Microsoft drošības darbību analīze
Mācību ietvaros uzzināsi, kā izmeklēt apdraudējumus, reaģēt uz tiem un sameklēt tos, izmantojot Microsoft Sentinel, Microsoft Defender for Cloud un Microsoft 365 Defender. Tāpat apgūsi, kā izmantot šos pakalpojumus, lai samazinātu kiberdraudu riskus organizācijai. Mācību ietvaros notiek gatavošanās Microsoft Security Operations Analyst sertifikācijas eksāmenam.
Mācību mērķis
Veidot padziļinātu izpratni par Microsoft Defender for Endpoint drošības koncepcijām un funkcijām, ietverot tēmas par aizsardzību pret draudiem, ievainojamības pārvaldība, galapunktu drošības pārvaldību un reaģēšanu uz incidentiem.
Mērķauditorija
Drošības speciālisti, kuri vēlas gūt padziļinātāku izpratni par Microsoft Defender for Endpoint izmantošanu, lai aizsargātu savas organizācijas galapunktus pret dažādiem apdraudējumiem.
Pēc mācībām Tu spēsi:
- Izskaidrot, kā Microsoft Defender for Endpoint var novērst galvenos riskus.
- Administrēt Microsoft Defender for Endpoint vidi.
- Konfigurēt uzbrukuma virsmas samazināšanas noteikumus Windows ierīcēs.
- Veikt darbības ierīcē, izmantojot Microsoft Defender for Endpoint.
- Izpētīt domēnus un IP adreses Microsoft Defender for Endpoint.
- Izpētīt lietotāju kontus Microsoft Defender for Endpoint.
- Konfigurēt brīdinājumu iestatījumus Microsoft 365 Defender.
- Izskaidrot apdraudējumu ainavu attīstību.
- Veikt paplašinātu meklēšanu Microsoft 365 Defender.
- Veikt incidentu pārvaldību Microsoft 365 Defender.
- Izpētīt DLP brīdinājumus Microsoft Defender for Cloud Apps.
- Izskaidrot, kādas darbības jāveic iekšējās informācijas riska pārvaldības gadījumā.
- Konfigurēt automātisko nodrošināšanu Microsoft Defender for Cloud Apps.
- Novērst brīdinājumus Microsoft Defender for Cloud Apps.
- Veidot KQL priekšrakstus.
- Filtrēt meklēšanu, pamatojoties uz notikuma laiku, domēnu un citiem atbilstošiem datiem, izmantojot KQL.
- Izgūt datus no nestrukturētiem virkņu laukiem, izmantojot KQL.
- Pārvaldīt Microsoft Sentinel darbvietu.
- Izmantojot KQL, piekļūt vērošanas sarakstam Microsoft Sentinel.
- Pārvaldīt apdraudējumu indikatorus Microsoft Sentinel.
- Izskaidrot kopējā notikumu formāta un galvenās Syslog atšķirības Microsoft Sentinel.
- Savienot Azure Windows virtuālās mašīnas ar Microsoft Sentinel.
- Konfigurēt žurnālu analīzes aģentu Sysmon notikumu apkopošanai.
- Izveidot jaunus analīzes noteikumus un vaicājumus, izmantojot analīzes noteikumu vedni.
- Izveidot rokasgrāmatu, lai automatizētu incidenta atbildi.
- Izmantot vaicājumus apdraudējumu meklēšanai.
- Veikt apdraudējumu novērošanu.
Priekšnoteikumi mācību apmeklēšanai
- Pamatzināšanas par Microsoft 365.
- Pamatzināšanas par Microsoft drošības, atbilstības un identitātes produktiem.
- Zināšanas par Windows 10.
- Pieredze darbā ar Azure pakalpojumiem, īpaši Azure SQL datubāzi un Azure krātuvi.
- Zināšanas par Azure virtuālajām mašīnām un virtuālo tīklu.
- Pamatzināšanas par skriptēšanas koncepciju.
Mācību materiāli
Elektroniski mācību materiāli pieejami Microsoft Learn mācību vidē (piekļuve praktisko darbu videi ir 180 dienas pēc mācību uzsākšanas).
Sertifikācijas eksāmens
Microsoft Security Operations Analyst sertifikācijas eksāmens (eksāmena kārtošana jau ir iekļauta mācību cenā).
Programma
1. Apdraudējuma mazināšana, izmantojot Microsoft 365 Defender
- Ievads par pretdraudu aizsardzību darbā ar Microsoft 365
- Incidentu mazināšana, izmantojot Microsoft 365 Defender
- Risku novēršana, izmantojot Microsoft Defender for Office 365
- Darbs ar Microsoft Defender for Identity
- Identitātes aizsargāšana ar Azure AD Identity Protection
- Darbs ar Microsoft Defender for Cloud Apps
- Reaģēšana uz datu zuduma novēršanas brīdinājumiem, izmantojot Microsoft 365
- Iekšējā riska pārvaldība Microsoft 365.
Darbs laboratorijā: Draudu mazināšana, izmantojot Microsoft 365 Defender.
2. Draudu mazināšana, izmantojot Microsoft Defender for Endpoint
- Aizsargāšanās pret apdraudējumiem, izmantojot Microsoft Defender for Endpoint
- Deploy the Microsoft Defender for Endpoint vide
- Windows drošības uzlabojumu ieviešana
- Ierīces izmeklēšanas veikšana
- Darbību veikšana ierīcē
- Pierādījumu un objektu izmeklēšana
- Automatizācijas konfigurēšana un pārvaldība
- Brīdinājumu un apdraudējumu noteikšanas konfigurēšana
- Apdraudējumu un ievainojamību pārvaldība.
Darbs laboratorijā: Apdraudējumu mazināšana, izmantojot Microsoft 365 Defender for Endpoint.
- Microsoft Defender for Endpoint izvietošana.
- Uzbrukumu mazināšana, izmantojot Defender for Endpoint.
3. Apdraudējumu mazināšana, izmantojot Microsoft Defender for Cloud
- Mākoņa darba slodzes aizsardzības plānošana, izmantojot Microsoft Defender for Cloud
- Darba slodzes noteikšana Microsoft Defender for Cloud
- Azure savienošana ar Microsoft Defender for Cloud
- Resursu, kas nav Azure, ar Microsoft Defender for Cloud
- Drošības brīdinājumu novēršana, izmantojot Microsoft Defender for Cloud.
Darbs laboratorijā: Apdraudējumu mazināšana, izmantojot Microsoft Defender for Cloud.
- Microsoft Defender for Cloud mākoņpakalpojumu izvietošana.
- Uzbrukumu mazināšana, izmantojot Microsoft Defender for Cloud.
4. Vaicājumu izveide Microsoft Sentinel, izmantojot Kusto Query Language (KQL)
- KQL priekšrakstu veidošana Microsoft Sentinel
- Vaicājumu rezultātu analizēšana, izmantojot KQL
- Vairāku tabulu priekšrakstu veidošana, izmantojot KQL
- Darbs ar virkņu datiem, izmantojot KQL priekšrakstus.
Darbs laboratorijā: Vaicājumu izveide Microsoft Sentinel, izmantojot Kusto Query Language (KQL).
5. Microsoft Sentinel vides konfigurēšana
- Ievads par Microsoft Sentinel
- Microsoft Sentinel darbvietu izveide un pārvaldība
- Vaicājumu žurnālu izveide Microsoft Sentinel
- Vērošanas sarakstu izveide Microsoft Sentinel
- Apdraudējuma informācijas izmantošana Microsoft Sentinel.
Darbs laboratorijā: Microsoft Sentinel vides konfigurēšana.
6. Žurnālu pievienošana Microsoft Sentinel
- Datu pievienošana Microsoft Sentinel
- Microsoft pakalpojumu savienošana ar Microsoft Sentinel
- Microsoft 365 Defender savienošana ar Microsoft Sentinel
- Windows hosts savienošana ar Microsoft Sentinel
- Common Event Format logs savienošana ar Microsoft Sentinel
- Syslog datu avotu savienošana ar Microsoft Sentinel
- Apdraudējumu indikatoru savienošana ar Microsoft Sentinel.
Darbs laboratorijā: Žurnālu pievienošana Microsoft Sentinel
- Datu pievienošana Microsoft Sentinel
- Windows ierīču pievienošana Microsoft Sentinel
- Linux resursdatoru savienošana ar Microsoft Sentinel, izmantojot datu savienotājus
- Threat intelligence savienošana ar Microsoft Sentinel, izmantojot datu savienotājus.
7. Apdraudējuma noteikšanas mehānismu izveide, izmantojot Microsoft Sentinel
- Apdraudējuma noteikšana, izmantojot Microsoft Sentinel analytics
- Drošības incidentu pārvaldība Microsoft Sentinel
- Reaģēšana uz apdraudējumiem, izmantojot Microsoft Sentinel rokasgrāmatas
- Lietotāju uzvedības un entītiju analīze Microsoft Sentinel
- Datu vizualizācija, analīze un monitorēšana Microsoft Sentinel.
Darbs laboratorijā: Apdraudējuma noteikšanas mehānisma izveide, izmantojot Microsoft Sentinel.
- Microsoft Security noteikuma aktivizēšana
- Darbgrāmatas izveide
- Ieplānota vaicājumu izveide
- Noteikšanas modelēšana
- Noteikšanas izveide
- Incidentu izmeklēšana.
8. Apdraudējuma meklēšana Microsoft Sentinel
- Apdraudējuma meklēšanas koncepti Microsoft Sentinel
- Apdraudējuma meklēšana, izmantojot Microsoft Sentinel
- Apdraudējuma meklēšana, izmantojot Microsoft Sentinel piezīmju grāmatiņas.
Darbs laboratorijā: Apdraudējuma meklēšana Microsoft Sentinel
- Apdraudējuma meklēšana, izmantojot Microsoft Sentinel piezīmju grāmatiņas.
Ja vēlies uzzināt vairāk par šīm mācībām, sazinies ar mums pa tālruni 67505091 vai raksti e-pastu uz mrn@bda.lv.
