SC-200 Microsoft Security Operations Analyst

SC-200 Microsoft Security Operations Analyst

Översikt

Lär dig hur du undersöker, svarar på och letar efter hot med hjälp av Microsoft Azure Sentinel, Azure Defender och Microsoft 365 Defender.
I den här kursen får du lära dig hur du kan minska cyberhot med hjälp av dessa tekniker.
Specifikt kommer du att konfigurera och använda Azure Sentinel samt använda Kusto Query Language (KQL) för att utföra upptäckt, analys och rapportering.
Kursen är utformad för personer som arbetar i en Security Operations-roll och hjälper eleverna att förbereda sig för examen SC-200: Microsoft Security Operations Analyst.

Efter att ha slutfört denna kurs kommer studenterna att kunna:

  • Förklara hur Microsoft Defender för Endpoint kan åtgärda risker i din miljö
  • Skapa en Microsoft Defender för Endpoint-miljö
  • Konfigurera regler för minskning av attackytan på Windows 10-enheter
  • Utföra åtgärder på en enhet som använder Microsoft Defender för Endpoint
  • Undersök domäner och IP-adresser i Microsoft Defender for Endpoint
  • Undersök användarkonton i Microsoft Defender for Endpoint
  • Konfigurera varningsinställningar i Microsoft Defender för Endpoint
  • Förklara hur hotbilden utvecklas
  • Utföra avancerad jakt i Microsoft 365 Defender
  • Hantera incidenter i Microsoft 365 Defender
  • Förklara hur Microsoft Defender for Identity kan åtgärda risker i din miljö
  • Undersök DLP-varningar i Microsoft Cloud App Security
  • Förklara vilka typer av åtgärder du kan vidta i ett ärende som rör hantering av insiderrisker
  • Konfigurera automatisk provisionering i Azure Defender
  • Åtgärda varningar i Azure Defender
  • Konstruera KQL-satser
  • Filtrera sökningar baserat på händelsetid, allvarlighetsgrad, domän och andra relevanta data med hjälp av KQL
  • Extrahera data från ostrukturerade strängfält med hjälp av KQL
  • Hantera en Azure Sentinel-arbetsyta
  • Använd KQL för att komma åt bevakningslistan i Azure Sentinel
  • Hantera hotindikatorer i Azure Sentinel
  • Förklara skillnaderna mellan Common Event Format och Syslog-anslutningen i Azure Sentinel
  • Anslut Azure Windows Virtual Machines till Azure Sentinel
  • Konfigurera Log Analytics-agenten för att samla in Sysmon-händelser
  • Skapa nya analysregler och frågor med hjälp av guiden för analysregler
  • Skapa en spelbok för att automatisera en incidenthantering
  • Använd frågor för att söka efter hot
  • Observera hot över tid med livestream

Microsoft Security Operations Analyst samarbetar med organisationens intressenter för att säkra organisationens informationstekniksystem.
Deras mål är att minska organisationsrisken genom att snabbt åtgärda aktiva attacker i miljön, ge råd om förbättringar av hotskyddspraxis och hänvisa överträdelser av organisationens policyer till lämpliga intressenter.
Ansvarsområdena omfattar hothantering, övervakning och svar genom att använda en mängd olika säkerhetslösningar i hela deras miljö.
Rollen undersöker, svarar på och letar efter hot med hjälp av Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender och säkerhetsprodukter från tredje part.
Eftersom Security Operations Analyst konsumerar den operativa produktionen av dessa verktyg är de också en kritisk intressent i konfigurationen och distributionen av dessa tekniker.

  • Grundläggande förståelse för Microsoft 365
  • Grundläggande förståelse för Microsofts produkter för säkerhet, efterlevnad och identitet
  • Förståelse för Windows 10 på mellannivå
  • Kännedom om Azure-tjänster, särskilt Azure SQL Database och Azure Storage
  • Kännedom om virtuella maskiner och virtuella nätverk i Azure
  • Grundläggande förståelse för skriptkoncept.

Modul 1: Minska hot med hjälp av Microsoft Defender för Endpoint

Implementera Microsoft Defender for Endpoint-plattformen för att upptäcka, undersöka och svara på avancerade hot. Lär dig hur Microsoft Defender för Endpoint kan hjälpa din organisation att hålla sig säker. Lär dig hur du distribuerar Microsoft Defender for Endpoint-miljön, inklusive onboarding av enheter och konfigurering av säkerhet. Lär dig hur du undersöker incidenter och varningar med hjälp av Microsoft Defender för Endpoints. Utför avancerad jakt och rådgör med hotexperter. Du kommer också att lära dig hur du konfigurerar automatisering i Microsoft Defender for Endpoint genom att hantera miljöinställningar. Slutligen får du lära dig mer om din miljös svagheter genom att använda Threat and Vulnerability Management i Microsoft Defender for Endpoint.

Lektioner

  • Skydda mot hot med Microsoft Defender för Endpoint
  • Distribuera Microsoft Defender för Endpoint-miljön
  • Implementera säkerhetsförbättringar i Windows 10 med Microsoft Defender för Endpoint
  • Hantera varningar och incidenter i Microsoft Defender för Endpoint
  • Utföra enhetsundersökningar i Microsoft Defender för Endpoint
  • Utföra åtgärder på en enhet som använder Microsoft Defender för Endpoint
  • Utföra bevis- och enhetsundersökningar med hjälp av Microsoft Defender for Endpoint
  • Konfigurera och hantera automatisering med hjälp av Microsoft Defender för Endpoint
  • Konfigurera för varningar och upptäckter i Microsoft Defender för Endpoint
  • Utnyttja hot- och sårbarhetshantering i Microsoft Defender för Endpoint

Labb: Minska hot med hjälp av Microsoft Defender för Endpoint

  • Distribuera Microsoft Defender för Endpoint
  • Minska angrepp med Defender för Endpoint

Efter att ha slutfört denna modul kommer deltagarna att kunna:

  • Definiera funktionerna i Microsoft Defender för Endpoint
  • Konfigurera miljöinställningar för Microsoft Defender för Endpoint
  • Konfigurera regler för minskning av attackytan på Windows 10-enheter
  • Undersök varningar i Microsoft Defender för Endpoint
  • Beskriv den kriminaltekniska information om enheter som samlas in av Microsoft Defender för Endpoint
  • Genomföra kriminalteknisk datainsamling med hjälp av Microsoft Defender for Endpoint
  • Undersök användarkonton i Microsoft Defender for Endpoint
  • Hantera automatiseringsinställningar i Microsoft Defender för Endpoint
  • Hantera indikatorer i Microsoft Defender för Endpoint
  • Beskriva hantering av hot och sårbarheter i Microsoft Defender för Endpoint

Modul 2: Minska hot med hjälp av Microsoft 365 Defender

Analysera hotdata över domäner och åtgärda snabbt hot med inbyggd orkestrering och automatisering i Microsoft 365 Defender.
Lär dig mer om cybersäkerhetshot och hur de nya hotskyddsverktygen från Microsoft skyddar organisationens användare, enheter och data.
Använd avancerad upptäckt och åtgärdande av identitetsbaserade hot för att skydda dina Azure Active Directory-identiteter och applikationer från att äventyras.

Lektioner

  • Introduktion till skydd mot hot med Microsoft 365
  • Minska incidenter med hjälp av Microsoft 365 Defender
  • Skydda dina identiteter med Azure AD Identity Protection
  • Åtgärda risker med Microsoft Defender för Office 365
  • Skydda din miljö med Microsoft Defender för Identity
  • Säkra dina molnapplikationer och molntjänster med Microsoft Cloud App Security
  • Svara på varningar om förebyggande av dataförlust med hjälp av Microsoft 365
  • Hantera insiderrisker i Microsoft 365

Labb: Minska hot med hjälp av Microsoft 365 Defender

  • Utforska Microsoft 365 Defender

Efter att ha slutfört denna modul kommer deltagarna att kunna:

  • Förklara hur hotbilden utvecklas.
  • Hantera incidenter i Microsoft 365 Defender
  • Utföra avancerad jakt i Microsoft 365 Defender
  • Beskriv undersöknings- och åtgärdsfunktionerna i Azure Active Directory Identity Protection.
  • Definiera funktionerna i Microsoft Defender för Endpoint.
  • Förklara hur Microsoft Defender för Endpoint kan åtgärda risker i din miljö.
  • Definiera ramverket för Cloud App Security
  • Förklara hur Cloud Discovery hjälper dig att se vad som händer i din organisation

Modul 3: Minska hot med hjälp av Azure Defender

Använd Azure Defender integrerat med Azure Security Center för skydd och säkerhet för arbetsbelastningar i Azure, hybridmoln och lokalt.
Lär dig syftet med Azure Defender, Azure Defenders relation till Azure Security Center och hur du aktiverar Azure Defender.
Du kommer också att lära dig om de skydd och upptäckter som Azure Defender tillhandahåller för varje molnarbetsbelastning.
Lär dig hur du kan lägga till Azure Defender-funktioner i din hybridmiljö.

Lektioner

  • Planera för skydd av arbetsbelastningen i molnet med Azure Defender
  • Förklara skydd för arbetsbelastning i molnet i Azure Defender
  • Anslut Azure-tillgångar till Azure Defender
  • Anslut resurser utanför Azure till Azure Defender
  • Åtgärda säkerhetsvarningar med hjälp av Azure Defender

Labb: Avvärja hot med Azure Defender

  • Distribuera Azure Defender
  • Minska angrepp med Azure Defender

Efter att ha slutfört denna modul kommer deltagarna att kunna:

  • Beskriva Azure Defender-funktioner
  • Förklara funktioner i Azure Security Center
  • Förklara vilka arbetsbelastningar som skyddas av Azure Defender
  • Förklara hur Azure Defender-skydd fungerar
  • Konfigurera automatisk provisionering i Azure Defender
  • Beskriva manuell provisionering i Azure Defender
  • Anslut icke-Azure-maskiner till Azure Defender
  • Beskriva varningar i Azure Defender
  • Åtgärda varningar i Azure Defender
  • Automatisera svar i Azure Defender

Modul 4: Skapa frågor för Azure Sentinel med hjälp av Kusto Query Language (KQL)

Skriv Kusto Query Language (KQL)-uttalanden för att fråga loggdata för att utföra detektioner, analys och rapportering i Azure Sentinel.
Denna modul kommer att fokusera på de mest använda operatörerna.
Exemplen på KQL-satser kommer att visa säkerhetsrelaterade tabellfrågor.
KQL är det frågespråk som används för att analysera data för att skapa analyser, arbetsböcker och utföra jakt i Azure Sentinel.
Lär dig hur grundläggande KQL-satser ger grunden för att bygga mer komplexa satser.
Lär dig hur du sammanfattar och visualiserar data med en KQL-sats som ger grunden för att bygga detektioner i Azure Sentinel.
Lär dig hur du använder Kusto Query Language (KQL) för att manipulera strängdata som hämtas från loggkällor.

Lektioner

  • Konstruera KQL-satser för Azure Sentinel
  • Analysera sökresultat med hjälp av KQL
  • Skapa uttalanden med flera tabeller med hjälp av KQL
  • Arbeta med data i Azure Sentinel med hjälp av Kusto Query Language

Laboration : Skapa frågor för Azure Sentinel med hjälp av Kusto Query Language (KQL)

  • Konstruera grundläggande KQL-satser
  • Analysera sökresultat med hjälp av KQL
  • Skapa satser för flera tabeller i KQL
  • Arbeta med strängdata i KQL

Efter att ha slutfört denna modul kommer deltagarna att kunna:

  • Konstruera KQL-satser
  • Sök i loggfiler efter säkerhetshändelser med hjälp av KQL
  • Filtrera sökningar baserat på händelsetid, allvarlighetsgrad, domän och andra relevanta data med hjälp av KQL
  • Sammanfatta data med hjälp av KQL-satser
  • Rendera visualiseringar med hjälp av KQL-satser
  • Extrahera data från ostrukturerade strängfält med hjälp av KQL
  • Extrahera data från strukturerad strängdata med hjälp av KQL
  • Skapa funktioner med hjälp av KQL

Modul 5: Konfigurera din Azure Sentinel-miljö

Kom igång med Azure Sentinel genom att konfigurera Azure Sentinel-arbetsytan på rätt sätt.
Traditionella SIEM-system (Security Information and Event Management) tar vanligtvis lång tid att installera och konfigurera.
De är inte heller nödvändigtvis utformade med tanke på molnbaserade arbetsbelastningar.
Azure Sentinel gör att du snabbt kan börja få värdefulla säkerhetsinsikter från dina moln- och lokala data.
Den här modulen hjälper dig att komma igång.
Lär dig om arkitekturen för Azure Sentinel-arbetsytor för att säkerställa att du konfigurerar ditt system så att det uppfyller organisationens krav på säkerhetsverksamhet.
Som Security Operations Analyst måste du förstå de tabeller, fält och data som ingår i din arbetsyta.
Lär dig hur du ställer frågor till de mest använda datatabellerna i Azure Sentinel.

Lektioner

  • Introduktion till Azure Sentinel
  • Skapa och hantera Azure Sentinel-arbetsytor
  • Fråga loggar i Azure Sentinel
  • Använd bevakningslistor i Azure Sentinel
  • Utnyttja hotinformation i Azure Sentinel

Labb : Konfigurera din Azure Sentinel-miljö

  • Skapa en Azure Sentinel-arbetsyta
  • Skapa en bevakningslista
  • Skapa en hotbildsindikator

Efter att ha slutfört denna modul kommer deltagarna att kunna:

  • Identifiera de olika komponenterna och funktionerna i Azure Sentinel.
  • Identifiera användningsfall där Azure Sentinel skulle vara en bra lösning.
  • Beskriva Azure Sentinel-arbetsytans arkitektur
  • Installera Azure Sentinel-arbetsytan
  • Hantera en Azure Sentinel-arbetsyta
  • Skapa en bevakningslista i Azure Sentinel
  • Använd KQL för att komma åt bevakningslistan i Azure Sentinel
  • Hantera hotindikatorer i Azure Sentinel
  • Använd KQL för att komma åt hotindikatorer i Azure Sentinel

Modul 6: Ansluta loggar till Azure Sentinel

Anslut data i molnskala över alla användare, enheter, applikationer och infrastruktur, både lokalt och i flera moln till Azure Sentinel.
Den primära metoden för att ansluta loggdata är att använda de datakopplingar som tillhandahålls av Azure Sentinel.
Den här modulen ger en översikt över de tillgängliga datakopplingarna.
Du kommer att få lära dig om konfigurationsalternativen och data som tillhandahålls av Azure Sentinel-anslutningar för Microsoft 365 Defender.

Lektioner

  • Anslut data till Azure Sentinel med hjälp av datakopplingar
  • Anslut Microsoft-tjänster till Azure Sentinel
  • Anslut Microsoft 365 Defender till Azure Sentinel
  • Anslut Windows-värdar till Azure Sentinel
  • Ansluta loggar i Common Event Format till Azure Sentinel
  • Ansluta syslog-datakällor till Azure Sentinel
  • Anslut hotindikatorer till Azure Sentinel

Labb : Ansluta loggar till Azure Sentinel

  • Anslut data till Azure Sentinel med hjälp av datakopplingar
  • Anslut Windows-enheter till Azure Sentinel med hjälp av datakopplingar
  • Anslut Linux-värdar till Azure Sentinel med hjälp av datakontakter
  • Anslut Threat intelligence till Azure Sentinel med hjälp av datakopplingar

Efter att ha slutfört denna modul kommer deltagarna att kunna:

  • Förklara användningen av datakopplingar i Azure Sentinel
  • Förklara skillnaderna mellan Common Event Format och Syslog-anslutningen i Azure Sentinel
  • Ansluta Microsoft-tjänstekontakter
  • Förklara hur kontakter automatiskt skapar incidenter i Azure Sentinel
  • Aktivera Microsoft 365 Defender-anslutningen i Azure Sentinel
  • Anslut Azure Windows Virtual Machines till Azure Sentinel
  • Anslut Windows-värdar som inte är Azure till Azure Sentinel
  • Konfigurera Log Analytics-agenten för att samla in Sysmon-händelser
  • Förklara alternativen för distribution av Common Event Format Connector i Azure Sentinel
  • Konfigurera TAXII-anslutningen i Azure Sentinel
  • Visa hotindikatorer i Azure Sentinel

Modul 7: Skapa detektioner och utföra undersökningar med Azure Sentinel

Upptäck tidigare oupptäckta hot och åtgärda hot snabbt med inbyggd orkestrering och automatisering i Azure Sentinel.
Du får lära dig hur du skapar Azure Sentinel-playbooks för att svara på säkerhetshot.
Du kommer att undersöka Azure Sentinel incidenthantering, lära dig om Azure Sentinel-händelser och -enheter och upptäcka sätt att lösa incidenter.
Du får också lära dig hur du ställer frågor, visualiserar och övervakar data i Azure Sentinel.

Lektioner

  • Hotdetektering med Azure Sentinel-analys
  • Hotrespons med Azure Sentinel-playbooks
  • Hantering av säkerhetsincidenter i Azure Sentinel
  • Använda analys av enhetsbeteende i Azure Sentinel
  • Fråga, visualisera och övervaka data i Azure Sentinel

Labb : Skapa detektioner och utföra undersökningar med Azure Sentinel

  • Aktivera en Microsoft Security-regel
  • Skapa en Playbook
  • Skapa en schemalagd fråga
  • Förstå modellering av detektering
  • Genomföra attacker
  • Skapa detektioner
  • Utreda incidenter
  • Skapa arbetsböcker

Efter att ha slutfört denna modul kommer deltagarna att kunna:

  • Förklara vikten av Azure Sentinel Analytics.
  • Skapa regler från mallar.
  • Hantera regler med ändringar.
  • Förklara Azure Sentinel SOAR-funktioner.
  • Skapa en spelbok för att automatisera en incidenthantering.
  • Utreda och hantera incidentlösning.
  • Förklara analys av användar- och enhetsbeteende i Azure Sentinel
  • Utforska enheter i Azure Sentinel
  • Visualisera säkerhetsdata med hjälp av Azure Sentinel Workbooks.

Modul 8: Utföra hotjakt i Azure Sentinel

I den här modulen får du lära dig att proaktivt identifiera hotbeteenden med hjälp av Azure Sentinel-frågor.
Du får också lära dig att använda bokmärken och livestream för att jaga hot.
Du får också lära dig hur du använder anteckningsböcker i Azure Sentinel för avancerad jakt.

Lektioner

  • Hotjakt med Azure Sentinel
  • Jakt på hot med hjälp av anteckningsböcker i Azure Sentinel

Laboration: Hotjakt i Azure Sentinel

  • Utföra hotjakt i Azure Sentinel
  • Hotjakt med hjälp av anteckningsböcker med Azure Sentinel

Efter att ha slutfört denna modul kommer deltagarna att kunna:

  • Beskriva koncept för hotjakt för användning med Azure Sentinel
  • Definiera en hotjaktshypotes för användning i Azure Sentinel
  • Använd frågor för att söka efter hot.
  • Observera hot över tid med livestream.
  • Utforska API-bibliotek för avancerad hotjakt i Azure Sentinel
  • Skapa och använda anteckningsböcker i Azure Sentinel

Kursöversikt

30 950 kr

4 dagar

Distans

Fortsättning

Svenska

Hittar du inget (passande) datum?

Skicka in en intresseanmälan så gör vi vad vi kan för att planera ett tillfälle som passar. 

Fö­re­tags­an­pas­sad kurs

Kursen kan anpassas från flera perspektiv:
  • Innehåll och fokusområde
  • Omfattning
  • Upplägg

I samspel med kursledaren ser vi till att kursen uppfyller era önskemåll

Skicka intresseanmälan för utbildningen