Formation : Microsoft Security Operations Analyst

Ref. SC-200T00
Durée :
4
 jours
Examen :
Optionnel
Niveau :
Intermédiaire

Description

Cette formation proposée par Microsoft vous permettra de découvrir comment enquêter, répondre et rechercher les menaces à l’aide de Microsoft Azure Sentinel, Azure Defender et Microsoft 365 Defender. Au cours de ce programme, vous apprendrez à atténuer les cybermenaces en utilisant ces technologies. Plus précisément, vous configurerez et utiliserez Azure Sentinel ainsi que le langage de requête Kusto (KQL) pour effectuer des tâches de détection, d’analyse et de génération de rapports.

Profils des participants

  • Analystes sécurité
  • Ingénieurs sécurité

Objectifs

  • Contrer les menaces avec Microsoft 365 Defender
  • Contrer les menaces avec Microsoft Defender pour le cloud
  • Contrer les menaces avec Microsoft Sentinel

Connaissances Préalables

  • Avoir un niveau de connaissance élémentaire de Microsoft 365
  • Notions fondamentales des produits de sécurité, de conformité et d’identité de Microsoft
  • Avoir un niveau de connaissance intermédiaire de Microsoft Windows.
  • Connaissance des services Azure, en particulier Azure SQL Database et Stockage Azure
  • Connaissance des machines virtuelles Azure et des réseaux virtuels
  • Avoir un niveau de connaissance élémentaire des concepts de script

Contenu du cours

Module 1 : Introduction à la protection contre les menaces avec Microsoft 365

  • Explorer les cas d’utilisation de la réponse XDR (Extended Detection and Response)
  • Comprendre Microsoft 365 Defender dans un centre des opérations de sécurité (SOC)
  • Enquêter sur un incident de sécurité dans Microsoft 365 Defender

Module 2 : Réduire les incidents avec Microsoft 365 Defender

  • Utiliser le portail Microsoft 365 Defender
  • Gérer les incidents
  • Investiguer les incidents
  • Gérer et examiner les alertes
  • Gérer les enquêtes automatisées
  • Utiliser le Centre de notifications
  • Explorer la recherche avancée de menaces
  • Examiner les journaux de connexion Azure AD
  • Présentation du niveau de sécurité Microsoft
  • Analyser les menaces
  • Analyser les rapports
  • Configurer le portail Microsoft 365 Defender

Module 3 : Protéger vos identités avec Azure AD Identity Protection

  • Vue d’ensemble d’Azure AD Identity Protection
  • Détecter les risques avec des stratégies Azure AD Identity Protection

Module 4 : Résoudre les risques avec Microsoft Defender pour Office 365

  • Automatiser, enquêter et corriger
  • Configurer, protéger et détecter

Module 5 : Protégez votre environnement avec Microsoft Defender pour l’identité

  • Configurer les capteurs Microsoft Defender pour l’identité
  • Examiner les données ou les comptes compromis
  • Intégration avec d’autres outils Microsoft

Module 6 : Sécurisez vos applications et services cloud avec Microsoft Defender for Cloud Apps

  • Comprendre le cadre de Defender pour les applications Cloud
  • Explorez vos applications cloud avec Cloud Discovery
  • Protégez vos données et applications avec contrôle d’application par accès conditionnel
  • Parcourez la découverte et le contrôle d’accès avec Microsoft Defender for Cloud Apps
  • Classifier et protéger les informations sensibles
  • Détecter les menaces

Module 7 : Répondre aux alertes de protection contre la perte de données à l’aide de Microsoft 365

  • Décrire les alertes de protection contre la perte de données
  • Examiner les alertes de protection contre la perte de données dans Microsoft 365 conformité
  • Investiguer les alertes de protection contre la perte de données dans Microsoft Defender for Cloud Apps

Module 8 : Gérer les risques internes dans Microsoft Purview

  • Introduction à la gestion des politiques de risques internes
  • Créer et gérer des politiques de risque d’initié
  • Enquêter sur les alertes de risque interne
  • Agissez sur les alertes de risque internes via des cas

Module 9 : Protégez-vous contre les menaces avec Microsoft Defender pour Endpoint

  • Pratiquer l’administration de la sécurité
  • Chassez les menaces au sein de votre réseau

Module 10 : Déployer l’environnement Microsoft Defender pour point de terminaison

  • Créer votre environnement
  • Comprendre la compatibilité et les fonctionnalités des systèmes d’exploitation
  • Appareils intégrés
  • Gérer l’accès
  • Créer et gérer des rôles pour le contrôle d’accès en fonction du rôle
  • Configurer des groupes d’appareils
  • Configurer des fonctionnalités avancées d’environnement

Module 11 : Implémenter des améliorations de sécurité Windows avec Microsoft Defender pour point de terminaison

  • Comprendre la réduction de la surface d’attaque
  • Activer les règles de réduction de la surface d’attaque

Module 12 : Enquêter sur les appareils dans Microsoft Defender pour point de terminaison

  • Utiliser la liste d’inventaire des appareils
  • Examiner l’appareil
  • Utiliser le blocage comportemental

Module 13 : Effectuer des actions sur un appareil à l’aide de Microsoft Defender pour point de terminaison

  • Expliquer les actions de l’appareil
  • Exécuter l’analyse antivirus Microsoft Defender sur les appareils
  • Collecter le package d’examen d’une machine
  • Lancer une session de réponse en direct

Module 14 : Effectuer des investigations de preuve et d’entités à l’aide de Microsoft Defender pour point de terminaison

  • Examiner un fichier
  • Procéder à une investigation sur un compte d’utilisateur
  • Examiner une adresse IP
  • Examiner un domaine

Module 15 : Configurer et gérer l’automatisation à l’aide de Microsoft Defender pour le point de terminaison

  • Configurer les fonctionnalités avancées
  • Gérer les paramètres de téléchargement et de dossier de l’automatisation
  • Configurer des fonctionnalités d’investigation et de correction automatisées
  • Bloquer les appareils à risque

Module 16 : Configurer les alertes et les détections dans Microsoft Defender pour point de terminaison

  • Configurer les fonctionnalités avancées
  • Configurer des notifications d’alerte
  • Gérer la suppression d’alerte
  • Gérer les indicateurs

Module 17 : Utiliser la Gestion des vulnérabilités dans Microsoft Defender pour point de terminaison

  • Comprendre Gestion des menaces et des vulnérabilités
  • Explorer les vulnérabilités sur vos appareils
  • Gérer la correction
  • Suivre les menaces émergentes avec l’analyse des menaces

Module 18 : Planifier des protections de charge de travail Cloud à l’aide de Microsoft Defender pour le Cloud

  • Expliquer Microsoft Defender pour le cloud
  • Décrire les protections de charge de travail de Microsoft Defender pour le cloud
  • Activer Microsoft Defender pour le cloud

Module 19 : Connecter des ressources Azure à Microsoft Defender pour le cloud

  • Explorer et gérer vos ressources avec l’inventaire des ressources
  • Configurer le provisionnement automatique
  • Approvisionnement manuel de l’agent Log Analytics

Module 20 : Connecter des ressources non Azure à Microsoft Defender pour le cloud

  • Protéger les ressources non Azure
  • Connecter des machines non-Azure
  • Connectez vos comptes AWS
  • Connectez vos comptes GCP

Module 21 : Gérer votre gestion de la posture de sécurité cloud

  • Explorer le degré de sécurisation
  • Explorer les recommandations
  • Mesurer et appliquer la conformité réglementaire
  • Comprendre les classeurs

Module 22 : Expliquer les protections de charge de travail cloud dans Microsoft Defender pour le cloud

  • Comprendre Microsoft Defender pour les serveurs
  • Comprendre Microsoft Defender pour App Service
  • Comprendre Microsoft Defender pour le stockage
  • Comprendre Microsoft Defender pour SQL
  • Comprendre Microsoft Defender pour les bases de données open source
  • Comprendre Microsoft Defender pour Key Vault
  • Comprendre Microsoft Defender pour Resource Manager
  • Comprendre Microsoft Defender pour DNS
  • Comprendre le fonctionnement de Microsoft Defender pour les conteneurs
  • Comprendre les protections supplémentaires de Microsoft Defender

Module 23 : Corriger les alertes de sécurité à l’aide de Microsoft Defender pour le Cloud

  • Comprendre les alertes de sécurité
  • Corriger les alertes et automatiser les réponses
  • Supprimer les alertes de Defender pour le cloud
  • Générer des rapports de renseignement sur les menaces
  • Répondre aux alertes à partir de ressources Azure

Module 24 : Construire des instructions KQL pour Microsoft Azure Sentinel

  • Comprendre la structure des instructions du langage de requête Kusto
    Utiliser l’opérateur de recherche
    Utiliser l’opérateur where
    Utiliser l’instruction Let
    Utiliser l’opérateur extend
    Utiliser l’ordre par opérateur
    Utiliser les opérateurs de projet

Module 25 : Analyser les résultats d’une requête à l’aide de KQL

  • Utiliser l’opérateur de synthèse
  • Utiliser l’opérateur de synthèse pour filtrer les résultats
  • Utiliser l’opérateur de synthèse pour préparer les données
  • Utiliser l’opérateur de rendu pour créer des visualisations

Module 26 : Générer des instructions de tables multiples à l’aide de KQL

  • Utiliser l’opérateur d’union
  • Utiliser l’opérateur de jointure

Module 27 : Utiliser des données dans Microsoft Azure Sentinel à l’aide du langage de requête Kusto

  • Extraire des données à partir de champs de chaîne non structurés
  • Extraire des données à partir de données de chaîne structurées
  • Intégrer des données externes
  • Créer des analyseurs avec des fonctions

Module 28 : Présentation de Microsoft Sentinel

  • Présentation de Microsoft Sentinel
  • Fonctionnement de Microsoft Sentinel
  • Quand utiliser Microsoft Sentinel

Module 29 : Créer et gérer des espaces de travail Microsoft Sentinel

  • Organisation de l’espace de travail Microsoft Sentinel
  • Créer un espace de travail Microsoft Sentinel
  • Gérer les espaces de travail parmi les locataires avec Azure Lighthouse
  • Présentation des autorisations et des rôles Microsoft Sentinel
  • Gestion des paramètres Microsoft Sentinel
  • Configurer les journaux

Module 30 : Journaux de requêtes dans Microsoft Azure Sentinel

  • Journaux de requête sur la page journaux
  • Présentation des tables Microsoft Sentinel
  • Comprendre les tables courantes
  • Comprendre les tables Microsoft 365 Defender

Module 31: Utiliser des watchlists dans Microsoft Azure Sentinel

  • Planifier des watchlists
  • Créer une liste de surveillance
  • Gérer des listes Watchlist

Module 32 : Utiliser le renseignement sur les menaces dans Microsoft Azure Sentinel

  • Définir le renseignement sur les menaces
  • Gérer vos indicateurs de menace
  • Afficher vos indicateurs de menace avec KQL

Module 33 : Connecter des données à Microsoft Sentinel à l’aide de connecteurs de données

  • Ingérer des données de journal avec des connecteurs de données
  • Comprendre les fournisseurs de connecteurs de données
  • Afficher les hôtes connectés

Module 34 : Connecter des services Microsoft à Microsoft Sentinel

  • Planifier les connecteurs de services Microsoft
  • Activer le connecteur Microsoft Office 365
  • Activer le connecteur Microsoft Azure Active Directory
  • Activer le connecteur Azure Active Directory Identity Protection
  • Se connecter au connecteur Activité Azure

Module 35 : Connecter Microsoft 365 Defender à Microsoft Azure Sentinel

  • Planifier les connecteurs Microsoft 365 Defender
  • Connecter les alertes de Microsoft Defender pour Office 365
  • Connecter les alertes de Microsoft Defender pour point de terminaison
  • Raccorder le connecteur Microsoft 365 Defender
  • Connecter le connecteur Microsoft Defender pour le cloud
  • Connecter Microsoft Defender pour IoT
  • Connecter les connecteurs existants Microsoft Defender

Module 36 : Connecter des hôtes Windows à Microsoft Sentinel

  • Planifier le connecteur pour les événements de sécurité des hôtes Windows
  • Se connecter en utilisant le connecteur Événements de sécurité Windows via AMA
  • Se connecter en utilisant le connecteur Événements de sécurité via l’agent hérité
  • Collecter des journaux d’événements Sysmon

Module 37 : Connecter des journaux Common Event Format à Microsoft Sentinel

  • Planifier un connecteur Common Event Format
  • Connectez votre solution externe en utilisant le connecteur CEF

Module 38 : Connecter des sources de données Syslog à Microsoft Sentinel

  • Planifier le connecteur syslog
  • Collecter des données à partir de sources Linux à l’aide de syslog
  • Configurer l’agent Log Analytics
  • Analyser les données syslog avec KQL

Module 39 : Connecter des indicateurs de menace à Microsoft Sentinel

  • Planifier les connecteurs de renseignement sur les menaces
  • Connecter le connecteur de renseignement sur les menaces TAXII
  • Activer le connecteur des plateformes de renseignement sur les menaces
  • Afficher vos indicateurs de menace avec KQL

Module 40 : Détection des menaces avec Analytique Microsoft Sentinel

  • Qu’est-ce qu’Analytique Microsoft Sentinel?
  • Types de règles analytiques
  • Créer une règle analytique à partir de modèles
  • Créer une règle analytique à partir de l’Assistant
  • Gérer les règles analytiques

Module 41 : Automatisation dans Microsoft Sentinel

  • Comprendre les options d’automatisation
  • Créer des règles d’automatisation

Module 42 : Réponse aux menaces avec les playbooks Microsoft Sentinel

  • Que sont les playbooks Microsoft Sentinel?
  • Déclencher un playbook en temps réel
  • Exécuter des playbooks à la demande

Module 43 : Gestion des incidents de sécurité dans Microsoft Sentinel

  • Préparation de l’exercice
  • Décrire la gestion des incidents
  • Comprendre les preuves et les entités
  • Gérer les incidents

Module 44 : Identifier les menaces avec l’analytique comportementale

  • Comprendre l’analytique comportementale
  • Explorer les entités
  • Afficher les informations sur le comportement des entités
  • Utiliser des modèles de règle analytique de détection d’anomalies

Module 45 : Normalisation des données dans Microsoft Sentinel

  • Comprendre la normalisation des données
  • Utiliser des analyseurs ASIM
  • Comprendre les fonctions KQL paramétrables
  • Créer un analyseur ASIM
  • Configurer des règles de collecte de données Azure Monitor

Module 46 : Interroger, visualiser et monitorer des données dans Microsoft Sentinel

  • Superviser et visualiser les données
  • Interroger des données en utilisant le langage de requête Kusto
  • Utiliser les workbooks Microsoft Sentinel par défaut
  • Créer un workbook Microsoft Sentinel

Module 47 : Gérer le contenu dans Microsoft Sentinel

  • Utiliser des solutions à partir du hub de contenu
  • Utiliser des dépôts pour le déploiement

Module 48 : Expliquer les concepts de chasse des menaces dans Microsoft Sentinel

  • Comprendre les repérages de menaces de cybersécurité
  • Développer une hypothèse
  • Explorer MITRE ATT&CK

Module 49 : Repérage des menaces avec Microsoft Sentinel

  • Explorer la création et la gestion des requêtes de repérage des menaces Microsoft Sentinel
  • Enregistrer les résultats clés avec des signets
  • Observer les menaces dans le temps avec le stream en direct

Module 50 : Utiliser des travaux de recherche dans Microsoft Sentinel

  • Repérer avec un travail de recherche
  • Restaurer des données historiques

Module 51 : Repérer les menaces à l’aide de notebooks dans Microsoft Sentinel

  • Accéder aux données Azure Sentinel avec des outils externes
  • Repérer avec les notebooks
  • Créer un notebook
  • Explorer le code du notebook

Documentation

  • Accès à Microsoft Learn (contenu d’apprentissage en ligne)

Lab / Exercices

  • Official Microsoft Labs

Examen

  • Ce cours prépare à la certification SC-200 : Microsoft Security Operations Analyst
  • Si vous souhaitez passer cet examen, veuillez le sélectionner lors de l’ajout de la formation dans votre panier

Cours complémentaires

Financement Temptraining

ITTA est partenaire de Temptraining, le fonds de formation continue pour les travailleurs temporaires. Ce fonds de formation peut subventionner des formations continues pour toute personne qui travaille pour un employeur assujetti à la Convention collective de travail (CCT) Location de services.
Prix de l'inscription
CHF 3'000.-
Inclus dans ce cours
  • Formation dispensée par un formateur certifié
  • 180 jours d’accès aux labs Officiels Microsoft
  • Documentation Officielle au format digital
  • Badge de réussite Officiel Microsoft

lun25Mar(Mar 25)09:00jeu28(Mar 28)17:00VirtuelVirtuel Etiquettes de sessionSC-200T00

lun25Mar(Mar 25)09:00jeu28(Mar 28)17:00Genève, Route des Jeunes 33B, 1227 Carouge Etiquettes de sessionSC-200T00

lun29Avr(Avr 29)09:00jeu02Mai(Mai 2)17:00VirtuelVirtuel Etiquettes de sessionSC-200T00

lun29Avr(Avr 29)09:00jeu02Mai(Mai 2)17:00Lausanne, Avenue Mon repos 24, 1005 Lausanne Etiquettes de sessionSC-200T00

lun03Juin(Juin 3)09:00jeu06(Juin 6)17:00VirtuelVirtuel Etiquettes de sessionSC-200T00

lun03Juin(Juin 3)09:00jeu06(Juin 6)17:00Genève, Route des Jeunes 33B, 1227 Carouge Etiquettes de sessionSC-200T00

lun08juil(juil 8)09:00jeu11(juil 11)17:00VirtuelVirtuel Etiquettes de sessionSC-200T00

lun08juil(juil 8)09:00jeu11(juil 11)17:00Lausanne, Avenue Mon repos 24, 1005 Lausanne Etiquettes de sessionSC-200T00

lun12Aoû(Aoû 12)09:00jeu15(Aoû 15)17:00VirtuelVirtuel Etiquettes de sessionSC-200T00

lun12Aoû(Aoû 12)09:00jeu15(Aoû 15)17:00Genève, Route des Jeunes 33B, 1227 Carouge Etiquettes de sessionSC-200T00

lun16Sep(Sep 16)09:00jeu19(Sep 19)17:00VirtuelVirtuel Etiquettes de sessionSC-200T00

lun16Sep(Sep 16)09:00jeu19(Sep 19)17:00Lausanne, Avenue Mon repos 24, 1005 Lausanne Etiquettes de sessionSC-200T00

lun21Oct(Oct 21)09:00jeu24(Oct 24)17:00VirtuelVirtuel Etiquettes de sessionSC-200T00

lun21Oct(Oct 21)09:00jeu24(Oct 24)17:00Genève, Route des Jeunes 33B, 1227 Carouge Etiquettes de sessionSC-200T00

lun25Nov(Nov 25)09:00jeu28(Nov 28)17:00VirtuelVirtuel Etiquettes de sessionSC-200T00

lun25Nov(Nov 25)09:00jeu28(Nov 28)17:00Lausanne, Avenue Mon repos 24, 1005 Lausanne Etiquettes de sessionSC-200T00

Horaires d’ouverture

Du lundi au vendredi, de 8:30 à 18:00.

Contactez-nous

Votre demande

X
X
X
X