SC-200 : Associé analyste des opérations de sécurité Microsoft

Cours SC-200 : Analyste des opérations de sécurité Microsoft

Apprenez à identifier, détecter et contrer les menaces à l'aide de Microsoft Sentinel, Microsoft Defender pour le cloud et Microsoft 365 Defender . Ce cours vous apprendra à atténuer les cybermenaces grâce à ces technologies. Plus précisément, vous configurerez et utiliserez Microsoft Sentinel , ainsi que le langage de requête Kusto (KQL) , pour la détection, l'analyse et la génération de rapports. Ce cours est conçu pour les professionnels de la sécurité des opérations et prépare les étudiants à l' examen SC-200 : Analyste des opérations de sécurité Microsoft.

Formation en ligne avec examen de certification gratuit. Ne ratez pas cette opportunité ! L’examen, d’une valeur de 126 € HT, est inclus sans frais supplémentaires.

Offre valable jusqu'au 30 juin 2026. Examen unique disponible uniquement en format virtuel (e-learning). Non applicable au format d'autoformation.

Niveau : Intermédiaire - Produit : Microsoft Azure 365 - Rôle : Ingénieur en sécurité, Analyste des opérations de sécurité

Cours destiné à

Le rôle d'analyste des opérations de sécurité chez Microsoft consiste à collaborer avec les parties prenantes de l'organisation afin de protéger ses systèmes informatiques. Son objectif est de réduire les risques organisationnels en neutralisant rapidement les attaques actives, en proposant des améliorations aux procédures de protection contre les menaces et en communiquant les violations des politiques de l'organisation aux parties prenantes concernées. Ses responsabilités incluent la gestion et la surveillance des menaces, ainsi que la réponse à ces menaces à l'aide de diverses solutions de sécurité. Ce rôle est principalement axé sur l'investigation, la détection et la neutralisation des menaces à l'aide de Microsoft Sentinel, Microsoft Defender for Cloud, Microsoft 365 Defender et de produits de sécurité tiers. L'analyste des opérations de sécurité étant l'utilisateur principal des résultats opérationnels de ces outils, il joue également un rôle clé dans la configuration et la mise en œuvre de ces technologies.

Objectifs du cours

• Enquêter sur les menaces et les atténuer : vous apprendrez à utiliser des outils tels que Microsoft Sentinel, Microsoft Defender XDR et Microsoft Defender for Cloud pour enquêter sur les menaces, les rechercher et y répondre.
  
• Configurer et gérer Microsoft Sentinel : vous configurerez votre environnement dans Microsoft Sentinel, gérerez les connexions au registre et créerez des requêtes à l’aide du langage de requête Kusto (KQL).
  
• Gestion de l'atténuation des menaces : vous utiliserez Microsoft Defender XDR, Microsoft Purview et Microsoft Defender for Endpoint pour gérer l'atténuation des menaces.
  
• Chasse aux menaces : Vous effectuerez une chasse aux menaces avancée en utilisant le renseignement sur les menaces et KQL pour la détection, l'analyse et le reporting.

Éléments de la formation SC-200

• SC-200 : Atténuation des menaces à l’aide de Microsoft Defender XDR (6 modules)
• SC-200 : Atténuer les menaces à l’aide de Microsoft Security Copilot (5 modules)
• SC-200 : Atténuation des menaces avec Microsoft Purview (4 modules)
• SC-200 : Atténuation des menaces avec Microsoft Defender pour Endpoint (9 modules)
• SC-200 : Atténuation des menaces avec Microsoft Defender pour le cloud (6 modules)
• SC-200 : Création de requêtes pour Microsoft Sentinel à l’aide du langage de requête Kusto (KQL) (4 modules)
• SC-200 : Configuration de l’environnement Microsoft Sentinel (6 modules)
• SC-200 : Connexion des journaux à Microsoft Sentinel (7 modules)
• SC-200 : Création de détections et réalisation d’enquêtes à l’aide de Microsoft Sentinel (8 modules)
• SC-200 : Recherche de menaces dans Microsoft Sentinel (4 modules)

Contenu du cours SC-200 : Introduction à l’analyse des opérations de sécurité Microsoft

Module 1 : Atténuation des menaces avec Microsoft Defender XDR

Objectifs du module :

• Microsoft Defender XDR : Microsoft Defender XDR est une solution qui permet d’atténuer les menaces et les risques grâce à divers outils et fonctionnalités.
  
• Recherche sur les menaces : Microsoft Defender XDR fournit des outils pour la recherche sur les menaces, notamment l’API Microsoft Security Graph et des fonctionnalités de recherche avancées.
  
• Gestion des incidents : Microsoft Defender XDR permet la gestion des incidents, notamment la terminaison automatique des attaques et l’analyse des alertes.
  
• Protection Office 365 : Microsoft Defender pour Office 365 offre des fonctionnalités permettant de filtrer, de simuler des attaques et de corriger les risques.
  
• Protection de l'identité : Microsoft Defender for Identity et Entra ID Protection fournissent des outils pour protéger les identités, détecter les risques et corriger les menaces.
  

Leçons :

• Description de la protection contre les menaces avec Microsoft Defender XDR
• Atténuer les incidents avec Microsoft Defender XDR
  
• Atténuation des risques avec Defender pour Office 365 dans Microsoft Defender XDR
  
• Microsoft Defender pour l'identité dans Microsoft Defender XDR
  
• Protection d'identité avec Entra ID Protection
  
• Defender pour les applications cloud dans Microsoft Defender XDR
  
• Laboratoires de cours :
  • TP 1 : Atténuation des menaces avec Microsoft Defender XDR

Module 2 : Introduction à Microsoft Security Copilot

Objectifs du module :

• Comment décrire Microsoft Copilot dans Microsoft Defender XDR
  
• Comment décrire Microsoft Copilot dans Microsoft Purview
  
• Comment décrire Microsoft Copilot sur la page de connexion Microsoft ?

Leçons :

• Aspects fondamentaux de l'IA générative
  
• Présentation de la sécurité de Microsoft Copilot
  
• Description des principales fonctionnalités de sécurité de Microsoft Copilot
  
• Description des expériences de sécurité intégrées de Microsoft Copilot
  

Module 3 : Atténuation des menaces avec Microsoft Purview

Objectifs du module :

• Microsoft Purview : Microsoft Purview fournit des solutions de conformité pour atténuer les menaces
  
• Recherche de contenu : La recherche de contenu est une fonctionnalité clé du Centre de conformité Microsoft 365 permettant d’effectuer des recherches rapides dans tout le contenu.
  
• Solutions d'audit : Microsoft Purview propose deux solutions d'audit : Audit (Standard) et Audit (Premium).
  
• Audit (standard) : L'audit (standard) est activé par défaut et permet d'enregistrer et de rechercher les activités auditées.
  
• Audit Premium : L’audit Premium s’appuie sur l’audit standard en fournissant des fonctionnalités d’audit avancées.
  

Leçons :

• Solutions de conformité Microsoft Purview
• Investigation et correction des entités compromises identifiées par les politiques de prévention des pertes de données (DLP) de Microsoft Purview
  
• Investigation et correction des menaces internes identifiées par les politiques Microsoft Purview
  
• Recherche de menaces à l'aide de la recherche de contenu dans Microsoft Purview
  
• Enquête sur les menaces à l'aide de l'audit standard Microsoft Purview
  
• Enquête sur les menaces à l'aide de Microsoft Purview Premium Audit
  

Module 4 : Atténuation des menaces avec Microsoft Defender pour Endpoint

Objectifs du module :

• Defender for Endpoint : Microsoft Defender for Endpoint est une plateforme conçue pour aider les réseaux d’entreprise à prévenir, détecter, analyser et contrer les menaces avancées sur leurs terminaux.
  
• Gestion des menaces : Defender for Endpoint offre des détections d’attaques avancées, quasi en temps réel et exploitables.
  Intégration des appareils : Les appareils peuvent être surveillés par
• Microsoft Defender for Endpoint via le portail Defender for Endpoint.
  
• Réduction de la surface d'attaque : des règles de réduction de la surface d'attaque peuvent être activées sur les appareils Windows afin de réduire cette dernière.
  
• Gestion des vulnérabilités : Defender Vulnerability Management utilise des scanners intégrés sans agent pour surveiller et détecter en permanence les risques au sein de votre organisation, même lorsque les appareils ne sont pas connectés au réseau de l’entreprise.
  

Leçons :

• Protection contre les menaces avec Microsoft Defender pour Endpoint
  
• Mise en œuvre de l'environnement Microsoft Defender pour le point de terminaison
  
• Mise en œuvre des améliorations de sécurité Windows
  
• Réaliser des recherches sur les dispositifs
  
• Effectuer des actions sur un appareil
  
• Réaliser des enquêtes sur les tests et les entités
  
• Configuration et gestion de l'automatisation
  
• Paramètres des alertes et des détections
  
• Utilisation de la gestion des menaces et des vulnérabilités
• Laboratoire du module :
  • TP 01 : Atténuation des menaces avec Microsoft Defender pour Endpoint

Module 5 : Atténuation des menaces avec Microsoft Defender pour le cloud

Objectifs du cours :

• Defender for Cloud : Microsoft Defender for Cloud est une solution d’opérations de sécurité de développement (DevSecOps) qui unifie la gestion de la sécurité au niveau du code dans des environnements multicloud et sur plusieurs pipelines.
  
• Sécurité du cloud : Microsoft Defender for Cloud offre une gestion de la posture de sécurité du cloud (CSPM) et une plateforme de protection des charges de travail cloud (CWPP).
  
• Protection des charges de travail : Microsoft Defender for Cloud offre une protection des charges de travail pour les serveurs, les conteneurs, le stockage, les bases de données et autres charges de travail.
  
• Protection contre le cloud hybride : Microsoft Defender for Cloud peut protéger les environnements de cloud hybride, y compris les machines non Azure et les comptes AWS et GCP.
  
• Correction d'alerte : Microsoft Defender for Cloud propose des tâches pratiques pour atténuer les menaces, prévenir les futures attaques et déclencher des réponses automatisées.
  

Leçons :

• Explication des protections des charges de travail cloud dans Microsoft Defender pour le cloud
  
• Connexion des ressources Azure à Microsoft Defender pour le cloud
  
• Connexion des ressources non Azure à Microsoft Defender pour le cloud
  
• Gestion des positions de sécurité du cloud
  
• Protection des charges de travail dans le cloud avec Microsoft Defender
  
• Correction des alertes de sécurité à l'aide de Microsoft Defender pour le cloud
  
• Laboratoire du module :
  • TP 01 : Atténuation des menaces avec Microsoft Defender pour le cloud

Module 6 : Création de requêtes pour Microsoft Sentinel à l’aide du langage de requête Kusto (KQL)

Objectifs du module :

• Instructions KQL : Instructions de création de requêtes KQL pour Microsoft Sentinel
  
• Opérateurs KQL : Utilisez les opérateurs KQL tels que summarize, render, union, join et extend
  
• Extraction de données KQL : extraction de données à partir de champs de chaînes de caractères structurés et non structurés à l’aide de KQL
  
• Fonctions KQL : Création de fonctions et d’analyseurs syntaxiques avec KQL
  
• TP KQL : Exercices pratiques de création de requêtes pour Microsoft Sentinel à l’aide de KQL
  

Leçons :

• Instructions de création de KQL pour Microsoft Sentinel
  
• Utilisation de KQL pour analyser les résultats de requêtes
  
• Utilisation de KQL pour créer des requêtes multi-tables
  
• Je travaille avec des données de type chaîne de caractères en utilisant les instructions KQL.
  
• Laboratoires du module :
  • TP 01 : Création de requêtes pour Microsoft Sentinel à l’aide du langage de requête Kusto (KQL)

Module 7 : Configuration de l’environnement Microsoft Sentinel

Objectifs du module :

• Microsoft Sentinel : Microsoft Sentinel est une solution évolutive native du cloud qui fournit la gestion des informations et des événements de sécurité (SIEM) ainsi que l’orchestration, l’automatisation et la réponse de sécurité (SOAR).
  
• Composants de Sentinel : Microsoft Sentinel comprend plusieurs composants, notamment des connecteurs de données, des analyseurs, des classeurs, des règles analytiques, des requêtes de recherche, des blocs-notes, des incidents et des enquêtes, des blocs-notes de stratégie d’automatisation, ainsi que des connecteurs et des listes de surveillance Azure Logic Apps personnalisés.
  
• Utilisation de Sentinel : Microsoft Sentinel est une solution permettant d’effectuer des opérations de sécurité dans les environnements sur site et cloud. Elle permet de collecter des données d’événements provenant de diverses sources et d’effectuer des opérations de sécurité sur ces données afin d’identifier les activités suspectes.
  
• Listes de surveillance Sentinel : les listes de surveillance Microsoft Sentinel peuvent être utilisées pour enquêter sur les menaces, réagir rapidement aux incidents, importer des données d’entreprise, réduire la fatigue liée aux alertes et enrichir les données d’événements.
  
• Renseignements sur les menaces : Microsoft Sentinel vous permet de gérer les indicateurs de menaces, de les afficher, de les trier, de les filtrer et de les rechercher, ainsi que d’effectuer des tâches administratives quotidiennes liées aux renseignements sur les menaces.
  

Leçons :

• Introduction à Microsoft Sentinel
  
• Création et gestion des espaces de travail Microsoft Sentinel
  
• Journaux de requêtes dans Microsoft Sentinel
  
• Utilisation des listes de surveillance dans Microsoft Sentinel
  
• Utilisation des renseignements sur les menaces dans Microsoft Sentinel
  
• La plateforme unifiée des opérations de sécurité
  
• Laboratoire du module :
  • TP 1 : Configuration de l’environnement Microsoft Sentinel

Module 8 : Connexion des journaux à Microsoft Sentinel

Objectifs du module :

• Connecteurs Sentinel : Microsoft Sentinel fournit plusieurs connecteurs de données pour relier les journaux et les sources de données.
  
• Solutions pour centres de contenu : Les solutions pour centres de contenu comprennent des connecteurs de données, des analyseurs, des livres, des règles d’analyse, des requêtes de recherche, des blocs-notes, des listes de surveillance et des blocs-notes stratégiques.
  
• Règles de collecte de données : Les règles de collecte de données (RCD) sont utilisées pour gérer la configuration de la collecte à grande échelle, améliorer la sécurité et les performances, et réduire les coûts.
  
• Renseignements sur les menaces : La solution Threat Intelligence Content Center fournit des connecteurs pour la plateforme TAXII, Microsoft Defender Threat Intelligence et Threat Intelligence.
  
• Microsoft Defender : Microsoft Sentinel fournit des connecteurs intégrés pour les solutions Microsoft Defender, telles que Microsoft Defender XDR, Microsoft Defender for Cloud et Microsoft Defender for IoT.
  

Leçons :

• Gestion de contenu dans Microsoft Sentinel
  
• Connexion des données à Microsoft Sentinel à l'aide de connecteurs de données
  
• Connexion des services Microsoft à Microsoft Sentinel
  
• Connexion de Microsoft Defender XDR à Microsoft Sentinel
  
• Connexion des hôtes Windows à Microsoft Sentinel
  
• Connexion des journaux d'événements au format commun à Microsoft Sentinel
  
• Connexion des sources de données Syslog à Microsoft Sentinel
  
• Connexion des indicateurs de menaces à Microsoft Sentinel
  
• Laboratoire du module :
  • TP 01 : Connexion des journaux à Microsoft Sentinel

Module 9 : Création de détections et réalisation d’enquêtes avec Microsoft Sentinel

Objectifs du module :

• Règles d'analyse : Microsoft Sentinel Analytics analyse les données provenant de sources multiples afin d'identifier les corrélations et les anomalies. Il propose également plusieurs types de règles d'analyse.
  
• Automatisation : Microsoft Sentinel propose des options d’automatisation telles que des règles d’automatisation et des blocs-notes de stratégie pour automatiser la gestion des incidents.
  
• Gestion des incidents : Microsoft Sentinel offre des fonctionnalités de gestion des incidents, notamment la gestion des tests et des entités, ainsi que l’investigation et la résolution des incidents.
  
• Normalisation des données : Microsoft Sentinel offre des fonctionnalités de normalisation des données, notamment l’utilisation d’analyseurs ASIM et de fonctions KQL paramétrées.
  

Leçons

• Détection des menaces avec l'analyse Microsoft Sentinel
  
• Automatisation dans Microsoft Sentinel
  
• Répondre aux menaces avec les carnets de stratégie Microsoft Sentinel
  
• Gestion des incidents de sécurité dans Microsoft Sentinel
  
• Analyse du comportement des entités dans Microsoft Sentinel
  
• Normalisation des données dans Microsoft Sentinel
  
• Interrogation, visualisation et surveillance des données dans Microsoft Sentinel
• Laboratoire du module :
  • TP 01 : Création de détections et réalisation d’enquêtes avec Microsoft Sentinel

Module 10 : Exécution d’une analyse des menaces dans Microsoft Sentinel

Objectifs du module :

• Chasse aux menaces : découvrez comment effectuer une chasse aux menaces dans Microsoft Sentinel à l’aide de requêtes, de signets, de flux en direct et de MITRE ATT&CK.
  
• Outils de recherche : utilisez des outils tels que les blocs-notes, la recherche de tâches et des outils externes pour rechercher des menaces dans Microsoft Sentinel.
  
• Hypothèse de recherche de menaces : Élaborer une hypothèse de recherche de menaces qui soit faisable, de portée limitée, limitée dans le temps, utile, efficace et liée au modèle de menaces.
  

Leçons

• Explication des concepts de détection des menaces dans Microsoft Sentinel
  
• Analyse des menaces avec Microsoft Sentinel
  
• Utilisation de la recherche d'emplois dans Microsoft Sentinel
  
• Facultatif : analyse des menaces à l’aide de blocs-notes dans Microsoft Sentinel
  
• Laboratoire du module :
  • TP 1 : Recherche de menaces dans Microsoft Sentinel

Prérequis

• Connaissances de base de Microsoft Defender
• Connaissances de base des produits Microsoft en matière d'identité, de conformité et de sécurité
• Connaissances intermédiaires de Windows 11, Linux et Windows Server
• Familiarisez-vous avec les portails et services Microsoft Azure et Microsoft Defender.
• Familiarisez-vous avec Azure Monitoring et Azure Log Analytics.
• Familiarisez-vous avec les machines virtuelles Azure.
• Connaissances de base des concepts de script
  

Langue

• Cours : Anglais / Espagnol
• Laboratoires : anglais / espagnol

Certification Microsoft Associate : Analyste des opérations de sécurité associé

Certifié Microsoft : Analyste associé des opérations de sécurité

Gérer les environnements d'opérations de sécurité. Configurer les protections et les détections. Gérer les réponses aux incidents. Effectuer la recherche de menaces.

Niveau : Intermédiaire
Rôle : Ingénieur en sécurité, analyste des opérations de sécurité
Produit : Azure, Microsoft 365
Sujet : Sécurité

Certification Microsoft associée : Expert en architecture de cybersécurité

Satisfaire à une condition préalable :

• Certifié Microsoft : Ingénieur en sécurité Azure associé (AZ-500 Technologies de sécurité Microsoft Azure)
• Certifié Microsoft : Administrateur associé d’identité et d’accès (SC-300 : Administrateur d’identité et d’accès Microsoft)
• Certifié Microsoft : Analyste associé des opérations de sécurité (SC-200 : Analyste associé des opérations de sécurité Microsoft)

Passer un examen :

• Architecte en cybersécurité Microsoft (SC-100 : Architecte en cybersécurité Microsoft)

Obtenir une certification :

• Expert en architecture de cybersécurité certifié Microsoft