Live-Online: Microsoft Security Operations Analyst (SC-200)

In diesem Kurs lernst du, wie du mit diesen Technologien Cyberbedrohungen abwehren kannst. Insbesondere wirst du Azure Sentinel konfigurieren und verwenden sowie die Kusto Query Language (KQL) zur Erkennung, Analyse und Berichterstellung einsetzen. Der Kurs wurde für Personen konzipiert, die in einer Security Operations Job-Rolle arbeiten und hilft dir bei der Vorbereitung auf die Prüfung SC-200: Microsoft Security Operations Analyst.

Modul 1: Abwehr von Bedrohungen mithilfe von Microsoft 365 Defender

Analysiere Bedrohungsdaten domänenübergreifend, und beseitige Bedrohungen schnell mithilfe der integrierten Orchestrierung und Automatisierung in Microsoft 365 Defender. Erfahre mehr über Bedrohungen der Cybersicherheit und wie die neuen Bedrohungsschutztools von Microsoft die Benutzer, Geräte und Daten in deinem Unternehmen schützen. Verwende die erweiterte Erkennung und Beseitigung von identitätsbasierten Bedrohungen, um deine Azure Active Directory-Identitäten und -Anwendungen vor Angriffen zu schützen.

Lektionen

• Einführung in den Bedrohungsschutz mit Microsoft 365
• Abmildern von Incidents mithilfe von Microsoft 365 Defender
• Minimieren von Risiken mit Microsoft Defender für Office 365
• Microsoft Defender for Identity
• Schützen deiner Identitäten mit Azure AD Identity Protection
• Microsoft Defender for Cloud Apps
• Reagieren auf Warnungen zur Verhinderung von Datenverlust mithilfe von Microsoft 365
• Verwalten des Insiderrisikos in Microsoft 365

Lab: Abwehr von Bedrohungen mithilfe von Microsoft 365 Defender

• Erkunden von Microsoft 365 Defender

Modul 2: Abwehr von Bedrohungen mithilfe von Microsoft Defender für Endpunkt

Implementiere die Microsoft Defender for Endpoint-Plattform, um erweiterte Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren. Erfahre, wie Microsoft Defender für Endpunkt die Sicherheit deiner Organisation verbessern kann. Hier erfährst du, wie du die Microsoft Defender für Endpunkt-Umgebung bereitstellst, einschließlich des Onboardings von Geräten und der Sicherheitskonfiguration. Du erfährst, wie Incidents und Warnungen mithilfe von Microsoft Defender für Endpunkte untersucht werden. Du kannst eine erweiterte Bedrohungssuche durchführen und dich an Experten für Bedrohungen wenden. Du wirst darüber hinaus lernen, wie du die Automatisierung in Microsoft Defender for Endpoint durch die Verwaltung von Umgebungseinstellungen konfigurieren kannst. Schließlich lernst du mithilfe des Bedrohungs- und Schwachstellenmanagements in Microsoft Defender for Endpoint die Schwachstellen deiner Umgebung kennen.

Lektionen

• Schützen vor Bedrohungen mit Microsoft Defender für Endpunkt
• Bereitstellen der Microsoft Defender für Endpunkt-Umgebung
• Implementieren von Windows-Sicherheitsverbesserungen
• Durchführen von Geräteuntersuchungen
• Ausführen von Aktionen auf einem Gerät
• Durchführung von Beweis- und Entitätsuntersuchungen
• Konfigurieren und Verwalten der Automatisierung
• Konfigurieren von Warnungen und Erkennungen
• Nutzen des Bedrohungs- und Sicherheitsrisikomanagements

Lab: Abwehren von Bedrohungen mithilfe von Microsoft 365 Defender für Endpunkt

• Bereitstellen von Microsoft Defender für Endpunkt
• Entschärfen von Angriffen mit Defender für Endpunkt

Modul 3: Abwehr von Bedrohungen mithilfe von Microsoft Defender für Cloud

Verwenden von Microsoft Defender für Cloud, für Azure, Hybrid Cloud und lokalem Workloadschutz und lokaler Sicherheit. Erfahre mehr über den Zweck von Microsoft Defender für Cloud und seine Aktivierung. Erfahre außerdem mehr über die von Microsoft Defender für Cloud für die einzelnen Cloudworkloads bereitgestellten Schutz- und Erkennungsfunktionen. Hier erfährst du, wie du deiner Hybridumgebung Funktionen von Microsoft Defender für Cloud hinzufügst.

Lektionen

• Planen von Workloadschutz in der Cloud mit Microsoft Defender für Cloud
• Schutz von Workloads mit Microsoft Defender für Cloud
• Verbinden von Azure-Ressourcen mit Microsoft Defender für Cloud
• Verbinden Azure-fremder Ressourcen mit Microsoft Defender für Cloud
• Beheben von Sicherheitswarnungen mit Microsoft Defender für Cloud

Lab: Abwehr von Bedrohungen mithilfe von Microsoft Defender für Cloud

• Bereitstellen von Microsoft Defender für Cloud
• Entschärfung von Angriffen mit Microsoft Defender für Cloud

Modul 4: Erstellen von Abfragen für Microsoft Sentinel mithilfe von Kusto Query Language (KQL)

Schreibe die KQL-Anweisungen (Kusto Query Language) zum Abfragen von Protokolldaten, um Erkennungen, Analysen und Berichte in Microsoft Sentinel auszuführen. Dieses Modul konzentriert sich auf die am häufigsten verwendeten Operatoren. In den KQL-Beispielanweisungen werden sicherheitsbezogene Tabellenabfragen vorgestellt. KQL ist die Abfragesprache, die der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Huntingvorgängen in Microsoft Sentinel dient. Im Folgenden findest du Informationen darüber, wie du mithilfe der grundlegenden KQL-Anweisungsstruktur komplexe Anweisungen erstellst. Hier erfährst du, wie du Daten in einer KQL-Anweisung zusammenfassen und visualisieren kannst. Dies ist die Grundlage zum Erstellen von Erkennungen in Microsoft Sentinel. Erfahre, wie du mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) aus Protokollquellen erfasste Zeichenfolgendaten bearbeitest.

Lektionen

• Erstellen von KQL-Anweisungen für Microsoft Sentinel
• Analysieren von Abfrageergebnissen mithilfe von KQL
• Erstellen von Anweisungen mit mehreren Tabellen mithilfe von KQL
• Arbeiten mit Zeichenfolgendaten mithilfe von KQL-Anweisungen

Lab: Erstellen von Abfragen für Microsoft Sentinel mithilfe von Kusto Query Language (KQL)

Modul 5: Konfigurieren deiner Microsoft Sentinel-Umgebung

Erste Schritte mit Microsoft Sentinel durch ordnungsgemäßes Konfigurieren des Microsoft Sentinel-Arbeitsbereichs. Das Einrichten und Konfigurieren herkömmlicher SIEM-Systeme (Security Information & Event Management) erfordert in der Regel viel Zeit. Außerdem sind diese Systeme nicht unbedingt für Cloudworkloads konzipiert. Microsoft Sentinel ermöglicht es dir, dich anhand deiner Cloud- und lokalen Daten schnell wertvolle sicherheitsrelevante Erkenntnisse zu verschaffen. Dieses Modul unterstützt dich beim Einstieg. Im Folgenden findest du Informationen darüber, wie du mit der Architektur von Microsoft-Sentinel-Arbeitsbereichen dein System so konfigurierst, dass die Anforderungen an die Sicherheitsanforderungen deiner Organisation erfüllt werden. Als Security Operations Analyst musst du die Tabellen, Felder und Daten verstehen, die in deinem Arbeitsbereich erfasst werden. Hier erfährst du, wie du die am häufigsten genutzten Datentabellen in Microsoft Sentinel abfragst.

Lektionen

• Einführung in Microsoft Sentinel
• Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen
• Abfragen von Protokollen in Microsoft Sentinel
• Verwenden von Watchlists in Microsoft Sentinel
• Verwenden der Threat Intelligence in Microsoft Sentinel

Lab: Konfigurieren deiner Microsoft Sentinel-Umgebung

Modul 6: Verbinden von Protokollen mit Microsoft Sentinel

Verknüpfe Daten auf Cloudniveau mit Microsoft Sentinel – benutzerübergreifend, anwendungs- und infrastrukturübergreifend sowie lokal als auch in mehreren Clouds. Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors. Du lernst die Konfigurationsoptionen und Daten kennen, die von Microsoft Sentinel-Connectors für Microsoft 365 Defender bereitgestellt werden.

Lektionen

• Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors
• Herstellen einer Verbindung von Microsoft-Diensten mit Microsoft Sentinel
• Verbinden von Microsoft 365 Defender mit Microsoft Sentinel
• Verbinden von Windows-Hosts mit Microsoft Sentinel
• Verbinden von Common Event Format-Protokollen mit Microsoft Sentinel
• Verbinden von Syslog-Datenquellen mit Microsoft Sentinel
• Verbinden von Bedrohungsindikatoren mit Microsoft Sentinel

Lab: Verbinden von Protokollen mit Microsoft Sentinel

• Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors
• Verbinden von Windows-Geräten mit Microsoft Sentinel über Datenconnectors
• Verbinden von Linux-Hosts mit Microsoft Sentinel über Datenconnectors
• Verbinden von Threat Intelligence mit Microsoft Sentinel über Datenconnectors

Modul 7: Erstellen von Erkennungen und Durchführen von Untersuchungen mithilfe von Microsoft Sentinel

Erkennen von zuvor unentdeckten Bedrohungen und schnelles Beheben von Bedrohungen mit integrierter Orchestrierung und Automatisierung in Microsoft Sentinel. Du erfährst, wie du mit Microsoft-Sentinel-Playbooks auf Sicherheitsbedrohungen reagierst. Du siehst dir das Incidentmanagement in Microsoft Sentinel an, erhältst Informationen zu Ereignissen und Entitäten in Microsoft Sentinel und lernst Möglichkeiten kennen, Incidents aufzulösen. Du erfährst auch mehr über das Abfragen, Visualisieren und Überwachen von Daten in Microsoft Sentinel.

Lektionen

• Bedrohungserkennung mit Microsoft Sentinel-Analysen
• Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel
• Reaktion auf Bedrohungen mit Microsoft Sentinel-Playbooks
• User and Entity Behavior Analytics in Microsoft Sentinel
• Abfragen, Visualisieren und Überwachen von Daten in Microsoft Sentinel

Lab: Erstellen von Erkennungen und Durchführen von Untersuchungen mithilfe von Microsoft Sentinel

• Aktivieren einer Microsoft-Sicherheitsregel
• Erstellen eines Playbooks
• Erstellen einer geplanten Abfrage
• Verstehen der Erkennungsmodellierung
• Durchführen von Angriffen
• Erstellen von Erkennungen
• Untersuchen von Incidents
• Erstellen von Arbeitsmappen

Modul 8: Ausführen von Bedrohungssuche in Microsoft Sentinel

In diesem Modul erfährst du, wie du mithilfe von Microsoft Sentinel-Abfragen proaktiv Bedrohungsverhaltensweisen identifizieren kannst. Außerdem lernst du, Lesezeichen und Livestreams zum Suchen von Bedrohungen zu verwenden. Außerdem erfährst du, wie du Notebooks in Microsoft Sentinel für die erweiterte Bedrohungssuche verwendest.

Lektionen

• Konzepte zur Bedrohungssuche in Microsoft Sentinel
• Bedrohungssuche mit Microsoft Sentinel
• Suchen von Bedrohungen mithilfe von Notebooks in Microsoft Sentinel

Lab: Ausführen von Bedrohungssuche in Microsoft Sentinel

• Ausführen von Bedrohungssuche in Microsoft Sentinel
• Bedrohungssuche mithilfe von Notebooks mit Microsoft Sentinel

• Abwehr von Bedrohungen mit Microsoft 365 Defender
• Abwehr von Bedrohungen mit Azure Defender for Cloud
• Abwehr von Bedrohungen mit Azure Sentinel

Dieses intensive Training bereitet dich vor auf:
Prüfung:  « SC-200: Microsoft Security Operations Analyst (beta) » für die
Zertifizierung:  « Microsoft Certified: Security Operations Analyst Associate »

Die Microsoft Security Operations Analysts arbeiten mit den Interessenvertreter:innen des Unternehmens zusammen, um die Informationstechnologie-Systeme des Unternehmens zu sichern. Ihr Ziel ist es, das Unternehmensrisiko zu reduzieren, indem sie aktive Angriffe in der Umgebung schnell beheben, über Verbesserungen der Praktiken zum Schutz vor Bedrohungen beraten und Verstöße gegen die Unternehmensrichtlinien an die entsprechenden Beteiligten weiterleiten.
Zu den Aufgaben gehören das Bedrohungsmanagement, die Überwachung und die Reaktion auf Bedrohungen durch den Einsatz einer Vielzahl von Sicherheitslösungen in der gesamten Umgebung. Die Rolle untersucht in erster Linie Bedrohungen, reagiert auf sie und sucht nach ihnen mithilfe von Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender und Sicherheitsprodukten anderer Anbieter. Da die Security Operations Analysts den operativen Output dieser Tools nutzen, sind sie auch wichtige Beteiligte bei der Konfiguration und Bereitstellung dieser Technologien.

Anforderungen

• Grundlegendes Verständnis von Microsoft 365
• Grundlegendes Verständnis der Sicherheits-, Compliance- und Identitätsprodukte von Microsoft
• Mittleres Verständnis von Windows 10
• Vertrautheit mit Azure-Diensten, insbesondere Azure SQL Database und Azure Storage
• Vertrautheit mit virtuellen Maschinen und virtuellen Netzwerken in Azure
• Grundlegendes Verständnis von Scripting-Konzepten

Empfohlen wird das im folgenden Kurs erlangte Grundwissen:

• Microsoft Security, Compliance, and Identity Fundamentals