Курс Аналітик з безпеки Microsoft

Курс пояснює, як розслідувати, реагувати і шукати загрози за допомогою Microsoft Azure Sentinel, Azure Defender і Microsoft 365 Defender. З курсу ви дізнаєтеся, як зменшити кіберзагрози за допомогою цих технологій. Зокрема, ви будете налаштовувати і використовувати Azure Sentinel, а також використовувати мову запитів Kusto (KQL) для виявлення, аналізу та створення звітів. Курс був розроблений для фахівців, що працюють в сфері забезпечення безпеки, і допомагає в підготовці до іспиту "SC-200: Аналітик з безпеки Microsoft (Microsoft Security Operations Analyst)".

Програма курсу

Усунення загроз за допомогою Microsoft Defender для Endpoint

• Захист від загроз за допомогою Microsoft Defender для Endpoint
• Розгортання Microsoft Defender для середовища Endpoint
• Впровадження поліпшень безпеки Windows 10 за допомогою Microsoft Defender для Endpoint
• Управління попередженнями і інцидентами в Microsoft Defender для Endpoint
• Виконання розслідувань на пристрої в Microsoft Defender для Endpoint
• Виконання дій на пристрої за допомогою Microsoft Defender для Endpoint
• Виконання розслідування доказів і сутностей за допомогою Microsoft Defender для Endpoint
• Налаштування та управління автоматизацією за допомогою Microsoft Defender для Endpoint
• Налаштування попереджень і виявлень в Microsoft Defender для Endpoint
• Використання управління погрозами і слабкими місцями в Microsoft Defender для Endpoint

Усунення загроз за допомогою Microsoft 365 Defender

• Вступ до захисту від загроз за допомогою Microsoft 365
• Усунення інцидентів за допомогою Microsoft 365 Defender
• Захист ідентифікацій за допомогою Azure AD Identity Protection
• Усунення ризиків за допомогою Microsoft Defender для Office 365
• Захист середовища за допомогою Microsoft Defender для ідентифікації
• Захист хмарних додатків і сервісів за допомогою Microsoft Cloud App Security
• Реакція на попередження про запобігання втрати даних за допомогою Microsoft 365
• Управління внутрішніми ризиками в Microsoft 365

Усунення загроз за допомогою Azure Defender

• Планування захисту хмарних робочих навантажень за допомогою Azure Defender
• Пояснення захисту хмарних робочих навантажень в Azure Defender
• Підключення ресурсів Azure до Azure Defender
• Підключення ресурсів, що не відносяться до Azure, до Azure Defender
• Виправлення попереджень системи безпеки за допомогою Azure Defender

Створення запитів для Azure Sentinel за допомогою мови запитів Kusto (KQL)

• Створення інструкцій KQL для Azure Sentinel
• Аналіз результатів запиту за допомогою KQL
• Створення багатотабличних операторів за допомогою KQL
• Робота з даними в Azure Sentinel за допомогою мови запитів Kusto

Налаштування середовища Azure Sentinel

• Вступ до Azure Sentinel
• Створення робочих областей Azure Sentinel і управління ними
• Журнали запитів в Azure Sentinel
• Використання списків спостереження в Azure Sentinel
• Використання аналітики загроз в Azure Sentinel

Підключення журналів до Azure Sentinel

• Підключення даних до Azure Sentinel за допомогою конекторів даних
• Підключення служб Microsoft до Azure Sentinel
• Підключення Microsoft 365 Defender до Azure Sentinel
• Підключення хостів Windows до Azure Sentinel
• Підключення журналів загального формату подій до Azure Sentinel
• Підключення джерел даних системного журналу до Azure Sentinel
• Підключення індикаторів загроз до Azure Sentinel

Створення виявлення і проведення розслідування за допомогою Azure Sentinel

• Виявлення загроз за допомогою аналітики Azure Sentinel
• Реагування на загрози за допомогою сценаріїв Azure Sentinel
• Управління інцидентами безпеки в Azure Sentinel
• Використання аналітики поведінки сутностей в Azure Sentinel
• Запит, візуалізація і моніторинг даних в Azure Sentinel

Виконання пошуку загроз в Azure Sentinel

• Полювання на загрози за допомогою Azure Sentinel
• Пошук загроз за допомогою записників в Azure Sentinel

Після курсу слухачі зможуть:

• Пояснювати, як Microsoft Defender для Endpoint може усувати ризики у вашому середовищі
• Створювати Microsoft Defender для середовища Endpoint
• Налаштовувати правила зменшення області атаки на пристроях з Windows 10
• Виконувати дії на пристрої за допомогою Microsoft Defender для Endpoint
• Розслідувати домени і IP-адреси в Microsoft Defender для Endpoint
• Розслідувати облікові записи користувачів в Microsoft Defender для Endpoint
• Налаштовувати параметри попереджень в Microsoft Defender для Endpoint
• Пояснювати, як змінюється ландшафт загроз
• Проводити розширене полювання в Microsoft 365 Defender
• Керувати інцидентами в Microsoft 365 Defender
• Пояснювати, як Microsoft Defender для ідентифікації може усувати ризики у вашому середовищі
• Вивчити попередження DLP в Microsoft Cloud App Security
• Пояснювати типи дій, які ви можете зробити, працюючи зі зверненнями з інсайдерськими ризиками
• Налаштовувати автоматичну підготовку в Azure Defender
• Виправляти попередження в Azure Defender
• Створювати оператори KQL
• Фільтрувати пошук по часу події, серйозності, домену та іншим релевантним даним за допомогою KQL
• Отримувати дані з неструктурованих строкових полів за допомогою KQL
• Управляти робочим простором Azure Sentinel
• Використовувати KQL для доступу до списку спостереження в Azure Sentinel
• Керувати індикаторами загроз в Azure Sentinel
• Пояснювати відмінності в форматі загальних подій і коннектора системного журналу в Azure Sentinel
• Підключати віртуальні машини Windows Azure до Azure Sentinel
• Налаштовувати агента Log Analytics для збору подій Sysmon
• Створювати нові правила і запити аналітики за допомогою майстра правил аналітики
• Створювати сценарій для автоматизації реагування на інциденти
• Використовувати запити для пошуку загроз
• Спостерігати за загрозами за допомогою прямої трансляції

Особливості курсу

• LIVE-навчання незалежно від формату участі в курсі (очно/віддалено)
• Електронні матеріали Microsoft
• Попередньо налаштоване середовище та навчання на сучасному обладнанні
• Електронний сертифікат Microsoft
• Обід і кава-брейки (очний курс)
• Консультації тренера протягом 6-ти місяців після закінчення курсу