EduGroupe accompagne les entreprises dans leurs projets de formation liée aux technologies informatiques
Formation Analyste des opérations de sécurité Microsoft
- Référence : MSSC200
- Durée : 4 jours (28 heures)
- Certification : SC200
- Eligible CPF : Non
RÉSUMÉ
Cette formation permet aux participants d'acquérir les compétences et connaissances nécessaires pour atténuer les cybermenaces à l'aide de Microsoft Azure Sentinel, Azure Defender et Microsoft 365 Defender. Ces derniers configureront et utiliserot Azure Sentinel et utiliser Kusto Query Language (KQL) pour effectuer la détection, l'analyse et la création de rapports.
CONNAISSANCES PREALABLES
- 1-Compréhension de base de Microsoft 365
- 2-Compréhension fondamentale des produits de sécurité, de conformité et d'identité Microsoft
- 3-Compréhension intermédiaire de Windows 10
- 4-Familiarité avec les services Azure, en particulier les bases de données Azure SQL et le stockage Azure
- 5-Connaissance des machines virtuelles Azure et des réseaux virtuels
- 6-Compréhension de base des concepts de script
- 7-Avoir des connaissances de base en langue anglaise car les ateliers seront réalisés sur des VM en anglais
PROFIL DES STAGIAIRES
- Analystes sécurité
- Ingénieurs sécurité
OBJECTIFS
- Être capable d'expliquer comment Microsoft Defender pour Endpoint peut remédier aux risques dans votre environnement
- Savoir créer un environnement Microsoft Defender pour Endpoint
- Apprendre à configurer les règles de réduction de la surface d'attaque sur les appareils Windows 10
- Comprendre comment effectuer des actions sur un appareil à l'aide de Microsoft Defender pour Endpoint
- Pouvoir examiner les domaines et les adresses IP dans Microsoft Defender pour Endpoint
- Être en mesure d'examiner les comptes d'utilisateurs et configurer les paramètres d'alerte dans Microsoft Defender pour Endpoint
- Comprendre comment effectuer une recherche avancée dans Microsoft 365 Defender
- Savoir gérer les incidents dans Microsoft 365 Defender
- Expliquer comment Microsoft Defender for Identity peut remédier aux risques dans votre environnement
- Pouvoir examiner les alertes DLP dans Microsoft Cloud App Security
- Apprendre à configurer l'approvisionnement automatique dans Azure Defender
- Comprendre comment corriger les alertes dans Azure Defender
- Savoir construire des instructions KQL
- Pouvoir filtrer les recherches en fonction de l'heure de l'événement, de la gravité, du domaine et d'autres données pertinentes à l'aide de KQL
- Comprendre comment extraire des données de champs de chaîne non structurés à l'aide de KQL
- Savoir gérer un espace de travail Azure Sentinel
- Apprendre à utiliser KQL pour accéder à la liste de surveillance dans Azure Sentinel
- Pouvoir gérer les indicateurs de menace dans Azure Sentinel
- Être capable de connecter les machines virtuelles Azure Windows à Azure Sentinel
- Apprendre à configurer l'agent Log Analytics pour collecter les événements Sysmon
- Savoir créer de nouvelles règles et requêtes d'analyse à l'aide de l'assistant de règle d'analyse
- Pouvoir utiliser des requêtes pour rechercher les menaces
METHODES PEDAGOGIQUES
- 6 à 12 personnes maximum par cours, 1 poste de travail par stagiaire
- Remise d’une documentation pédagogique papier ou numérique pendant le stage
- La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
METHODES D'EVALUATION DES ACQUIS
- Auto-évaluation des acquis par le stagiaire via un questionnaire
- Attestation de fin de stage adressée avec la facture
FORMATEUR
Consultant-Formateur expert Sécurité Microsoft
CONTENU DU COURS
1 - Atténuer les menaces à l'aide de Microsoft Defender
- Introduction à la protection contre les menaces avec Microsoft 365
- Atténuer les incidents à l’aide de Microsoft 365 Defender
- Corriger les risques avec Microsoft Defender pour Office 365
- Microsoft Defender pour l’identité
- Protéger les identités avec Azure AD Identity Protection
- Microsoft Defender pour les applications cloud
- Répondre aux alertes de prévention de la perte de données à l’aide de Microsoft 365
- Gérer les risques internes dans Microsoft 365
2 - Atténuer les menaces à l'aide de Microsoft 365 Defender pour Endpoint
- Se protéger contre les menaces avec Microsoft Defender pour Endpoint
- Déployer l’environnement Microsoft Defender pour Endpoint
- Implémenter des améliorations de sécurité Windows
- Effectuer des enquêtes sur l’appareil
- Effectuer des actions sur un appareil
- Effectuer des enquêtes sur les preuves et les entités
- Configurer et gérer l’automatisation
- Configurer pour les alertes et les détections
- Utiliser la gestion des menaces et des vulnérabilités
3 - Atténuer les menaces à l'aide de Microsoft Defender pour le Cloud
- Planifier des protections de charges de travail cloud à l’aide de Microsoft Defender pour cloud
- Protections des charges de travail dans Microsoft Defender pour le cloud
- Connecter des ressources Azure à Microsoft Defender pour le cloud
- Connecter des ressources non Azure à Microsoft Defender pour le cloud
- Corriger les alertes de sécurité à l’aide de Microsoft Defender pour le cloud
4 - Créer des requêtes pour Microsoft Sentinel à l'aide du langage de requête Kusto (KQL)
- Construire des instructions KQL pour Microsoft Sentinel
- Analyser les résultats de requête à l’aide de KQL
- Créer des instructions multi-tables à l’aide de KQL
- Utilisation de données de chaîne à l’aide d’instructions KQL
5 - Configurer votre environnement Microsoft Sentinel
- Présentation de Microsoft Sentinel
- Créer et gérer des espaces de travail Microsoft Sentinel
- Journaux de requêtes dans Microsoft Sentinel
- Utiliser des listes de surveillance dans Microsoft Sentinel
- Utiliser les renseignements sur les menaces dans Microsoft Sentinel
6 - Connecter les journaux à Microsoft Sentinel
- Connecter des données à Microsoft Sentinel à l’aide de connecteurs de données
- Connecter les services Microsoft à Microsoft Sentinel
- Connecter Microsoft 365 Defender à Microsoft Sentinel
- Connecter des hôtes Windows à Microsoft Sentinel
- Connecter les journaux Common Event Format à Microsoft Sentinel
- Connecter des sources de données syslog à Microsoft Sentinel
- Connecter des indicateurs de menace à Microsoft Sentinel
7 - Créer des détections et effectuer des enquêtes à l'aide de Microsoft Sentinel
- Détection des menaces avec l’analyse Microsoft Sentinel
- Gestion des incidents de sécurité dans Microsoft Sentinel
- Réponse aux menaces avec les playbooks Microsoft Sentinel
- Analyse du comportement des utilisateurs et des entités dans Microsoft Sentinel
- Interroger, visualiser et surveiller les données dans Microsoft Sentinel
8 - Effectuer une recherche de menace dans Microsoft Sentinel
- Concepts de chasse aux menaces dans Microsoft Sentinel
- Chasse aux menaces avec Microsoft Sentinel
- Rechercher des menaces à l’aide de blocs-notes dans Microsoft Sentinel
9 - Certification Microsoft Security Operations Analyst
- Cette formation prépare au passage de la certification Microsoft Security Operations Analyst