Description
La formation : « Microsoft Security Operations Analyst (SC-200) » s'adresse principalement aux professionnels de la cybersécurité. Cette formation fournit des connaissances théoriques approfondies et des compétences pratiques pour identifier, enquêter, répondre et remédier aux incidents de sécurité à l'aide des techniques de sécurité de Microsoft. Il s'agit d'une formation essentielle pour ceux qui souhaitent exceller dans le monde dynamique de la cybersécurité et dans le paysage de sécurité de Microsoft.
La formation SC-200 est conçue pour vous fournir un éventail complet de compétences en matière d'opérations de sécurité. Les sujets principaux incluent l'identification et la résolution des vulnérabilités, la réalisation d'analyses des menaces, ainsi que la réponse aux incidents de sécurité et les enquêtes à leur sujet. La formation couvre également les techniques avancées de gestion des identités et du contrôle d'accès, à l'aide de Microsoft Azure Sentinel, de Microsoft Defender pour Endpoint et d'autres outils de sécurité Microsoft pertinents.
Un aspect important de la formation SC-200 est l'accent mis sur les applications pratiques. Les participants acquièrent des compétences pratiques grâce à des scénarios réalistes et à des études de cas. Cela leur permet d'appliquer la théorie à des situations pratiques. L'apprentissage pragmatique vous permet de comprendre en profondeur comment les menaces peuvent être identifiées et traitées dans un environnement réel.
Public cible
Cette formation convient aux groupes cibles suivants :
- Professionnels de la sécurité des TIC
- Cette formation convient parfaitement aux professionnels de la sécurité des TIC qui souhaitent élargir leurs compétences dans le domaine des opérations de cybersécurité.
- Les professionnels qui ont déjà travaillé avec les systèmes de sécurité et qui souhaitent approfondir leur expertise bénéficieront grandement de cette formation.
- Administrateurs système et réseau
- Les administrateurs système et réseau qui souhaitent approfondir leurs connaissances grâce à des compétences spécifiques en matière de sécurité constituent un groupe cible important de la formation SC-200, car cette formation leur fournit les connaissances et les compétences nécessaires pour identifier et traiter efficacement les menaces.
- Analystes en cybersécurité
- Les personnes qui souhaitent faire carrière dans le domaine de la cybersécurité et qui comprennent les bases de la sécurité des TIC trouveront que cette formation constitue une étape idéale pour ceux qui souhaitent occuper un poste d'analyste en cybersécurité ou d'analyste du centre des opérations de sécurité (SOC).
- Professionnels des TIC qui se concentrent sur les technologies Microsoft
- Les professionnels des TIC qui travaillent principalement avec les technologies Microsoft et souhaitent approfondir leurs connaissances dans le domaine de la cybersécurité acquerront une connaissance approfondie des outils et des pratiques de Microsoft dans le cadre de cette formation.
Méthode
La formation « Microsoft Security Operations Analyst (SC-200) » offre un mélange de connaissances théoriques approfondies et d'expérience pratique, visant à former les professionnels de la cybersécurité à identifier, enquêter, répondre et récupérer des incidents de sécurité grâce aux technologies de sécurité de Microsoft.
Contenu
Module 1 : Atténuer les menaces à l'aide de Microsoft Defender
Analysez les données sur les menaces dans tous les domaines et remédiez rapidement aux menaces grâce à l'orchestration et à l'automatisation intégrées de Microsoft 365 Defender. Découvrez les menaces de cybersécurité et la manière dont les nouveaux outils de protection contre les menaces de Microsoft protègent les utilisateurs, les appareils et les données de votre organisation. Utilisez la détection et la correction avancées des menaces basées sur l'identité pour protéger vos identités et applications Azure Active Directory contre toute compromission.
Leçons :
- Présentation de la protection contre les menaces avec Microsoft 365.
- Atténuez les incidents à l'aide de Microsoft 365 Defender.
- Corrigez les risques avec Microsoft Defender pour Office 365.
- Microsoft Defender pour l'identité.
- Protection de l'identité Azure AD.
- Sécurité des applications Microsoft Cloud.
- Répondez aux alertes de prévention des pertes de données.
- Gérez les risques internes dans Microsoft 365.
Atelier : Atténuer les menaces à l'aide de Microsoft Defender
- Découvrez Microsoft 365 Defender.
À la fin de ce module, les étudiants seront en mesure de :
- Expliquez comment le paysage des menaces évolue.
- Gérez les incidents dans Microsoft 365 Defender.
- Effectuez des recherches avancées dans Microsoft 365 Defender.
- Examinez les alertes dans Microsoft Defender.
- Décrire les fonctionnalités d'investigation et de correction d'Azure Active Directory Identity Protection.
- Définissez le cadre de sécurité des applications cloud.
- Expliquez comment Cloud Discovery vous permet de voir ce qui se passe dans votre organisation.
Module 2 : Atténuer les menaces à l'aide de Microsoft 365 Defender pour Endpoint
Implémentez la plateforme Microsoft Defender for Endpoint pour détecter, étudier et répondre aux menaces avancées. Découvrez comment Microsoft Defender pour Endpoint peut aider votre entreprise à rester en sécurité. Découvrez comment déployer l'environnement Microsoft Defender for Endpoint, y compris l'intégration des appareils et la configuration de la sécurité. Découvrez comment enquêter sur les incidents et les alertes à l'aide de Microsoft Defender for Endpoints. Effectuez une chasse avancée et consultez des experts en menaces. Vous apprendrez également à configurer l'automatisation dans Microsoft Defender pour Endpoint en gérant les paramètres environnementaux. Enfin, vous découvrirez les faiblesses de votre environnement en utilisant la gestion des menaces et des vulnérabilités dans Microsoft Defender for Endpoint.
Leçons :
- Protégez-vous contre les menaces avec Microsoft Defender pour Endpoint.
- Déployez l'environnement Microsoft Defender for Endpoint.
- Implémentez les améliorations de sécurité de Windows 10.
- Effectuez des enquêtes sur les appareils.
- Effectuez des actions sur un appareil.
- Mener des enquêtes sur les preuves et les entités.
- Configurez les alertes et les détections.
- Gérez les risques internes dans Microsoft 365.
- Utilisez la gestion des menaces et des vulnérabilités.
Atelier : Atténuer les menaces à l'aide de Microsoft 365 Defender pour Endpoint
- Déployez Microsoft Defender pour Endpoint.
- Limitez les attaques à l'aide de Defender for Endpoint.
À la fin de ce module, les étudiants seront en mesure de :
- Définissez les fonctionnalités de Microsoft Defender pour Endpoint.
- Configurez les paramètres de l'environnement Microsoft Defender pour Endpoint.
- Configurez les règles de réduction de la surface d'attaque sur les appareils Windows 10.
- Décrire les informations d'analyse des appareils collectées par Microsoft Defender pour Endpoint.
- Effectuez la collecte de données criminalistiques à l'aide de Microsoft Defender pour Endpoint.
- Examinez les comptes d'utilisateurs dans Microsoft Defender pour Endpoint.
- Gérez les paramètres d'automatisation dans Microsoft Defender pour Endpoint.
- Gérez les indicateurs dans Microsoft Defender pour Endpoint.
- Décrire la gestion des menaces et des vulnérabilités dans Microsoft Defender for Endpoint.
Module 3 : Atténuer les menaces à l'aide d'Azure Defender
Utilisez Azure Defender intégré à Azure Security Center, pour la protection et la sécurité des charges de travail Azure, dans le cloud hybride et sur site. Découvrez l'objectif d'Azure Defender, la relation entre Azure Defender et Azure Security Center et comment activer Azure Defender. Vous découvrirez également les protections et les détections fournies par Azure Defender pour chaque charge de travail cloud. Découvrez comment ajouter les fonctionnalités d'Azure Defender à votre environnement hybride.
Leçons :
- Planifiez la protection de la charge de travail dans le cloud à l'aide d'Azure Defender.
- Expliquer les protections de la charge de travail dans le cloud dans Azure Defender.
- Connectez les actifs Azure à Azure Defender.
- Connectez des ressources autres qu'Azure à Azure Defender.
- Corrigez les alertes de sécurité à l'aide d'Azure Defender.
Atelier : Atténuer les menaces à l'aide d'Azure Defender
- Déployez Azure Defender.
- Atténuez les attaques avec Azure Defender.
À la fin de ce module, les étudiants seront en mesure de :
- Décrire les fonctionnalités d'Azure Defender.
- Expliquer les fonctionnalités d'Azure Security Center.
- Expliquez quelles charges de travail sont protégées par Azure Defender.
- Expliquez comment fonctionnent les protections Azure Defender.
- Configurez le provisionnement automatique dans Azure Defender.
- Décrire le provisionnement manuel dans Azure Defender.
- Connectez des machines non Azure à Azure Defender.
- Décrivez les alertes dans Azure Defender.
- Corrigez les alertes dans Azure Defender.
- Automatisez les réponses dans Azure Defender.
Module 4 : Création de requêtes pour Azure Sentinel à l'aide du langage de requête Kusto (KQL)
Écrivez des instructions Kusto Query Language (KQL) pour interroger les données du journal afin d'effectuer des détections, des analyses et des rapports dans Azure Sentinel. Ce module se concentrera sur les opérateurs les plus utilisés. Les exemples d'instructions KQL présenteront des requêtes de table liées à la sécurité. KQL est le langage de requête utilisé pour analyser les données afin de créer des analyses, des classeurs et d'effectuer des recherches dans Azure Sentinel. Découvrez comment la structure de base des instructions KQL constitue la base pour créer des instructions plus complexes. Apprenez à résumer et à visualiser les données à l'aide d'une instruction KQL qui constitue la base pour créer des détections dans Azure Sentinel. Apprenez à utiliser le langage de requête Kusto (KQL) pour manipuler un ensemble de données de chaînes provenant de sources de journaux.
Leçons :
- Créez des instructions KQL pour Azure Sentinel.
- Analysez les résultats des requêtes à l'aide de KQL.
- Créez des instructions multitables à l'aide de KQL.
- Travaillez avec les données dans Azure Sentinel à l'aide du langage de requête Kusto.
Atelier : Création de requêtes pour Azure Sentinel à l'aide du langage de requête Kusto (KQL)
- Créez des instructions QL de base.
- Analysez les résultats des requêtes à l'aide de KQL.
- Créez des instructions multitables dans KQL.
- Travaillez avec des données de chaîne dans KQL.
À la fin de ce module, les étudiants seront en mesure de :
- Construisez des instructions KQL.
- Recherchez des événements de sécurité dans les fichiers journaux à l'aide de KQL.
- Filtrez les recherches en fonction de l'heure de l'événement, de sa gravité, du domaine et d'autres données pertinentes à l'aide de KQL.
- Résumez les données à l'aide d'instructions KQL.
- Effectuez le rendu des visualisations à l'aide d'instructions KQL.
- Extrayez des données à partir de champs de chaînes non structurés à l'aide de KQL.
- Extrayez des données à partir de données de chaînes structurées à l'aide de KQL.
- Créez des fonctions à l'aide de KQL.
Module 5 : Configuration de votre environnement Azure Sentinel
Commencez à utiliser Azure Sentinel en configurant correctement l'espace de travail Azure Sentinel. Les systèmes traditionnels de gestion des informations et des événements de sécurité (SIEM) prennent généralement beaucoup de temps à mettre en place et à configurer. Ils ne sont pas non plus nécessairement conçus pour les charges de travail dans le cloud. Azure Sentinel vous permet de commencer à obtenir rapidement de précieuses informations sur la sécurité à partir de vos données cloud et locales. Ce module vous aide à démarrer. Découvrez l'architecture des espaces de travail Azure Sentinel pour vous assurer de configurer votre système pour répondre aux exigences des opérations de sécurité de votre organisation. En tant qu'analyste des opérations de sécurité, vous devez comprendre les tables, les champs et les données configurés dans votre espace de travail. Apprenez à interroger les tables de données les plus utilisées dans Azure Sentinel.
Leçons :
- Présentation d'Azure Sentinel.
- Créez et gérez des espaces de travail Azure Sentinel.
- Journaux de requêtes dans Azure Sentinel.
- Utilisez les listes de suivi dans Azure Sentinel.
- Utilisez les renseignements sur les menaces dans Azure Sentinel.
Atelier : Configuration de votre environnement Azure Sentinel
- Création d'un espace de travail Azure Sentinel
- Créez une liste de surveillance.
- Créez un indicateur de menace.
À la fin de ce module, les étudiants seront en mesure de :
- Identifiez les différents composants et fonctionnalités d'Azure Sentinel.
- Identifiez les cas d'utilisation dans lesquels Azure Sentinel serait une bonne solution.
- Décrire l'architecture de l'espace de travail Azure Sentinel.
- Installez l'espace de travail Azure Sentinel.
- Gestionnaire d'espace de travail Azure Sentinel.
- Créez une liste de suivi dans Azure Sentinel.
- Utilisez KQL pour accéder à la liste de suivi dans Azure Sentinel.
- Gérez les indicateurs de menace dans Azure Sentinel.
- Utilisez KQL pour accéder aux indicateurs de menace dans Azure Sentinel.
Module 6 : Connecter les journaux à Azure Sentinel
Connectez les données à l'échelle du cloud sur tous les utilisateurs, appareils, applications et infrastructures, à la fois sur site et dans plusieurs clouds, à Azure Sentinel. La principale approche pour connecter les données de journal consiste à utiliser les connecteurs de données fournis par Azure Sentinel. Ce module fournit une vue d'ensemble des connecteurs de données disponibles. Vous découvrirez les options de configuration et les données fournies par les connecteurs Azure Sentinel pour Microsoft 365 Defender.
Leçons :
- Connectez les données à Azure Sentinel à l'aide de connecteurs de données.
- Connectez les services Microsoft à Azure Sentinel.
- Connectez Microsoft 365 Defender à Azure Sentinel.
- Connectez les hôtes Windows à Azure Sentinel.
- Connectez les journaux Common Event Format à Azure Sentinel.
- Connectez les sources de données Syslog à Azure Sentinel.
- Connectez les indicateurs de menace à Azure Sentinel.
Atelier : Connecter les journaux à Azure Sentinel
- Connectez les données à Azure Sentinel à l'aide de connecteurs de données.
- Connectez les appareils Windows à Azure Sentinel à l'aide de connecteurs de données.
- Connectez des hôtes Linux à Azure Sentinel à l'aide de connecteurs de données.
- Connectez les renseignements sur les menaces à Azure Sentinel à l'aide de connecteurs de données.
À la fin de ce module, les étudiants seront en mesure de :
- Expliquez l'utilisation des connecteurs de données dans Azure Sentinel.
- Expliquer les différences entre le format Common Event et le connecteur Syslog dans Azure Sentinel.
- Connectez les connecteurs de service Microsoft.
- Expliquez comment les connecteurs créent automatiquement des incidents dans Azure Sentinel.
- Activez le connecteur Microsoft 365 Defender dans Azure Sentinel.
- Connectez les machines virtuelles Azure Windows à Azure Sentinel.
- Connectez des hôtes Windows non Azure à Azure Sentinel.
- Configurez l'agent Log Analytics pour collecter les événements Sysmon.
- Expliquer les options de déploiement du connecteur Common Event Format dans Azure Sentinel.
- Configurez le connecteur TAXII dans Azure Sentinel.
- Consultez les indicateurs de menace dans Azure Sentinel.
Module 7 : Création de détections et réalisation d'enquêtes à l'aide d'Azure Sentinel
Détectez les menaces précédemment découvertes et remédiez rapidement aux menaces grâce à l'orchestration et à l'automatisation intégrées dans Azure Sentinel. Vous allez apprendre à créer des playbooks Azure Sentinel pour répondre aux menaces de sécurité. Vous étudierez la gestion des incidents Azure Sentinel, découvrirez les événements et les entités Azure Sentinel et découvrirez des moyens de résoudre les incidents. Vous apprendrez également comment interroger, visualiser et surveiller les données dans Azure Sentinel.
Leçons :
- Détection des menaces avec Azure Sentinel Analytics.
- Réponse aux menaces avec les playbooks Azure Sentinel.
- Gestion des incidents de sécurité dans Azure Sentinel.
- Utilisez l'analyse du comportement des entités dans Azure Sentinel.
- Interrogez, visualisez et surveillez les données dans Azure Sentinel.
Atelier : Création de détections et réalisation d'enquêtes à l'aide d'Azure Sentinel
- Activez une règle de sécurité Microsoft.
- Créez un Playbook.
- Créez une requête planifiée.
- Comprenez la modélisation de détection.
- Menez des attaques.
- Créez des détections.
- Enquêter sur les incidents
- Créez des classeurs.
À la fin de ce module, les étudiants seront en mesure de :
- Expliquez l'importance d'Azure Sentinel Analytics.
- Créez des règles à partir de modèles.
- Gérez les règles avec des modifications.
- Expliquer les fonctionnalités d'Azure Sentinel SOAR.
- Créez un manuel pour automatiser la réponse à un incident.
- Étudiez et gérez la résolution des incidents.
- Expliquer l'analyse du comportement des utilisateurs et des entités dans Azure Sentinel.
- Explorez les entités dans Azure Sentinel.
- Visualisez les données de sécurité à l'aide d'Azure Sentinel Workbooks.
Module 8 : Effectuer une recherche de menaces dans Azure Sentinel
Dans ce module, vous allez apprendre à identifier de manière proactive les comportements liés aux menaces à l'aide des requêtes Azure Sentinel. Vous apprendrez également à utiliser les signets et la diffusion en direct pour détecter les menaces. Vous apprendrez également à utiliser les blocs-notes dans Azure Sentinel pour une recherche avancée.
Leçons :
- Chasse aux menaces avec Azure Sentinel.
- Détectez les menaces à l'aide de blocs-notes dans Azure Sentinel.
Atelier : Recherche de menaces dans Azure Sentinel
- Effectuez une chasse aux menaces dans Azure Sentinel.
- Recherche de menaces à l'aide de blocs-notes avec Azure Sentinel.
À la fin de ce module, les étudiants seront en mesure de :
- Décrire les concepts de chasse aux menaces à utiliser avec Azure Sentinel.
- Définissez une hypothèse de chasse aux menaces à utiliser dans Azure Sentinel.
- Utilisez des requêtes pour détecter les menaces.
- Observez les menaces au fil du temps grâce à la diffusion en direct.
- Explorez les bibliothèques d'API pour une recherche avancée des menaces dans Azure Sentinel.
- Créez et utilisez des blocs-notes dans Azure Sentinel.
Certification
Attestation de participation : les participants reçoivent un certificat attestant qu'ils ont terminé cette formation à la fin de la formation.