Курс SC-200T00 Аналітик з безпеки Microsoft

Курс пояснює, як розслідувати, реагувати і шукати загрози за допомогою Microsoft Azure Sentinel, Azure Defender і Microsoft 365 Defender. З курсу ви дізнаєтеся, як зменшити кіберзагрози за допомогою цих технологій. Зокрема, ви будете налаштовувати і використовувати Azure Sentinel, а також використовувати мову запитів Kusto (KQL) для виявлення, аналізу та створення звітів. Курс був розроблений для фахівців, що працюють в сфері забезпечення безпеки, і допомагає в підготовці до іспиту «SC-200: Аналітик з безпеки Microsoft (Microsoft Security Operations Analyst)».

Після закінчення курсу слухачі зможуть:

• пояснювати, як Microsoft Defender для Endpoint може усувати ризики у вашому середовищі;
• створювати Microsoft Defender для середовища Endpoint;
• налаштовувати правила зменшення області атаки на пристроях з Windows 10;
• виконувати дії на пристрої за допомогою Microsoft Defender для Endpoint;
• розслідувати домени і IP-адреси в Microsoft Defender для Endpoint;
• розслідувати облікові записи користувачів в Microsoft Defender для Endpoint;
• налаштовувати параметри попереджень в Microsoft Defender для Endpoint;
• пояснювати, як змінюється ландшафт загроз;
• проводити розширене полювання в Microsoft 365 Defender;
• керувати інцидентами в Microsoft 365 Defender;
• пояснювати, як Microsoft Defender для ідентифікації може усувати ризики у вашому середовищі;
• вивчити попередження DLP в Microsoft Cloud App Security;
• пояснювати типи дій, які ви можете зробити, працюючи зі зверненнями з інсайдерськими ризиками;
• налаштовувати автоматичну підготовку в Azure Defender;
• виправляти попередження в Azure Defender;
• створювати оператори KQL;
• фільтрувати пошук по часу події, серйозності, домену та іншим релевантним даним за допомогою KQL;
• отримувати дані з неструктурованих строкових полів за допомогою KQL;
• управляти робочим простором Azure Sentinel;
• використовувати KQL для доступу до списку спостереження в Azure Sentinel;
• керувати індикаторами загроз в Azure Sentinel;
• пояснювати відмінності в форматі загальних подій і коннектора системного журналу в Azure Sentinel;
• підключати віртуальні машини Windows Azure до Azure Sentinel;
• налаштовувати агента Log Analytics для збору подій Sysmon;
• створювати нові правила і запити аналітики за допомогою майстра правил аналітики;
• створювати сценарій для автоматизації реагування на інциденти;
• використовувати запити для пошуку загроз;
• спостерігати за загрозами за допомогою прямої трансляції.

Аудиторія

Аналітик з безпеки Microsoft співпрацює з зацікавленими сторонами в організації для забезпечення безпеки систем інформаційних технологій в організації. Їх мета - знизити організаційний ризик за рахунок швидкого усунення активних атак в середовищі, надаючи рекомендації щодо вдосконалення методів захисту від загроз і напрямків порушень політики організації відповідним зацікавленим сторонам. В обов'язки спеціаліста входить управління погрозами, моніторинг та реагування з використанням різних рішень безпеки в своєму середовищі. Аналітики в першу чергу досліджують загрози, реагують на них і відстежують їх за допомогою Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender і сторонніх продуктів безпеки. Оскільки аналітик операційної безпеки використовує результати роботи цих інструментів, вони також є критично важливими зацікавленими сторонами під час налаштування і розгортання цих технологій.

Для ефективного навчання на курсі, слухачі повинні володіти такими знаннями і навичками:

• базове розуміння Microsoft 365;
• базове розуміння продуктів Microsoft для забезпечення безпеки, відповідності вимогам та ідентифікації;
• середнє розуміння Windows 10;
• ознайомленість зі службами Azure, зокрема з базою даних SQL Azure і сховищем Azure;
• ознайомленість з віртуальними машинами Azure і віртуальними мережами;
• базове розуміння концепцій створення сценаріїв.