SC-200 - Microsoft Security Operations Analyst

Microsoft Security Operations Analyst spolupracuje s organizačními subjekty na zabezpečení systémů informačních technologií pro organizaci. Jejich cílem je snížit organizační riziko rychlou nápravou aktivních útoků v prostředí, poradenstvím ohledně vylepšení postupů ochrany před hrozbami a doporučením porušení zásad organizace příslušným zúčastněným stranám. Mezi odpovědnosti patří správa hrozeb, monitorování a reakce pomocí různých bezpečnostních řešení napříč jejich prostředím. Role primárně vyšetřuje, reaguje a loví hrozby pomocí Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender a bezpečnostních produktů třetích stran. Vzhledem k tomu, že Security Operations Analyst spotřebovává provozní výstup těchto nástrojů, jsou také důležitým účastníkem v konfiguraci a nasazení těchto technologií.

Kurz je možné absolvovat za cenu 6 336 Kč díky projektu Ministerstva práce a sociálních věcí "Jsem v kurzu". Jak dotaci získat a kde se na kurz přihlásit najdete v sekci Dotované kurzy.

• Základní znalost Microsoft 365
• Základní pochopení produktů společnosti Microsoft pro zabezpečení, dodržování předpisů a identitu
• Znalost systému Windows 10
• Znalost služeb Azure, konkrétně Azure SQL Database a Azure Storage
• Znalost virtuálních strojů Azure a virtuálních sítí
• Základní porozumění konceptů skriptování

Kurz byl navržen pro všechny, kteří pracují v roli Security Operations a pomáhá studentům připravit se na zkoušku SC-200: Microsoft Security Operations Analyst.

Modul 1: Zmírnění hrozeb pomocí Microsoft Defender pro Endpoint
Implementace platformy Microsoft Defender pro Endpoint k detekci, vyšetřování a reakci na pokročilé hrozby. Jak může Microsoft Defender pro Endpoint pomoci organizaci zůstat v bezpečí. Jak nasadit prostředí Microsoft Defender pro Endpoint, včetně připojení zařízení a konfigurace zabezpečení. Jak vyšetřovat incidenty a výstrahy pomocí Microsoft Defenderu pro koncové body. Jak konfigurovat automatizaci v Microsoft Defenderu pro Endpoint pomocí správy nastavení prostředí. Slabé stránky prostředí pomocí Threat and Vulnerability Management v Microsoft Defender for Endpoint.
Lekce

• Ochrana před hrozbami pomocí aplikace Microsoft Defender pro Endpoint
• Nasazení Microsoft Defender pro prostředí Endpoint
• Implementace vylepšení zabezpečení Windows 10 pomocí Microsoft Defender pro Endpoint
• Správa výstrahy a incidentů v Microsoft Defenderu pro Endpoint
• Vyšetřování zařízení v Microsoft Defenderu pro Endpoint
• Akce na zařízení pomocí Microsoft Defender pro Endpoint
• Vyšetřování důkazů a entit pomocí Microsoft Defenderu pro koncový bod
• Konfigurace a správa automatizace pomocí Microsoft Defender pro Endpoint
• Konfigurace výstrahy a detekce v Microsoft Defenderu pro koncový bod
• Správa hrozeb a zranitelnosti v programu Microsoft Defender pro koncový bod
• Lab: Zmírnění hrozeb pomocí programu Microsoft Defender pro Endpoint

Modul 2: Zmírnění hrozeb pomocí Microsoft 365 Defender
Analýza data hrozeb napříč doménami a rychlá náprava hrozeb pomocí integrované orchestrace a automatizace v Microsoft 365 Defender. Kybernetické bezpečnostní hrozby. Jak nové nástroje na ochranu před hrozbami od společnosti Microsoft chrání uživatele, zařízení a data organizace. Ochrana identit a aplikace Azure Active Directory před kompromisem pomocí pokročilé detekce a nápravy hrozeb založených na identitě.
Lekce

• Úvod do ochrany před hrozbami pomocí Microsoft 365
• Zmírnění incidentů pomocí Microsoft 365 Defender
• Ochrana identit pomocí Azure AD Identity Protection
• Oprava rizik pomocí Microsoft Defenderu pro Office 365
• Ochrana prostředí pomocí aplikace Microsoft Defender pro identitu
• Zabezpečení cloudové aplikace a služby pomocí Microsoft Cloud App Security
• Reakce na upozornění na prevenci ztráty dat pomocí Microsoft 365
• Správa zasvěcených rizik v Microsoft 365
• Lab: Zmírnění hrozeb pomocí Microsoft 365 Defender

Modul 3: Zmírnění hrozeb pomocí Azure Defender
Použití Azure Defender integrovaného s Azure Security Center, pro Azure, hybridní cloud a místní ochranu a zabezpečení pracovního vytížení. Naučte se účel Azure Defenderu, vztah Azure Defenderu k Azure Security Center a jak povolit Azure Defender. Ochrana a detekce poskytovaných Azure Defenderem pro každé cloudové pracovní vytížení. Jak do hybridního prostředí přidat funkce Azure Defender.
Lekce

• Ochrana cloudového pracovního vytížení pomocí Azure Defender
• Připojení prostředků Azure k Azure Defenderu
• Připojení prostředků, které nejsou Azure, k Azure Defenderu
• Oprava výstrah zabezpečení pomocí Azure Defenderu
• Lab: Zmírnění hrozeb pomocí Azure Defender

Modul 4: Vytváření dotazů pro Azure Sentinel pomocí jazyka Kusto Query Language (KQL)
Zápis příkazů Kusto Query Language (KQL) do dat protokolu dotazu. Detekce, analýza a vytváření sestav v Azure Sentinel. Tento modul se zaměří na nejpoužívanější operátory. Ukázkové příkazy KQL předvedou dotazy na tabulky související se zabezpečením. KQL je dotazovací jazyk používaný k provádění analýzy dat k vytváření analytik, sešitů a provádění lovu v Azure Sentinel. Jak základní struktura příkazů KQL poskytuje základ pro vytváření složitějších příkazů. Jak sumarizovat a vizualizovat data pomocí příkazu KQL, poskytuje základ pro vytváření detekcí v Azure Sentinel. Jak používat Kusto Query Language (KQL) k manipulaci s řetězcovými daty získanými ze zdrojů protokolu.
Lekce

• Vytváření příkazů KQL pro Azure Sentinel
• Analýza výsledků dotazu pomocí KQL
• Tvorba příkazů s více tabulkami pomocí KQL
• Práce s daty v Azure Sentinel pomocí Kusto Query Language
• Lab: Vytváření dotazů pro Azure Sentinel pomocí jazyka Kusto Query Language (KQL)

Modul 5: Konfigurace prostředí Azure Sentinel
Začněte s Azure Sentinel správnou konfigurací pracovního prostoru Azure Sentinel. Nastavení a konfigurace tradičních systémů zabezpečení informací a správy událostí (SIEM) obvykle trvá dlouhou dobu. Rovněž nemusí být nutně navrženy s ohledem na cloudovou pracovní zátěž. Azure Sentinel vám umožní rychle začít získávat cenné bezpečnostní informace z vašich cloudových a místních dat. Tento modul vám pomůže začít. Zjistěte více o architektuře pracovních prostorů Azure Sentinel, abyste zajistili, že nakonfigurujete svůj systém tak, aby splňoval požadavky na zabezpečení provozu vaší organizace. Jako analytik bezpečnostních operací musíte pochopit tabulky, pole a data přijatá ve vašem pracovním prostoru. Jak dotazovat nejpoužívanější datové tabulky v Azure Sentinel.
Lekce

• Úvod do Azure Sentinel
• Tvorba a správa Azure Sentinel workspaces
• Dotazy na protokoly v Azure Sentinel
• Použití seznamů sledování ve službě Azure Sentinel
• Využití informací o hrozbách ve službě Azure Sentinel
• Lab: Konfigurace prostředí Azure Sentinel

Modul 6: Připojení protokolů k Azure Sentinel
Připojení dat v cloudovém měřítku napříč všemi uživateli, zařízeními, aplikacemi a infrastrukturou, jak místně, tak ve více cloudech, k Azure Sentinel. Primární přístup k připojení dat protokolu je pomocí datových konektorů poskytnutých Azure Sentinel. Tento modul poskytuje přehled dostupných datových konektorů. Možnosti konfigurace a dat poskytovaných konektory Azure Sentinel pro Microsoft 365 Defender.
Lekce

• Připojení dat k Azure Sentinel pomocí datových konektorů
• Připojení služby Microsoft k Azure Sentinel
• Připojení Microsoft 365 Defender k Azure Sentinel
• Připojení hostitele Windows k Azure Sentinel
• Připojení běžných protokolů formátu událostí k Azure Sentinel
• Připojení zdroje dat syslog k Azure Sentinel
• Připojení indikátorů hrozeb k Azure Sentinel
• Lab: Připojení protokolů k Azure Sentinel

Modul 7: Tvorba detekce a vyšetřování pomocí Azure Sentinel
Zjistěte dříve odkryté hrozby a rychle napravte hrozby pomocí integrované orchestrace a automatizace ve službě Azure Sentinel. Jak vytvořit scénáře Azure Sentinel, které budou reagovat na bezpečnostní hrozby. Správa incidentů Azure Sentinel, události a entity Azure Sentinel a způsoby řešení incidentů. Jak dotazovat, vizualizovat a monitorovat data v Azure Sentinel.
Lekce

• Detekce hrozeb s analytikou Azure Sentinel
• Reakce na ohrožení pomocí playbooků Azure Sentinel
• Správa bezpečnostních incidentů v Azure Sentinel
• Použití analýzy chování entit ve službě Azure Sentinel
• Dotazy, vizualizace a sledování dat v Azure Sentinel
• Lab: Vytváření detekcí a provádění vyšetřování pomocí Azure Sentinel

Modul 8: Vyhledávání hrozeb v Azure Sentinel
V tomto modulu se naučíte proaktivně identifikovat chování hrozeb pomocí dotazů Azure Sentinel. Naučíte se také používat záložky a živý přenos k lovu hrozeb. Naučíte se také, jak používat notebooky v Azure Sentinel pro pokročilý lov.
Lekce

• Lov hrozeb s Azure Sentinel
• Lov na hrozby pomocí notebooků v Azure Sentinel
• Lab: Lov hrozeb v Azure Sentinel

Materiály jsou v elektronické podobě.

Po absolvování tohoto kurzu budou studenti schopni:

• Vysvětlit, jak může Microsoft Defender pro Endpoint napravit rizika ve vašem prostředí
• Vytvořit prostředí Microsoft Defender pro koncový bod
• Konfigurovat pravidla Attack Surface Reduction na zařízeních s Windows 10
• Provádět akce na zařízení pomocí programu Microsoft Defender pro Endpoint
• Prozkoumat domény a IP adresy v Microsoft Defenderu pro Endpoint
• Prozkoumat uživatelské účty v Microsoft Defenderu pro Endpoint
• Konfigurovat nastavení výstrah v Microsoft Defenderu pro Endpoint
• Vysvětlit, jak se vyvíjí prostředí hrozeb
• Provádět pokročilý lov v Microsoft 365 Defender
• Spravovat incidenty v Microsoft 365 Defenderu
• Vysvětlit, jak může Microsoft Defender pro identitu napravit rizika ve vašem prostředí
• Vyšetřovat upozornění DLP v Microsoft Cloud App Security
• Vysvětlit typy akcí, které můžete podniknout v případě zasvěcených rizik
• Konfigurovat automatické zřizování v Azure Defenderu
• Opravit upozornění v Azure Defenderu
• Konstruovat příkazy KQL
• Filtrovat vyhledávání podle času události, závažnosti, domény a dalších relevantních dat pomocí KQL
• Extrahovat data z nestrukturovaných řetězcových polí pomocí KQL
• Spravovat pracovní prostor Azure Sentinel
• Používat KQL pro přístup k seznamu sledovaných v Azure Sentinel
• Spravovat indikátory hrozeb v Azure Sentinel
• Vysvětlit rozdíly v Common Event Format a Syslog konektoru v Azure Sentinel
• Připojit Azure Windows Virtual Machines k Azure Sentinel
• Konfigurovat agenta Log Analytics pro shromažďování událostí Sysmon
• Vytvořit nová analytická pravidla a dotazy pomocí průvodce analytickými pravidly
• Vytvořit příručku k automatizaci reakce na incidenty
• Používat dotazy k hledání hrozeb
• Sledovat hrozby v průběhu času pomocí živého přenosu