SC-200 - Microsoft Security Operations Analyst

Microsoft Security Operations Analyst spolupracuje s organizačními subjekty na zabezpečení systémů informačních technologií pro organizaci. Jejich cílem je snížit organizační riziko rychlou nápravou aktivních útoků v prostředí, poradenstvím ohledně vylepšení postupů ochrany před hrozbami a doporučením porušení zásad organizace příslušným zúčastněným stranám. Mezi odpovědnosti patří správa hrozeb, monitorování a reakce pomocí různých bezpečnostních řešení napříč jejich prostředím. Role primárně vyšetřuje, reaguje a loví hrozby pomocí Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender a bezpečnostních produktů třetích stran. Vzhledem k tomu, že Security Operations Analyst spotřebovává provozní výstup těchto nástrojů, jsou také důležitým účastníkem v konfiguraci a nasazení těchto technologií.

• Základní znalost Microsoft 365
• Základní pochopení produktů společnosti Microsoft pro zabezpečení, dodržování předpisů a identitu
• Znalost systému Windows 10
• Znalost služeb Azure, konkrétně Azure SQL Database a Azure Storage
• Znalost virtuálních strojů Azure a virtuálních sítí
• Základní porozumění konceptů skriptování

Kurz byl navržen pro všechny, kteří pracují v roli Security Operations a pomáhá studentům připravit se na zkoušku SC-200: Microsoft Security Operations Analyst.

Implementace platformy Microsoft Defender pro Endpoint k detekci, vyšetřování a reakci na pokročilé hrozby. Jak může Microsoft Defender pro Endpoint pomoci organizaci zůstat v bezpečí. Jak nasadit prostředí Microsoft Defender pro Endpoint, včetně připojení zařízení a konfigurace zabezpečení. Jak vyšetřovat incidenty a výstrahy pomocí Microsoft Defenderu pro koncové body. Jak konfigurovat automatizaci v Microsoft Defenderu pro Endpoint pomocí správy nastavení prostředí. Slabé stránky prostředí pomocí Threat and Vulnerability Management v Microsoft Defender for Endpoint.

• Ochrana před hrozbami pomocí aplikace Microsoft Defender pro Endpoint
• Nasazení Microsoft Defender pro prostředí Endpoint
• Implementace vylepšení zabezpečení Windows 10 pomocí Microsoft Defender pro Endpoint
• Správa výstrahy a incidentů v Microsoft Defenderu pro Endpoint
• Vyšetřování zařízení v Microsoft Defenderu pro Endpoint
• Akce na zařízení pomocí Microsoft Defender pro Endpoint
• Vyšetřování důkazů a entit pomocí Microsoft Defenderu pro koncový bod
• Konfigurace a správa automatizace pomocí Microsoft Defender pro Endpoint
• Konfigurace výstrahy a detekce v Microsoft Defenderu pro koncový bod
• Správa hrozeb a zranitelnosti v programu Microsoft Defender pro koncový bod
• Lab: Zmírnění hrozeb pomocí programu Microsoft Defender pro Endpoint

Analýza data hrozeb napříč doménami a rychlá náprava hrozeb pomocí integrované orchestrace a automatizace v Microsoft 365 Defender. Kybernetické bezpečnostní hrozby. Jak nové nástroje na ochranu před hrozbami od společnosti Microsoft chrání uživatele, zařízení a data organizace. Ochrana identit a aplikace Azure Active Directory před kompromisem pomocí pokročilé detekce a nápravy hrozeb založených na identitě.

• Úvod do ochrany před hrozbami pomocí Microsoft 365
• Zmírnění incidentů pomocí Microsoft 365 Defender
• Ochrana identit pomocí Azure AD Identity Protection
• Oprava rizik pomocí Microsoft Defenderu pro Office 365
• Ochrana prostředí pomocí aplikace Microsoft Defender pro identitu
• Zabezpečení cloudové aplikace a služby pomocí Microsoft Cloud App Security
• Reakce na upozornění na prevenci ztráty dat pomocí Microsoft 365
• Správa zasvěcených rizik v Microsoft 365
• Lab: Zmírnění hrozeb pomocí Microsoft 365 Defender

Použití Azure Defender integrovaného s Azure Security Center, pro Azure, hybridní cloud a místní ochranu a zabezpečení pracovního vytížení. Naučte se účel Azure Defenderu, vztah Azure Defenderu k Azure Security Center a jak povolit Azure Defender. Ochrana a detekce poskytovaných Azure Defenderem pro každé cloudové pracovní vytížení. Jak do hybridního prostředí přidat funkce Azure Defender.

• Ochrana cloudového pracovního vytížení pomocí Azure Defender
• Připojení prostředků Azure k Azure Defenderu
• Připojení prostředků, které nejsou Azure, k Azure Defenderu
• Oprava výstrah zabezpečení pomocí Azure Defenderu
• Lab: Zmírnění hrozeb pomocí Azure Defender

Zápis příkazů Kusto Query Language (KQL) do dat protokolu dotazu. Detekce, analýza a vytváření sestav v Azure Sentinel. Tento modul se zaměří na nejpoužívanější operátory. Ukázkové příkazy KQL předvedou dotazy na tabulky související se zabezpečením. KQL je dotazovací jazyk používaný k provádění analýzy dat k vytváření analytik, sešitů a provádění lovu v Azure Sentinel. Jak základní struktura příkazů KQL poskytuje základ pro vytváření složitějších příkazů. Jak sumarizovat a vizualizovat data pomocí příkazu KQL, poskytuje základ pro vytváření detekcí v Azure Sentinel. Jak používat Kusto Query Language (KQL) k manipulaci s řetězcovými daty získanými ze zdrojů protokolu.

• Vytváření příkazů KQL pro Azure Sentinel
• Analýza výsledků dotazu pomocí KQL
• Tvorba příkazů s více tabulkami pomocí KQL
• Práce s daty v Azure Sentinel pomocí Kusto Query Language
• Lab: Vytváření dotazů pro Azure Sentinel pomocí jazyka Kusto Query Language (KQL)

Začněte s Azure Sentinel správnou konfigurací pracovního prostoru Azure Sentinel. Nastavení a konfigurace tradičních systémů zabezpečení informací a správy událostí (SIEM) obvykle trvá dlouhou dobu. Rovněž nemusí být nutně navrženy s ohledem na cloudovou pracovní zátěž. Azure Sentinel vám umožní rychle začít získávat cenné bezpečnostní informace z vašich cloudových a místních dat. Tento modul vám pomůže začít. Zjistěte více o architektuře pracovních prostorů Azure Sentinel, abyste zajistili, že nakonfigurujete svůj systém tak, aby splňoval požadavky na zabezpečení provozu vaší organizace. Jako analytik bezpečnostních operací musíte pochopit tabulky, pole a data přijatá ve vašem pracovním prostoru. Jak dotazovat nejpoužívanější datové tabulky v Azure Sentinel.

• Úvod do Azure Sentinel
• Tvorba a správa Azure Sentinel workspaces
• Dotazy na protokoly v Azure Sentinel
• Použití seznamů sledování ve službě Azure Sentinel
• Využití informací o hrozbách ve službě Azure Sentinel
• Lab: Konfigurace prostředí Azure Sentinel

Připojení dat v cloudovém měřítku napříč všemi uživateli, zařízeními, aplikacemi a infrastrukturou, jak místně, tak ve více cloudech, k Azure Sentinel. Primární přístup k připojení dat protokolu je pomocí datových konektorů poskytnutých Azure Sentinel. Tento modul poskytuje přehled dostupných datových konektorů. Možnosti konfigurace a dat poskytovaných konektory Azure Sentinel pro Microsoft 365 Defender.

• Připojení dat k Azure Sentinel pomocí datových konektorů
• Připojení služby Microsoft k Azure Sentinel
• Připojení Microsoft 365 Defender k Azure Sentinel
• Připojení hostitele Windows k Azure Sentinel
• Připojení běžných protokolů formátu událostí k Azure Sentinel
• Připojení zdroje dat syslog k Azure Sentinel
• Připojení indikátorů hrozeb k Azure Sentinel
• Lab: Připojení protokolů k Azure Sentinel

Zjistěte dříve odkryté hrozby a rychle napravte hrozby pomocí integrované orchestrace a automatizace ve službě Azure Sentinel. Jak vytvořit scénáře Azure Sentinel, které budou reagovat na bezpečnostní hrozby. Správa incidentů Azure Sentinel, události a entity Azure Sentinel a způsoby řešení incidentů. Jak dotazovat, vizualizovat a monitorovat data v Azure Sentinel.

• Detekce hrozeb s analytikou Azure Sentinel
• Reakce na ohrožení pomocí playbooků Azure Sentinel
• Správa bezpečnostních incidentů v Azure Sentinel
• Použití analýzy chování entit ve službě Azure Sentinel
• Dotazy, vizualizace a sledování dat v Azure Sentinel
• Lab: Vytváření detekcí a provádění vyšetřování pomocí Azure Sentinel

V tomto modulu se naučíte proaktivně identifikovat chování hrozeb pomocí dotazů Azure Sentinel. Naučíte se také používat záložky a živý přenos k lovu hrozeb. Naučíte se také, jak používat notebooky v Azure Sentinel pro pokročilý lov.

• Lov hrozeb s Azure Sentinel
• Lov na hrozby pomocí notebooků v Azure Sentinel
• Lab: Lov hrozeb v Azure Sentinel