Курс SC-200T00 Аналитик по безопасности Microsoft

Курс объясняет, как расследовать, реагировать и искать угрозы с помощью Microsoft Azure Sentinel, Azure Defender и Microsoft 365 Defender. Из курса вы узнаете, как уменьшить киберугрозы с помощью этих технологий. В частности, вы будете настраивать и использовать Azure Sentinel, а также использовать язык запросов Kusto (KQL) для обнаружения, анализа и создания отчетов. Курс был разработан для специалистов, работающих в сфере обеспечения безопасности, и помогает в подготовке к экзамену «SC-200: Аналитик по безопасности Microsoft (Microsoft Security Operations Analyst)».

По окончании курса слушатели смогут:

• объяснять, как Microsoft Defender для Endpoint может устранять риски в вашей среде;
• создавать Microsoft Defender для среды Endpoint;
• настраивать правила уменьшения области атаки на устройствах с Windows 10;
• выполнять действия на устройстве с помощью Microsoft Defender для Endpoint;
• расследовать домены и IP-адреса в Microsoft Defender для Endpoint;
• расследовать учетные записи пользователей в Microsoft Defender для Endpoint;
• настраивать параметры предупреждений в Microsoft Defender для Endpoint;
• объяснять, как меняется ландшафт угроз;
• проводить расширенную охоту в Microsoft 365 Defender;
• управлять инцидентами в Microsoft 365 Defender;
• объяснять, как Microsoft Defender для идентификации может устранять риски в вашей среде;
• изучить предупреждения DLP в Microsoft Cloud App Security;
• объяснять типы действий, которые вы можете предпринять, работая с обращениями с инсайдерскими рисками;
• настраивать автоматическую подготовку в Azure Defender;
• исправлять предупреждения в Azure Defender;
• создавать операторы KQL;
• фильтровать поиск по времени события, серьезности, домену и другим релевантным данным с помощью KQL;
• извлекать данные из неструктурированных строковых полей с помощью KQL;
• управлять рабочим пространством Azure Sentinel;
• использовать KQL для доступа к списку наблюдения в Azure Sentinel;
• управлять индикаторами угроз в Azure Sentinel;
• объяснять различия в формате общих событий и коннектора системного журнала в Azure Sentinel;
• подключать виртуальные машины Windows Azure к Azure Sentinel;
• настраивать агента Log Analytics для сбора событий Sysmon;
• создавать новые правила и запросы аналитики с помощью мастера правил аналитики;
• создавать сценарий для автоматизации реагирования на инциденты;
• использовать запросы для поиска угроз;

Аудитория

Аналитик по безопасности Microsoft сотрудничает с заинтересованными сторонами в организации для обеспечения безопасности систем информационных технологий в организации. Их цель - снизить организационный риск за счет быстрого устранения активных атак в среде, предоставляя рекомендации по усовершенствованию методов защиты от угроз и направления нарушений политики организации соответствующим заинтересованным сторонам. В обязанности специалиста входит управление угрозами, мониторинг и реагирование с использованием различных решений безопасности в своей среде. Аналитики в первую очередь исследуют угрозы, реагируют на них и отслеживают их с помощью Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender и сторонних продуктов безопасности. Поскольку аналитик операционной безопасности использует результаты работы этих инструментов, они также являются критически важными заинтересованными сторонами при настройке и развертывании этих технологий.

Для эффективного обучения на курсе, слушатели должны обладать следующими знаниями и навыками:

• базовое понимание Microsoft 365;
• базовое понимание продуктов Microsoft для обеспечения безопасности, соответствия требованиям и идентификации;
• среднее понимание Windows 10;
• ознакомленность со службами Azure, в частности с базой данных SQL Azure и хранилищем Azure;
• ознакомленность с виртуальными машинами Azure и виртуальными сетями;
• базовое понимание концепций создания сценариев.