SC-200 : Associé analyste des opérations de sécurité Microsoft

Cours SC-200 : Introduction à Microsoft Security Operations Analyst

Découvrez comment enquêter, rechercher et répondre aux menaces à l’aide de Microsoft Sentinel, Microsoft Defender for Cloud et Microsoft 365 Defender . Dans ce cours, vous apprendrez à atténuer les cybermenaces à l’aide de ces technologies. Plus précisément, vous configurerez et utiliserez Microsoft Sentinel , ainsi que le langage de requête Kusto (KQL) , pour effectuer la détection, l'analyse et la création de rapports. Le cours est conçu pour les personnes occupant des postes dans le domaine des opérations de sécurité et aide à préparer les étudiants à l' examen SC-200 : Microsoft Security Operations Analyst.

Le cours comprend un examen de certification pour une opportunité de cadeau bonus virtuel ! *Promotion valable jusqu'au 31 août, uniquement pour les clients en Espagne. Non applicable en mode auto-apprentissage

Cours destiné à

Le rôle d'analyste des opérations de sécurité Microsoft collabore avec les parties prenantes de l'organisation pour protéger les systèmes informatiques de l'organisation. Son objectif est de réduire les risques organisationnels en corrigeant rapidement les attaques actives dans l’environnement, en conseillant sur les améliorations des procédures de protection contre les menaces et en communiquant les violations de la politique organisationnelle aux parties prenantes concernées. Leurs responsabilités incluent la gestion et la surveillance des menaces et la réponse à celles-ci au moyen de diverses solutions de sécurité dans l’environnement. Le rôle est principalement chargé d'enquêter, de détecter et de répondre aux menaces à l'aide de Microsoft Sentinel, Microsoft Defender for Cloud, Microsoft 365 Defender et de produits de sécurité tiers. Étant donné que l’analyste des opérations de sécurité est celui qui utilisera les résultats opérationnels de ces outils, il est également un acteur clé dans la configuration et la mise en œuvre de ces technologies.

Objectifs du cours

• Enquêter et atténuer les menaces : vous apprendrez à utiliser des outils tels que Microsoft Sentinel, Microsoft Defender XDR et Microsoft Defender for Cloud pour enquêter, rechercher et répondre aux menaces.
  
• Configurer et gérer Microsoft Sentinel : vous configurerez votre environnement dans Microsoft Sentinel, gérerez les connexions aux journaux et créerez des requêtes à l'aide de Kusto Query Language (KQL).
  
• Gérer l’atténuation des menaces : vous utiliserez Microsoft Defender XDR, Microsoft Purview et Microsoft Defender for Endpoint pour gérer l’atténuation des menaces.
  
• Chasse aux menaces : vous effectuerez une chasse aux menaces avancée à l'aide de renseignements sur les menaces et de KQL pour la détection, l'analyse et la création de rapports.

Éléments de la formation SC-200

• SC-200 : Atténuation des menaces grâce à Microsoft Defender XDR (6 modules)
• SC-200 : Atténuation des menaces grâce à Microsoft Security Copilot (5 modules)
• SC-200 : Atténuation des menaces avec Microsoft Purview (4 modules)
• SC-200 : Atténuation des menaces avec Microsoft Defender pour Endpoint (9 modules)
• SC-200 : Atténuation des menaces avec Microsoft Defender pour le Cloud (6 modules)
• SC-200 : Création de requêtes pour Microsoft Sentinel à l'aide du langage de requête Kusto (KQL) (4 modules)
• SC-200 : Configuration de l'environnement Microsoft Sentinel (6 modules)
• SC-200 : Connexion des journaux à Microsoft Sentinel (7 modules)
• SC-200 : Création de détections et conduite d'enquêtes avec Microsoft Sentinel (8 modules)
• SC-200 : Chasse aux menaces dans Microsoft Sentinel (4 modules)

Contenu du cours SC-200

Module 1 : Atténuation des menaces avec Microsoft Defender XDR

Objectifs du module :

• Microsoft Defender XDR : Microsoft Defender XDR est une solution qui permet d’atténuer les menaces et les risques grâce à une variété d’outils et de fonctionnalités.
  
• Recherche sur les menaces : Microsoft Defender XDR fournit des outils de recherche sur les menaces, notamment l’API Microsoft Security Graph et des fonctionnalités de recherche avancées.
  
• Gestion des incidents : Microsoft Defender XDR permet la gestion des incidents, y compris la fin automatique des attaques et l’enquête sur les alertes.
  
• Protection Office 365 : Microsoft Defender pour Office 365 offre des fonctionnalités permettant de filtrer, de simuler des attaques et de remédier aux risques
  
• Protection de l’identité : Microsoft Defender for Identity et Entra ID Protection fournissent des outils pour protéger les identités, détecter les risques et remédier aux menaces.
  

Leçons:

• Présentation de la protection contre les menaces avec Microsoft Defender XDR
• Atténuation des incidents avec Microsoft Defender XDR
  
• Correction des risques avec Defender pour Office 365 dans Microsoft Defender XDR
  
• Microsoft Defender pour l'identité dans Microsoft Defender XDR
  
• Protection de l'identité avec Entra ID Protection
  
• Défenseur pour les applications Cloud dans Microsoft Defender XDR
  
• Laboratoires du cours :
  • Atelier 01 : Atténuation des menaces avec Microsoft Defender XDR

Module 2 : Introduction à Microsoft Security Copilot

Objectifs du module :

• Comment décrire Microsoft Copilot dans Microsoft Defender XDR
  
• Comment décrire Microsoft Copilot dans Microsoft Purview
  
• Comment décrire Microsoft Copilot dans Microsoft Enter

Leçons :

• Fondamentaux de l'IA générative
  
• Présentation de la sécurité de Microsoft Copilot
  
• Présentation des principales fonctionnalités de Microsoft Copilot Security
  
• Présentation des expériences intégrées de sécurité Microsoft Copilot
  

Module 3 : Atténuation des menaces avec Microsoft Purview

Objectifs du module :

• Microsoft Purview : Microsoft Purview fournit des solutions de conformité pour atténuer les menaces
  
• Recherche de contenu : la recherche de contenu est une fonctionnalité clé du centre de conformité Microsoft 365 pour des recherches rapides dans tout le contenu.
  
• Solutions d'audit : Microsoft Purview propose deux solutions d'audit : Audit (Standard) et Audit (Premium)
  
• Audit (Standard) : L'audit (Standard) est activé par défaut et offre la possibilité de consigner et de rechercher les activités auditées.
  
• Audit Premium : L'audit Premium s'appuie sur l'audit standard en fournissant des capacités d'audit avancées.
  

Leçons :

• Solutions de conformité Microsoft Purview
• Enquête et correction des entités compromises identifiées par les politiques de prévention des pertes de données (DLP) de Microsoft Purview
  
• Enquête et correction des menaces internes identifiées par les politiques Microsoft Purview
  
• Enquête sur les menaces à l'aide de la recherche de contenu dans Microsoft Purview
  
• Enquête sur les menaces à l'aide de Microsoft Purview Standard Audit
  
• Enquête sur les menaces à l'aide de Microsoft Purview Premium Audit
  

Module 4 : Atténuation des menaces avec Microsoft Defender for Endpoint

Objectifs du module :

• Defender for Endpoint : Microsoft Defender for Endpoint est une plateforme conçue pour aider les réseaux d’entreprise à prévenir, détecter, enquêter et répondre aux menaces avancées sur leurs terminaux.
  
• Gestion des menaces : Defender for Endpoint fournit des détections d’attaques avancées, en temps quasi réel et exploitables.
  Intégration des appareils : les appareils peuvent être surveillés à l'aide
• Microsoft Defender pour Endpoint via le portail Defender pour Endpoint.
  
• Réduction de la surface d’attaque : les règles de réduction de la surface d’attaque peuvent être activées sur les appareils Windows pour réduire la surface d’attaque.
  
• Gestion des vulnérabilités : Defender Vulnerability Management utilise des scanners intégrés sans agent pour surveiller et détecter en permanence les risques dans votre organisation, même lorsque les appareils ne sont pas connectés au réseau de l'entreprise.
  

Leçons:

• Protection contre les menaces avec Microsoft Defender pour Endpoint
  
• Déploiement de l'environnement Microsoft Defender pour Endpoint
  
• Mise en œuvre des améliorations de sécurité Windows
  
• Réalisation de recherches sur les appareils
  
• Effectuer des actions sur un appareil
  
• Mener des enquêtes sur les preuves et les entités
  
• Mise en place et gestion de l'automatisation
  
• Paramètres des alertes et des détections
  
• Utilisation de la gestion des menaces et des vulnérabilités
• Module Laboratoire :
  • Laboratoire 01 : Atténuation des menaces avec Microsoft Defender pour Endpoint

Module 5 : Atténuation des menaces avec Microsoft Defender pour le Cloud

Objectifs du cours :

• Defender for Cloud : Microsoft Defender for Cloud est une solution d’opérations de sécurité de développement (DevSecOps) qui unifie la gestion de la sécurité au niveau du code dans les environnements multi-cloud et multi-pipelines.
  
• Sécurité du cloud : Microsoft Defender for Cloud propose une gestion de la posture de sécurité du cloud (CSPM) et une plateforme de protection de la charge de travail du cloud (CWPP).
  
• Protections de charge de travail : Microsoft Defender for Cloud fournit des protections de charge de travail pour les serveurs, les conteneurs, le stockage, les bases de données et d’autres charges de travail.
  
• Protection du cloud hybride : Microsoft Defender for Cloud peut protéger les environnements cloud hybrides, y compris les machines non Azure et les comptes AWS et GCP.
  
• Correction des alertes : Microsoft Defender for Cloud fournit des tâches pratiques pour atténuer les menaces, prévenir les attaques futures et déclencher des réponses automatisées
  

Leçons :

• Comprendre les protections des charges de travail cloud dans Microsoft Defender for Cloud
  
• Connexion des ressources Azure à Microsoft Defender pour le Cloud
  
• Connexion de ressources non Azure à Microsoft Defender pour Cloud
  
• Gérer votre posture de sécurité cloud
  
• Microsoft Defender pour la protection des charges de travail dans le cloud
  
• Correction des alertes de sécurité à l'aide de Microsoft Defender pour le Cloud
  
• Module Laboratoire :
  • Laboratoire 01 : Atténuation des menaces avec Microsoft Defender pour le cloud

Module 6 : Création de requêtes pour Microsoft Sentinel à l'aide du langage de requête Kusto (KQL)

Objectifs du module :

• Instructions KQL : création d'instructions KQL pour Microsoft Sentinel
  
• Opérateurs KQL : utilisez les opérateurs KQL tels que summary, render, union, join et extend
  
• Extraction de données KQL : extraire des données à partir de champs de chaîne structurés et non structurés à l'aide de KQL
  
• Fonctions KQL : création de fonctions et d'analyseurs à l'aide de KQL
  
• Laboratoire KQL : exercices de laboratoire pour créer des requêtes pour Microsoft Sentinel à l'aide de KQL
  

Leçons:

• Création d'instructions KQL pour Microsoft Sentinel
  
• Utilisation de KQL pour analyser les résultats des requêtes
  
• Utilisation de KQL pour créer des instructions multi-tables
  
• Travailler avec des données de chaîne à l'aide d'instructions KQL
  
• Laboratoires du module :
  • Atelier 01 : Création de requêtes pour Microsoft Sentinel à l'aide du langage de requête Kusto (KQL)

Module 7 : Configuration de l'environnement Microsoft Sentinel

Objectifs du module :

• Microsoft Sentinel : Microsoft Sentinel est une solution évolutive et native du cloud qui fournit des informations de sécurité et une gestion des événements (SIEM) ainsi qu'une orchestration, une automatisation et une réponse de sécurité (SOAR).
  
• Composants Sentinel : Microsoft Sentinel comporte plusieurs composants, notamment des connecteurs de données, des analyseurs, des classeurs, des règles d’analyse, des requêtes de recherche, des blocs-notes, des incidents et des enquêtes, des playbooks d’automatisation, ainsi que des connecteurs et des listes de surveillance personnalisés Azure Logic Apps.
  
• Utilisation de Sentinel : Microsoft Sentinel est une solution permettant d’effectuer des opérations de sécurité dans des environnements sur site et dans le cloud. Il peut être utilisé pour collecter des données d’événements provenant de diverses sources et effectuer des opérations de sécurité sur ces données afin d’identifier les activités suspectes.
  
• Listes de surveillance Sentinel : les listes de surveillance Microsoft Sentinel peuvent être utilisées pour enquêter sur les menaces, répondre rapidement aux incidents, importer des données d'entreprise, réduire la fatigue des alertes et enrichir les données d'événements.
  
• Threat Intelligence : Microsoft Sentinel vous permet de gérer les indicateurs de menace, d’afficher, de trier, de filtrer et de rechercher des indicateurs de menace importés, et d’effectuer des tâches administratives quotidiennes de renseignement sur les menaces.
  

Leçons:

• Introduction à Microsoft Sentinel
  
• Création et gestion des espaces de travail Microsoft Sentinel
  
• Journaux de requêtes dans Microsoft Sentinel
  
• Utilisation des listes de surveillance dans Microsoft Sentinel
  
• Utilisation de Threat Intelligence dans Microsoft Sentinel
  
• La plateforme unifiée des opérations de sécurité
  
• Module Laboratoire :
  • Atelier 1 : Configuration de l'environnement Microsoft Sentinel

Module 8 : Connexion des journaux à Microsoft Sentinel

Objectifs du module :

• Connecteurs Sentinel : Microsoft Sentinel fournit plusieurs connecteurs de données pour connecter les journaux et les sources de données
  
• Solutions Content Hub : les solutions Content Hub incluent des connecteurs de données, des analyseurs, des classeurs, des règles d'analyse, des requêtes de recherche, des blocs-notes, des listes de surveillance et des playbooks.
  
• Règles de collecte de données : les règles de collecte de données (DCR) sont utilisées pour gérer les paramètres de collecte à grande échelle, améliorer la sécurité et les performances et réduire les coûts.
  
• Threat Intelligence : la solution Threat Intelligence Content Hub fournit des connecteurs pour les plateformes TAXII, Microsoft Defender Threat Intelligence et Threat Intelligence.
  
• Microsoft Defender : Microsoft Sentinel fournit des connecteurs intégrés pour les solutions Microsoft Defender, telles que Microsoft Defender XDR, Microsoft Defender for Cloud et Microsoft Defender for IoT.
  

Leçons :

• Gestion de contenu dans Microsoft Sentinel
  
• Connexion des données à Microsoft Sentinel à l'aide de connecteurs de données
  
• Connexion des services Microsoft à Microsoft Sentinel
  
• Connexion de Microsoft Defender XDR à Microsoft Sentinel
  
• Connexion des hôtes Windows à Microsoft Sentinel
  
• Connexion des journaux de format d'événement commun à Microsoft Sentinel
  
• Connexion des sources de données Syslog à Microsoft Sentinel
  
• Connexion des indicateurs de menace à Microsoft Sentinel
  
• Module Laboratoire :
  • Atelier 01 : Connexion des journaux à Microsoft Sentinel

Module 9 : Création de détections et conduite d'enquêtes avec Microsoft Sentinel

Objectifs du module :

• Règles d’analyse : Microsoft Sentinel Analytics analyse les données provenant de plusieurs sources pour identifier les corrélations et les anomalies. De plus, il fournit plusieurs types de règles d’analyse.
  
• Automatisation : Microsoft Sentinel fournit des options d’automatisation telles que des règles d’automatisation et des playbooks pour automatiser la gestion des incidents.
  
• Gestion des incidents : Microsoft Sentinel fournit des fonctionnalités de gestion des incidents, notamment la gestion des preuves et des entités, ainsi que l’enquête et la résolution des incidents.
  
• Normalisation des données : Microsoft Sentinel fournit des fonctionnalités de normalisation des données, notamment l’utilisation d’analyseurs ASIM et de fonctions KQL paramétrées.
  

Leçons

• Détection des menaces avec l'analyse Microsoft Sentinel
  
• Automatisation dans Microsoft Sentinel
  
• Répondre aux menaces avec les playbooks Microsoft Sentinel
  
• Gestion des incidents de sécurité dans Microsoft Sentinel
  
• Analyse du comportement des entités dans Microsoft Sentinel
  
• Normalisation des données dans Microsoft Sentinel
  
• Interroger, visualiser et surveiller les données dans Microsoft Sentinel
• Module Laboratoire :
  • Atelier 01 : Création de détections et conduite d'enquêtes avec Microsoft Sentinel

Module 10 : Exécution d'une recherche de menaces dans Microsoft Sentinel

Objectifs du module :

• Chasse aux menaces : découvrez comment effectuer une chasse aux menaces dans Microsoft Sentinel à l’aide de requêtes, de signets, de diffusion en direct et de MITRE ATT&CK.
  
• Outils de recherche : utilisez des outils tels que des blocs-notes, des tâches de recherche et des outils externes pour rechercher des menaces dans Microsoft Sentinel
  
• Hypothèse de recherche de menaces : Élaborer une hypothèse de recherche de menaces qui soit réalisable, de portée limitée, limitée dans le temps, utile, efficace et liée au modèle de menace.
  

Leçons

• Explication des concepts de recherche de menaces dans Microsoft Sentinel
  
• Chasse aux menaces avec Microsoft Sentinel
  
• Utilisation des tâches de recherche dans Microsoft Sentinel
  
• Facultatif : Recherche de menaces avec des blocs-notes dans Microsoft Sentinel
  
• Module Laboratoire :
  • Laboratoire 1 : Chasse aux menaces dans Microsoft Sentinel

Prérequis

• Connaissances de base de Microsoft Defender
• Connaissances de base des produits d'identité, de conformité et de sécurité Microsoft
• Connaissances intermédiaires de Windows 11, Linux et Windows Server
• Familiarisez-vous avec les portails et services Microsoft Azure et Microsoft Defender
• Familiarisez-vous avec Azure Monitoring et Azure Log Analytics
• Familiarisez-vous avec les machines virtuelles Azure
• Connaissances de base des concepts de script
  

Langue

• Cours : Anglais / Espagnol
• Laboratoires : anglais / espagnol

Certification Microsoft Associate : Analyste associé des opérations de sécurité

Microsoft Certified : Analyste associé des opérations de sécurité

Gérer les environnements d’opérations de sécurité. Configurer les protections et les détections. Gérer les réponses aux incidents. Effectuer une chasse aux menaces

Niveau : Intermédiaire
Rôle : Ingénieur en sécurité, Analyste des opérations de sécurité
Produit : Azure, Microsoft 365
Objet : Sécurité

Certification Microsoft associée : Expert en architecture de cybersécurité

Remplir un prérequis :

• Certifié Microsoft : Ingénieur en sécurité Azure Associate (AZ-500 Microsoft Azure Security Technologies)
• Microsoft Certified : Administrateur des identités et des accès Associate (SC-300 : Administrateur des identités et des accès Microsoft)
• Microsoft Certified : Analyste associé des opérations de sécurité (SC-200 : Analyste associé des opérations de sécurité Microsoft)

Passer un examen :

• Architecte de cybersécurité Microsoft (SC-100 : Architecte de cybersécurité Microsoft)

Obtenez une certification :

• Microsoft certifié : expert en architecture de cybersécurité