SC-200 Microsoft Security Operations Analyst

Inhalt

Zielgruppe: 

Der Microsoft Security Operations Analyst arbeitet mit den Interessengruppen des Unternehmens zusammen, um die IT-Systeme des Unternehmens zu sichern. Ihr Ziel ist es, das Unternehmensrisiko zu verringern, indem sie aktive Angriffe in der Umgebung schnell abwehren, über Verbesserungen der Verfahren zum Schutz vor Bedrohungen beraten und Verstöße gegen die Unternehmensrichtlinien an die zuständigen Stellen weiterleiten. Zu den Aufgaben gehören das Bedrohungsmanagement, die Überwachung und die Reaktion auf Bedrohungen durch den Einsatz einer Vielzahl von Sicherheitslösungen in der gesamten Umgebung. Die Aufgabe besteht in erster Linie darin, Bedrohungen mithilfe von Microsoft Sentinel, Microsoft Defender for Cloud, Microsoft 365 Defender und Sicherheitsprodukten von Drittanbietern zu untersuchen, auf sie zu reagieren und sie aufzuspüren. Da der Security Operations Analyst den operativen Output dieser Tools nutzt, ist er auch ein wichtiger Akteur bei der Konfiguration und Bereitstellung dieser Technologien.

Nach Abschluss dieses Kurses werden die Teilnehmer in der Lage sein:

• zu erklären, wie Microsoft Defender for Endpoint Risiken in Ihrer Umgebung beseitigen kann
• eine Microsoft Defender for Endpoint-Umgebung zu verwalten
• Regeln zur Reduzierung von Angriffsflächen auf Windows-Geräten zu konfigurieren
• Durchführen von Aktionen auf einem Gerät mit Microsoft Defender for Endpoint
• Untersuchen von Domänen und IP-Adressen in Microsoft Defender for Endpoint
• Untersuchen von Benutzerkonten in Microsoft Defender für Endpoint
• Konfigurieren von Warneinstellungen in Microsoft 365 Defender
• Durchführen einer Suche in Microsoft 365 Defender
• Verwalten von Vorfällen in Microsoft 365 Defender
• Erläutern, wie Microsoft Defender for Identity Risiken in Ihrer Umgebung beseitigen kann
• DLP-Warnungen in Microsoft Defender für Cloud-Apps zu untersuchen
• Erläutern Sie die Arten von Maßnahmen, die Sie in Fällen von Insider-Risikomanagement ergreifen können
• Konfigurieren Sie die automatische Bereitstellung in Microsoft Defender für Cloud Apps
• Beseitigen von Warnungen in Microsoft Defender für Cloud Apps
• KQL-Anweisungen konstruieren
• Filtern von Suchvorgängen auf der Grundlage von Ereigniszeit, Schweregrad, Domäne und anderen relevanten Daten mit KQL
• Extrahieren von Daten aus unstrukturierten Stringfeldern mit KQL
• Verwalten eines Microsoft Sentinel-Arbeitsbereichs
• Verwenden von KQL für den Zugriff auf die Watchlist in Microsoft Sentinel
• Verwalten von Bedrohungsindikatoren in Microsoft Sentinel
• Erläutern der Unterschiede zwischen Common Event Format und Syslog Connector in Microsoft Sentinel
• Verbinden von Azure Windows Virtual Machines mit Microsoft Sentinel
• Konfigurieren des Log Analytics-Agenten zum Sammeln von Sysmon-Ereignissen
• Neue Analyseregeln und Abfragen mit dem Assistenten für Analyseregeln erstellen
• Erstellen Sie ein Playbook, um eine Reaktion auf einen Vorfall zu automatisieren
• Abfragen für die Suche nach Bedrohungen verwenden
• Beobachtung von Bedrohungen im Zeitverlauf mit Livestream

Kursinhalt:

Modul 1: Entschärfen von Bedrohungen mit Microsoft 365 Defender
Analysieren Sie Bedrohungsdaten domänenübergreifend und beheben Sie Bedrohungen schnell mit der integrierten Orchestrierung und Automatisierung in Microsoft 365 Defender. Erfahren Sie mehr über Cybersecurity-Bedrohungen und wie die neuen Bedrohungsschutz-Tools von Microsoft die Benutzer, Geräte und Daten Ihres Unternehmens schützen. Nutzen Sie die erweiterte Erkennung und Behebung identitätsbasierter Bedrohungen, um Ihre Azure Active Directory-Identitäten und -Anwendungen vor Angriffen zu schützen.

Lektion

• Einführung in den Bedrohungsschutz mit Microsoft 365
• Entschärfen von Vorfällen mit Microsoft 365 Defender
• Beseitigung von Risiken mit Microsoft Defender für Office 365
• Microsoft Defender für Identitäten
• Schützen Sie Ihre Identitäten mit Azure AD Identity Protection
• Microsoft Defender für Cloud-Anwendungen
• Reagieren Sie auf Warnungen vor Datenverlust mit Microsoft 365
• Verwalten von Insider-Risiken in Microsoft 365

Übung: Bedrohungen mit Microsoft 365 Defender abwehren

• Erkunden Sie Microsoft 365 Defender

Nach Abschluss dieses Moduls sind die Teilnehmer in der Lage:

• Erklären, wie sich die Bedrohungslandschaft weiterentwickelt
• Vorfälle in Microsoft 365 Defender zu verwalten
• eine erweiterte Suche in Microsoft 365 Defender durchzuführen
• Warnungen in Microsoft 365 Defender zu untersuchen
• Beschreiben Sie die Untersuchungs- und Behebungsfunktionen von Azure Active Directory Identity Protection
• Erläutern Sie, wie Cloud Discovery Ihnen hilft, zu sehen, was in Ihrem Unternehmen vor sich geht

Modul 2: Entschärfen von Bedrohungen mit Microsoft Defender for Endpoint
Implementieren Sie die Microsoft Defender for Endpoint-Plattform, um fortschrittliche Bedrohungen zu erkennen, zu untersuchen und auf sie zu reagieren. Erfahren Sie, wie Microsoft Defender for Endpoint Ihrem Unternehmen helfen kann, sicher zu bleiben. Erfahren Sie, wie Sie die Microsoft Defender for Endpoint-Umgebung bereitstellen, einschließlich des Onboardings von Geräten und der Konfiguration der Sicherheit. Erfahren Sie, wie Sie Vorfälle und Warnungen mit Microsoft Defender for Endpoint untersuchen. Sie können eine erweiterte Suche durchführen und sich mit Bedrohungsexperten beraten. Sie lernen auch, wie Sie die Automatisierung in Microsoft Defender for Endpoint durch die Verwaltung von Umgebungseinstellungen konfigurieren. Schließlich lernen Sie die Schwachstellen Ihrer Umgebung mithilfe des Bedrohungs- und Schwachstellenmanagements in Microsoft Defender for Endpoint kennen.

Lektion

• Schutz vor Bedrohungen mit Microsoft Defender für Endpoint
• Bereitstellen der Microsoft Defender for Endpoint-Umgebung
• Windows-Sicherheitserweiterungen implementieren
• Geräteuntersuchungen durchführen
• Durchführen von Aktionen auf einem Gerät
• Durchführen von Untersuchungen von Beweisen und Entitäten
• Konfigurieren und Verwalten der Automatisierung
• Konfigurieren von Warnungen und Erkennungen
• Bedrohungs- und Schwachstellenmanagement nutzen

Übung: Bedrohungen mit Microsoft 365 Defender for Endpoint abwehren

• Microsoft Defender für Endpunkt bereitstellen
• Angriffe mit Defender for Endpoint abwehren

Nach Abschluss dieses Moduls werden die Teilnehmer in der Lage sein:

• die Funktionen von Microsoft Defender für Endpoint zu definieren
• Konfigurieren der Umgebungseinstellungen von Microsoft Defender für Endpoint
• Regeln zur Reduzierung von Angriffsflächen auf Windows-Geräten zu konfigurieren
• Beschreiben der von Microsoft Defender für Endpoint gesammelten forensischen Geräteinformationen
• Durchführen einer forensischen Datensammlung mit Microsoft Defender für Endpoint
• Untersuchen von Benutzerkonten in Microsoft Defender for Endpoint
• Verwalten von Automatisierungseinstellungen in Microsoft Defender für Endpoint
• Verwalten von Indikatoren in Microsoft Defender für Endpoint
• Beschreiben des Bedrohungs- und Schwachstellenmanagements in Microsoft Defender für Endpoint

Modul 3: Entschärfen von Bedrohungen mit Microsoft Defender for Cloud
Verwenden Sie Microsoft Defender for Cloud für den Schutz und die Sicherheit von Azure-, Hybrid-Cloud- und On-Premises-Workloads. Lernen Sie den Zweck von Microsoft Defender for Cloud kennen und erfahren Sie, wie Sie es aktivieren können. Außerdem erfahren Sie, welche Schutz- und Erkennungsfunktionen Microsoft Defender for Cloud für die einzelnen Cloud-Workloads bietet. Sie erfahren, wie Sie Microsoft Defender for Cloud-Funktionen zu Ihrer hybriden Umgebung hinzufügen können.

Lektion

• Planen des Schutzes von Cloud-Workloads mit Microsoft Defender for Cloud
• Workload-Schutz in Microsoft Defender für Cloud
• Verbinden von Azure-Ressourcen mit Microsoft Defender for Cloud
• Verbinden von Nicht-Azure-Ressourcen mit Microsoft Defender for Cloud
• Beseitigung von Sicherheitswarnungen mit Microsoft Defender for Cloud

Übung: Bedrohungen mit Microsoft Defender for Cloud entschärfen

• Microsoft Defender für die Cloud bereitstellen
• Entschärfen von Angriffen mit Microsoft Defender für die Cloud

Nach Abschluss dieses Moduls sind die Teilnehmer in der Lage:

• die Funktionen von Microsoft Defender for Cloud zu beschreiben
• Erklären, welche Arbeitslasten durch Microsoft Defender for Cloud geschützt werden
• Erläutern, wie die Schutzfunktionen von Microsoft Defender for Cloud funktionieren
• die automatische Bereitstellung in Microsoft Defender für Cloud zu konfigurieren
• Beschreiben der manuellen Bereitstellung in Microsoft Defender for Cloud
• Verbindung von Nicht-Azure-Rechnern mit Microsoft Defender for Cloud
• Beschreiben von Warnungen in Microsoft Defender for Cloud
• Beseitigung von Warnmeldungen in Microsoft Defender for Cloud
• Automatisieren von Reaktionen in Microsoft Defender for Cloud

Modul 4: Erstellen von Abfragen für Microsoft Sentinel mit Kusto Query Language (KQL)
Schreiben Sie Kusto Query Language (KQL)-Anweisungen zur Abfrage von Protokolldaten, um Erkennungen, Analysen und Berichte in Microsoft Sentinel durchzuführen. Dieses Modul wird sich auf die am häufigsten verwendeten Operatoren konzentrieren. Die Beispiel-KQL-Anweisungen zeigen sicherheitsrelevante Tabellenabfragen. KQL ist die Abfragesprache, die für die Analyse von Daten zur Erstellung von Analysen, Arbeitsmappen und zur Durchführung von Jagden in Microsoft Sentinel verwendet wird. Lernen Sie, wie die grundlegende KQL-Anweisungsstruktur die Grundlage für die Erstellung komplexerer Anweisungen bildet. Lernen Sie, wie Sie Daten mit einer KQL-Anweisung zusammenfassen und visualisieren können, um so die Grundlage für die Erstellung von Erkennungen in Microsoft Sentinel zu schaffen. Lernen Sie, wie Sie die Kusto Query Language (KQL) verwenden, um Zeichenkettendaten zu manipulieren, die aus Protokollquellen aufgenommen wurden.

Lektion

• Konstruieren von KQL-Anweisungen für Microsoft Sentinel
• Analysieren von Abfrageergebnissen mit KQL
• Erstellen von Multi-Tabellen-Anweisungen mit KQL
• Mit KQL-Anweisungen mit String-Daten arbeiten

Übung : Abfragen für Microsoft Sentinel mit Kusto Query Language (KQL) erstellen

• Erstellen von Abfragen für Microsoft Sentinel mit der Kusto Query Language (KQL)

Nach Abschluss dieses Moduls werden die Teilnehmer in der Lage sein:

• KQL-Anweisungen zu konstruieren
• Protokolldateien mit KQL nach Sicherheitsereignissen zu durchsuchen
• Filterung der Suche nach Ereigniszeit, Schweregrad, Domäne und anderen relevanten Daten mit KQL
• Daten mithilfe von KQL-Anweisungen zusammenzufassen
• Visualisierungen mithilfe von KQL-Anweisungen rendern
• Extrahieren von Daten aus unstrukturierten Stringfeldern mit KQL
• Extrahieren von Daten aus strukturierten String-Daten mit KQL
• Funktionen mit KQL erstellen

Modul 5: Konfigurieren Sie Ihre Microsoft Sentinel-Umgebung
Starten Sie mit Microsoft Sentinel, indem Sie den Microsoft Sentinel-Arbeitsbereich richtig konfigurieren. Herkömmliche SIEM-Systeme (Security Information and Event Management) sind in der Regel sehr zeitaufwändig in der Einrichtung und Konfiguration. Außerdem sind sie nicht unbedingt für Cloud-Workloads ausgelegt. Mit Microsoft Sentinel können Sie schnell wertvolle Sicherheitseinblicke aus Ihren Cloud- und On-Premises-Daten gewinnen. Dieses Modul hilft Ihnen bei den ersten Schritten. Lernen Sie die Architektur der Microsoft Sentinel-Arbeitsbereiche kennen, um sicherzustellen, dass Sie Ihr System so konfigurieren, dass es die Anforderungen Ihres Unternehmens an die Sicherheitsabläufe erfüllt. Als Security Operations Analyst müssen Sie die Tabellen, Felder und Daten verstehen, die in Ihren Arbeitsbereich aufgenommen werden. Erfahren Sie, wie Sie die am häufigsten verwendeten Datentabellen in Microsoft Sentinel abfragen können.

Lektion

• Einführung in Microsoft Sentinel
• Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen
• Abfrage von Protokollen in Microsoft Sentinel
• Watchlists in Microsoft Sentinel verwenden
• Bedrohungsdaten in Microsoft Sentinel nutzen

Übung: Konfigurieren Sie Ihre Microsoft Sentinel-Umgebung

• Konfigurieren Sie Ihre Microsoft Sentinel-Umgebung

Nach Abschluss dieses Moduls werden die Teilnehmer in der Lage sein:

• Die verschiedenen Komponenten und Funktionen von Microsoft Sentinel zu identifizieren.
• Anwendungsfälle zu identifizieren, in denen Microsoft Sentinel eine gute Lösung ist.
• die Architektur des Microsoft Sentinel-Arbeitsbereichs zu beschreiben
• Microsoft Sentinel Arbeitsbereich installieren
• Verwalten eines Microsoft Sentinel Arbeitsbereiches
• Eine Beobachtungsliste in Microsoft Sentinel erstellen
• KQL verwenden, um auf die Watchlist in Microsoft Sentinel zuzugreifen
• Verwalten von Bedrohungsindikatoren in Microsoft Sentinel
• Verwenden Sie KQL für den Zugriff auf Bedrohungsindikatoren in Microsoft Sentinel

Modul 6: Verbinden von Protokollen mit Microsoft Sentinel
Verbinden Sie Daten im Cloud-Maßstab über alle Benutzer, Geräte, Anwendungen und Infrastrukturen, sowohl vor Ort als auch in mehreren Clouds mit Microsoft Sentinel. Der primäre Ansatz zur Verbindung von Protokolldaten ist die Verwendung der von Microsoft Sentinel bereitgestellten Datenkonnektoren. Dieses Modul bietet einen Überblick über die verfügbaren Datenkonnektoren. Sie lernen die Konfigurationsoptionen und Daten kennen, die von Microsoft Sentinel-Konnektoren für Microsoft 365 Defender bereitgestellt werden.

Lektion

• Daten über Datenkonnektoren mit Microsoft Sentinel verbinden
• Verbinden von Microsoft-Diensten mit Microsoft Sentinel
• Verbinden von Microsoft 365 Defender mit Microsoft Sentinel
• Windows-Hosts mit Microsoft Sentinel verbinden
• Common Event Format-Protokolle mit Microsoft Sentinel verbinden
• Verbindung von Syslog-Datenquellen mit Microsoft Sentinel
• Verbinden von Bedrohungsindikatoren mit Microsoft Sentinel

Übung : Protokolle mit Microsoft Sentinel verbinden

• Daten über Datenkonnektoren mit Microsoft Sentinel verbinden
• Windows-Geräte über Datenkonnektoren mit Microsoft Sentinel verbinden
• Verbindung von Linux-Hosts mit Microsoft Sentinel über Datenkonnektoren
• Verbinden von Bedrohungsdaten mit Microsoft Sentinel unter Verwendung von Datenkonnektoren

Nach Abschluss dieses Moduls sind die Teilnehmer in der Lage:

• die Verwendung von Datenkonnektoren in Microsoft Sentinel zu erklären
• die Unterschiede zwischen Common Event Format und Syslog-Konnektoren in Microsoft Sentinel zu erläutern
• Microsoft-Dienstkonnektoren zu verbinden
• Erläutern, wie Konnektoren automatisch Vorfälle in Microsoft Sentinel erstellen
• den Microsoft 365 Defender-Konnektor in Microsoft Sentinel zu aktivieren
• Verbinden von Azure Windows Virtual Machines mit Microsoft Sentinel
• Verbinden von Nicht-Azure-Windows-Hosts mit Microsoft Sentinel
• Konfigurieren des Log Analytics-Agenten zum Sammeln von Sysmon-Ereignissen
• Erläutern der Bereitstellungsoptionen des Common Event Format-Connectors in Microsoft Sentinel
• Konfigurieren des TAXII-Connectors in Microsoft Sentinel
• Anzeigen von Bedrohungsindikatoren in Microsoft Sentinel

Modul 7: Erstellen von Erkennungen und Durchführen von Untersuchungen mit Microsoft Sentinel
Erkennen Sie bisher unentdeckte Bedrohungen und beheben Sie Bedrohungen schnell mit der integrierten Orchestrierung und Automatisierung in Microsoft Sentinel. Sie lernen, wie Sie Microsoft Sentinel Playbooks erstellen, um auf Sicherheitsbedrohungen zu reagieren. Sie werden die Microsoft Sentinel-Vorfallverwaltung untersuchen, mehr über Microsoft Sentinel-Ereignisse und -Entitäten erfahren und Möglichkeiten zur Behebung von Vorfällen entdecken. Sie lernen auch, wie Sie Daten in Microsoft Sentinel abfragen, visualisieren und überwachen können.

Lektion

• Erkennung von Bedrohungen mit Microsoft Sentinel-Analysen
• Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel
• Reaktion auf Bedrohungen mit Microsoft Sentinel-Playbooks
• Analyse des Benutzer- und Entitätsverhaltens in Microsoft Sentinel
• Abfrage, Visualisierung und Überwachung von Daten in Microsoft Sentinel

Übung: Erstellen von Erkennungen und Durchführen von Untersuchungen mit Microsoft Sentinel

• Aktivieren einer Microsoft Security-Regel
• Ein Playbook erstellen
• Eine geplante Abfrage erstellen
• Modellierung von Erkennungen verstehen
• Angriffe durchführen
• Erkennungen erstellen
• Untersuchung von Vorfällen
• Arbeitsmappen erstellen

Nach Abschluss dieses Moduls sind die Teilnehmer in der Lage:

• die Bedeutung der Microsoft Sentinel-Analyse zu erklären.
• Regeln aus Vorlagen zu erstellen.
• Regeln mit Änderungen zu verwalten.
• Microsoft Sentinel SOAR-Funktionen zu erklären.
• Ein Playbook zu erstellen, um eine Vorfallsreaktion zu automatisieren.
• Untersuchen und Verwalten der Vorfallslösung.
• Erläutern der Analyse des Benutzer- und Entitätsverhaltens in Microsoft Sentinel
• Entitäten in Microsoft Sentinel erforschen
• Visualisierung von Sicherheitsdaten mit Microsoft Sentinel Arbeitsmappen.

Modul 8: Bedrohungssuche in Microsoft Sentinel durchführen
In diesem Modul lernen Sie, wie Sie mithilfe von Microsoft Sentinel-Abfragen proaktiv das Verhalten von Bedrohungen erkennen können. Außerdem lernen Sie, wie Sie Lesezeichen und Livestream für die Bedrohungsjagd verwenden. Außerdem lernen Sie, wie Sie Notizbücher in Microsoft Sentinel für die erweiterte Suche verwenden können.

Lektion

• Konzepte zur Bedrohungssuche in Microsoft Sentinel
• Bedrohungsjagd mit Microsoft Sentinel
• Jagd auf Bedrohungen mit Notizbüchern in Microsoft Sentinel

Übung: Bedrohungsjagd in Microsoft Sentinel

• Die Bedrohungsjagd in Microsoft Sentinel durchführen
• Bedrohungsjagd mit Notebooks in Microsoft Sentinel

Nach Abschluss dieses Moduls werden die Teilnehmer in der Lage sein:

• Konzepte zur Bedrohungssuche in Microsoft Sentinel zu beschreiben
• Definieren einer Bedrohungssuche-Hypothese für die Verwendung in Microsoft Sentinel
• Abfragen zur Suche nach Bedrohungen zu verwenden.
• Bedrohungen im Zeitverlauf mit Livestream zu beobachten.
• Erforschen von API-Bibliotheken für die erweiterte Bedrohungssuche in Microsoft Sentinel
• Erstellen und Verwenden von Notizbüchern in Microsoft Sentinel