SC-200 Microsoft Security Operations Analyst
Der Kurs SC-200 von Microsoft richtet sich an Personen, die im Bereich Security Operations tätig sind, und hilft den Teilnehmern bei der Vorbereitung auf die Prüfung SC-200: Microsoft Security Operations Analyst. Lernen Sie, wie Sie mit Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft 365 Defender Bedrohungen untersuchen, auf sie reagieren und sie aufspüren können. In diesem Kurs lernen Sie, wie Sie Cyberbedrohungen mit diesen Technologien abwehren können. Insbesondere werden Sie Microsoft Sentinel konfigurieren und verwenden sowie die Kusto Query Language (KQL) zur Erkennung, Analyse und Berichterstellung einsetzen.
Modul 1: Entschärfen von Bedrohungen mit Microsoft 365 Defender
Analysieren Sie Bedrohungsdaten domänenübergreifend und beheben Sie Bedrohungen schnell mit der integrierten Orchestrierung und Automatisierung in Microsoft 365 Defender. Erfahren Sie mehr über Cybersecurity-Bedrohungen und wie die neuen Bedrohungsschutz-Tools von Microsoft die Benutzer, Geräte und Daten Ihres Unternehmens schützen. Nutzen Sie die erweiterte Erkennung und Behebung identitätsbasierter Bedrohungen, um Ihre Azure Active Directory-Identitäten und -Anwendungen vor Angriffen zu schützen.
Lektion
- Einführung in den Bedrohungsschutz mit Microsoft 365
- Entschärfen von Vorfällen mit Microsoft 365 Defender
- Beseitigung von Risiken mit Microsoft Defender für Office 365
- Microsoft Defender für Identitäten
- Schützen Sie Ihre Identitäten mit Azure AD Identity Protection
- Microsoft Defender für Cloud-Anwendungen
- Reagieren Sie auf Warnungen vor Datenverlust mit Microsoft 365
- Verwalten von Insider-Risiken in Microsoft 365
Übung: Bedrohungen mit Microsoft 365 Defender abwehren
- Erkunden Sie Microsoft 365 Defender
Nach Abschluss dieses Moduls sind die Teilnehmer in der Lage:
- Erklären, wie sich die Bedrohungslandschaft weiterentwickelt
- Vorfälle in Microsoft 365 Defender zu verwalten
- eine erweiterte Suche in Microsoft 365 Defender durchzuführen
- Warnungen in Microsoft 365 Defender zu untersuchen
- Beschreiben Sie die Untersuchungs- und Behebungsfunktionen von Azure Active Directory Identity Protection
- Erläutern Sie, wie Cloud Discovery Ihnen hilft, zu sehen, was in Ihrem Unternehmen vor sich geht
Modul 2: Entschärfen von Bedrohungen mit Microsoft Defender for Endpoint
Implementieren Sie die Microsoft Defender for Endpoint-Plattform, um fortschrittliche Bedrohungen zu erkennen, zu untersuchen und auf sie zu reagieren. Erfahren Sie, wie Microsoft Defender for Endpoint Ihrem Unternehmen helfen kann, sicher zu bleiben. Erfahren Sie, wie Sie die Microsoft Defender for Endpoint-Umgebung bereitstellen, einschließlich des Onboardings von Geräten und der Konfiguration der Sicherheit. Erfahren Sie, wie Sie Vorfälle und Warnungen mit Microsoft Defender for Endpoint untersuchen. Sie können eine erweiterte Suche durchführen und sich mit Bedrohungsexperten beraten. Sie lernen auch, wie Sie die Automatisierung in Microsoft Defender for Endpoint durch die Verwaltung von Umgebungseinstellungen konfigurieren. Schließlich lernen Sie die Schwachstellen Ihrer Umgebung mithilfe des Bedrohungs- und Schwachstellenmanagements in Microsoft Defender for Endpoint kennen.
Lektion
- Schutz vor Bedrohungen mit Microsoft Defender für Endpoint
- Bereitstellen der Microsoft Defender for Endpoint-Umgebung
- Windows-Sicherheitserweiterungen implementieren
- Geräteuntersuchungen durchführen
- Durchführen von Aktionen auf einem Gerät
- Durchführen von Untersuchungen von Beweisen und Entitäten
- Konfigurieren und Verwalten der Automatisierung
- Konfigurieren von Warnungen und Erkennungen
- Bedrohungs- und Schwachstellenmanagement nutzen
Übung: Bedrohungen mit Microsoft 365 Defender for Endpoint abwehren
- Microsoft Defender für Endpunkt bereitstellen
- Angriffe mit Defender for Endpoint abwehren
Nach Abschluss dieses Moduls werden die Teilnehmer in der Lage sein:
- die Funktionen von Microsoft Defender für Endpoint zu definieren
- Konfigurieren der Umgebungseinstellungen von Microsoft Defender für Endpoint
- Regeln zur Reduzierung von Angriffsflächen auf Windows-Geräten zu konfigurieren
- Beschreiben der von Microsoft Defender für Endpoint gesammelten forensischen Geräteinformationen
- Durchführen einer forensischen Datensammlung mit Microsoft Defender für Endpoint
- Untersuchen von Benutzerkonten in Microsoft Defender for Endpoint
- Verwalten von Automatisierungseinstellungen in Microsoft Defender für Endpoint
- Verwalten von Indikatoren in Microsoft Defender für Endpoint
- Beschreiben des Bedrohungs- und Schwachstellenmanagements in Microsoft Defender für Endpoint
Modul 3: Entschärfen von Bedrohungen mit Microsoft Defender for Cloud
Verwenden Sie Microsoft Defender for Cloud für den Schutz und die Sicherheit von Azure-, Hybrid-Cloud- und On-Premises-Workloads. Lernen Sie den Zweck von Microsoft Defender for Cloud kennen und erfahren Sie, wie Sie es aktivieren können. Außerdem erfahren Sie, welche Schutz- und Erkennungsfunktionen Microsoft Defender for Cloud für die einzelnen Cloud-Workloads bietet. Sie erfahren, wie Sie Microsoft Defender for Cloud-Funktionen zu Ihrer hybriden Umgebung hinzufügen können.
Lektion
- Planen des Schutzes von Cloud-Workloads mit Microsoft Defender for Cloud
- Workload-Schutz in Microsoft Defender für Cloud
- Verbinden von Azure-Ressourcen mit Microsoft Defender for Cloud
- Verbinden von Nicht-Azure-Ressourcen mit Microsoft Defender for Cloud
- Beseitigung von Sicherheitswarnungen mit Microsoft Defender for Cloud
Übung: Bedrohungen mit Microsoft Defender for Cloud entschärfen
- Microsoft Defender für die Cloud bereitstellen
- Entschärfen von Angriffen mit Microsoft Defender für die Cloud
Nach Abschluss dieses Moduls sind die Teilnehmer in der Lage:
- die Funktionen von Microsoft Defender for Cloud zu beschreiben
- Erklären, welche Arbeitslasten durch Microsoft Defender for Cloud geschützt werden
- Erläutern, wie die Schutzfunktionen von Microsoft Defender for Cloud funktionieren
- die automatische Bereitstellung in Microsoft Defender für Cloud zu konfigurieren
- Beschreiben der manuellen Bereitstellung in Microsoft Defender for Cloud
- Verbindung von Nicht-Azure-Rechnern mit Microsoft Defender for Cloud
- Beschreiben von Warnungen in Microsoft Defender for Cloud
- Beseitigung von Warnmeldungen in Microsoft Defender for Cloud
- Automatisieren von Reaktionen in Microsoft Defender for Cloud
Modul 4: Erstellen von Abfragen für Microsoft Sentinel mit Kusto Query Language (KQL)
Schreiben Sie Kusto Query Language (KQL)-Anweisungen zur Abfrage von Protokolldaten, um Erkennungen, Analysen und Berichte in Microsoft Sentinel durchzuführen. Dieses Modul wird sich auf die am häufigsten verwendeten Operatoren konzentrieren. Die Beispiel-KQL-Anweisungen zeigen sicherheitsrelevante Tabellenabfragen. KQL ist die Abfragesprache, die für die Analyse von Daten zur Erstellung von Analysen, Arbeitsmappen und zur Durchführung von Jagden in Microsoft Sentinel verwendet wird. Lernen Sie, wie die grundlegende KQL-Anweisungsstruktur die Grundlage für die Erstellung komplexerer Anweisungen bildet. Lernen Sie, wie Sie Daten mit einer KQL-Anweisung zusammenfassen und visualisieren können, um so die Grundlage für die Erstellung von Erkennungen in Microsoft Sentinel zu schaffen. Lernen Sie, wie Sie die Kusto Query Language (KQL) verwenden, um Zeichenkettendaten zu manipulieren, die aus Protokollquellen aufgenommen wurden.
Lektion
- Konstruieren von KQL-Anweisungen für Microsoft Sentinel
- Analysieren von Abfrageergebnissen mit KQL
- Erstellen von Multi-Tabellen-Anweisungen mit KQL
- Mit KQL-Anweisungen mit String-Daten arbeiten
Übung : Abfragen für Microsoft Sentinel mit Kusto Query Language (KQL) erstellen
- Erstellen von Abfragen für Microsoft Sentinel mit der Kusto Query Language (KQL)
Nach Abschluss dieses Moduls werden die Teilnehmer in der Lage sein:
- KQL-Anweisungen zu konstruieren
- Protokolldateien mit KQL nach Sicherheitsereignissen zu durchsuchen
- Filterung der Suche nach Ereigniszeit, Schweregrad, Domäne und anderen relevanten Daten mit KQL
- Daten mithilfe von KQL-Anweisungen zusammenzufassen
- Visualisierungen mithilfe von KQL-Anweisungen rendern
- Extrahieren von Daten aus unstrukturierten Stringfeldern mit KQL
- Extrahieren von Daten aus strukturierten String-Daten mit KQL
- Funktionen mit KQL erstellen
Modul 5: Konfigurieren Sie Ihre Microsoft Sentinel-Umgebung
Starten Sie mit Microsoft Sentinel, indem Sie den Microsoft Sentinel-Arbeitsbereich richtig konfigurieren. Herkömmliche SIEM-Systeme (Security Information and Event Management) sind in der Regel sehr zeitaufwändig in der Einrichtung und Konfiguration. Außerdem sind sie nicht unbedingt für Cloud-Workloads ausgelegt. Mit Microsoft Sentinel können Sie schnell wertvolle Sicherheitseinblicke aus Ihren Cloud- und On-Premises-Daten gewinnen. Dieses Modul hilft Ihnen bei den ersten Schritten. Lernen Sie die Architektur der Microsoft Sentinel-Arbeitsbereiche kennen, um sicherzustellen, dass Sie Ihr System so konfigurieren, dass es die Anforderungen Ihres Unternehmens an die Sicherheitsabläufe erfüllt. Als Security Operations Analyst müssen Sie die Tabellen, Felder und Daten verstehen, die in Ihren Arbeitsbereich aufgenommen werden. Erfahren Sie, wie Sie die am häufigsten verwendeten Datentabellen in Microsoft Sentinel abfragen können.
Lektion
- Einführung in Microsoft Sentinel
- Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen
- Abfrage von Protokollen in Microsoft Sentinel
- Watchlists in Microsoft Sentinel verwenden
- Bedrohungsdaten in Microsoft Sentinel nutzen
Übung: Konfigurieren Sie Ihre Microsoft Sentinel-Umgebung
- Konfigurieren Sie Ihre Microsoft Sentinel-Umgebung
Nach Abschluss dieses Moduls werden die Teilnehmer in der Lage sein:
- Die verschiedenen Komponenten und Funktionen von Microsoft Sentinel zu identifizieren.
- Anwendungsfälle zu identifizieren, in denen Microsoft Sentinel eine gute Lösung ist.
- die Architektur des Microsoft Sentinel-Arbeitsbereichs zu beschreiben
- Microsoft Sentinel Arbeitsbereich installieren
- Verwalten eines Microsoft Sentinel Arbeitsbereiches
- Eine Beobachtungsliste in Microsoft Sentinel erstellen
- KQL verwenden, um auf die Watchlist in Microsoft Sentinel zuzugreifen
- Verwalten von Bedrohungsindikatoren in Microsoft Sentinel
- Verwenden Sie KQL für den Zugriff auf Bedrohungsindikatoren in Microsoft Sentinel
Modul 6: Verbinden von Protokollen mit Microsoft Sentinel
Verbinden Sie Daten im Cloud-Maßstab über alle Benutzer, Geräte, Anwendungen und Infrastrukturen, sowohl vor Ort als auch in mehreren Clouds mit Microsoft Sentinel. Der primäre Ansatz zur Verbindung von Protokolldaten ist die Verwendung der von Microsoft Sentinel bereitgestellten Datenkonnektoren. Dieses Modul bietet einen Überblick über die verfügbaren Datenkonnektoren. Sie lernen die Konfigurationsoptionen und Daten kennen, die von Microsoft Sentinel-Konnektoren für Microsoft 365 Defender bereitgestellt werden.
Lektion
- Daten über Datenkonnektoren mit Microsoft Sentinel verbinden
- Verbinden von Microsoft-Diensten mit Microsoft Sentinel
- Verbinden von Microsoft 365 Defender mit Microsoft Sentinel
- Windows-Hosts mit Microsoft Sentinel verbinden
- Common Event Format-Protokolle mit Microsoft Sentinel verbinden
- Verbindung von Syslog-Datenquellen mit Microsoft Sentinel
- Verbinden von Bedrohungsindikatoren mit Microsoft Sentinel
Übung : Protokolle mit Microsoft Sentinel verbinden
- Daten über Datenkonnektoren mit Microsoft Sentinel verbinden
- Windows-Geräte über Datenkonnektoren mit Microsoft Sentinel verbinden
- Verbindung von Linux-Hosts mit Microsoft Sentinel über Datenkonnektoren
- Verbinden von Bedrohungsdaten mit Microsoft Sentinel unter Verwendung von Datenkonnektoren
Nach Abschluss dieses Moduls sind die Teilnehmer in der Lage:
- die Verwendung von Datenkonnektoren in Microsoft Sentinel zu erklären
- die Unterschiede zwischen Common Event Format und Syslog-Konnektoren in Microsoft Sentinel zu erläutern
- Microsoft-Dienstkonnektoren zu verbinden
- Erläutern, wie Konnektoren automatisch Vorfälle in Microsoft Sentinel erstellen
- den Microsoft 365 Defender-Konnektor in Microsoft Sentinel zu aktivieren
- Verbinden von Azure Windows Virtual Machines mit Microsoft Sentinel
- Verbinden von Nicht-Azure-Windows-Hosts mit Microsoft Sentinel
- Konfigurieren des Log Analytics-Agenten zum Sammeln von Sysmon-Ereignissen
- Erläutern der Bereitstellungsoptionen des Common Event Format-Connectors in Microsoft Sentinel
- Konfigurieren des TAXII-Connectors in Microsoft Sentinel
- Anzeigen von Bedrohungsindikatoren in Microsoft Sentinel
Modul 7: Erstellen von Erkennungen und Durchführen von Untersuchungen mit Microsoft Sentinel
Erkennen Sie bisher unentdeckte Bedrohungen und beheben Sie Bedrohungen schnell mit der integrierten Orchestrierung und Automatisierung in Microsoft Sentinel. Sie lernen, wie Sie Microsoft Sentinel Playbooks erstellen, um auf Sicherheitsbedrohungen zu reagieren. Sie werden die Microsoft Sentinel-Vorfallverwaltung untersuchen, mehr über Microsoft Sentinel-Ereignisse und -Entitäten erfahren und Möglichkeiten zur Behebung von Vorfällen entdecken. Sie lernen auch, wie Sie Daten in Microsoft Sentinel abfragen, visualisieren und überwachen können.
Lektion
- Erkennung von Bedrohungen mit Microsoft Sentinel-Analysen
- Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel
- Reaktion auf Bedrohungen mit Microsoft Sentinel-Playbooks
- Analyse des Benutzer- und Entitätsverhaltens in Microsoft Sentinel
- Abfrage, Visualisierung und Überwachung von Daten in Microsoft Sentinel
Übung: Erstellen von Erkennungen und Durchführen von Untersuchungen mit Microsoft Sentinel
- Aktivieren einer Microsoft Security-Regel
- Ein Playbook erstellen
- Eine geplante Abfrage erstellen
- Modellierung von Erkennungen verstehen
- Angriffe durchführen
- Erkennungen erstellen
- Untersuchung von Vorfällen
- Arbeitsmappen erstellen
Nach Abschluss dieses Moduls sind die Teilnehmer in der Lage:
- die Bedeutung der Microsoft Sentinel-Analyse zu erklären.
- Regeln aus Vorlagen zu erstellen.
- Regeln mit Änderungen zu verwalten.
- Microsoft Sentinel SOAR-Funktionen zu erklären.
- Ein Playbook zu erstellen, um eine Vorfallsreaktion zu automatisieren.
- Untersuchen und Verwalten der Vorfallslösung.
- Erläutern der Analyse des Benutzer- und Entitätsverhaltens in Microsoft Sentinel
- Entitäten in Microsoft Sentinel erforschen
- Visualisierung von Sicherheitsdaten mit Microsoft Sentinel Arbeitsmappen.
Modul 8: Bedrohungssuche in Microsoft Sentinel durchführen
In diesem Modul lernen Sie, wie Sie mithilfe von Microsoft Sentinel-Abfragen proaktiv das Verhalten von Bedrohungen erkennen können. Außerdem lernen Sie, wie Sie Lesezeichen und Livestream für die Bedrohungsjagd verwenden. Außerdem lernen Sie, wie Sie Notizbücher in Microsoft Sentinel für die erweiterte Suche verwenden können.
Lektion
- Konzepte zur Bedrohungssuche in Microsoft Sentinel
- Bedrohungsjagd mit Microsoft Sentinel
- Jagd auf Bedrohungen mit Notizbüchern in Microsoft Sentinel
Übung: Bedrohungsjagd in Microsoft Sentinel
- Die Bedrohungsjagd in Microsoft Sentinel durchführen
- Bedrohungsjagd mit Notebooks in Microsoft Sentinel
Nach Abschluss dieses Moduls werden die Teilnehmer in der Lage sein:
- Konzepte zur Bedrohungssuche in Microsoft Sentinel zu beschreiben
- Definieren einer Bedrohungssuche-Hypothese für die Verwendung in Microsoft Sentinel
- Abfragen zur Suche nach Bedrohungen zu verwenden.
- Bedrohungen im Zeitverlauf mit Livestream zu beobachten.
- Erforschen von API-Bibliotheken für die erweiterte Bedrohungssuche in Microsoft Sentinel
- Erstellen und Verwenden von Notizbüchern in Microsoft Sentinel
- Grundlegendes Verständnis von Microsoft 365
- Grundlegendes Verständnis der Microsoft-Produkte für Sicherheit, Compliance und Identität, Mittleres Verständnis von Microsoft Windows
- Vertrautheit mit Azure-Diensten, insbesondere Azure SQL Database und Azure Storage
- Vertrautheit mit virtuellen Azure-Maschinen und virtuellen Netzwerken
- Grundlegendes Verständnis von Skripting-Konzepten.
