросов Kusto

Модуль 5: Настройка среды Azure Sentinel

Начните работу с Azure Sentinel, правильно настроив рабочую область Azure Sentinel. Традиционные системы управления безопасностью информации и событий (SIEM) обычно требуют много времени для настройки и конфигурации. Кроме того, они не всегда разрабатываются с учетом облачных рабочих нагрузок. Azure Sentinel позволяет вам быстро начать получать ценные сведения о безопасности из ваших облачных и локальных данных. Этот модуль поможет вам начать работу. Узнайте об архитектуре рабочих областей Azure Sentinel, чтобы убедиться, что вы настраиваете систему в соответствии с требованиями безопасности вашей организации. Как аналитик по операциям безопасности, вы должны понимать таблицы, поля и данные, загруженные в вашей рабочей области. Узнайте, как выполнять запросы к наиболее используемым данным таблиц в Azure Sentinel.

Темы:

Введение в Azure Sentinel
Создание и управление рабочими областями Azure Sentinel
Запросы журналов в Azure Sentinel
Использование списков наблюдения в Azure Sentinel
Использование интеллектуального анализа угроз в Azure Sentinel

Модуль 6: Подключение журналов к Azure Sentinel

Подключите данные в масштабе облака от всех пользователей, устройств, приложений и инфраструктуры, как на локальных платформах, так и в нескольких облаках, к Azure Sentinel. Основной подход к подключению данных журналов - использование коннекторов данных, предоставляемых Azure Sentinel. Этот модуль предоставляет обзор доступных коннекторов данных. Вы узнаете о вариантах конфигурации и данных, предоставляемых коннекторами Azure Sentinel для Microsoft 365 Defender.

Темы:

Подключение данных к Azure Sentinel с использованием коннекторов данных
Подключение сервисов Microsoft к Azure Sentinel
Подключение Microsoft 365 Defender к Azure Sentinel
Подключение хостов Windows к Azure Sentinel
Подключение журналов Common Event Format к Azure Sentinel
Подключение источников данных syslog к Azure Sentinel
Подключение индикаторов угроз к Azure Sentinel

Модуль 7: Создание обнаружений и проведение расследований с использованием Azure Sentinel

Обнаруживайте ранее не выявленные угрозы и быстро устраняйте их с помощью встроенной оркестрации и автоматизации в Azure Sentinel. Вы узнаете, как создавать плейбуки Azure Sentinel для реагирования на угрозы безопасности. Вы будете исследовать управление инцидентами в Azure Sentinel, узнать о событиях и объектах Azure Sentinel и откроете способы разрешения инцидентов. Вы также научитесь выполнять запросы, визуализировать и мониторить данные в Azure Sentinel.

Темы:

Обнаружение угроз с помощью аналитики Azure Sentinel
Реагирование на угрозы с помощью плейбуков Azure Sentinel
Управление инцидентами безопасности в Azure Sentinel
Использование аналитики поведения сущностей в Azure Sentinel
Выполнение запросов, визуализация и мониторинг данных в Azure Sentinel

Модуль 8: Проведение поиска угроз в Azure Sentinel

В этом модуле вы научитесь проактивно определять угрозы поведения, используя запросы Azure Sentinel. Вы также научитесь использовать закладки и прямые трансляции для поиска угроз. Вы также узнаете, как использовать записные книжки в Azure Sentinel для продвинутого поиска угроз.

Темы:

Поиск угроз с помощью Azure Sentinel
Поиск угроз с использованием записных книжек в Azure Sentinel

Аналитик по операциям безопасности Microsoft сотрудничает с заинтересованными сторонами организации для обеспечения безопасности информационных технологий. Их цель - сократить риски для организации, быстро устраняя активные атаки в среде, советуя по улучшению практик защиты от угроз и направляя нарушения организационных политик соответствующим лицам. Обязанности включают управление угрозами, мониторинг и реагирование с использованием различных решений безопасности в их среде. Роль включает в себя исследование, реагирование и поиск угроз с использованием Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender и сторонних продуктов безопасности.

Базовое понимание Microsoft 365
Фундаментальное понимание продуктов Microsoft в области безопасности, соответствия и идентификации
Среднее понимание Windows 10
Знакомство с услугами Azure, в частности с Azure SQL Database и Azure Storage
Знакомство с виртуальными машинами и виртуальными сетями Azure
Базовое понимание концепций скриптов.

SC-200: Microsoft Security Operations Analyst

SC-200: Microsoft Security Operations Analyst

Modal title