SC-200 Microsoft Security Operations Analyst

Cílová skupina

Microsoft Security Operations Analyst spolupracuje se zainteresovanými stranami na zabezpečení systémů informačních technologií pro organizaci. Jejich cílem je snížit riziko organizace rychlou nápravou aktivních útoků v prostředí, poradenstvím ohledně zlepšení postupů ochrany před hrozbami a předáváním porušení zásad organizace příslušným zainteresovaným stranám. Mezi odpovědnosti patří správa hrozeb, monitorování a reakce pomocí různých bezpečnostních řešení v jejich prostředí. Role primárně vyšetřuje hrozby, reaguje na ně a vyhledává hrozby pomocí Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender a bezpečnostních produktů třetích stran. Vzhledem k tomu, že Security Operations Analyst spotřebovává provozní výstup těchto nástrojů, jsou také kritickým zainteresovaným subjektem při konfiguraci a nasazení těchto technologií.

Struktura kurzu

Modul 1: Zmírněte hrozby pomocí programu Microsoft Defender for Endpoint

Implementujte platformu Microsoft Defender for Endpoint k detekci, vyšetřování a reakci na pokročilé hrozby. Zjistěte, jak může Microsoft Defender for Endpoint pomoci vaší organizaci zůstat v bezpečí. Přečtěte si, jak nasadit prostředí Microsoft Defender for Endpoint, včetně integrace zařízení a konfigurace zabezpečení. Jak vyšetřovat incidenty a výstrahy pomocí programu Microsoft Defender for Endpoints. Provádějte pokročilý lov a poraďte se s odborníky na hrozby. Dozvíte se také, jak konfigurovat automatizaci v programu Microsoft Defender pro Endpoint pomocí správy nastavení prostředí. Nakonec se dozvíte o slabinách vašeho prostředí pomocí správy hrozeb a zranitelností v programu Microsoft Defender for Endpoint.

Lekce

• Chraňte se před hrozbami pomocí programu Microsoft Defender for Endpoint
• Nasaďte prostředí Microsoft Defender for Endpoint
• Implementujte vylepšení zabezpečení Windows 10 pomocí programu Microsoft Defender for Endpoint
• Spravujte výstrahy a incidenty v programu Microsoft Defender for Endpoint
• Proveďte šetření zařízení v programu Microsoft Defender for Endpoint
• Provádějte akce na zařízení pomocí programu Microsoft Defender for Endpoint
• Důkazy a vyšetřování entit pomocí programu Microsoft Defender for Endpoint
• Nakonfigurujte a spravujte automatizaci pomocí programu Microsoft Defender for Endpoint
• Nakonfigurujte výstrahy a detekce v aplikaci Microsoft Defender for Endpoint
• Využijte správu hrozeb a zranitelností v programu Microsoft Defender for Endpoint

Lab : Zmírněte hrozby pomocí programu Microsoft Defender for Endpoint

• Nasaďte Microsoft Defender pro Endpoint
• Zmírněte útoky pomocí programu Defender for Endpoint

Po absolvování tohoto modulu budete schopní:

• Definovať možnosti programu Microsoft Defender for Endpoint
• Nakonfigurovať nastavenia prostredia Microsoft Defender for Endpoint
• Nakonfigurovať pravidlá Attack Surface Reduction na zariadeniach s Windows 10
• Preskúmať výstrahy v programe Microsoft Defender for Endpoint
• Popísať forenzné informácie zariadenia zhromaždené aplikáciou Microsoft Defender pre Endpoint
• Vykonávať zber forenzných dát pomocou programu Microsoft Defender for Endpoint
• Preskúmať užívateľské účty v programe Microsoft Defender for Endpoint
• Spravovať nastavenia automatizácie v programe Microsoft Defender for Endpoint
• Spravovať indikátory v aplikácii Microsoft Defender for Endpoint
• Popísať správu hrozieb a zraniteľností v programe Microsoft Defender for Endpoint

Modul 2: Zmírněte hrozby pomocí Microsoft 365 Defender

Analyzujte data hrozeb napříč doménami a rychle napravte hrozby pomocí vestavěné orchestrace a automatizace v Microsoft 365 Defender. Přečtěte si o hrozbách kybernetické bezpečnosti a o tom, jak nové nástroje na ochranu před hrozbami od společnosti Microsoft chrání uživatele, zařízení a data vaší organizace. Použijte pokročilou detekci a nápravu hrozeb založených na identitě k ochraně identit a aplikací Azure Active Directory před kompromitováním.

Lekce

• Úvod do ochrany před hrozbami s Microsoft 365
• Zmírněn incidentů pomocí Microsoft 365 Defender
• Chraňte své identity pomocí Azure AD Identity Protection
• Opravte rizika s Microsoft Defender pro Office 365
• Chraňte své prostředí pomocí programu Microsoft Defender for Identity
• Zabezpečte své cloudové aplikace a služby pomocí Microsoft Cloud App Security
• Reagujte na výstrahy prevence ztráty dat pomocí Microsoft 365
• Spravujte vnitřní riziko v Microsoft 365

Lab : Zmírněte hrozby pomocí Microsoft 365 Defender

• Zmírněte útoky pomocí Microsoft 365 Defender

Po absolvování tohoto modulu budete schopni:

• Vysvětlit, jak se oblast hrozeb vyvíjí.
• Spravovat incidenty v Microsoft 365 Defender
• Provádět pokročilé vyhledávání v Microsoft 365 Defender
• Popsat funkce vyšetřování a nápravy Azure Active Directory Identity Protection.
• Definovat možnosti programu Microsoft Defender for Endpoint.
• Vysvětlit, jak může Microsoft Defender for Endpoint napravit rizika ve vašem prostředí.
• Definovat rámec zabezpečení cloudových aplikací
• Vysvětlit, jak vám Cloud Discovery pomáhá vidět, co se děje ve vaší organizaci

Modul 3: Zmírněte hrozby pomocí Azure Defender

Použijte Azure Defender integrovaný s Azure Security Center pro Azure, hybridní cloud a místní ochranu a zabezpečení zátěže. Naučte se účel Azure Defender, vztah Azure Defender k Azure Security Center a jak povolit Azure Defender. Dozvíte se také o ochranách a detekcích, které poskytuje Azure Defender pro každou cloudovou úlohu. Přečtěte si, jak můžete do hybridního prostředí přidat funkce Azure Defender.

Lekce

• Naplánujte ochranu cloudové zátěže pomocí Azure Defender
• Vysvětlete ochranu cloudové zátěže v Azure Defender
• Připojte prostředky Azure k Azure Defender
• Připojte prostředky, které nejsou Azure, k Azure Defender
• Opravte výstrahy zabezpečení pomocí Azure Defender

Lab : Zmírněte hrozby pomocí Azure Defender

• Nasaďte Azure Defender
• Zmírněte útoky pomocí Azure Defender

Po absolvování tohoto modulu budete schopni:

• Popsat funkce Azure Defender
• Vysvětlit funkce Azure Security Center
• Vysvětlit, které úlohy jsou chráněny Azure Defender
• Vysvětlit, jak fungují ochrany Azure Defender
• Nakonfigurovat automatické zřizování v Azure Defender
• Popsat ruční zřizování v Azure Defender
• Připojit počítače, které nejsou Azure, k Azure Defender
• Popsat výstrahy v Azure Defender
• Opravit výstrahy v Azure Defender
• Automatizovat odpovědi v Azure Defender

Modul 4: Vytváření dotazů pro Azure Sentinel pomocí Kusto Query Language (KQL)

Napište příkazy Kusto Query Language (KQL) do dotazů na data protokolu za účelem zjišťování, analýzy a vytváření sestav v Azure Sentinel. Tento modul se zaměří na nejpoužívanější operátory. Vzorové příkazy KQL předvedou tabulkové dotazy související se zabezpečením. KQL je dotazovací jazyk používaný k provádění analýzy dat za účelem vytváření analýz, sešitů a provádění lovu v Azure Sentinel. Zjistěte, jak základní struktura příkazů KQL poskytuje základ pro vytváření složitějších příkazů. Zjistěte, jak shrnout a vizualizovat data pomocí příkazu KQL, který poskytuje základ pro vytváření detekcí v Azure Sentinel. Naučte se používat Kusto Query Language (KQL) k manipulaci s řetězcovými daty přijatými ze zdrojů protokolů.

Lekce

• Vytvářejte příkazy KQL pro Azure Sentinel
• Analyzujte výsledky dotazů pomocí KQL
• Vytvářejte vícetabulkové příkazy pomocí KQL
• Práce s daty v Azure Sentinel pomocí Kusto Query Language

Lab : Vytváření dotazů pro Azure Sentinel pomocí Kusto Query Language (KQL)

• Vytvořte základní příkazy KQL
• Analyzujte výsledky dotazů pomocí KQL
• Vytvářejte vícetabulkové příkazy pomocí KQL
• Práce s řetězcovými daty pomocí příkazů KQL

Po absolvování tohoto modulu budete schopni:

• Sestavit příkazy KQL
• Vyhledat v souborech protokolu události zabezpečení pomocí KQL
• Filtrovat vyhledávání na základě času události, závažnosti, domény a dalších relevantních dat pomocí KQL
• Shrnout data pomocí příkazů KQL
• Vykreslovat vizualizací pomocí příkazů KQL
• Extrahovat data z polí nestrukturovaných řetězců pomocí KQL
• Extrahovat data z dat strukturovaných řetězců pomocí KQL
• Vytvářet funkce pomocí KQL

Modul 5: Nakonfigurujte své prostředí Azure Sentinel

Začněte s Azure Sentinel správnou konfigurací pracovního prostoru Azure Sentinel. Tradiční systémy správy bezpečnostních informací a událostí (SIEM) se obvykle nastavují a konfigurují dlouho. Nejsou také nutně navrženy s ohledem na cloudové úlohy. Azure Sentinel vám umožňuje rychle začít získávat cenné informace o zabezpečení z cloudu a místních dat. Tento modul vám pomůže začít. Přečtěte si o architektuře pracovních prostorů Azure Sentinel, abyste zajistili, že svůj systém nakonfigurujete tak, aby vyhovoval požadavkům vaší organizace na operace zabezpečení. Jako bezpečnostní provozní analytik musíte rozumět tabulkám, polím a datům zpracovávaným ve vašem pracovním prostoru. Přečtěte si, jak se dotazovat na nejpoužívanější datové tabulky v Azure Sentinel.

Lekce

• Úvod do Azure Sentinel
• Vytvářejte a spravujte pracovní prostory Azure Sentinel
• Protokoly dotazů v Azure Sentinel
• Použijte seznamy sledovaných v Azure Sentinel
• Využijte zpravodajství o hrozbách v Azure Sentinel

Lab : Nakonfigurujte své prostředí Azure Sentinel

• Vytvořte pracovní prostor Azure Sentinel
• Vytvořte Watchlist
• Vytvořte indikátor hrozeb

Po absolvování tohoto modulu budete schopni:

• Identifikovat různé součásti a funkce Azure Sentinel.
• Identifikovat případy použití, kde by byl Azure Sentinel dobrým řešením.
• Popsat architekturu pracovního prostoru Azure Sentinel
• Nainstalovat pracovní prostor Azure Sentinel
• Spravovat pracovní prostor Azure Sentinel
• Vytvořit seznam sledovaných v Azure Sentinel
• Pomocí KQL získat přístup k seznamu sledovaných v Azure Sentinel
• Spravovat indikátory hrozeb v Azure Sentinel
• Pomocí KQL získát přístup k indikátorům hrozeb v Azure Sentinel

Modul 6: Připojte protokoly k Azure Sentinel

Propojte data v cloudovém měřítku napříč všemi uživateli, zařízeními, aplikacemi a infrastrukturou, a to jak na místě, tak ve více cloudech, k Azure Sentinel. Primárním přístupem k připojení dat protokolu je použití datových konektorů poskytovaných Azure Sentinel. Tento modul poskytuje přehled dostupných datových konektorů. Dozvíte se o možnostech konfigurace a datech poskytovaných konektory Azure Sentinel pro Microsoft 365 Defender.

Lekce

• Připojení dat k Azure Sentinel pomocí datových konektorů
• Připojení služeb Microsoftu k Azure Sentinel
• Připojení Microsoft 365 Defender k Azure Sentinel
• Připojení hostitele Windows k Azure Sentinel
• Připojení protokolů Common Event Format k Azure Sentinel
• Připojení zdroje dat syslog k Azure Sentinel
• Připojení indikátorů hrozeb k Azure Sentinel

Lab : Připojte protokoly k Azure Sentinel

• Připojte služby Microsoftu k Azure Sentinel
• Připojte hostitele Windows k Azure Sentinel
• Připojte hostitele Linuxu k Azure Sentinel
• Připojte Threat Intelligence k Azure Sentinel

Po absolvování tohoto modulu budete schopni:

• Vysvětlit použití datových konektorů v Azure Sentinel
• Vysvětlit rozdíly ve formátu Common Event Format a Syslog konektoru v Azure Sentinel
• Připojit konektory služeb společnosti Microsoft
• Vysvětlit, jak konektory automaticky vytvářejí incidenty v Azure Sentinel
• Aktivovat konektor Microsoft 365 Defender v Azure Sentinel
• Připojit virtuální počítače Azure Windows k Azure Sentinel
• Připojit hostitele Windows, kteří nejsou Azure, k Azure Sentinel
• Nakonfigurovat agenta Log Analytics pro shromažďování událostí Sysmon
• Vysvětlit možnosti nasazení konektoru Common Event Format v Azure Sentinel
• Nakonfigurovat konektor TAXII v Azure Sentinel
• Zobrazit indikátory hrozeb v Azure Sentinel

Modul 7: Vytvářejte zjišťování a provádějte vyšetřování pomocí Azure Sentinel

Zjistěte dříve odhalené hrozby a rychle je napravte pomocí integrované orchestrace a automatizace v Azure Sentinel. Dozvíte se, jak vytvořit příručky Azure Sentinel, abyste mohli reagovat na bezpečnostní hrozby. Prozkoumáte správu incidentů Azure Sentinel, dozvíte se o událostech a entitách Azure Sentinel a objevíte způsoby řešení incidentů. Dozvíte se také, jak dotazovat, vizualizovat a monitorovat data v Azure Sentinel.

Lekce

• Detekce hrozeb pomocí analýzy Azure Sentinel
• Reakce na hrozby s příručkami Azure Sentinel
• Správa bezpečnostních incidentů v Azure Sentinel
• Použijte analýzu chování entity v Azure Sentinel
• Dotazujte se, vizualizujte a monitorujte data v Azure Sentinel

Lab : Vytvářejte zjišťování a provádějte vyšetřování pomocí Azure Sentinel

• Vytvořte analytická pravidla
• Modelové útoky k definování logiky pravidel
• Zmírněte útoky pomocí Azure Sentinel
• Vytvářejte sešity v Azure Sentinel

Po absolvování tohoto modulu budete schopni:

• Vysvětlit důležitost Azure Sentinel Analytics.
• Vysvětlit pravidla ze šablon.
• Spravovat pravidla s úpravami.
• Vysvětlit možnosti Azure Sentinel SOAR.
• Vytvořit příručku pro automatizaci reakce na incident.
• Prozkoumat řídit řešení incidentů.
• Vysvětlit analýzu chování uživatelů a entit v Azure Sentinel
• Prozkoumat entity v Azure Sentinel
• Vizualizovat data zabezpečení pomocí sešitů Azure Sentinel.

Modul 8: Provádějte vyhledávání hrozeb v Azure Sentinel

V tomto modulu se naučíte proaktivně identifikovat chování hrozeb pomocí dotazů Azure Sentinel. Naučíte se také používat záložky a živé vysílání k lovu hrozeb. Dozvíte se také, jak používat notebooky v Azure Sentinel pro pokročilý lov.

Lekce

• Hledání hrozeb pomocí Azure Sentinel
• Hledání hrozeb pomocí notebooků v Azure Sentinel

Lab : Hledání hrozeb v Azure Sentinel

• Hledání hrozeb v Azure Sentinel
• Hledání hrozeb pomocí notebooků

Po absolvování tohoto modulu budete schopni:

• Popsat koncepty vyhledávání hrozeb pro použití s Azure Sentinel
• Definovat hypotézu vyhledávání hrozeb pro použití v Azure Sentinel
• Použít dotazy k hledání hrozeb.
• Sledovat hrozby v průběhu času pomocí živého přenosu
• Prozkoumat knihovny API pro pokročilé vyhledávání hrozeb v Azure Sentinel
• Vytvářet a používat poznámkové bloky v Azure Sentinel