Цель курса – предоставить слушателям знания и навыки, необходимые для настройки и управления операциями безопасности с использованием Microsoft Sentinel. Курс охватывает методы мониторинга, анализа и реагирования на угрозы в реальном времени, а также внедрение и настройку аналитических инструментов для эффективного управления инцидентами безопасности и защиты информационных активов.
Аудитория
Этот курс предназначен для специалистов в области информационной безопасности, отвечающих за управление безопасностью в организациях. В аудиторию входят аналитики по безопасности, операторы SOC, администраторы систем безопасности и ИТ-профессионалы, заинтересованные в развёртывании решений для управления информацией о безопасности и инцидентами (SIEM) с помощью Microsoft Sentinel.
По окончании курса слушатели смогут:
-
Описывать архитектуру рабочей области Microsoft Sentinel
-
Устанавливать рабочую область Microsoft Sentinel
-
Создавать и настроить рабочую область Microsoft Sentinel
-
Подключать коннекторы сервисов Microsoft
-
Объяснять, как коннекторы автоматически создают инциденты в Microsoft Sentinel
-
Подключать виртуальные машины Windows Azure к Microsoft Sentinel
-
Подключать не-Azure хосты Windows к Microsoft Sentinel
-
Настраивать агент Log Analytics для сбора событий Sysmon
-
Объяснять важность аналитики Microsoft Sentinel
-
Создавать правила на основе шаблонов
-
Создавать новые аналитические правила и запросы с помощью мастера аналитических правил
-
Управлять правилами с внесением изменений
-
Объяснять варианты автоматизации в Microsoft Sentinel
-
Создавать правила автоматизации в Microsoft Sentinel
-
Развертывать решения и коннекторы данных в Microsoft Sentinel Content Hub
-
Настраивать правила сбора данных Microsoft Sentinel, правила NRT Analytic и автоматизации
-
Выполнять имитацию атаки для проверки аналитических и автоматизационных правил
Необходимая подготовка
Для эффективного обучения на курсе слушатели должны обладать следующими знаниями и навыками:
-
Базовое знание Microsoft Azure
-
Базовое знание Microsoft Sentinel
-
Опыт использования языка запросов Kusto (KQL) в Microsoft Sentinel
Модуль 1: Создание и управление рабочими областями Microsoft Sentinel
Темы
-
Введение
-
Планирование рабочей области Microsoft Sentinel
-
Создание рабочей области Microsoft Sentinel
-
Управление рабочими областями между арендаторами с помощью Azure Lighthouse
-
Понимание разрешений и ролей Microsoft Sentinel
-
Управление настройками Microsoft Sentinel
-
Настройка логов
Модуль 2: Подключение сервисов Microsoft к Microsoft Sentinel
Темы
-
Введение
-
Планирование коннекторов сервисов Microsoft
-
Подключение коннектора Microsoft Office 365
-
Подключение коннектора Microsoft Entra
-
Подключение коннектора Microsoft Entra ID Protection
-
Подключение коннектора Azure Activity
Модуль 3: Подключение хостов Windows к Microsoft Sentinel
Темы
-
Введение
-
Планирование коннектора событий безопасности хостов Windows
-
Подключение с помощью коннектора Windows Security Events через AMA
-
Подключение с помощью коннектора Security Events через Legacy Agent
-
Сбор журналов событий Sysmon
Модуль 4: Обнаружение угроз с помощью аналитики Microsoft Sentinel
Темы
-
Введение
-
Обнаружение угроз с помощью аналитики Microsoft Sentinel
-
Что такое аналитика Microsoft Sentinel?
-
Типы аналитических правил
-
Создание аналитического правила на основе шаблонов
-
Создание аналитического правила с помощью мастера
-
Управление аналитическими правилами
-
Обнаружение угроз с помощью аналитики Microsoft Sentinel
Модуль 5: Автоматизация в Microsoft Sentinel
Темы
-
Введение
-
Понимание вариантов автоматизации
-
Создание правил автоматизации
Модуль 6: Настройка операций безопасности SIEM с использованием Microsoft Sentinel
Темы
-
Введение
-
Настройка операций SIEM с использованием Microsoft Sentinel
-
Установка решений и коннекторов данных Microsoft Sentinel Content Hub
-
Настройка правила сбора данных для коннектора данных
-
Выполнение имитации атаки для проверки аналитических и автоматизационных правил
