Microsoft Security Operations Analyst (SC-200)
Volg de SC-200 Training Microsoft Security Operations Analyst. Leer hoe je bedreigingen kunt onderzoeken en verhelpen met Microsoft Azure Sentinel, Azure Defender en Microsoft 365 Defender.
Na afronding van deze training kun je onder andere:
Training: Microsoft Security Operations Analyst (SC-200)
Het SC-200 curriculum richt zich op het trainen van Security Operations professionals in het voorkomen van cyberbedreigingen door gebruik te maken van Microsoft Azure Sentinel, Azure Defender en Microsoft 365 Defender. Deelnemers krijgen praktische oefeningen in het configureren en gebruiken van Azure Sentinel, en leren Kusto Query Language (KQL) te beheersen voor detectie, analyse en rapportage. Na het afronden van de cursus zijn de deelnemers volledig voorbereid op het SC-200: Microsoft Security Operations Analyst examen en klaar om de beveiliging binnen hun organisatie op zich te nemen.
- Basiskennis van Microsoft 365
- Basiskennis van Microsoft-beveiligingsproducten, compliance en identiteit
- Kennis van Windows 10
- Bekend met Azure-diensten, met name Azure SQL Database en Azure Storage
- Bekend met Azure virtuele machines en virtuele netwerken
- Basiskennis van scriptingconcepten
De Microsoft Security Operations Analyst werkt nauw samen met interne stakeholders om de IT-systemen van de organisatie te beveiligen. Hun hoofddoel is het verminderen van risico’s door snel in te grijpen bij actieve aanvallen, advies te geven over verbeteringen in de bescherming tegen bedreigingen en bij beleidsinbreuken de juiste stakeholders te betrekken. De taken omvatten het beheren van bedreigingen, het bewaken en reageren met behulp van verschillende beveiligingsoplossingen binnen hun omgeving. Deze rol richt zich vooral op het onderzoeken, reageren op en opsporen van bedreigingen met tools zoals Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender en beveiligingsproducten van derden. Omdat de Security Operations Analyst de operationele resultaten van deze tools gebruikt, speelt hij of zij ook een essentiële rol bij de configuratie en implementatie van deze technologieën.
Module 1: Bedreigingen beperken met Microsoft Defender for Endpoint
Implementeer het Microsoft Defender for Endpoint-platform om geavanceerde bedreigingen te detecteren, te onderzoeken en erop te reageren. Leer hoe Microsoft Defender for Endpoint jouw organisatie kan helpen veilig te blijven. Krijg inzicht in hoe je de Microsoft Defender for Endpoint-omgeving implementeert, inclusief het onboarden van apparaten en het configureren van beveiligingsinstellingen. Onderzoek incidenten en waarschuwingen met Microsoft Defender for Endpoint en voer geavanceerde hunting uit in samenwerking met bedreigingsexperts. Je leert ook hoe je automatisering instelt in Microsoft Defender for Endpoint door omgevingsinstellingen te beheren. Tot slot krijg je inzicht in de zwakke punten van jouw omgeving met behulp van Threat and Vulnerability Management in Microsoft Defender for Endpoint.
Lessen:
- Bescherm tegen bedreigingen met Microsoft Defender for Endpoint
- Implementeer de Microsoft Defender for Endpoint-omgeving
- Voer beveiligingsverbeteringen voor Windows 10 uit met Microsoft Defender for Endpoint
- Beheer meldingen en incidenten in Microsoft Defender for Endpoint
- Voer apparaatonderzoeken uit met Microsoft Defender for Endpoint
- Voer acties uit op een apparaat met Microsoft Defender for Endpoint
- Onderzoek bewijsmateriaal en entiteiten met Microsoft Defender for Endpoint
- Configureer en beheer automatisering met Microsoft Defender for Endpoint
- Stel meldingen en detecties in met Microsoft Defender for Endpoint
- Maak gebruik van Threat and Vulnerability Management in Microsoft Defender for Endpoint
Lab: Bedreigingen verminderen met Microsoft Defender for Endpoint
- Implementeer Microsoft Defender for Endpoint
- Beperk aanvallen met Defender for Endpoint
Na het afronden van deze module zijn cursisten in staat om:
- De mogelijkheden van Microsoft Defender for Endpoint te definiëren.
- De omgevingsinstellingen van Microsoft Defender for Endpoint te configureren.
- Regels voor Attack Surface Reduction in te stellen op Windows 10-apparaten.
- Meldingen te onderzoeken in Microsoft Defender for Endpoint.
- De forensische informatie die door Microsoft Defender for Endpoint van apparaten wordt verzameld, te beschrijven.
- Forensische gegevensverzameling uit te voeren met Microsoft Defender for Endpoint.
- Gebruikersaccounts te onderzoeken in Microsoft Defender for Endpoint.
- Automatiseringsinstellingen te beheren in Microsoft Defender for Endpoint.
- Indicatoren te beheren in Microsoft Defender for Endpoint.
- Threat and Vulnerability Management in Microsoft Defender for Endpoint te beschrijven.
Module 2: Bedreigingen beperken met Microsoft 365 DefenderAnalyseer bedreigingsgegevens over verschillende domeinen en herstel bedreigingen snel met ingebouwde orkestratie en automatisering in Microsoft 365 Defender. Leer over cybersecurity bedreigingen en hoe de nieuwe beschermingshulpmiddelen van Microsoft de gebruikers, apparaten en gegevens van jouw organisatie beveiligen. Maak gebruik van geavanceerde detectie en herstel van identiteitsgebaseerde bedreigingen om jouw Azure Active Directory-identiteiten en applicaties te beschermen tegen compromittering.Lessen:
- Introductie tot bedreigingsbescherming met Microsoft 365
- Beperk incidenten met Microsoft 365 Defender
- Bescherm je identiteiten met Azure AD Identity Protection
- Herstel risico’s met Microsoft Defender for Office 365
- Beveilig je omgeving met Microsoft Defender for Identity
- Beveilig je cloud-apps en -diensten met Microsoft Cloud App Security
- Reageer op dataverliespreventiemeldingen met Microsoft 365
- Beheer insider risico’s in Microsoft 365
Lab: Bedreigingen beperken met Microsoft 365 Defender
- Beperk aanvallen met Microsoft 365 Defender
Na het voltooien van deze module zullen studenten in staat zijn om:
- Uit te leggen hoe het dreigingslandschap zich ontwikkelt.
- Incidenten te beheren in Microsoft 365 Defender.
- Geavanceerde hunting uit te voeren in Microsoft 365 Defender.
- De onderzoeks- en herstelmogelijkheden van Azure Active Directory Identity Protection te beschrijven.
- De mogelijkheden van Microsoft Defender for Endpoint te definiëren.
- Uit te leggen hoe Microsoft Defender for Endpoint risico’s in hun omgeving kan beperken.
- Het Cloud App Security-framework te definiëren.
- Uit te leggen hoe Cloud Discovery inzicht biedt in de activiteiten binnen hun organisatie.
Module 3: Bedreigingen beperken met Azure DefenderGebruik Azure Defender, geïntegreerd met Azure Security Center, voor de bescherming en beveiliging van Azure, hybride cloud en on-premises workloads. Leer het doel van Azure Defender, de relatie van Azure Defender met Azure Security Center en hoe je Azure Defender kunt inschakelen. Je leert ook over de bescherming en detecties die Azure Defender biedt voor elke cloudworkload. Krijg inzicht in hoe je Azure Defender-functionaliteiten kunt integreren in je hybride omgeving.Lessen
- Plan for cloud workload protections using Azure Defender
- Explain cloud workload protections in Azure Defender
- Connect Azure assets to Azure Defender
- Connect non-Azure resources to Azure Defender
- Remediate security alerts using Azure Defender
Lab: Bedreigingen beperken met Microsoft 365 Defender
- Implementeer Azure DefenderBeperk aanvallen met Azure Defender
Na het voltooien van deze module zullen cursisten in staat zijn om:
- De functies van Azure Defender te beschrijven
- Uit te leggen welke functies Azure Security Center biedt
- Te verduidelijken welke workloads door Azure Defender worden beschermd
- Uit te leggen hoe de beveiligingen van Azure Defender werken
- Auto-provisioning in Azure Defender te configureren
- Handmatige provisioning in Azure Defender te beschrijven
- Niet-Azure machines te verbinden met Azure Defender
- Waarschuwingen in Azure Defender te beschrijven
- Waarschuwingen in Azure Defender te verhelpen
- Reacties te automatiseren in Azure Defender
Module 4: Maak queries voor Azure Sentinel met behulp van Kusto Query Language (KQL)
Schrijf Kusto Query Language (KQL) uitspraken om loggegevens te queryen voor detectie, analyse en rapportage in Azure Sentinel. In deze module ligt de nadruk op de meest gebruikte operatoren. Voorbeelden van KQL-uitspraken zullen beveiligingsgerelateerde tabelqueries demonstreren. KQL is de querytaal die wordt gebruikt om gegevens te analyseren, analytics te creëren, workbooks te maken en threat hunting uit te voeren in Azure Sentinel. Begrijp hoe de basisstructuur van een KQL-verklaring de basis vormt voor het opbouwen van complexere uitspraken. Gebruik KQL-uitspraken om gegevens samen te vatten en te visualiseren, wat essentieel is voor het bouwen van detecties in Azure Sentinel. Maak gebruik van Kusto Query Language (KQL) om tekenreeksen te manipuleren die uit logbronnen zijn verzameld.
Lessen
- Bouw KQL-uitspraken voor Azure Sentinel
- Analyseer queryresultaten met KQL
- Maak multi-tabel uitspraken met KQL
- Werk met data in Azure Sentinel met behulp van Kusto Query Language
Lab: Maak queries voor Azure Sentinel met behulp van Kusto Query Language (KQL)
- Bouw basis KQL-uitspraken
- Analyseer queryresultaten met KQL
- Maak multi-tabel uitspraken met KQL
- Werk met tekenreeksgegevens met behulp van KQL-uitspraken
Na het voltooien van deze module zullen cursisten in staat zijn om:
- KQL-uitspraken te bouwen
- Logbestanden te doorzoeken naar beveiligingsevenementen met KQL
- Zoekopdrachten te filteren op basis van tijdstip, ernst, domein en andere relevante gegevens met KQL
- Gegevens samen te vatten met KQL-uitspraken
- Visualisaties te maken met KQL-uitspraken
- Gegevens uit ongestructureerde tekenreeksvelden te extraheren met KQL
- Gegevens uit gestructureerde tekenreeksvelden te extraheren met KQL
- Functies te creëren met KQL
Module 5: Configure your Azure Sentinel environment
Get started with Azure Sentinel by properly configuring the Azure Sentinel workspace. Traditional security information and event management (SIEM) systems typically take a long time to set up and configure. They’re also not necessarily designed with cloud workloads in mind. Azure Sentinel enables you to start getting valuable security insights from your cloud and on-premises data quickly. This module helps you get started. Learn about the architecture of Azure Sentinel workspaces to ensure you configure your system to meet your organization’s security operations requirements. As a Security Operations Analyst, you must understand the tables, fields, and data ingested in your workspace. Learn how to query the most used data tables in Azure Sentinel.
Lessons
- Introduction to Azure Sentinel
- Create and manage Azure Sentinel workspaces
- Query logs in Azure Sentinel
- Use watchlists in Azure Sentinel
- Utilize threat intelligence in Azure Sentinel
Lab : Configure your Azure Sentinel environment
- Create an Azure Sentinel Workspace
- Create a Watchlist
- Create a Threat Indicator
After completing this module, students will be able to:
- Identify the various components and functionality of Azure Sentinel.
- Identify use cases where Azure Sentinel would be a good solution.
- Describe Azure Sentinel workspace architecture
- Install Azure Sentinel workspace
- Manage an Azure Sentinel workspace
- Create a watchlist in Azure Sentinel
- Use KQL to access the watchlist in Azure Sentinel
- Manage threat indicators in Azure Sentinel
- Use KQL to access threat indicators in Azure Sentinel
Module 6: Connect logs to Azure Sentinel
Connect data at cloud scale across all users, devices, applications, and infrastructure, both on-premises and in multiple clouds to Azure Sentinel. The primary approach to connect log data is using the Azure Sentinel provided data connectors. This module provides an overview of the available data connectors. You will get to learn about the configuration options and data provided by Azure Sentinel connectors for Microsoft 365 Defender.
Lessons
- Connect data to Azure Sentinel using data connectors
- Connect Microsoft services to Azure Sentinel
- Connect Microsoft 365 Defender to Azure Sentinel
- Connect Windows hosts to Azure Sentinel
- Connect Common Event Format logs to Azure Sentinel
- Connect syslog data sources to Azure Sentinel
- Connect threat indicators to Azure Sentinel
Lab : Connect logs to Azure Sentinel
- Connect Microsoft services to Azure Sentinel
- Connect Windows hosts to Azure Sentinel
- Connect Linux hosts to Azure Sentinel
- Connect Threat intelligence to Azure Sentinel
After completing this module, students will be able to:
- Explain the use of data connectors in Azure Sentinel
- Explain the Common Event Format and Syslog connector differences in Azure Sentinel
- Connect Microsoft service connectors
- Explain how connectors auto-create incidents in Azure Sentinel
- Activate the Microsoft 365 Defender connector in Azure Sentinel
- Connect Azure Windows Virtual Machines to Azure Sentinel
- Connect non-Azure Windows hosts to Azure Sentinel
- Configure Log Analytics agent to collect Sysmon events
- Explain the Common Event Format connector deployment options in Azure Sentinel
- Configure the TAXII connector in Azure Sentinel
- View threat indicators in Azure Sentinel
Module 7: Create detections and perform investigations using Azure Sentinel
Detect previously uncovered threats and rapidly remediate threats with built-in orchestration and automation in Azure Sentinel. You will learn how to create Azure Sentinel playbooks to respond to security threats. You’ll investigate Azure Sentinel incident management, learn about Azure Sentinel events and entities, and discover ways to resolve incidents. You will also learn how to query, visualize, and monitor data in Azure Sentinel.
Lessons
- Threat detection with Azure Sentinel analytics
- Threat response with Azure Sentinel playbooks
- Security incident management in Azure Sentinel
- Use entity behavior analytics in Azure Sentinel
- Query, visualize, and monitor data in Azure Sentinel
Lab : Create detections and perform investigations using Azure Sentinel
- Create Analytical Rules
- Model Attacks to Define Rule Logic
- Mitigate Attacks using Azure Sentinel
- Create Workbooks in Azure Sentinel
After completing this module, students will be able to:
- Explain the importance of Azure Sentinel Analytics.
- Create rules from templates.
- Manage rules with modifications.
- Explain Azure Sentinel SOAR capabilities.
- Create a playbook to automate an incident response.
- Investigate and manage incident resolution.
- Explain User and Entity Behavior Analytics in Azure Sentinel
- Explore entities in Azure Sentinel
- Visualize security data using Azure Sentinel Workbooks.
Module 8: Perform threat hunting in Azure Sentinel
In this module, you’ll learn to proactively identify threat behaviors by using Azure Sentinel queries. You’ll also learn to use bookmarks and livestream to hunt threats. You will also learn how to use notebooks in Azure Sentinel for advanced hunting.
Lessons
- Threat hunting with Azure Sentinel
- Hunt for threats using notebooks in Azure Sentinel
Lab : Threat hunting in Azure Sentinel
- Threat Hunting in Azure Sentinel
- Threat Hunting using Notebooks
After completing this module, students will be able to:
- Describe threat hunting concepts for use with Azure Sentinel
- Define a threat hunting hypothesis for use in Azure Sentinel
- Use queries to hunt for threats.
- Observe threats over time with livestream.
- Explore API libraries for advanced threat hunting in Azure Sentinel
- Create and use notebooks in Azure Sentinel
In de klas, online of beiden.
Active Learning
Je maakt samen met je trainer een plan en gaat actief aan de slag. In een kleine klas verdiepen in wat je echt nodig hebt, inzoomen op zaken die je echt interesseren en overslaan wat je al weet of niet nodig hebt. Plan je lesdagen flexibel, neem real-life casussen mee en werk ze uit met je trainer. Verrijk je kennis en verbind het met alles wat je al wist.
E-Learning
Ben je op zoek naar volledige zelfstudie? Wij bieden je de mogelijkheid om jouw training volledig in jouw eigen tijd te volgen. Uiteraard met het officiële lesmateriaal waarmee je de juiste kennis opdoet.
Wil je toch graag een dag persoonlijke begeleiding? Dan kan je altijd een extra lesdag bij boeken en de training als blended learning volgen!
Incompany
Wist jij dat alle IT trainingen die we aanbieden op de website ook bij jouw bedrijf uitgevoerd kunnen worden? Zo volg je een maatwerk IT training (Incompany training) met al je collega’s. Jij kunt de training nog specifieker voor jouw bedrijf laten inrichten en het is zelfs mogelijk om een geheel maatwerk traject door ons te laten ontwerpen.
Je bespaart reiskosten en reistijd voor de deelnemers, doordat onze trainer bij jou op locatie komt. Op deze manier kun je meerdere deelnemers van jouw organisatie dezelfde training laten volgen. Dat is efficiënt en effectief! Samen heb je een gemeenschappelijke opleidingsbehoefte en daar gaan we je bij helpen.
We hebben jarenlang ervaring in het geven van maatwerk it trainingen. We kijken zorgvuldig naar de opleidingsbehoefte om volledig aan te sluiten bij je wensen. Zo formuleren we haalbare en concrete doelstellingen en deelnemers kunnen het geleerde in de praktijk toepassen. Op deze manier groeien deelnemers persoonlijk en professioneel op meerdere niveaus.
Bij de SC-200 training leer je hoe je met tools als Microsoft 365 Defender en Azure Sentinel problemen in computerbeveiliging opspoort en oplost. Je oefent met het instellen van deze programma’s en leert hoe je snel kunt reageren als er iets misgaat met de beveiliging. Het gaat vooral om het herkennen van veiligheidsrisico’s en het automatisch aanpakken ervan
Voor de SC-200 training is het handig om een basis te hebben van Microsoft 365 en enige ervaring met beveiligingsconcepten en -technologieën. Kennis van Azure-diensten, zoals Azure SQL Database en Azure Storage, is ook nuttig. Het is ideaal als je al bekend bent met de basis van scripten en al enig begrip hebt van netwerk- en IT-beveiliging.
Bij Master IT duurt de SC-200 4 dagen volgens de Active Learning lesmethode.