آموزش Microsoft Security Operations Analyst Associate (SC-200) Cert Prep توسط Microsoft Press

سرفصل ها و درس ها

معرفی Introduction

• Exam SC-200 Microsoft Security Operations Analyst: مقدمه Exam SC-200 Microsoft Security Operations Analyst: Introduction

1. تنظیمات را در Microsoft Defender XDR پیکربندی کنید 1. Configure Settings in Microsoft Defender XDR

• قابلیت‌های بررسی و پاسخ خودکار را در Microsoft Defender XDR مدیریت کنید Manage automated investigation and response capabilities in Microsoft Defender XDR

• اهداف یادگیری Learning objectives

• یک اتصال از Defender XDR به یک فضای کاری Sentinel را پیکربندی کنید Configure a connection from Defender XDR to a Sentinel workspace

• Microsoft Defender را برای ویژگی های پیشرفته Endpoint پیکربندی کنید Configure Microsoft Defender for Endpoint advanced features

• پیکربندی اختلال حمله خودکار در Microsoft Defender XDR Configure automatic attack disruption in Microsoft Defender XDR

• قوانین اعلان هشدار و آسیب پذیری را پیکربندی کنید Configure alert and vulnerability notification rules

• تنظیمات قوانین نقطه پایانی، از جمله نشانگرها و فیلتر محتوای وب را پیکربندی کنید Configure endpoint rules settings, including indicators and web content filtering

2. مدیریت دارایی ها و محیط ها 2. Manage Assets and Environments

• اهداف یادگیری Learning objectives

• دستگاه های مدیریت نشده را در Microsoft Defender برای Endpoint شناسایی و اصلاح کنید Identify and remediate unmanaged devices in Microsoft Defender for Endpoint

• با استفاده از مدیریت حساب چند ابری، محیط ها را به Microsoft Defender for Cloud متصل کنید Connect environments to Microsoft Defender for Cloud using multi-cloud account management

• دستگاه های در معرض خطر را با استفاده از مدیریت آسیب پذیری Microsoft Defender شناسایی و اصلاح کنید Identify and remediate devices at risk using Microsoft Defender Vulnerability Management

• گروه‌های دستگاه، مجوزها و سطوح اتوماسیون را در Microsoft Defender برای Endpoint پیکربندی و مدیریت کنید Configure and manage device groups, permissions, and automation levels in Microsoft Defender for Endpoint

• با استفاده از Defender for Cloud، منابع محافظت نشده را کشف و اصلاح کنید Discover and remediate unprotected resources using Defender for Cloud

• مدیریت منابع با استفاده از Azure Arc Manage resources using Azure Arc

3. طراحی و پیکربندی یک فضای کاری Microsoft Sentinel 3. Design and Configure a Microsoft Sentinel Workspace

• اهداف یادگیری Learning objectives

• نقش های Azure RBAC را برای پیکربندی Microsoft Sentinel مشخص کنید Specify Azure RBAC roles for Microsoft Sentinel configuration

• ذخیره سازی داده های Microsoft Sentinel را طراحی و پیکربندی کنید، از جمله انواع گزارش و حفظ گزارش Design and configure Microsoft Sentinel data storage, including log types and log retention

• نقش های Microsoft Sentinel را پیکربندی کنید Configure Microsoft Sentinel roles

• چندین فضای کاری را با استفاده از Workspace Manager و Azure Lighthouse مدیریت کنید Manage multiple workspaces using Workspace Manager and Azure Lighthouse

• یک فضای کاری Microsoft Sentinel برنامه ریزی کنید Plan a Microsoft Sentinel workspace

4. منابع داده را در Microsoft Sentinel وارد کنید 4. Ingest Data Sources in Microsoft Sentinel

• کانکتورهای مایکروسافت را برای منابع Azure، از جمله سیاست Azure و تنظیمات تشخیصی، پیکربندی و استفاده کنید Configure and use Microsoft connectors for Azure resources, including Azure Policy and diagnostic settings

• رابط‌های اطلاعاتی تهدید، از جمله پلتفرم، TAXII، API نشانگرهای آپلود و MISP را پیکربندی کنید Configure threat intelligence connectors, including platform, TAXII, upload indicators API, and MISP

• پیکربندی همگام سازی دو طرفه بین Microsoft Sentinel و Microsoft Defender for Cloud Configure bidirectional synchronization between Microsoft Sentinel and Microsoft Defender for Cloud

• پیکربندی همگام سازی دو جهته بین Microsoft Sentinel و Microsoft Defender XDR Configure bidirectional synchronization between Microsoft Sentinel and Microsoft Defender XDR

• اهداف یادگیری Learning objectives

• مجموعه رویدادهای امنیتی ویندوز را با استفاده از قوانین جمع آوری داده ها، از جمله انتقال رویداد ویندوز (WEF) برنامه ریزی و پیکربندی کنید. Plan and configure collection of Windows Security events using data collection rules, including Windows Event Forwarding (WEF)

• منابع داده ای را که باید برای مایکروسافت سنتینل جذب شوند شناسایی کنید و راه حل های هاب محتوا را پیاده سازی کنید Identify data sources to be ingested for Microsoft Sentinel and implement content hub solutions

• مجموعه رویدادهای Syslog و Common Event Format (CEF) را برنامه ریزی و پیکربندی کنید Plan and configure Syslog and Common Event Format (CEF) event collections

• جداول ثبت سفارشی را در فضای کاری ایجاد کنید تا داده های دریافت شده را ذخیره کنید Create custom log tables in the workspace to store ingested data

5. حفاظت در Microsoft Defender Security Technologies را پیکربندی کنید 5. Configure Protections in Microsoft Defender Security Technologies

• سیاست‌های Microsoft Defender برای برنامه‌های Cloud را پیکربندی کنید Configure policies for Microsoft Defender for Cloud apps

• سیاست‌های امنیتی Microsoft Defender برای Endpoints، از جمله قوانین کاهش سطح حمله (ASR) را پیکربندی کنید Configure security policies for Microsoft Defender for Endpoints, including attack surface reduction (ASR) rules

• حفاظت از بار کار ابری را در Microsoft Defender for Cloud پیکربندی کنید Configure cloud workload protections in Microsoft Defender for Cloud

• اهداف یادگیری Learning objectives

• سیاست های Microsoft Defender for Office را پیکربندی کنید Configure policies for Microsoft Defender for Office

6. Detection را در Microsoft Defender XDR پیکربندی کنید 6. Configure Detection in Microsoft Defender XDR

• تشخیص های سفارشی را پیکربندی و مدیریت کنید Configure and manage custom detections

• قوانین فریب را در Microsoft Defender XDR پیکربندی کنید Configure deception rules in Microsoft Defender XDR

• اهداف یادگیری Learning objectives

• تنظیم هشدار را پیکربندی کنید Configure alert tuning

7. Detections را در Microsoft Sentinel پیکربندی کنید 7. Configure Detections in Microsoft Sentinel

• قوانین پرس و جوی زمان نزدیک (NRT) از جمله KQL را پیکربندی کنید Configure near-real-time (NRT) query rules, including KQL

• داده های Microsoft Sentinel را با استفاده از تجزیه کننده های ASIM پرس و جو کنید Query Microsoft Sentinel data using ASIM parsers

• قوانین تجزیه و تحلیل تشخیص ناهنجاری را پیکربندی کنید Configure anomaly detection analytics rules

• اهداف یادگیری Learning objectives

• قوانین پرس و جو برنامه ریزی شده، از جمله KQL را پیکربندی کنید Configure scheduled query rules, including KQL

• قوانین تجزیه و تحلیل را از مرکز محتوا مدیریت کنید Manage analytics rules from content hub

• قانون فیوژن را پیکربندی کنید Configure the fusion rule

• طبقه بندی و تجزیه و تحلیل داده ها با استفاده از موجودیت ها Classify and analyze data using entities

• مدیریت و استفاده از شاخص های تهدید Manage and use threat indicators

8. به هشدارها و حوادث در Microsoft Defender XDR پاسخ دهید 8. Respond to Alerts and Incidents in Microsoft Defender XDR

• بررسی و اصلاح هویت های به خطر افتاده در Microsoft Entra ID Investigate and remediate compromised identities in Microsoft Entra ID

• هشدارها و حوادث شناسایی شده توسط Microsoft Defender برای Cloud را بررسی و اصلاح کنید Investigate and remediate alerts and incidents identified by Microsoft Defender for Cloud

• خطرات امنیتی شناسایی شده توسط Microsoft Defender برای برنامه های Cloud را بررسی و اصلاح کنید Investigate and remediate security risks identified by Microsoft Defender for Cloud apps

• تهدیدهای شناسایی شده توسط سیاست های ریسک داخلی Microsoft Purview را بررسی و اصلاح کنید Investigate and remediate threats identified by Microsoft Purview insider risk policies

• تهدیدهای مایکروسافت تیمز، شیرپوینت آنلاین و وان درایو را بررسی و اصلاح کنید Investigate and remediate threats to Microsoft Teams, SharePoint Online, and OneDrive

• بررسی و اصلاح باج‌افزارها و حوادث به خطر افتادن ایمیل تجاری شناسایی‌شده توسط اختلال حمله خودکار Investigate and remediate ransomware and business email compromise incidents identified by automatic attack disruption

• اقدامات و ارسال‌ها را در پورتال Microsoft Defender مدیریت کنید Manage actions and submissions in the Microsoft Defender portal

• هشدارهای امنیتی Microsoft Defender for Identity را بررسی و اصلاح کنید Investigate and remediate security alerts from Microsoft Defender for Identity

• اهداف یادگیری Learning objectives

• تهدیدات موجود در ایمیل را با استفاده از Microsoft Defender for Office بررسی و اصلاح کنید Investigate and remediate threats in email using Microsoft Defender for Office

• بررسی و اصلاح موجودیت‌های در معرض خطر شناسایی شده توسط سیاست‌های پیشگیری از از دست دادن داده‌های Microsoft Purview (DLP) Investigate and remediate compromised entities identified by Microsoft Purview data loss prevention (DLP) policies

9. به هشدارها و حوادث شناسایی شده توسط Microsoft Defender برای Endpoint پاسخ دهید 9. Respond to Alerts and Incidents Identified by Microsoft Defender for Endpoint

• اقداماتی را روی دستگاه انجام دهید، از جمله پاسخ زنده و جمع آوری بسته های تحقیق Perform actions on the device, including live response and collecting investigation packages

• انجام شواهد و بررسی نهاد Perform evidence and entity investigation

• اهداف یادگیری Learning objectives

• بررسی جدول زمانی دستگاه های در معرض خطر Investigate timeline of compromised devices

10. تحقیقات را با استفاده از ابزارهای دیگر مایکروسافت غنی کنید 10. Enrich Investigations Using Other Microsoft Tools

• با استفاده از گزارش های فعالیت Microsoft Graph، شکار تهدید را انجام دهید Perform threat hunting using Microsoft Graph activity logs

• تهدیدات را با استفاده از جستجوی محتوا بررسی کنید Investigate threats using content search

• تهدیدات را با استفاده از یک گزارش حسابرسی یکپارچه بررسی کنید Investigate threats using a unified audit log

• اهداف یادگیری Learning objectives

11. حوادث را در Microsoft Sentinel مدیریت کنید 11. Manage Incidents in Microsoft Sentinel

• اهداف یادگیری Learning objectives

• به حوادث در مایکروسافت سنتینل پاسخ دهید Respond to incidents in Microsoft Sentinel

• حوادث تریاژ در مایکروسافت سنتینل Triage incidents in Microsoft Sentinel

• بررسی حوادث در Microsoft Sentinel Investigate incidents in Microsoft Sentinel

12. سازماندهی امنیتی، اتوماسیون و پاسخ (SOAR) را در Microsoft Sentinel پیکربندی کنید 12. Configure Security Orchestration, Automation, and Response (SOAR) in Microsoft Sentinel

• راهنماهای Microsoft Sentinel را ایجاد و پیکربندی کنید Create and configure Microsoft Sentinel playbooks

• قوانین تحلیلی را برای راه اندازی اتوماسیون پیکربندی کنید Configure analytic rules to trigger automation

• کتابهای بازی را در منابع داخلی اجرا کنید Run playbooks on on-premises resources

• اهداف یادگیری Learning objectives

• راه اندازی کتاب های بازی به صورت دستی از هشدارها و حوادث Trigger playbooks manually from alerts and incidents

• قوانین اتوماسیون را ایجاد و پیکربندی کنید Create and configure automation rules

13. با استفاده از KQL به دنبال تهدیدها باشید 13. Hunt for Threats Using KQL

• شناسایی تهدیدات با استفاده از Kusto Query Language (KQL) Identify threats using Kusto Query Language (KQL)

• تجزیه و تحلیل تهدیدات را در پورتال Microsoft Defender تفسیر کنید Interpret threat analytics in the Microsoft Defender portal

• پرس و جوهای شکار سفارشی را با استفاده از KQL ایجاد کنید Create custom hunting queries using KQL

• اهداف یادگیری Learning objectives

14. با استفاده از مایکروسافت سنتینل تهدیدات را جستجو کنید 14. Hunt for Threats Using Microsoft Sentinel

• اهداف یادگیری Learning objectives

• داده های بایگانی شده را بازیابی و مدیریت کنید Retrieve and manage archived log data

• درخواست‌های جستجوی گالری محتوا را سفارشی کنید Customize content gallery hunting queries

• از نشانک های شکار برای بررسی داده ها استفاده کنید Use hunting bookmarks for data investigations

• پرس و جوهای شکار را با استفاده از Livestream نظارت کنید Monitor hunting queries using Livestream

• مشاغل جستجو را ایجاد و مدیریت کنید Create and manage search jobs

• پوشش بردار حمله را با استفاده از MITER ATT&CK در Microsoft Sentinel تجزیه و تحلیل کنید Analyze attack vector coverage using the MITRE ATT&CK in Microsoft Sentinel

15. تجزیه و تحلیل و تفسیر داده ها با استفاده از کتاب کار 15. Analyze and Interpret Data Using Workbooks

• الگوهای کتاب کار Microsoft Sentinel را فعال و سفارشی کنید Activate and customize Microsoft Sentinel workbook templates

• تجسم ها را پیکربندی کنید Configure visualizations

• اهداف یادگیری Learning objectives

• کتاب های کاری سفارشی که شامل KQL هستند ایجاد کنید Create custom workbooks that include KQL

نتیجه Conclusion

• آزمون SC-200 Microsoft Security Operations Analyst: خلاصه Exam SC-200 Microsoft Security Operations Analyst: Summary