SC-200: Microsoft Security Operations Analyst Associate

Curso SC-200: Analista de operaciones de seguridad de Microsoft Introducción

Aprenda a investigar y buscar amenazas, y a responder a ellas, mediante Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft 365 Defender. En este curso aprenderá a mitigar ciberamenazas mediante estas tecnologías. En concreto, configurará y usará Microsoft Sentinel, así como el lenguaje de consulta Kusto (KQL), para realizar la detección, el análisis y la generación de informes. El curso se diseñó para personas que desempeñan un rol de trabajo de operaciones de seguridad y ayuda a los alumnos a prepararse para el examen SC-200: Microsoft Security Operations Analyst.

¡El curso incluye el examen de certificación de una oportunidad de regalo en modalidad virtual y bonificado! *Promoción vigente hasta el 31 de agosto, sólo para clientes de España. No aplica en modalidad self learning

Curso dirigido a

El rol Microsoft Security Operations Analyst colabora con las partes interesadas de la organización para proteger los sistemas de tecnología de la información de la organización. Su objetivo es reducir los riesgos de la organización mediante la corrección rápida de ataques activos en el entorno, el asesoramiento sobre mejoras de los procedimientos de protección contra amenazas y la comunicación de las infracciones de directivas de la organización a las partes interesadas pertinentes. Entre sus responsabilidades están la administración y la supervisión de amenazas y la respuesta a estas mediante diferentes soluciones de seguridad en el entorno. El rol se ocupa principalmente de investigar y detectar amenazas, así como de responder a ellas, mediante Microsoft Sentinel, Microsoft Defender for Cloud, Microsoft 365 Defender y productos de seguridad de terceros. Dado que el analista de operaciones de seguridad es quien va a hacer uso de los resultados operativos de estas herramientas, también es una parte interesada fundamental en la configuración e implementación de estas tecnologías.

Objetivos del curso

• Investigar y mitigar amenazas: Aprenderás a utilizar herramientas como Microsoft Sentinel, Microsoft Defender XDR y Microsoft Defender for Cloud para investigar, buscar y responder a amenazas.
  
• Configurar y gestionar Microsoft Sentinel: Configurarás tu entorno en Microsoft Sentinel, gestionarás conexiones de registro y crearás consultas utilizando Kusto Query Language (KQL).
  
• Gestionar la mitigación de amenazas: Utilizarás Microsoft Defender XDR, Microsoft Purview y Microsoft Defender for Endpoint para gestionar la mitigación de amenazas.
  
• Caza de amenazas: Realizarás caza avanzada de amenazas utilizando inteligencia de amenazas y KQL para detección, análisis e informes.

Elementos de la formación SC-200

• SC-200: Mitigación de amenazas mediante Microsoft Defender XDR (6 Módulos)
• SC-200: Mitigar amenazas usando Microsoft Security Copilot (5 Módulos)
• SC-200: Mitigación de amenazas con Microsoft Purview (4 Módulos)
• SC-200: Mitigación de amenazas con Microsoft Defender for Endpoint (9 Módulos)
• SC-200: Mitigación de amenazas con Microsoft Defender for Cloud (6 Módulos)
• SC-200: Creación de consultas para Microsoft Sentinel mediante el Lenguaje de consulta de Kusto (KQL) (4 Módulos)
• SC-200: Configuración del entorno de Microsoft Sentinel (6 Módulos)
• SC-200: Conexión de registros a Microsoft Sentinel (7 Módulos)
• SC-200: Creación de detecciones y realización de investigaciones mediante Microsoft Sentinel (8 Módulos)
• SC-200: Búsqueda de amenazas en Microsoft Sentinel (4 Módulos)

Contenido del curso SC-200

Módulo 1: Mitigación de amenazas con Microsoft Defender XDR

Objetivos del módulo:

• Microsoft Defender XDR: Microsoft Defender XDR es una solución que ayuda a mitigar las amenazas y los riesgos mediante diversas herramientas y funcionalidades. 
  
• Investigación de amenazas: Microsoft Defender XDR proporciona herramientas para la investigación de amenazas, incluidas la Graph API de Microsoft Security y capacidades de búsqueda avanzadas. 
  
• Administración de incidentes: Microsoft Defender XDR permite la administración de incidentes, incluida la interrupción automática de ataques e investigación de alertas. 
  
• Protección de Office 365: Microsoft Defender para Office 365 proporciona capacidades para filtrar, simular ataques y corregir riesgos 
  
• Protección de identidad: Microsoft Defender for Identity y Protección de Entra ID proporcionan herramientas para proteger identidades, detectar riesgos y corregir amenazas
  

Lecciones:

• Descripción de la protección contra amenazas con Microsoft Defender XDR
• Mitigación de incidentes con Microsoft Defender XDR
  
• Corrección de riesgos con Defender para Office 365 en Microsoft Defender XDR
  
• Microsoft Defender for Identity en Microsoft Defender XDR
  
• Protección de identidades con Protección de Entra ID
  
• Aplicaciones de Defender for Cloud en Microsoft Defender XDR
  
• Laboratorios del curso:
  • Laboratorio 01: Mitigación  de amenazas con Microsoft Defender XDR

Módulo 2: Introducción a Microsoft Security Copilot 

Objetivos del módulo:

• Cómo describir Microsoft Copilot en Microsoft Defender XDR
  
• Cómo describir Microsoft Copilot en Microsoft Purview
  
• Cómo describir Microsoft Copilot en Microsoft Entra

Lecciones:

• Aspectos básicos de la IA generativa
  
• Descripción de Seguridad de Microsoft Copilot
  
• Descripción de las características principales de Seguridad de Microsoft Copilot
  
• Descripción de experiencias integradas de Seguridad de Microsoft Copilot
  

Módulo 3: Mitigación de amenazas con Microsoft Purview

Objetivos del módulo:

• Microsoft Purview: Microsoft Purview proporciona soluciones de cumplimiento para mitigar  las amenazas 
  
• Búsqueda de contenido: la búsqueda de contenido es una característica clave en el Centro  de cumplimiento de Microsoft 365 para búsquedas rápidas en todo el contenido 
  
• Soluciones de auditoría: Microsoft Purview proporciona dos soluciones de auditoría: Auditoría (Estándar) y Auditoría (Premium) 
  
• Auditoría (estándar): la auditoría (estándar) está habilitada de forma predeterminada  y proporciona la capacidad de registrar y buscar actividades auditadas. 
  
• Auditoría premium: Auditoría premium se basa en Auditoría estándar al proporcionar funcionalidades avanzadas de auditoría. 
  

Lecciones:

• Soluciones de cumplimiento de Microsoft Purview
• Investigación y corrección de entidades en peligro identificadas por directivas de prevención de pérdida de datos (DLP) de Microsoft Purview
  
• Investigación y corrección de amenazas de riesgo interno identificadas por las directivas de Microsoft Purview
  
• Investigación de amenazas mediante la búsqueda de contenido en Microsoft Purview
  
• Investigación de amenazas mediante Auditoría estándar de Microsoft Purview
  
• Investigación de amenazas mediante Auditoría premium de Microsoft Purview
  

Módulo 4: Mitigación de amenazas con Microsoft Defender para punto de conexión

Objetivos del módulo:

• Defender para punto de conexión:  Microsoft Defender para punto de conexión es una plataforma diseñada para ayudar a las redes empresariales a evitar, detectar e investigar las amenazas avanzadas en sus puntos de conexión, y responder a ellas. 
  
• Administración de amenazas: Defender para punto de conexión proporciona detecciones de ataque avanzadas casi en tiempo real y procesables. 
  Incorporación de dispositivos: los dispositivos se pueden supervisar mediante
• Microsoft Defender para punto de conexión a través del portal de Defender para punto de conexión. 
  
• Reducción de la superficie expuesta a ataques: las reglas de reducción de la superficie expuesta a ataques se pueden habilitar en dispositivos Windows para reducir la superficie expuesta a ataques. 
  
• Administración de vulnerabilidades: la Administración de vulnerabilidades de Defender utiliza escáneres integrados y sin agente para supervisar y detectar continuamente el riesgo en tu organización, incluso cuando los dispositivos no están conectados a la red corporativa. 
  

Lecciones:

• Protección contra amenazas con Microsoft Defender para punto de conexión
  
• Implementación del entorno de Microsoft Defender para punto de conexión
  
• Implementación de las mejoras de seguridad de Windows
  
• Realización de investigaciones de dispositivos
  
• Realización de acciones en un dispositivo
  
• Realización de investigaciones de pruebas y entidades
  
• Configuración y administración de la automatización
  
• Configuración para alertas y detecciones
  
• Uso de Administración de amenazas y vulnerabilidades
• Laboratorio del módulo:
  • Laboratorio 01: Mitigación de amenazas con Microsoft Defender para punto de conexión

Módulo 5: Mitigación de amenazas con Microsoft Defender for Cloud

Objetivos del curso:

• Defender for Cloud: Microsoft Defender for Cloud es una solución de operaciones de seguridad de desarrollo (DevSecOps) que unifica la administración de seguridad en el nivel de código en entornos multinube y varias canalizaciones 
  
• Seguridad en la nube: Microsoft Defender for Cloud ofrece administración de la posición de seguridad en la nube (CSPM) y una plataforma de protección de cargas de trabajo en la nube (CWPP) 
  
• Protecciones de cargas de trabajo: Microsoft Defender for Cloud ofrece protecciones de carga de trabajo para servidores, contenedores, almacenamiento, bases de datos y otras cargas de trabajo 
  
• Protección de nube híbrida: Microsoft Defender for Cloud puede proteger entornos de nube híbrida, incluidas las máquinas que no son de Azure y las cuentas de AWS y GCP. 
  
• Corrección de alertas: Microsoft Defender for Cloud proporciona tareas prácticas para mitigar amenazas, evitar ataques futuros y desencadenar respuestas automatizadas 
  

Lecciones:

• Explicación de las protecciones de las cargas de trabajo en la nube en Microsoft Defender para la nube
  
• Conexión de recursos de Azure a Microsoft Defender para la nube
  
• Conexión de recursos que no son de Azure a Microsoft Defender for Cloud
  
• Administración de la posición de seguridad en la nube
  
• Protección de cargas de trabajo de Microsoft Defender for Cloud
  
• Corrección de alertas de seguridad mediante Microsoft Defender for Cloud
  
• Laboratorio del módulo:
  • Laboratorio 01: Mitigación de amenazas con Microsoft Defender for Cloud

Módulo 6: Creación de consultas para Microsoft Sentinel mediante el Lenguaje de consulta Kusto (KQL)

Objetivos del módulo:

• Instrucciones KQL: Construcción de instrucciones KQL para Microsoft Sentinel 
  
• Operadores KQL: use operadores de KQL como summarize, render, union, join y extend 
  
• Extracción de datos KQL: extracción de datos de campos de cadena no estructurados y estructurados mediante KQL 
  
• Funciones KQL: creación de funciones y analizadores mediante KQL 
  
• KQL Lab: ejercicios de laboratorio para crear consultas para Microsoft Sentinel mediante KQL 
  

Lecciones:

• Construcción de instrucciones KQL para Microsoft Sentinel
  
• Uso de KQL para analizar los resultados de consultas
  
• Uso de KQL para crear instrucciones de varias tablas
  
• Trabajo con datos de cadena mediante instrucciones KQL
  
• Laboratorios del módulo: 
  • Laboratorio 01: Creación  de consultas para Microsoft Sentinel mediante el Lenguaje de consulta Kusto (KQL)

Módulo 7: Configuración del entorno  de Microsoft Sentinel

Objetivos del módulo:

• Microsoft Sentinel: Microsoft Sentinel es una solución escalable, nativa de nube, que proporciona administración de eventos e información de seguridad (SIEM) y orquestación, automatización y respuesta de seguridad (SOAR). 
  
• Componentes de Sentinel: Microsoft Sentinel tiene varios componentes, incluidos conectores de datos, analizadores, libros, reglas analíticas, consultas de búsqueda, cuadernos de notas, incidentes e investigaciones, cuadernos de estrategias de automatización y conectores personalizados de Azure Logic Apps y listas de seguimiento. 
  
• Uso de Sentinel: Microsoft Sentinel es una solución para realizar operaciones de seguridad en entornos locales y en la nube. Se puede usar para recopilar datos de eventos de varios orígenes y realizar operaciones de seguridad en esos datos para identificar actividades sospechosas 
  
• Listas de seguimiento de Sentinel: las listas de seguimiento de Microsoft Sentinel se pueden usar para investigar amenazas, responder a incidentes rápidamente, importar datos empresariales, reducir la fatiga de las alertas y enriquecer los datos de eventos 
  
• Inteligencia sobre amenazas: Microsoft Sentinel le permite administrar indicadores de amenazas, ver, ordenar, filtrar y buscar los indicadores de amenazas importados y realizar tareas administrativas diarias de inteligencia sobre amenazas.
  

Lecciones:

• Introducción a Microsoft Sentinel
  
• Creación y administración de áreas de trabajo de Microsoft Sentinel
  
• Registros de consulta en Microsoft Sentinel
  
• Uso de listas de seguimiento en Microsoft Sentinel
  
• Uso de la inteligencia sobre amenazas en Microsoft Sentinel
  
• La plataforma de operaciones de seguridad unificada
  
• Laboratorio del módulo:
  • laboratorio 1: Configuración del entorno de Microsoft Sentinel

Módulo 8: Conexión de registros a Microsoft Sentinel

Objetivos del módulo:

• Conectores de Sentinel: Microsoft Sentinel proporciona varios conectores de datos para conectar registros y orígenes de datos 
  
• Soluciones del centro de contenido: las soluciones del centro de contenido incluyen conectores de datos, analizadores, libros, reglas de análisis, consultas de búsqueda, cuadernos, listas de seguimiento  y cuadernos de estrategias 
  
• Reglas de recopilación de datos: las reglas de recopilación de datos (DCR) se usan para administrar la configuración de recopilación a escala, mejorar la seguridad y el rendimiento y ahorrar costes. 
  
• Inteligencia sobre amenazas: la solución Centro de contenido de inteligencia sobre amenazas proporciona conectores para las plataformas TAXII, Inteligencia contra amenazas de Microsoft Defender  e Inteligencia sobre amenazas 
  
• Microsoft Defender: Microsoft Sentinel proporciona conectores integrados para soluciones de Microsoft Defender, como Microsoft Defender XDR, Microsoft Defender for Cloud y Microsoft Defender para IoT
  

Lecciones:

• Administración de contenido en Microsoft Sentinel
  
• Conexión de datos a Microsoft Sentinel mediante conectores de datos
  
• Conexión de servicios Microsoft a Microsoft Sentinel
  
• Conexión de Microsoft Defender XDR a Microsoft Sentinel
  
• Conexión de hosts de Windows a Microsoft Sentinel
  
• Conexión de registros de formato de evento común a Microsoft Sentinel
  
• Conexión de orígenes de datos Syslog a Microsoft Sentinel
  
• Conexión de indicadores de amenazas a Microsoft Sentinel
  
• Laboratorio del módulo:
  • Laboratorio 01: Conexión de registros a Microsoft Sentinel

Módulo 9: Creación de detecciones y realización de investigaciones con Microsoft Sentinel

Objetivos del módulo:

• Reglas de análisis: Análisis de Microsoft Sentinel analiza los datos de varios orígenes para identificar correlaciones y anomalías. Además, proporciona varios tipos de reglas de análisis. 
  
• Automatización: Microsoft Sentinel proporciona opciones de automatización como reglas de automatización y cuadernos de estrategias para automatizar el control de incidentes. 
  
• Administración de incidentes: Microsoft Sentinel proporciona funcionalidades de administración de incidentes, incluida la administración de pruebas y entidades, así como la investigación y resolución de incidentes. 
  
• Normalización de datos: Microsoft Sentinel proporciona funcionalidades de normalización de datos, incluido el uso de analizadores de ASIM y funciones KQL con parámetros. 
  

Lecciones

• Detección de amenazas con análisis de Microsoft Sentinel
  
• Automatización en Microsoft Sentinel
  
• Respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel
  
• Administración de incidentes de seguridad en Microsoft Sentinel
  
• Análisis de comportamiento de entidades en Microsoft Sentinel
  
• Normalización de datos en Microsoft Sentinel
  
• Consulta, visualización y supervisión de datos en Microsoft Sentinel
• Laboratorio del módulo:
  • Lab 01: Creación de detecciones y realización de investigaciones con Microsoft Sentinel

Módulo 10: Realización de la búsqueda de amenazas en Microsoft Sentinel

Objetivos del módulo:

• Búsqueda de amenazas: aprenda a realizar la búsqueda de amenazas en Microsoft Sentinel mediante consultas, marcadores, streaming en directo y MITRE ATT&CK 
  
• Herramientas de búsqueda: use herramientas como cuadernos, trabajos de búsqueda y herramientas externas para buscar amenazas en Microsoft Sentinel 
  
• Hipótesis de búsqueda de amenazas: desarrolle una hipótesis de búsqueda de amenazas que sea factible, estrecha en el ámbito, con límite temporal, útil, eficaz y relacionada con el modelo de amenazas. 
  

Lecciones

• Explicación de los conceptos de búsqueda de amenazas en Microsoft Sentinel
  
• Búsqueda de amenazas con Microsoft Sentinel
  
• Uso de trabajos de búsqueda en Microsoft Sentinel
  
• Opcional: búsqueda de amenazas con cuadernos en Microsoft Sentinel
  
• Laboratorio del módulo: 
  • Laboratorio 1: Búsqueda de amenazas en Microsoft Sentinel

Requisitos previos

• Conocimientos básicos de Microsoft Defender
• Conocimientos básicos de los productos de identidad, cumplimiento normativo y seguridad de Microsoft
• Conocimientos intermedios de Windows 11, Linux y Window Server
• Estar familiarizado con los portales y servicios de Microsoft Azure y Microsoft Defender
• Estar familiarizado con Azure Monitoring y Azure Log Analytics
• Estar familiarizado con las máquinas virtuales de Azure
• Conocimientos básicos de los conceptos de scripting
  

Idioma

• Curso: Inglés / Español
• Labs: Inglés / Español

Certificación de Microsoft Asociada: Security Operations Analyst Associate

Microsoft Certified: Security Operations Analyst Associate

Administrar entornos de operaciones de seguridad. Configurar protecciones y detecciones. Administrar respuestas a incidentes. Realizar la búsqueda de amenazas

Nivel: Intermedio
Rol: Ingeniero de seguridad, Analista de operaciones de seguridad
Producto: Azure, Microsoft 365
Asunto: Security

Certificación de Microsoft relacionada: Cybersecurity Architect Expert

Completar un requisito previo:

• Microsoft Certified: Azure Security Engineer Associate (AZ-500 Microsoft Azure Security Technologies)
• Microsoft Certified: Identity and Access Administrator Associate (SC-300: Microsoft Identity and Access Administrator)
• Microsoft Certified: Security Operations Analyst Associate (SC-200: Microsoft Security Operations Analyst Associate)

Realizar un examen:

• Microsoft Cybersecurity Architect (SC-100: Microsoft Cybersecurity Architect)

Obtener la certificación:

• Microsoft Certified: Cybersecurity Architect Expert