Kurstermine SC-200
Überblick
Erfahren Sie, wie Sie Bedrohungen mithilfe von Microsoft Azure Sentinel, Azure Defender und Microsoft 365 Defender untersuchen, darauf reagieren und diese finden. In diesem Kurs erfahren Sie, wie Sie Cyberbedrohungen mithilfe dieser Technologien abmildern können.
Insbesondere konfigurieren und verwenden Sie Azure Sentinel sowie Kusto Query Language (KQL) für Erkennung, Analyse und Berichterstellung.
Der Kurs wurde für Personen entwickelt, die in einer Security Operations-Jobrolle arbeiten, und hilft den Lernenden, sich auf die Prüfung SC-200: Microsoft Security Operations Analyst vorzubereiten.
Agenda
Modul 1: Verringern von Bedrohungen mit Microsoft Defender für Endpoint
- Schützen vor Bedrohungen mit Microsoft Defender für Endpoint
- Bereitstellen der Microsoft Defender for Endpoint-Umgebung
- Implementieren von Windows 10-Sicherheitsverbesserungen mit Microsoft Defender für Endpoint
- Verwalten von Warnungen und Vorfällen in Microsoft Defender für Endpoint
- Ausführen von Geräteuntersuchungen in Microsoft Defender für Endpoint
- Ausführen von Aktionen auf einem Gerät mit Microsoft Defender für Endpoint
- Durchführen von Beweis- und Entitätsuntersuchungen mit Microsoft Defender für Endpoint
- Konfigurieren und Verwalten der Automatisierung mit Microsoft Defender für Endpoint
- Konfigurieren für Warnungen und Erkennungen in Microsoft Defender für Endpoint
- Verwenden von Bedrohungs- und Sicherheitslückenmanagement in Microsoft Defender für Endpoint
Modul 2: Verringern von Bedrohungen mit Microsoft 365 Defender
- Einführung in den Bedrohungsschutz mit Microsoft 365
- Verringern von Vorfällen mit Microsoft 365 Defender
- Schützen Sie Ihre Identität enmitieren mit Azure AD Identity Protection
- Beheben von Risiken mit Microsoft Defender für Office 365
- Schützen Sie Ihre Umgebung mit Microsoft Defender for Identity
- Sichern Sie Ihre Cloud-Apps und -Dienste mit Microsoft Cloud App Security
- Reagieren auf Warnungen zur Verhinderung von Datenverlust mithilfe von Microsoft 365
- Verwalten von Insider-Risiken in Microsoft 365
Modul 3: Verringern von Bedrohungen mit Azure Defender
- Planen von Cloud-Workload-Schutzmaßnahmen mit Azure Defender
- Erläutern des Schutzes von Cloud-Workloads in Azure Defender
- Verbinden von Azure-Assets mit Azure Defender
- Verbinden von Nicht-Azure-Ressourcen mit Azure Defender
- Beheben von Sicherheitswarnungen mit Azure Defender
Modul 4: Erstellen von Abfragen für Azure Sentinel mithilfe der Kusto-Abfragesprache (KQL)
- Erstellen von KQL-Anweisungen für Azure Sentinel
- Analysieren von Abfrageergebnissen mit KQL
- Erstellen von Multi-Table-Anweisungen mit KQL
- Arbeiten mit Daten in Azure Sentinel mithilfe der Kusto-Abfragesprache
Modul 5: Konfigurieren Ihrer Azure Sentinel-Umgebung
- Einführung in Azure Sentinel
- Erstellen und Verwalten von Azure Sentinel-Arbeitsbereichen
- Abfrageprotokolle in Azure Sentinel
- Verwenden von Watchlists in Azure Sentinel
- Verwenden von Bedrohungsinformationen in Azure Sentinel
Modul 6: Verbinden von Protokollen mit Azure Sentinel
- Verbinden von Daten mit Azure Sentinel mithilfe von Datenconnectors
- Verbinden von Microsoft-Diensten mit Azure Sentinel
- Verbinden von Microsoft 365 Defender mit Azure Sentinel
- Verbinden von Windows-Hosts mit Azure Sentinel
- Verbinden von Common Event Format-Protokollen mit Azure Sentinel
- Verbinden von Syslog-Datenquellen mit Azure Sentinel
- Verbinden von Bedrohungsindikatoren mit Azure Sentinel
Modul 7: Erstellen von Erkennungen und Durchführen von Untersuchungen mit Azure Sentinel
- Bedrohungserkennung mit Azure Sentinel-Analysen
- Bedrohungsreaktion mit Azure Sentinel-Playbooks
- Verwaltung von Sicherheitsvorfällen in Azure Sentinel
- Verwenden von Entitätsverhaltensanalysen in Azure Sentinel
- Abfragen, Visualisieren und Überwachen von Daten in Azure Sentinel
Modul 8: Ausführen der Bedrohungssuche in Azure Sentinel
- Bedrohungssuche mit Azure Sentinel
- Suche nach Bedrohungen mithilfe von Notizbüchern in Azure Sentinel
Zielgruppe
Der Microsoft Security Operations Analyst arbeitet mit Stakeholdern des Unternehmens zusammen, um Informationstechnologiesysteme für das Unternehmen zu sichern. Ihr Ziel ist es, das organisatorische Risiko zu reduzieren, indem aktive Angriffe in der Umgebung schnell behoben, Verbesserungen der Bedrohungsschutzpraktiken empfohlen und Verstöße gegen organisatorische Richtlinien an geeignete Interessenvertreter weitergeleitet werden.
Zu den Aufgaben gehören das Bedrohungsmanagement, die Überwachung und die Reaktion mit Hilfe einer Vielzahl von Sicherheitslösungen in der gesamten Umgebung. Die Rolle untersucht, reagiert und sucht in erster Linie nach Bedrohungen beim Umgang mit Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender und Sicherheitsprodukten von Drittanbietern.
Da der Analyst für Sicherheitsoperationen die Betriebsleistung dieser Tools nutzt, ist er auch ein wichtiger Interessenvertreter bei der Konfiguration und Bereitstellung dieser Technologien.
Voraussetzungen
- Grundlegendes Verständnis von Microsoft 365. Empfehlung Teilnahme MS-900 Kurs.
- Grundlegendes Verständnis der Microsoft-Produkte für Sicherheit, Compliance und Identität. Optionale Teilnahme MS-500.
- Fortgeschrittenes Verständnis von Windows 10. Optionale Teilnahme MD-100.
- Vertraut sein mit Azure-Services, insbesondere Azure SQL-Datenbank und Azure-Speicher
- Vertraut sein mit virtuellen Azure-Maschinen und virtuellen Netzwerken
- Grundlegendes Verständnis von Skriptkonzepten.