spinner-it

Аналитик по безопасности Microsoft

Курс объясняет, как расследовать, реагировать и искать угрозы с помощью Microsoft Azure Sentinel, Azure Defender и Microsoft 365 Defender. Из курса вы узнаете, как уменьшить киберугрозы с помощью этих технологий. В частности, вы будете настраивать и использовать Azure Sentinel, а также использовать язык запросов Kusto (KQL) для обнаружения, анализа и создания отчетов. Курс был разработан для специалистов, работающих в сфере обеспечения безопасности, и помогает в подготовке к экзамену «SC-200: Аналитик по безопасности Microsoft (Microsoft Security Operations Analyst)».


По окончании курса слушатели смогут:

  • объяснять, как Microsoft Defender для Endpoint может устранять риски в вашей среде;
  • создавать Microsoft Defender для среды Endpoint;
  • настраивать правила уменьшения области атаки на устройствах с Windows 10;
  • выполнять действия на устройстве с помощью Microsoft Defender для Endpoint;
  • расследовать домены и IP-адреса в Microsoft Defender для Endpoint;
  • расследовать учетные записи пользователей в Microsoft Defender для Endpoint;
  • настраивать параметры предупреждений в Microsoft Defender для Endpoint;
  • объяснять, как меняется ландшафт угроз;
  • проводить расширенную охоту в Microsoft 365 Defender;
  • управлять инцидентами в Microsoft 365 Defender;
  • объяснять, как Microsoft Defender для идентификации может устранять риски в вашей среде;
  • изучить предупреждения DLP в Microsoft Cloud App Security;
  • объяснять типы действий, которые вы можете предпринять, работая с обращениями с инсайдерскими рисками;
  • настраивать автоматическую подготовку в Azure Defender;
  • исправлять предупреждения в Azure Defender;
  • создавать операторы KQL;
  • фильтровать поиск по времени события, серьезности, домену и другим релевантным данным с помощью KQL;
  • извлекать данные из неструктурированных строковых полей с помощью KQL;
  • управлять рабочим пространством Azure Sentinel;
  • использовать KQL для доступа к списку наблюдения в Azure Sentinel;
  • управлять индикаторами угроз в Azure Sentinel;
  • объяснять различия в формате общих событий и коннектора системного журнала в Azure Sentinel;
  • подключать виртуальные машины Windows Azure к Azure Sentinel;
  • настраивать агента Log Analytics для сбора событий Sysmon;
  • создавать новые правила и запросы аналитики с помощью мастера правил аналитики;
  • создавать сценарий для автоматизации реагирования на инциденты;
  • использовать запросы для поиска угроз.

Профиль аудитории:

Аналитик операций безопасности Microsoft сотрудничающий с заинтересованными сторонами организации для обеспечения безопасности систем информационных технологий. Его цель состоит в том, чтобы снижать организационный риск путем быстрого устранения активных атак в операционной среде, предоставлять консультации по вопросам совершенствования методов защиты от угроз и передавать информацию о нарушениях организационной политики соответствующим заинтересованным сторонам. Обязанности включают в себя управление угрозами, мониторинг и реагирование с использованием различных решений безопасности в среде. Эта роль в основном исследует угрозы, реагирует на них и выявляет их с помощью решения Microsoft Azure Sentinel, инструментов Azure Defender и Microsoft 365 Defender, а также сторонних продуктов безопасности. Поскольку аналитик операций безопасности использует оперативные возможности указанных инструментов, он также является важной заинтересованной стороной в настройке и развертывании этих технологий.

  1. Устранение угроз с помощью Microsoft Defender для Endpoint
    • Защита от угроз с помощью Microsoft Defender для Endpoint
    • Развертывание Microsoft Defender для среды Endpoint
    • Внедрение улучшений безопасности Windows 10 с помощью Microsoft Defender для Endpoint
    • Управление предупреждениями и инцидентами в Microsoft Defender для Endpoint
    • Выполнение расследований на устройстве в Microsoft Defender для Endpoint
    • Выполнение действий на устройстве с помощью Microsoft Defender для Endpoint
    • Выполнение расследования доказательств и сущностей с помощью Microsoft Defender для Endpoint
    • Настройка и управление автоматизацией с помощью Microsoft Defender для Endpoint
    • Настройка предупреждений и обнаружений в Microsoft Defender для Endpoint
    • Использование управления угрозами и уязвимостями в Microsoft Defender для Endpoint
  2. Устранение угроз с помощью Microsoft 365 Defender
    • Введение в защиту от угроз с помощью Microsoft 365
    • Устранение инцидентов с помощью Microsoft 365 Defender
    • Защита идентификаций с помощью Azure AD Identity Protection
    • Устранение рисков с помощью Microsoft Defender для Office 365
    • Защита среды с помощью Microsoft Defender для идентификации
    • Защита облачных приложений и сервисов с помощью Microsoft Cloud App Security
    • Реакция на предупреждения о предотвращении потери данных с помощью Microsoft 365
    • Управление внутренними рисками в Microsoft 365
  3. Устранение угроз с помощью Azure Defender
    • Планирование защиты облачных рабочих нагрузок с помощью Azure Defender
    • Объяснение защиты облачных рабочих нагрузок в Azure Defender
    • Подключение ресурсов Azure к Azure Defender
    • Подключение ресурсов, не относящихся к Azure, к Azure Defender
    • Исправление предупреждений системы безопасности с помощью Azure Defender
  4. Создание запросов для Azure Sentinel с помощью языка запросов Kusto (KQL)
    • Создание инструкций KQL для Azure Sentinel
    • Анализ результатов запроса с помощью KQL
    • Создание многотабличных операторов с помощью KQL
    • Работа с данными в Azure Sentinel с помощью языка запросов Kusto
  5. Настройка среды Azure Sentinel
    • Введение в Azure Sentinel
    • Создание рабочих областей Azure Sentinel и управление ими
    • Журналы запросов в Azure Sentinel
    • Использование списков наблюдения в Azure Sentinel
    • Использование аналитики угроз в Azure Sentinel
  6. Подключение журналов к Azure Sentinel
    • Подключение данных к Azure Sentinel с помощью коннекторов данных
    • Подключение служб Microsoft к Azure Sentinel
    • Подключение Microsoft 365 Defender к Azure Sentinel
    • Подключение хостов Windows к Azure Sentinel
    • Подключение журналов общего формата событий к Azure Sentinel
    • Подключение источников данных системного журнала к Azure Sentinel
    • Подключение индикаторов угроз к Azure Sentinel
  7. Создание обнаружения и проведение расследования с помощью Azure Sentinel
    • Обнаружение угроз с помощью аналитики Azure Sentinel
    • Реагирование на угрозы с помощью сценариев Azure Sentinel
    • Управление инцидентами безопасности в Azure Sentinel
    • Использование аналитики поведения сущностей в Azure Sentinel
    • Запрос, визуализация и мониторинг данных в Azure Sentinel
  8. Выполнение поиска угроз в Azure Sentinel
    • Охота на угрозы с помощью Azure Sentinel
    • Поиск угроз с помощью записных книжек в Azure Sentinel

Для эффективного обучения на курсе, слушатели должны обладать следующими знаниями и навыками:

  • базовое понимание Microsoft 365;
  • базовое понимание продуктов Microsoft для обеспечения безопасности, соответствия требованиям и идентификации;
  • среднее понимание Windows 10;
  • ознакомленность со службами Azure, в частности с базой данных SQL Azure и хранилищем Azure;
  • ознакомленность с виртуальными машинами Azure и виртуальными сетями;
  • базовое понимание концепций создания сценариев.

Запись на курс

Код курсаSC-200T00
Длительность4 д (32 ч)
Код экзаменаSC-200
Стоимость без НДС25 000 грн.

У зв'язку з карантином всі наші курси читаються у online-форматі.