Аналитик по безопасности Microsoft
Описание
Слушатели научатся исследовать угрозы, реагировать на них, а также выявлять их с помощью решения Microsoft Azure Sentinel, инструментов Azure Defender и Microsoft 365 Defender. В этом курсе слушатели узнают, как минимизировать киберугрозы с помощью этих технологий. Среди прочего, слушатели будут настраивать и использовать платформу управления Azure Sentinel, а также использовать язык запросов Kusto (Kusto Query Language, KQL) для обнаружения, анализа и создания отчетов. Этот курс разработан для специалистов, работающих в качестве сотрудников службы безопасности, и помогает слушателям подготовиться к экзамену SC-200: Microsoft Security Operations Analyst (Аналитик операций безопасности Microsoft).
Профиль аудитории:
Аналитик операций безопасности Microsoft сотрудничающий с заинтересованными сторонами организации для обеспечения безопасности систем информационных технологий. Его цель состоит в том, чтобы снижать организационный риск путем быстрого устранения активных атак в операционной среде, предоставлять консультации по вопросам совершенствования методов защиты от угроз и передавать информацию о нарушениях организационной политики соответствующим заинтересованным сторонам. Обязанности включают в себя управление угрозами, мониторинг и реагирование с использованием различных решений безопасности в среде. Эта роль в основном исследует угрозы, реагирует на них и выявляет их с помощью решения Microsoft Azure Sentinel, инструментов Azure Defender и Microsoft 365 Defender, а также сторонних продуктов безопасности. Поскольку аналитик операций безопасности использует оперативные возможности указанных инструментов, он также является важной заинтересованной стороной в настройке и развертывании этих технологий.
Предварительные требования:
- Базовое понимание Microsoft 365
- Фундаментальное понимание продуктов Microsoft в области безопасности, соответствия требованиям и идентификации
- Хорошее знание сервисов Azure, в частности базы данных SQL Azure и инструмента хранения данных Azure (Azure Storage)
- Хорошее знание виртуальных машин Azure и виртуальных сетей
- Базовое понимание скриптов
По окончании курса слушатели смогут:
- Объяснять, как Microsoft Defender для конечных точек может устранять риски в среде Создавать Microsoft Defender для среды конечных точек
- Настраивать правила уменьшения направлений атак на устройствах Windows 10 Выполнять действия на устройстве с помощью Microsoft Defender для конечных точек Исследовать домены и IP-адреса в Microsoft Defender для конечных точек
- Проверять учетные записи пользователей в Microsoft Defender для конечных точек Настраивать параметры предупреждения в Microsoft Defender для конечных точек Объяснять, как развертывается ландшафт угроз
- Проводить расширенный поиск в Microsoft 365 Defender Управлять инцидентами в Microsoft 365 Defender
- Объяснять, как Microsoft Defender для удостоверений (Microsoft Defender for Identity) может устранять риски в среде
- Исследовать оповещения предотвращения утечек информации (DLP alerts) в брокере Microsoft Cloud App Security
- Объяснять, какие действия можно предпринять при управлении инсайдерскими рисками Настраивать функции автоматического провиженинга в инструменте Azure Defender Реагировать на предупреждения в Azure Defender
- Выполнять построение операторов KQL
- Выполнять фильтрацию поиска по времени события, его серьезности, домену и другим значимым данным с помощью KQL
- Извлекать данные из неструктурированных строковых полей с помощью KQL Управлять рабочим пространством Azure Sentinel
- Использовать KQL для доступа к списку наблюдения в Azure Sentinel Управлять индикаторами угроз в Azure Sentinel
- Объяснять различия Common Event Format и коннектора системного журнала в Azure Sentinel Подключать виртуальные машины Azure Windows к Azure Sentinel
- Настраивать агент Log Analytics для сбора событий Sysmon
- Создавать новые правила аналитики и запросов с помощью мастера правил аналитики Создавать плейбук для автоматизации реагирования на инциденты
- Использовать запросы для поиска угроз
- Наблюдать за угрозами в динамике времени с помощью лайвстрима
Программа курса
Модуль 1 «Минимизирование угроз с помощью Microsoft Defender для конечных точек»
- Защита от угроз с помощью Microsoft Defender для конечных точек Развертывание Microsoft Defender для конечных точек
- Внедрение улучшений безопасности Windows 10 с помощью Microsoft Defender для конечных точек
- Управление предупреждениями и ошибками в Microsoft Defender для конечных точек
- Выполнение проверки устройств в Microsoft Defender для конечных точек
- Выполнение действий на устройстве с помощью Microsoft Defender для конечных точек Проведение исследования доказательств и объектов с помощью Microsoft Defender для конечных точек
- Настройка и управление автоматизацией с помощью Microsoft Defender для конечных точек Настройка предупреждений и обнаружений в Microsoft Defender для конечных точек Использование решения по управлению угрозами и уязвимостями в Microsoft Defender для конечных точек
- Развертывание Microsoft Defender для конечных точек
- Минимизирование атак с помощью Microsoft Defender для конечных точек
Модуль 2 «Минимизирование угроз с помощью Microsoft 365 Defender»
- Введение в защиту от угроз с помощью Microsoft 365 Минимизирование инцидентов с помощью Microsoft 365 Defender Защита удостоверений с помощью решения Azure AD Identity Protection Устранение рисков с помощью Microsoft Defender для Office 365 Защита среды с помощью Microsoft Defender для удостоверений
- Защита облачных приложений и сервисов с помощью брокера Microsoft Cloud App Security Реагирование на предупреждения о потере данных с помощью Microsoft 365
- Управление инсайдерскими рисками в Microsoft 365 Минимизирование атак с помощью Microsoft 365 Defender
Модуль 3: Минимизирование угроз с помощью Azure Defender
- Планирование защиты облачных рабочих нагрузок с помощью Azure Defender Объяснение защиты облачных рабочих нагрузок в Azure Defender Подключение ресурсов Azure к Azure Defender
- Подключение ресурсов, не относящихся к Azure, к Azure Defender Реагирование на предупреждения безопасности с помощью Azure Defender Развертывание Azure Defender
- Минимизирование атак с помощью Azure Defender
Модуль 4 «Создание запросов для Azure Sentinel с помощью языка запросов Kusto (KQL)»
- Создание операторов KQL для Azure Sentinel Анализ результатов запросов с помощью KQL
- Создание операторов с несколькими таблицами с помощью KQL
- Работа с данными в Azure Sentinel с использованием языка запросов Kusto Создание базовых операторов KQL
- Анализ результатов запросов с помощью KQL
- Создание операторов с несколькими таблицами с помощью KQL Работа со строковыми данными с помощью операторов KQL
Модуль 5 «Настройка среды Azure Sentinel»
- Введение в Azure Sentinel
- Создание рабочих пространств Azure Sentinel и управление ими Журналы запросов в Azure Sentinel
- Использование списков наблюдения в Azure Sentinel Использование аналитики угроз в Azure Sentinel Создание рабочего пространства Azure Sentinel Создание списка наблюдений
- Создание индикатора угрозы
Модуль 6 «Подключение журналов к Azure Sentinel»
- Подключение данных к Azure Sentinel с помощью коннекторов данных Подключение сервисов Microsoft к Azure Sentinel
- Подключение Microsoft 365 Defender к Azure Sentinel Подключение хостов Windows к Azure Sentinel
- Подключение журналов Common Event Format к Azure Sentinel Подключение источников данных системного журнала к Azure Sentinel Подключение индикаторов угроз к Azure Sentinel
- Подключение сервисов Microsoft к Azure Sentinel Подключение хостов Windows к Azure Sentinel Подключение хостов Linux к Azure Sentinel Подключение аналитики угроз к Azure Sentinel
Модуль 7 «Создание обнаружений и выполнение расследований с помощью Azure Sentinel»
- Обнаружение угроз с помощью аналитики Azure Sentinel Реагирование на угрозы с помощью плейбуков Azure Sentinel Управление инцидентами безопасности в Azure Sentinel Использование аналитики поведения объектов в Azure Sentinel Запросы, визуализация и отслеживание данных в Azure Sentinel Создание правил аналитики
- Моделирование атак для определения логики правил Минимизирование атак с помощью Azure Sentinel Создание электронных таблиц в Azure Sentinel
Модуль 8 «Поиск угроз в Azure Sentinel»
- Поиск угроз с помощью Azure Sentinel
- Поиск угроз в Azure Sentinel с помощью книг Поиск угроз в Azure Sentinel
- Поиск угроз с помощью книг
Расписание
Время проведения курса пока не определено, отправьте нам заявку, пожалуйста.
Возможно, мы предложим пройти курс в дистанционном режиме или организуем выездной курс, если у Вас группа.