El curso Microsoft Security Operations Analyst, enseña a responder y buscar amenazas con Microsoft Sentinel, Microsoft Defender para la nube y Microsoft 365 Defender. Podrá mitigar las ciberamenazas utilizando estas tecnologías.
Específicamente, configurará y usará Microsoft Sentinel y utilizará Kusto Query Language (KQL) para realizar la detección, el análisis y la generación de informes. El curso fue diseñado para personas que trabajan en un puesto de operaciones de seguridad y ayuda a los alumnos a prepararse para el examen SC-200: Analista de operaciones de seguridad de Microsoft.
Perfil de la audiencia
El analista de operaciones de seguridad de Microsoft colabora con las partes interesadas de la organización para proteger los sistemas de tecnología de la información para la organización. Su objetivo es reducir el riesgo organizacional al remediar rápidamente los ataques activos en el entorno, asesorar sobre mejoras en las prácticas de protección contra amenazas y remitir las violaciones de las políticas organizacionales a las partes interesadas correspondientes.
Las responsabilidades incluyen la gestión de amenazas, el monitoreo y la respuesta mediante el uso de una variedad de soluciones de seguridad en todo su entorno. El rol principalmente investiga, responde y busca amenazas mediante Microsoft Sentinel, Microsoft Defender for Cloud, Microsoft 365 Defender y productos de seguridad de terceros. Dado que Security Operations Analyst consume el resultado operativo de estas herramientas, también es una parte interesada fundamental en la configuración y el despliegue de estas tecnologías.
this exam: SC-200: Microsoft Security Operations Analyst.
Esquema del curso
Mitigar las amenazas con Microsoft 365 Defender
Analice los datos de amenazas en todos los dominios y corrija rápidamente las amenazas con la orquestación y la automatización integradas en Microsoft 365 Defender. Obtenga información sobre las amenazas de ciberseguridad y cómo las nuevas herramientas de protección contra amenazas de Microsoft protegen a los usuarios, los dispositivos y los datos de su organización. Utilice la detección y corrección avanzadas de amenazas basadas en identidad para proteger sus identidades y aplicaciones de Azure Active Directory contra riesgos.
Lecciones
Introducción a la protección contra amenazas con Microsoft 365
Mitigar incidentes con Microsoft 365 Defender
Corrija los riesgos con Microsoft Defender para Office 365
Microsoft defender para la identidad
Proteja sus identidades con Azure AD Identity Protection
Microsoft Defender para aplicaciones en la nube
Responda a las alertas de prevención de pérdida de datos con Microsoft 365
Administrar el riesgo interno en Microsoft 365
Realice búsquedas avanzadas en Microsoft 365 Defender
Contrarrestar las amenazas con Microsoft Defender para Endpoint
Implemente la plataforma Microsoft Defender for Endpoint para detectar, investigar y responder a amenazas avanzadas. Descubra cómo Microsoft Defender para Endpoint puede ayudar a su organización a mantenerse segura. Aprenda a implementar el entorno de Microsoft Defender para Endpoint, incluidos los dispositivos incorporados y la configuración de la seguridad. Aprenda a investigar incidentes y alertas con Microsoft Defender para Endpoint. Realice búsquedas avanzadas y consulte con expertos en amenazas.
También aprenderá a configurar la automatización en Microsoft Defender para Endpoint mediante la administración de la configuración ambiental. Por último, aprenderá sobre las debilidades de su entorno mediante el uso de Administración de amenazas y vulnerabilidades en Microsoft Defender para Endpoint.
Lecciones
Protégete contra las amenazas con Microsoft Defender para Endpoint
Implementar el entorno de Microsoft Defender para Endpoind y mejoras de seguridad de Windows
Realizar investigaciones de dispositivos y acciones en un dispositivo y investigaciones de evidencias y entidades.
Configurar y administrar la automatización y para alertas y detecciones
Utilice la gestión de amenazas y vulnerabilidades
Disminuír las amenazas con Microsoft Defender para la nube
Use Microsoft Defender para la nube, para Azure, la nube híbrida y la protección y seguridad de cargas de trabajo locales. Conozca el propósito de Microsoft Defender para la nube y cómo habilitarlo. También aprenderá sobre las protecciones y detecciones proporcionadas por Microsoft Defender for Cloud para cada carga de trabajo en la nube. Aprenda cómo puede agregar capacidades de Microsoft Defender para la nube a su entorno híbrido.
Lecciones
Planifique las protecciones de cargas de trabajo en la nube con Microsoft Defender para la nube
Protecciones de cargas de trabajo en Microsoft Defender para la nube
Conecte los activos de Azure a Microsoft Defender para la nube y recursos que no sean de Azure a Microsoft Defender para la nube
Corrección de alertas de seguridad con Microsoft Defender para la nube
Cree consultas para Microsoft Sentinel usando Kusto Query Language (KQL)
Escriba declaraciones de Kusto Query Language (KQL) para consultar datos de registro para realizar detecciones, análisis e informes en Microsoft Sentinel. Este módulo se centrará en los operadores más utilizados. Las declaraciones KQL de ejemplo mostrarán consultas de tablas relacionadas con la seguridad. KQL es el lenguaje de consulta utilizado para realizar análisis de datos para crear análisis, libros de trabajo y realizar búsquedas en Microsoft Sentinel.
La estructura básica de declaraciones de KQL proporciona la base para crear declaraciones más complejas. Aprenda a resumir y visualizar datos con una declaración KQL que proporciona la base para crear detecciones en Microsoft Sentinel. Aprenda a usar el lenguaje de consulta de Kusto (KQL) para manipular los datos de cadena ingeridos de las fuentes de registro.
Lecciones
Construir declaraciones KQL para Microsoft Sentinel
Analice los resultados de las consultas con KQL
Cree declaraciones de tablas múltiples usando KQL
Trabaje con datos de cadena usando declaraciones KQL
Configure su entorno de Microsoft Sentinel
Comience con Microsoft Sentinel configurando correctamente el espacio de trabajo de Microsoft Sentinel. Los sistemas tradicionales de gestión de eventos e información de seguridad (SIEM) suelen tardar mucho tiempo en instalarse y configurarse. Tampoco están necesariamente diseñados teniendo en cuenta las cargas de trabajo en la nube. Microsoft Sentinel le permite comenzar a obtener información de seguridad valiosa de su nube y datos locales rápidamente.
Conozca la arquitectura de los espacios de trabajo de Microsoft Sentinel para asegurarse de configurar su sistema para cumplir con los requisitos de operaciones de seguridad de su organización. Como analista de operaciones de seguridad, debe comprender las tablas, los campos y los datos incorporados en su espacio de trabajo. Aprenda a consultar las tablas de datos más utilizadas en Microsoft Sentinel.
Lecciones
Introducción a Microsoft Sentinel
Cree y administre áreas de trabajo de Microsoft Sentinel
Consulta de registros en Microsoft Sentinel
Usar listas de observación en Microsoft Sentinel
Utilice la inteligencia de amenazas en Microsoft Sentinel
Conectar registros a Microsoft Sentinel
Conecte datos a escala de la nube en todos los usuarios, dispositivos, aplicaciones e infraestructura, tanto en las instalaciones como en múltiples nubes a Microsoft Sentinel. El enfoque principal para conectar los datos de registro es usar los conectores de datos proporcionados por Microsoft Sentinel.
Descripción general de los conectores de datos disponibles. Obtendrá información sobre las opciones de configuración y los datos proporcionados por los conectores de Microsoft Sentinel para Microsoft 365 Defender.
Lecciones
Conectar datos a Microsoft Sentinel usando conectores de datos
Conecte los servicios de Microsoft a Microsoft Sentinel, Microsoft 365 Defender a Microsoft Sentinel, los hosts de Windows a Microsoft Sentinel, registros de formato de evento común a Microsoft Sentinel, las fuentes de datos de syslog a Microsoft Sentinel y los indicadores de amenazas a Microsoft Sentinel
Conectar registros a Microsoft Sentinel
Conecte datos a escala de la nube en todos los usuarios, dispositivos, aplicaciones e infraestructura, tanto en las instalaciones como en múltiples nubes a Microsoft Sentinel. El enfoque principal para conectar los datos de registro es usar los conectores de datos proporcionados por Microsoft Sentinel.
Descripción general de los conectores de datos disponibles. Obtendrá información sobre las opciones de configuración y los datos proporcionados por los conectores de Microsoft Sentinel para Microsoft 365 Defender.
Lecciones
Conectar datos a Microsoft Sentinel usando conectores de datos, los servicios de Microsoft a Microsoft Sentinel, Microsoft 365 Defender a Microsoft Sentinel, los hosts de Windows a Microsoft Sentinel, registros de formato de evento común a Microsoft Sentinel, fuentes de datos de syslog a Microsoft Sentinel y los indicadores de amenazas a Microsoft Sentinel
Cree detecciones y realice investigaciones usando Microsoft Sentinel
Detecte amenazas previamente descubiertas y corrija amenazas rápidamente con orquestación y automatización integradas en Microsoft Sentinel. Aprenderá a crear playbooks de Microsoft Sentinel para responder a las amenazas de seguridad.
Investigará la administración de incidentes de Microsoft Sentinel, aprenderá acerca de los eventos y entidades de Microsoft Sentinel y descubrirá formas de resolver incidentes. También aprenderá a consultar, visualizar y monitorear datos en Microsoft Sentinel.
Lecciones
Detección de amenazas con análisis de Microsoft Sentinel
Gestión de incidentes de seguridad en Microsoft Sentinel
Respuesta a amenazas con playbooks de Microsoft Sentinel
Análisis de comportamiento de usuarios y entidades en Microsoft Sentinel
Consultar, visualizar y monitorear datos en Microsoft Sentinel
Administrar reglas con modificaciones.
Realice la búsqueda de amenazas en Microsoft Sentinel
En este módulo, aprenderá a identificar de manera proactiva comportamientos de amenazas mediante consultas de Microsoft Sentinel. También aprenderá a usar marcadores y transmisión en vivo para buscar amenazas. También aprenderá a usar cuadernos en Microsoft Sentinel para la búsqueda avanzada.
Lecciones
Conceptos de caza de amenazas en Microsoft Sentinel
Caza de amenazas con Microsoft Sentinel
Busque amenazas usando notebooks en Microsoft Sentinel.