Microsoft Security Operations Analyst – Intensive Training («SC200»)

• Abwehr von Bedrohungen mit Microsoft 365 Defender
• Abwehr von Bedrohungen mit Azure Defender for Cloud
• Abwehr von Bedrohungen mit Azure Sentinel

• In diesem Modul lernen Sie, wie Sie die in Microsoft 365 Defender integrierte Bedrohungsschutzsammlung verwenden.

• Erfahren Sie, wie das Microsoft-365-Defender-Portal eine einheitliche Ansicht von Vorfällen in der Microsoft-365-Defender-Produktfamilie bereitstellt.

• Verwenden Sie die erweiterte Erkennung und Beseitigung von identitätsbasierten Bedrohungen, um Ihre Azure Active Directory-Identitäten und -Anwendungen vor Angriffen zu schützen.

• Learn about the Microsoft Defender for Office 365 component of Microsoft 365 Defender.

• Kennenlernen der Microsoft Defender for Identity-Komponente von Microsoft 365 Defender.

• Microsoft Defender for Cloud Apps ist ein Cloud Access Security Broker (CASB), der in mehreren Clouds ausgeführt wird. Dieser Dienst bietet umfassende Sichtbarkeit, Kontrolle bei der Datenübertragung, und modernste Analysen, die Cyberbedrohungen in all Ihren Clouddiensten erkennen und abwehren. Erfahren Sie, wie Sie Defender for Cloud Apps in Ihrer Organisation verwenden.

• Als Security Operations Analyst sollten Sie die Begriffe und Warnungen im Zusammenhang mit Compliance verstehen. Erfahren Sie, wie Warnungen zur Verhinderung von Datenverlust Ihnen bei der Untersuchung helfen, um den gesamten Umfang eines Vorfalls zu ermitteln.

• Microsoft Purview Insider Risk Management helps organizations address internal risks, such as IP theft, fraud, and sabotage. Learn about insider risk management and how Microsoft technologies can help you detect, investigate, and take action on risky activities in your organization.

• In diesem Modul wird die Suche nach überwachten Aktivitäten mithilfe der Microsoft-Purview-Überwachungslösung (UAL) untersucht, einschliesslich des Exportierens, Konfigurierens und Anzeigens der Überwachungsprotokolldatensätze, die aus einer Überwachungsprotokollsuche abgerufen wurden.

• In diesem Modul werden die Unterschiede zwischen der Microsoft-Purview-Überwachung (Standard) und der Überwachung (Premium) sowie die wichtigsten Funktionen der Überwachung (Premium) untersucht, einschliesslich der Setupanforderungen, der Aktivierung der Überwachungs-Protokollierung, dem Erstellen von Aufbewahrungs-Richtlinien für Überwachungs-Protokolle und dem Durchführen forensischer Untersuchungen.

• In diesem Modul wird erläutert, wie Sie im Microsoft-Purview-Complianceportal nach Inhalten suchen. Dabei werden die Suchfunktionen näher erläutert, zum Beispiel das Anzeigen und Exportieren von Suchergebnissen oder das Konfigurieren der Suchberechtigungs-Filterung.

• Learn how Microsoft Defender for Endpoint can help your organization stay secure.

• Hier erfahren Sie, wie Sie die Microsoft Defender für Endpunkt-Umgebung bereitstellen, einschliesslich des Onboardings von Geräten und der Sicherheits-Konfiguration.

• Microsoft Defender für Endpunkt bietet verschiedene Tools, mit denen Sie Risiken beseitigen können, indem Sie die Oberfläche für Angriffe verringern, ohne die Benutzer-Produktivität einzuschränken. Erfahren Sie mehr über die Verringerung der Angriffsfläche mit Microsoft Defender für Endpunkt.

• Microsoft Defender für Endpunkt bietet umfassende Geräteinformationen, einschliesslich forensischer Informationen. Hier erfahren Sie mehr über die Informationen, die Ihnen über Microsoft Defender für Endpunkt zur Verfügung stehen und bei Untersuchungen hilfreich sind.

• Erfahren Sie, wie Microsoft Defender für Endpunkt die Remotefunktionen zum Einbeziehen von Geräten und Sammeln forensischer Daten bereitstellt.

• Dieser Artikel enthält Informationen zu den Artefakten in Ihrer Umgebung sowie dazu, in welchem Zusammenhang diese Artefakte zu anderen Artefakten und Warnungen stehen, die Erkenntnisse über die allgemeinen Auswirkungen auf Ihre Umgebung liefern.

• Erfahren Sie, wie Sie die Automatisierung in Microsoft Defender für Endpunkt durch Verwalten der Umgebungseinstellungen konfigurieren.

• Erfahren Sie, wie Sie Einstellungen zur Verwaltung von Warnungen und Benachrichtigungen konfigurieren. Ausserdem erfahren Sie, wie Sie Indikatoren im Rahmen des Erkennungsprozesses aktivieren.

• Hier erfahren Sie mehr über die Schwachstellen in Ihrer Umgebung, indem Sie das Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt verwenden.

• Erfahren Sie mehr über den Zweck von Microsoft Defender für Cloud und die Aktivierung des Systems.

• Hier erfahren Sie, wie Sie verschiedene Azure-Ressourcen mit Microsoft Defender für Cloud verbinden, um Bedrohungen zu erkennen.

• Hier erfahren Sie, wie Sie Ihrer Hybridumgebung Funktionen von Microsoft Defender für Cloud hinzufügen.

• Microsoft Defender für Cloud, Cloud Security Posture Management (CSPM) bietet Einblicke in anfällige Ressourcen und eine Anleitung zur Härtung.

• Erfahren Sie mehr über den von Microsoft Defender für Cloud bereitgestellten Schutz und das Erkennen von Bedrohungen für jede Cloudworkload.

• Erfahren Sie, wie Sie Sicherheitswarnungen in Microsoft Defender für Cloud beheben.

• KQL ist die Abfragesprache, die der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Hunting-Vorgängen in Microsoft Sentinel dient. Im Folgenden finden Sie Informationen darüber, wie Sie mithilfe der grundlegenden KQL-Anweisungsstruktur komplexe Anweisungen erstellen.

• Hier erfahren Sie, wie Sie Daten in einer KQL-Anweisung zusammenfassen und visualisieren. Dies ist die Grundlage zum Erstellen von Erkennungen in Microsoft Sentinel.

• Hier erfahren Sie, wie Sie mit KQL mit mehreren Tabellen arbeiten.

• Erfahren Sie, wie Sie mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) aus Protokollquellen erfasste Zeichenfolgendaten bearbeiten.

• Das Einrichten und Konfigurieren herkömmlicher SIEM-Systeme (Security Information & Event Management) erfordert in der Regel viel Zeit. Ausserdem sind diese Systeme nicht unbedingt für Cloud-Workloads konzipiert. Microsoft Sentinel ermöglicht es Ihnen, sich anhand Ihrer Cloud- und lokalen Daten schnell wertvolle sicherheitsrelevante Erkenntnisse zu verschaffen. Dieses Modul unterstützt Sie beim Einstieg.

• Im Folgenden finden Sie Informationen darüber, wie Sie mit der Architektur von Microsoft-Sentinel-Arbeitsbereichen Ihr System so konfigurieren, dass die Anforderungen an die Sicherheits-Anforderungen Ihrer Organisation erfüllt werden.

• Als Security Operations Analyst müssen Sie die Tabellen, Felder und Daten verstehen, die in Ihrem Arbeitsbereich erfasst werden. Hier erfahren Sie, wie Sie die am häufigsten genutzten Datentabellen in Microsoft Sentinel abfragen.

• Hier erfahren Sie, wie Sie in Microsoft Sentinel Watchlists erstellen. Dabei handelt es sich um eine benannte Liste importierter Daten. Nach der Erstellung können Sie die benannte Watchlist auf einfache Weise in KQL-Abfragen verwenden.

• Hier erfahren Sie, wie Sie mit der Seite „Threat Intelligence“ von Microsoft Sentinel-Bedrohungsindikatoren verwalten können.

• Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors.

• Hier erfahren Sie, wie Sie eine Verbindung von Microsoft-365- und Azure-Dienstprotokollen mit Microsoft Sentinel herstellen.

• Erfahren Sie mehr über die Konfigurations-Optionen und Daten, die von Microsoft Sentinel Connectors für Microsoft 365 Defender bereitgestellt werden.

• Sicherheitsrelevante Windows-Ereignisse gehören zu den am häufigsten erstellten Protokollen. Hier erfahren Sie, wie Microsoft Sentinel das Generieren von Protokollen mithilfe des Sicherheitsereignis-Connectors vereinfacht.

• Bei den meisten von Anbietern bereitgestellten Connectors kommt der CEF-Connector zum Einsatz. In diesem Modul erhalten Sie Informationen zu den Konfigurationsoptionen des Common Event Format-Connectors (CEF).

• Hier erfahren Sie mehr über die Konfigurations-Optionen der Syslog-Datensammlungsregel des Azure Monitor-Agents für Linux, mit denen Sie Syslog-Daten analysieren können.

• Im Folgenden finden Sie Informationen darüber, wie Sie mithilfe der bereitgestellten Datenconnectors eine Verbindung zwischen Threat-Intelligence-Indikatoren und dem Microsoft-Sentinel-Arbeitsbereich herstellen.

• In diesem Modul haben Sie erfahren, wie Microsoft Sentinel Analytics das SecOps-Team beim Erkennen und Bekämpfen von Cyberangriffen unterstützen kann.

• Am Ende dieses Moduls können Sie Automatisierungsregeln in Microsoft Sentinel verwenden, um die Verwaltung von Incidents zu automatisieren.

• Hier erfahren Sie mehr über Sicherheitsincidents, Nachweise und Entitäten bezüglich Incidents, die Verwaltung von Incidents und die Verwendung von Microsoft Sentinel zum Behandeln von Incidents.

• In diesem Modul erfahren Sie, wie Sie die Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) in Microsoft Sentinel verwenden können, um Bedrohungen in Ihrer Organisation zu erkennen.

• Am Ende des Moduls können Sie Bedrohungen in Ihrer Organisation mithilfe von ASIM-Parsern erkennen.

• In diesem Modul erfahren Sie, wie Sie Daten in Microsoft Sentinel abfragen, visualisieren und überwachen.

• Am Ende des Moduls können Sie Inhalte in Microsoft Sentinel verwalten.

• Lernen Sie die Bedrohungssuchkonzepte in Microsoft Sentinel kennen.

• In diesem Modul erfahren Sie, wie Sie mithilfe von Microsoft-Sentinel-Abfragen proaktiv Bedrohungsverhaltensweisen identifizieren können. Ausserdem lernen Sie, Lesezeichen und Livestreams zum Suchen von Bedrohungen zu verwenden.

• In Microsoft Sentinel können Sie mithilfe eines Suchauftrags mit langer Ausführungsdauer grosse Datasets durchsuchen.

• Erfahren Sie, wie Sie Notebooks in Microsoft Sentinel für die erweiterte Bedrohungssuche verwenden.

Digicomp Blended-Learning-Ansatz:

• Pre-Study: Sobald Sie das Training gebucht haben, erhalten Sie Zugang zu unserem exclusiven Learning Support und können sich mit den Microsoft Learn Inhalten individuel in die Materie einarbeiten. Wir empfehlen den Inhalt einmal oberflächlich duchzugehen und an den Stellen wo viel Wissen fehlt etwas mehr Zeit zu investieren. 
• After-Study: Nach dem Training haben Sie weitere 30 Tage Zugang zum Learning Support und können sich nach Bedarf noch weiter mit der Thematik befassen, um ein nachhaltiges Lernerlebnis zu ermöglichen. 
• Learning Support: Mittels Foren haben Sie die Möglichkeit, jederzeit Fragen zu stellen und innert weniger Stunden einen Lösungsansatz zu erhalten, der Sie weiterbringen wird.

• Grundlegendes Verständnis von Microsoft 365
• Grundlegendes Verständnis der Sicherheits-, Compliance- und Identitätsprodukte von Microsoft
• Mittleres Verständnis von Windows 10
• Vertrautheit mit Azure-Diensten, insbesondere Azure SQL Database und Azure Storage
• Vertrautheit mit virtuellen Maschinen und virtuellen Netzwerken in Azure
• Grundlegendes Verständnis von Scripting-Konzepten

Dieses Intensive Training bereitet Sie vor auf:

• Prüfung: «SC-200: Microsoft Security Operations Analyst (beta)» für die
• Zertifizierung: «Microsoft Certified: Security Operations Analyst Associate»