Formation Analyste des opérations de sécurité Microsoft


- Référence : MSSC200
- Durée : 4 jours (28 heures)
- Certification : SC200
- Eligible CPF : Non
CONNAISSANCES PREALABLES
- 1-Compréhension de base de Microsoft 365
- 2-Compréhension fondamentale des produits de sécurité, de conformité et d'identité Microsoft
- 3-Compréhension intermédiaire de Windows 10
- 4-Familiarité avec les services Azure, en particulier les bases de données Azure SQL et le stockage Azure
- 5-Connaissance des machines virtuelles Azure et des réseaux virtuels
- 6-Compréhension de base des concepts de script
- 7-Avoir des connaissances de base en langue anglaise car les ateliers seront réalisés sur des VM en anglais
PROFIL DES STAGIAIRES
- Analystes sécurité
- Ingénieurs sécurité
OBJECTIFS
- Être capable d'expliquer comment Microsoft Defender pour Endpoint peut remédier aux risques dans votre environnement
- Savoir créer un environnement Microsoft Defender pour Endpoint
- Apprendre à configurer les règles de réduction de la surface d'attaque sur les appareils Windows 10
- Comprendre comment effectuer des actions sur un appareil à l'aide de Microsoft Defender pour Endpoint
- Pouvoir examiner les domaines et les adresses IP dans Microsoft Defender pour Endpoint
- Être en mesure d'examiner les comptes d'utilisateurs et configurer les paramètres d'alerte dans Microsoft Defender pour Endpoint
- Comprendre comment effectuer une recherche avancée dans Microsoft 365 Defender
- Savoir gérer les incidents dans Microsoft 365 Defender
- Expliquer comment Microsoft Defender for Identity peut remédier aux risques dans votre environnement
- Pouvoir examiner les alertes DLP dans Microsoft Cloud App Security
- Apprendre à configurer l'approvisionnement automatique dans Azure Defender
- Comprendre comment corriger les alertes dans Azure Defender
- Savoir construire des instructions KQL
- Pouvoir filtrer les recherches en fonction de l'heure de l'événement, de la gravité, du domaine et d'autres données pertinentes à l'aide de KQL
- Comprendre comment extraire des données de champs de chaîne non structurés à l'aide de KQL
- Savoir gérer un espace de travail Azure Sentinel
- Apprendre à utiliser KQL pour accéder à la liste de surveillance dans Azure Sentinel
- Pouvoir gérer les indicateurs de menace dans Azure Sentinel
- Être capable de connecter les machines virtuelles Azure Windows à Azure Sentinel
- Apprendre à configurer l'agent Log Analytics pour collecter les événements Sysmon
- Savoir créer de nouvelles règles et requêtes d'analyse à l'aide de l'assistant de règle d'analyse
- Pouvoir utiliser des requêtes pour rechercher les menaces
METHODES PEDAGOGIQUES
- 6 à 12 personnes maximum par cours, 1 poste de travail par stagiaire
- Remise d’une documentation pédagogique papier ou numérique pendant le stage
- La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
METHODES D'EVALUATION DES ACQUIS
- Auto-évaluation des acquis par le stagiaire via un questionnaire
- Attestation de fin de stage adressée avec la facture
FORMATEUR
Consultant-Formateur expert Sécurité Microsoft
CONTENU DU COURS
1 - Atténuer les menaces à l'aide de Microsoft Defender pour Endpoint
- Se protéger contre les menaces avec Microsoft Defender pour Endpoint
- Déployer l’environnement Microsoft Defender pour Endpoint
- Mettre en oeuvre les améliorations de la sécurité de Windows 10 avec Microsoft Defender pour Endpoint
- Gérer les alertes et les incidents dans Microsoft Defender pour Endpoint
- Effectuer des enquêtes sur les appareils dans Microsoft Defender pour Endpoint
- Effectuer des actions sur un appareil à l’aide de Microsoft Defender pour Endpoint
- Effectuer des enquêtes sur les preuves et les entités à l’aide de Microsoft Defender pour Endpoint
- Configurer et gérer l’automatisation à l’aide de Microsoft Defender pour Endpoint
- Configurer les alertes et les détections dans Microsoft Defender pour Endpoint
- Utiliser la gestion des menaces et des vulnérabilités dans Microsoft Defender pour Endpoint
2 - Atténuer les menaces à l'aide de Microsoft 3654 Defender
- Introduction à la protection contre les menaces avec Microsoft 365
- Atténuer les incidents à l’aide de Microsoft 365 Defender
- Protéger les identités avec Azure AD Identity Protection
- Remédier aux risques avec Microsoft Defender pour Office 365
- Protéger son environnement avec Microsoft Defender for Identity
- Sécuriser ses applications et services cloud avec Microsoft Cloud App Security
- Répondre aux alertes de prévention de la perte de données à l’aide de Microsoft 365
- Gérer les risques internes dans Microsoft 365
3 - Atténuer les menaces à l'aide de Microsoft Azure Defender
- Planifier les protections de la charge de travail cloud à l’aide d’Azure Defender
- Expliquer les protections des charges de travail cloud dans Azure Defender
- Connecter les actifs Azure à Azure Defender
- Connecter des ressources non-Azure à Azure Defender
- Corriger les alertes de sécurité à l’aide d’Azure Defender
4 - Créer des requêtes pour Microsoft Azure Sentinel à l'aide du langage de requête Kusto
- Construire des instructions KQL pour Azure Sentinel
- Analyser les résultats des requêtes à l’aide de KQL
- Créer des instructions multi-tables à l’aide de KQL
- Travailler avec des données dans Azure Sentinel à l’aide du langage de requête Kusto
5 - Configurer votre environnement Microsoft Azure Sentinel
- Introduction à Azure Sentinel
- Créer et gérer des espaces de travail Azure Sentinel
- Requête des journaux dans Azure Sentinel
- Utiliser des listes de surveillance dans Azure Sentinel
- Utiliser l’intelligence des menaces dans Azure Sentinel
6 - Connecter les journaux à Microsoft Azure Sentinel
- Connecter les données à Azure Sentinel à l’aide de connecteurs de données
- Connecter les services Microsoft à Azure Sentinel
- Connecter Microsoft 365 Defender à Azure Sentinel
- Connecter les hôtes Windows à Azure Sentinel
- Connecter les journaux du format d’événement commun à Azure Sentinel
- Connecter les sources de données Syslog à Azure Sentinel
- Connecter les indicateurs de menace à Azure Sentinel
7 - Créer des détections et effectuer des investigations à l'aide de Microsoft Azure Sentinel
- Détection des menaces avec l’analyse Azure Sentinel
- Réponse aux menaces avec les playbooks Azure Sentinel
- Gestion des incidents de sécurité dans Azure Sentinel
- Utiliser l’analyse du comportement des entités dans Azure Sentinel
- Interroger, visualiser et surveiller les données dans Azure Sentinel
8 - Effectuer une recherche de menace dans Microsoft Azure Sentinel
- Chasser les menaces avec Azure Sentinel
- Traquer les menaces à l’aide de blocs-notes dans Azure Sentinel
9 - Certification Microsoft Security Operations Analyst
- Cette formation prépare au passage de la certification Microsoft Security Operations Analyst