SC-200: Microsoft Security Operations Analyst

Analysez les données de menace dans l’ensemble des domaines et atténuez rapidement les menaces avec l’orchestration et l’automatisation intégrées dans Microsoft 365 Defender. Découvrez les menaces de cybersécurité et comment les nouveaux outils de protection contre les menaces Microsoft protègent les utilisateurs, les appareils et les données de votre organisation. Utilisez les fonctionnalités avancées de détection et d’élimination des menaces liées aux identités pour protéger vos applications et vos identités Azure Active Directory de toute compromission.

Leçons

1. Présentation de la protection contre les menaces avec Microsoft 365
2. Réduire les incidents avec Microsoft 365 Defender
3. Corriger les risques avec Microsoft Defender pour Office 365
4. Microsoft Defender pour Identity
5. Azure AD Identity Protection
6. Microsoft Cloud App Security
7. Répondre aux alertes de protection contre la perte de données
8. Gérer le risque interne dans Microsoft 365

Labo : atténuer les menaces avec Microsoft Defender

1. Explorer Microsoft 365 Defender

Après avoir terminé ce module, les étudiants seront capables de :

1. Expliquer comment le paysage des menaces évolue
2. Gérer les incidents dans Microsoft 365 Defender
3. Effectuer un repérage avancé dans Microsoft 365 Defender
4. Examiner les alertes dans Microsoft Defender
5. Découvrir les fonctionnalités d’investigation et de correction d’Azure Active Directory Identity Protection
6. Définir l’infrastructure Cloud App Security
7. Expliquer comment Cloud Discovery vous aide à voir ce qui se passe dans votre organisation

Implémentez la plateforme Microsoft Defender pour point de terminaison pour détecter, investiguer et répondre aux menaces avancées. Découvrez comment Microsoft Defender pour point de terminaison peut aider votre organisation à rester en sécurité. Découvrez comment déployer l’environnement Microsoft Defender pour point de terminaison, y compris les appareils d’intégration et la configuration de la sécurité. Découvrez comment examiner les incidents et les alertes à l’aide de Microsoft Defender pour points de terminaison. Effectuez un repérage avancé et consultez des spécialistes des menaces. Découvrez comment configurer l’automatisation dans Microsoft Defender pour point de terminaison en gérant les paramètres d’environnement. Enfin, découvrez les faiblesses de votre environnement à l’aide de la Gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison.

Leçons

1. Se protéger contre les menaces avec Microsoft Defender pour point de terminaison
2. Déployer l’environnement Microsoft Defender pour point de terminaison
3. Implémenter des améliorations en matière de sécurité dans Windows 10
4. Effectuer des investigations d’appareil
5. Effectuer des actions sur un appareil
6. Effectuer des investigations de preuve et d’entités
7. Configurer les alertes et les détections
8. Gérer le risque interne dans Microsoft 365
9. Utiliser la gestion des menaces et des vulnérabilités

Labo : atténuer les menaces avec Microsoft 365 Defender pour point de terminaison

1. Déployer Microsoft Defender pour point de terminaison
2. Atténuer les attaques à l’aide de Defender pour point de terminaison

Après avoir terminé ce module, les étudiants seront capables de :

1. Définir les fonctionnalités de Microsoft Defender pour point de terminaison
2. Configurer les paramètres de Microsoft Defender pour point de terminaison
3. Configurer les règles de réduction de la surface d’attaque sur les appareils sous Windows 10
4. Décrire les informations forensiques sur les appareils collectées par Microsoft Defender pour point de terminaison
5. Exécuter une collecte de données d’investigation à l’aide de Microsoft Defender for Endpoint
6. Examiner les comptes d’utilisateur dans Microsoft Defender pour point de terminaison
7. Gérer les paramètres d’automatisation dans Microsoft Defender pour le point de terminaison
8. Gérer les indicateurs dans Microsoft Defender pour point de terminaison
9. Décrire Gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison

Utilisez Azure Defender intégré à Azure Security Center pour la protection et la sécurité des charges de travail locales et dans le cloud hybride Azure. Découvrez l’objectif d’Azure Defender, la relation entre Azure Defender et Azure Security Center, et comment activer Azure Defender. Découvrez les protections et les détections fournies par Azure Defender pour chaque charge de travail cloud. Découvrez comment vous pouvez ajouter les capacités d'Azure Defender à votre environnement hybride.

Leçons

1. Planifier des protections de charge de travail cloud à l’aide d’Azure Defender
2. Expliquer les protections de charge de travail cloud dans Azure Defender
3. Connecter des ressources Azure à Azure Defender
4. Connecter des ressources non Azure à Azure Defender
5. Corriger les alertes de sécurité à l’aide d’Azure Defender

Labo : atténuer les menaces en utilisant Azure Defender

1. Déployer Azure Defender
2. Empêcher les attaques avec Azure Defender

Après avoir terminé ce module, les étudiants seront capables de :

1. Décrire les fonctionnalités d’Azure Defender
2. Expliquer les fonctionnalités d’Azure Security Center
3. Expliquer quelles sont les charges de travail protégées par Azure Defender
4. Expliquer comment les protections Azure Defender fonctionnent
5. Configurer l’approvisionnement automatique dans Azure Defender
6. Décrire l’approvisionnement manuel dans Azure Defender
7. Connecter des machines non-Azure à Azure Defender
8. Décrire les alertes dans Azure Defender
9. Corriger les alertes dans Azure Defender
10. Automatiser les réponses dans Azure Defender

Écrivez des instructions KQL (Kusto Query Language) pour interroger les données de journal afin de procéder à des détections, des analyses et des rapports dans Azure Sentinel. Ce module se concentrera sur les opérateurs les plus utilisés. Les exemples d’instructions KQL montrent des requêtes de table relatives à la sécurité. KQL est le langage de requête utilisé pour effectuer une analyse des données afin de créer des analyses, des classeurs et d’effectuer la chasse dans Azure Sentinel. Découvrez comment la structure de l’instruction KQL de base fournit les bases pour créer des instructions plus complexes. Découvrez comment synthétiser et visualiser des données avec une instruction KQL fournit la base pour créer des détections dans Azure Sentinel. Découvrez comment utiliser le langage de requête Kusto (KQL) pour manipuler les données de chaîne ingérées à partir de journaux sources.

Leçons

1. Construire des instructions KQL pour Azure Sentinel
2. Analyser les résultats d’une requête à l’aide de KQL
3. Générer des instructions de tables multiples à l’aide de KQL
4. Utiliser des données dans Azure Sentinel à l’aide du langage de requête Kusto

Labo : créer des requêtes pour Azure Sentinel avec le langage de requête Kusto (KQL)

1. Construire des instructions KQL de base
2. Analyser les résultats d’une requête à l’aide de KQL
3. Générer des instructions de tables multiples à l’aide de KQL
4. Utiliser des données de chaîne dans KQL

Après avoir terminé ce module, les étudiants seront capables de :

1. Construire des instructions KQL
2. Rechercher des événements de sécurité dans les fichiers journaux à l’aide de KQL
3. Filtrer les recherches en fonction de l’heure de l’événement, de la gravité, du domaine et d’autres données pertinentes à l’aide de KQL
4. Synthétiser des données à l’aide d’instructions KQL
5. Afficher des visualisations à l’aide d’instructions KQL
6. Extraire des données à partir de champs de chaîne non structurés à l’aide de KQL
7. Extraire des données à partir de données de chaîne structurées à l’aide de KQL
8. Créer des fonctions à l’aide de KQL

Démarrer avec Azure Sentinel en configurant correctement l’espace de travail Azure Sentinel. L’installation et la configuration des systèmes SIEM (informations de sécurité et gestion d’événements) classiques prend généralement beaucoup de temps. De plus, ils ne sont pas nécessairement conçus en pensant aux charges de travail dans le cloud. Azure Sentinel vous permet d’obtenir de précieux insights de sécurité à partir de vos données locales et dans le cloud rapidement. Ce module vous aide à vous lancer. En savoir plus sur l’architecture des espaces de travail Azure Sentinel pour vous assurer que vous configurez votre système selon les exigences en matière d’opérations de sécurité de votre organisation. En tant qu’analyste des opérations de sécurité, vous devez comprendre les tables, les champs et les données qui sont ingérés dans votre espace de travail. Découvrez comment interroger les tables de données les plus utilisées dans Azure Sentinel.

Leçons

1. Présentation d’Azure Sentinel
2. Gérer et gérer des espaces de travail Azure Sentinel
3. Journaux de requêtes dans Azure Sentinel
4. Utiliser des watchlists dans Azure Sentinel
5. Utiliser les renseignements sur les menaces dans Azure Sentinel

Labo : configurer votre environnement Azure Sentinel

1. Créer un espace de travail Azure Sentinel
2. Créer une Watchlist
3. Créer un indicateur de menaces

Après avoir terminé ce module, les étudiants seront capables de :

1. Identifier les différents composants et fonctionnalités d’Azure Sentinel.
2. Identifier les cas d’usage où Azure Sentinel constitue une bonne solution.
3. Décrire l’architecture d’espaces de travail Azure Sentinel
4. Installer l’espace de travail Azure Sentinel
5. Gérer un espace de travail Azure Sentinel
6. Créer un watchlist dans Azure Sentinel
7. Utiliser KQL pour accéder à Watchlist dans Azure Sentinel
8. Utiliser les renseignements sur les menaces dans Azure Sentinel
9. Utiliser KQL pour accéder aux indicateurs de menace dans Azure Sentinel

Connectez les données à l’échelle du cloud de tous les utilisateurs, les appareils, les applications et l’infrastructure, localement et dans plusieurs clouds à Azure Sentinel. La principale approche pour connecter des données de journal consiste à utiliser les connecteurs de données fournis par Azure Sentinel. Ce module fournit une vue d’ensemble des connecteurs de données disponibles. Découvrez les options de configuration et les données fournies par les connecteurs Azure Sentinel pour Microsoft 365 Defender.

Leçons

1. Connecter des données à Azure Sentinel à l’aide de connecteurs de données
2. Connecter les services Microsoft à Azure Sentinel
3. Connecter Microsoft 365 Defender à Azure Sentinel
4. Connecter des hôtes Windows à Azure Sentinel
5. Connecter des journaux Common Event Format à Azure Sentinel
6. Connecter des sources de données syslog à Azure Sentinel
7. Connecter les indicateurs de menace à Azure Sentinel

Labo : connecter des journaux à Azure Sentinel

1. Connecter des données à Azure Sentinel à l’aide de connecteurs de donnée
2. Connecter des appareils Windows à Azure Sentinel à l’aide de connecteurs de donnée
3. Connecter des hôtes Linux à Azure Sentinel à l’aide de connecteurs de donnée
4. Connecter le renseignement sur les menaces pour Azure Sentinel à l’aide de connecteurs de données

Après avoir terminé ce module, les étudiants seront capables de :

1. Expliquer l’utilisation des connecteurs de données dans Azure Sentinel
2. Expliquer les différences entre Common Event Format et le connecteur Syslog dans Azure Sentinel
3. Connecter les connecteurs de service Microsoft
4. Expliquer comment les connecteurs créent automatiquement des incidents dans Azure Sentinel
5. Activer le connecteur Microsoft 365 Defender dans Azure Sentinel
6. Connecter les machines virtuelles Windows à Azure Sentinel
7. Connecter des hôtes Windows non Azure à Azure Sentinel
8. Configurer l'agent Log Analytics pour collecter les événements Sysmon
9. Expliquer les options de déploiement du connecteur Common Event Format dans Azure Sentinel
10. Configurer le connecteur TAXII dans Azure Sentinel
11. Afficher les renseignements sur les menaces dans Azure Sentinel

Détectez des menaces non découvertes précédemment et remédiez rapidement aux menaces avec l’orchestration et de l’automatisation intégrées dans Azure Sentinel. Vous souhaitez savoir comment créer des guides opérationnels Azure Sentinel pour répondre aux menaces de sécurité ? Vous allez étudier la gestion des incidents dans Azure Sentinel, vous familiariser avec les événements et entités Azure Sentinel et découvrir des moyens pour remédier aux incidents. Vous allez également apprendre comment interroger, visualiser et analyser des données dans Azure Sentinel.

Leçons

1. Détection des menaces avec Azure Sentinel Analytics
2. Réponse aux menaces avec les playbooks Azure Sentinel
3. Gestion des incidents de sécurité dans Azure Sentinel
4. Utiliser l’analyse du comportement des entités dans Azure Sentinel
5. Interroger, visualiser et superviser des données dans Azure Sentinel

Labo : créer des détections et effectuer des investigations en utilisant Azure Sentinel

1. Activer une règle de sécurité Microsoft
2. Créer un guide opérationnel
3. Créer une requête planifiée
4. Comprendre la modélisation de la détection
5. Mener des attaques
6. Créer des detections
7. Investiguer les incidents
8. Créer des classeurs

Après avoir terminé ce module, les étudiants seront capables de :

1. Expliquer l’importance d’Azure Sentinel Analytics.
2. Créer des règles à partir de modèles.
3. Gérer les règles avec les modifications.
4. Expliquer les fonctionnalités SOAR d’Azure Sentinel.
5. Créer un playbook pour automatiser une réponse aux incidents.
6. Investiguer et gérer la résolution des incidents.
7. Expliquer l’analyse du comportement des utilisateurs et des entités dans Azure Sentinel
8. Explorer les entités dans Azure Sentinel
9. Visualiser les données de sécurité en utilisant des workbooks Azure Sentinel.

Dans ce module, vous allez découvrir comment identifier de manière proactive les comportements de menaces en utilisant des requêtes Azure Sentinel. Vous allez aussi apprendre à utiliser les signets et le stream en direct pour chasser les menaces. Découvrez comment utiliser des notebooks dans Azure Sentinel pour le repérage avancé.

Leçons

1. Chasser les menaces avec Azure Sentinel
2. Repérer les menaces à l’aide de notebooks dans Azure Sentinel

Labo : repérage des menaces dans Azure Sentinel

1. Effectuer le repérage des menaces dans Azure Sentinel
2. Repérage des menaces à l’aide de notebooks avec Azure Sentinel

Après avoir terminé ce module, les étudiants seront capables de :

1. Décrire les concepts de repérage de menaces à utiliser avec Azure Sentinel
2. Définir une hypothèse de repérage de menaces à utiliser dans Azure Sentinel
3. Utiliser des requêtes pour chasser les menaces.
4. Observer les menaces dans le temps avec le stream en direct.
5. Explore les bibliothèques d’API pour le repérage avancé des menaces dans Azure Sentinel
6. Créer et utiliser des notebooks dans Azure Sentinel