آموزش SC-200: تحلیلگر عملیات امنیتی مایکروسافت

سرفصل ها و درس ها

معرفی Introduction

• نیاز به تیم SOC The Need for SOC Team

• SC-200 - تحلیلگر عملیات امنیتی مایکروسافت - معرفی دوره SC-200 - Microsoft Security Operations Analyst - Course Introduction

• SC 200 - می 2022 - به‌روزرسانی SC 200 - May 2022 - Update

• نظرات - متشکرم Reviews - Thank You

ماژول 1 - تهدیدات را با استفاده از Microsoft 365 Defender کاهش دهید Module 1 - Mitigate threats using Microsoft 365 Defender

• ماژول 1 - اهداف آموزشی Module 1 - Learning Objectives

• مقدمه ای بر حفاظت از تهدید Introduction to Threat Protection

• Microsoft 365 Defender Suite Microsoft 365 Defender Suite

• جدول زمانی معمول یک حمله Typical Timeline of An Attack

• Microsoft 365 Defender - نمایش تعاملی Microsoft 365 Defender - Interactive Demonstration

• کاهش حوادث با استفاده از Microsoft 365 Defender - فصل مقدمه Mitigate incidents using Microsoft 365 Defender - Chapter Introduction

• چگونه زمین بازی خود را ایجاد کنیم - محیط آزمایشگاه How to Create your Playground - Lab Environment

• پورتال Microsoft 365 Defender - مقدمه Microsoft 365 Defender portal - Introduction

• مدیریت حوادث Managing Incidents

• بیشتر در مورد حوادث More about incidents

• شبیه سازی حوادث - مرورگر Tor Simulate Incidents - Tor Browser

• مدیریت حوادث Managing Incidents

• مدیریت هشدارها Managing Alerts

• بررسی حوادث - MITER ATT-A-CK Investigating Incidents - MITRE ATT-A-CK

• شکار پیشرفته Advance Hunting

• طرح شکار پیشرفته Advance Hunting Schema

• کاوش در پرس و جوهای Kusto Exploring the Kusto Queries

• کارشناسان تهدید مایکروسافت Microsoft Threat Experts

• Microsoft Defender برای آفیس 365 - مقدمه فصل Microsoft Defender for Office 365 - Chapter Introduction

• MIcrosoft Defender برای Office 365 - قابلیت های کلیدی MIcrosoft Defender for Office 365 - Key Capabilities

• Microsoft Defender برای Office 365 - قابلیت های کلیدی - II Microsoft Defender for Office 365 - Key Capabilities - II

• از سازمان خود محافظت کنید - M365 Defender برای O365 - آزمایشگاه I Safeguard Your Organization- M365 Defender for O365 - Lab I

• از سازمان خود محافظت کنید - M365 Defender برای O365 - آزمایشگاه II Safeguard Your Organization- M365 Defender for O365 - Lab II

• شبیه سازی حمله - فعالیت آزمایشگاهی Attack Simulation - Lab Activity

• Microsoft Defender for Identity - مقدمه Microsoft Defender for Identity - Introduction

• Microsoft Defender for Identity چیست؟ What is Microsoft Defender for Identity

• Microsoft Defender for Identity - قابلیت های کلیدی Microsoft Defender for Identity - Key Capabilities

• نصب سنسورها روی کنترل کننده دامنه - 1 Installing Sensors on Domain Controller - 1

• نصب سنسورها بر روی کنترل کننده دامنه - 2 Installing Sensors on Domain Controller - 2

• گرفتن حرکات جانبی Capturing Lateral Movements

• آزمایشگاه شکار تهدید Threat Hunting Lab

• Microsoft Defender برای سنسورهای هویت - معماری Microsoft Defender for Identity Sensors - Architecture

• با Azure AD Identity Protection از هویت خود محافظت کنید - مقدمه Protect Your Identities with Azure AD Identity Protection - Introduction

• خطرات کاربر و خطرات ورود به سیستم User Risks & Sign-In Risks

• خط مشی ریسک کاربر و خط مشی ریسک ورود به سیستم - فعالیت آزمایشگاهی User risk policy & Sign in risk policy - Lab Activity

• امنیت برنامه ابری - مقدمه Cloud App Security - Introduction

• چارچوب امنیتی Cloud App The Cloud App Security Framework

• کنترل های برنامه دسترسی مشروط Conditional Access App Controls

• حفاظت از اطلاعات چیست؟ What is Information Protection?

• مدیریت ریسک داخلی - حسابرسی را فعال کنید Insider Risk Management - Enable Auditing

• مراحل امنیت اپلیکیشن ابری Phases of Cloud App security

• مراحل امنیتی برنامه ابری - فعالیت آزمایشگاهی Cloud App security Phases - Lab Activity

• پیشگیری از از دست دادن داده - مقدمه فصل Data Loss Prevention - Chapter Intro

• هشدارهای DLP DLP Alerts

• ایجاد خط مشی برای DLP در پرتال انطباق Create Policies for DLP in Compliance Portal

• مدیریت ریسک داخلی Insider Risk Management

• ریسک داخلی چیست؟ What is Insider Risk

• نکات دردناک یک محل کار مدرن Pain points of a Modern Workplace

• مدیریت ریسک داخلی با M365 Defender Insider Risk management with M365 Defender

• مدیریت ریسک داخلی - مجوزها Insider Risk Management - Permissions

• ماژول 1 - خلاصه Module 1 - Summary

• نظرات شما مهم است Your Reviews matter

ماژول 2 - تهدیدات را با استفاده از Microsoft De fender برای Endpoint کاهش دهید Module 2 - Mitigate threats using Microsoft Defender for Endpoint

• ماژول 2 - مقدمه Module 2 - Introduction

• Defender for Endpoint - ویژگی ها Defender for Endpoint - Features

• Defender for Endpoint - اصطلاحات Defender for Endpoint - Terminology

• نصب دستگاه‌ها به Defender Onboarding devices to Defender

• بهبودهای امنیتی ویندوز 10 - مقدمه فصل Windows 10 Security Enhancements - Chapter Introduction

• قوانین کاهش سطح حمله Attack Surface Reduction Rules

• قوانین سطح حمله Attack Surface Rules

• موجودی دستگاه Device Inventory

• بررسی دستگاه - هشدارها Device Investigation -Alerts

• انسداد رفتاری Behavioral Blocking

• مسدود کردن رفتار مشتری Client Behavioral Blocking

• EDR- حالت بلوک EDR- Block Mode

• EDR- Block Mode - Lab Activity EDR- Block Mode - Lab Activity

• انجام اقدامات روی دستگاه Performing Actions on the device

• پاسخ زنده Live Response

• انجام تحقیقات شواهد و نهادها Perform Evidence and Entities Investigations

• بررسی های کاربر User Investigations

• ویژگی‌های اصلاح خودکار پیشرفته - نقطه پایانی Advance Automated Remediation Features - Endpoint

• مدیریت آپلود فایل Managing File Uploads

• حذف پوشه اتوماسیون Automation folder exclusion

• بررسی سطح فایل File Level Investigation

• خودکارسازی اصلاح گروه دستگاه Automating Device group remediation

• مسدود کردن دستگاه های خطرناک با استفاده از Intune، Defender و Azure AD Blocking Risky Devices using Intune, Defender and Azure AD

• پیکربندی هشدارها و تشخیص ها - مقدمه فصل Configure Alerts and Detections - Chapter Introduction

• پیکربندی ویژگی های پیشرفته Configuring Advance Features

• پیکربندی اعلان های ایمیل Configuring Email Notifications

• شاخص های سازش Indicators of Compromise

• 28 مدیریت تهدید و آسیب پذیری - مقدمه فصل 28 Threat and Vulnerability Management - Chapter Introduction

• 29 مدیریت تهدید و آسیب پذیری - توضیح 29 Threat and Vulnerability Management - Explanation

• ماژول 2 - خلاصه Module 2 - Summary

• نظرات شما مهم است Your Reviews Matter

ماژول 3 - تهدیدات را با استفاده از Microsoft Defender برای Cloud کاهش دهید Module 3 - Mitigate threats using Microsoft Defender for Cloud

• ماژول 3 - مقدمه Module 3 - Introduction

• Azure Security Center چیست؟ What is Azure Security Center

• Microsoft Defender برای ابر - ویژگی ها Microsoft Defender for cloud - Features

• Azure Defender for Cloud - Lab Activity Azure Defender for Cloud - Lab Activity

• CSPM و CWP CSPM and CWP

• چه منابعی با استفاده از Microsoft Defender محافظت می شوند What resources are protected using Microsoft Defender

• مزایای Azure Defender برای سرورها Benefits of Azure Defender for servers

• Defender for App Services Defender for App services

• Defender for App Services - Lab Defender for App services - Lab

• مدافع برای ذخیره سازی - آزمایشگاه Defender for Storage - Lab

• مدافع برای SQL - LAB Defender for SQL - LAB

• مدافع برای Keyvault Defender for Keyvault

• مدافع برای DNS Defender for DNS

• مدافع کوبرنتس Defender for Kubernetes

• مدافع برای رجیستری کانتینر Defender for Container Registry

• دارایی های Azure را به Azure Defender - مقدمه فصل متصل کنید Connect Azure assets to Azure Defender- Chapter introduction

• موجودی دارایی - LAB Asset Inventory - LAB

• تامین خودکار Auto provisioning

• انواع رویداد ذخیره شده Stored Event types

• تهیه دستی Manual Provisioning

• Reosurces غیر Azure را به Defender متصل کنید Connect non-Azure reosurces to Defender

• روش های سوار شدن Onboarding Methods

• نمونه GCP داخلی به Azure ARC Onboard GCP instance to Azure ARC

• نصب خدمات AWS به Defender برای ابر Onboarding AWS Services to Defender for cloud

• اصلاح هشدارهای امنیتی - مقدمه فصل Remediating Security Alerts- Chapter Intro

• در حال تغییر جهان و مهاجمان Changing World and Attackers

• هشدارها و اعلان‌های امنیتی چیست؟ What are Security alerts and notifications

• مدافع چگونه کار می کند؟ How does defender work ?

• سطح شدت هشدار Alert Severity Level

• نظارت و ارزیابی مستمر Continuous Monitoring and assesments

• تاکتیک های حمله میتر و انواع هشدار Mitre Attack tactics and alert types

• اصلاح هشدارها Remediating Alerts

• پاسخ های خودکار Automated Responses

• سرکوب هشدار Alert Supression

• ماژول 3 - خلاصه Module 3 - Summary

ماژول 4 - با استفاده از زبان Kusto Query Queries برای Microsoft Sentinel ایجاد کنید Module 4 - Create Queries for Microsoft Sentinel using Kusto Query Language

• ماژول 4 - مقدمه Module 4 - Introduction

• ساختار زبان KQL The Construct of KQL Language

• محیط آزمایشگاه The Lab Environment

• اعلان متغیرها با Let Declaring Variables with Let

• جستجو و مکان اپراتور Search and Where Operator

• اپراتور را گسترش دهید Extend Operator

• سفارش بر اساس استفاده Order By Usage

• اپراتور پروژه Project Operator

• توابع خلاصه، شمارش و DCount Summarize, Count and DCount Functions

• توابع Arg_Max و Arg_Min Arg_Max and Arg_Min Functions

• توابع Make_List و Make_Set Make_List and Make_Set Functions

• اپراتور رندر Render Operator

• عملکرد Bin Bin Function

• اپراتور اتحادیه Union Operator

• خلاصه ماژول 4 Module 4 Summary

ماژول 5 - Microsoft Sentinel Environment - پیکربندی Module 5 - Microsoft Sentinel Environment - Configuration

• راه حل SIEM چیست؟ What is a SIEM Solution

• مایکروسافت سنتینل چیست؟ What is Microsoft Sentinel

• Microsoft Sentinel - کامپوننت ها Microsoft Sentinel - Components

• اتصال دهنده های داده Data Connectors

• حفظ گزارش Log Retention

• کتاب های کار Workbooks

• هشدارهای تجزیه و تحلیل Analytics Alerts

• شکار تهدید Threat Hunting

• حوادث و تحقیقات Incidents & Investigations

• کتاب های بازی اتوماسیون Automation Playbooks

• ایجاد فضای کاری Azure Sentinel Creating Azure Sentinel Workspace

• Azure Sentinel - RBAC Azure Sentinel - RBAC

• اتصال دهنده های داده Data Connectors

• میزبان ویندوز On-Boarding به Sentinel On-Boarding Windows host to Sentinel

• بلع رویدادها به Sentinel Ingesting Events to Sentinel

• فهرست نظارت نگهبان Sentinel Watchlist

• Sentinel - ایجاد فهرست پیگیری برای Tor Nodes ویرایش شده Sentinel - Creating a watchlist for Tor Nodes-edited

• Sentinel - ایجاد جستجوی شکار Sentinel - Create Hunting Query

• Sentinel - پخش زنده Sentinel - Live Stream

• Sentinel - گرفتن ترافیک از گره های خروجی TOR Sentinel - Capturing traffic from TOR Exit Nodes

• Sentinel - قوانین تحلیلی ایجاد کنید Sentinel - Create Analytical Rules

• نوع قانون تحلیلی - فیوژن Analytical Rule Type - Fusion

• انواع قوانین تحلیلی - انواع امنیت Analytical Rule Types - Security Types

• انواع قوانین تحلیلی - تجزیه و تحلیل رفتار مبتنی بر ML Analytical Rule Types - ML based Behavioral Analytics

• انواع قوانین تحلیلی - ناهنجاری، هشدارهای برنامه ریزی شده و NRT Analytical Rule Types - Anomaly, Scheduled Alerts and NRT

• ایجاد قوانین Anayltics بر اساس الگو Creating Anayltics Rules based on Template

• ایجاد قوانین تحلیلی بر اساس Wizard Creating Analytic Rules based on Wizard

• مدیریت قوانین Managing the Rules

• تعریف هوش تهدید - CTI Define Threat Intelligence - CTI

• ایجاد TI - فعالیت آزمایشگاهی Create TI - Lab Activity

ماژول 6 - Microsoft Sentinel Environment - Log های اتصال Module 6 - Microsoft Sentinel Environment - Connecting Logs

• ماژول 6 مقدمه Module 6 Introduction

• M365 Defender را به Sentinel وصل کنید Connect M365 Defender to Sentinel

• رابط Log Office 365 Office 365 Log Connector

• رابط Log فعالیت Azure Azure Activity Log Connector

• رابط حفاظت از هویت اکتیو دایرکتوری Azure Azure Active Directory Identity Protection Connector

• Defender for Office 365 Connector Defender for Office 365 Connector

• Defender for Endpoint Connector Defender for Endpoint Connector

• نشانگرهای تهدید را به Microsoft Sentinel متصل کنید Connect Threat Indicators to Microsoft Sentinel

محیط نگهبان مایکروسافت - حوادث، پاسخ به تهدید، UEBA و نظارت Microsoft Sentinel Environment - Incidents,Threat Response , UEBA and Monitoring

• مقدمه ماژول 7 Module 7 Introduction

• مفاهیم کلیدی مدیریت حوادث Key Concepts of Incident Management

• تحقیقات در Azure Sentinel Investigations in Azure Sentinel

• مفاهیم کلیدی مدیریت حوادث - II Key Concepts of Incident Management - II

• مدیریت حوادث در Microsoft Sentinel - I Incident Management in Microsoft Sentinel - I

• مدیریت حوادث در Microsoft Sentinel - II Incident Management in Microsoft Sentinel - II

• حمله Brute Force علیه پورتال Azure - شبیه سازی Brute Force attack against Azure Portal - Simulation

• پاسخ به تهدید با Microsoft Sentinel Playbooks - مقدمه/مورد استفاده Threat Response with Microsoft Sentinel Playbooks - Introduction/ Use Case

• مرحله -1 ایجاد قانون تحلیلی برای جستجوی تغییرات عضویت در نقش Step -1 Creating Analytical Rule to look for Role membership changes

• مرحله 2 - Log Analytics را با Azure AD Audit Logs یکپارچه کنید Step 2 - Integrate Log Analytics with Azure AD Audit Logs

• مرحله 3 - بررسی Log Analytics Step 3 - Verify Log Analytics

• مرحله 4 - ایجاد حادثه در Sentinel Step 4 - Incident Creation in Sentinel

• مرحله 5 - برنامه منطقی را برای ادغام با تیم های مایکروسافت ایجاد کنید Step 5 - Create Logic App to Integrate with Microsoft Teams

• مرحله 6 - قانون تحلیلی را ویرایش کنید تا برنامه Logic - Playbooks را اضافه کنید Step 6 - Edit Analytical Rule to add Logic App - Playbooks

• سرانجام !! تست ادغام Finally !! Testing the Integration

• UEBA - تجزیه و تحلیل رفتار نهاد کاربر - مقدمه UEBA - User Entity Behavior Analytics - Introduction

• آزمایشگاه رفتار نهاد -I Entity Behaviour Lab -I

• آزمایشگاه رفتار نهاد -II Entity Behaviour Lab -II

• کتاب کار - مقدمه Workbooks - Introduction

• ایجاد کتابهای کاری با استفاده از الگو Create Workbooks Using Template

• کتاب کار را از ابتدا ایجاد کنید Create Workbook from scratch

ماژول 8 با مایکروسافت سنتینل شکار تهدید را انجام دهید Module 8 Perform Threat Hunting with Microsoft Sentinel

• مقدمه ماژول 8 Module 8 Introduction

• شکار تهدیدات امنیت سایبری Cyber Security Threat Hunting

• نیاز به شکار فعال The Need for Proactive Hunting

• یک فرضیه شکار تهدید ایجاد کنید Develop a Threat Hunting Hypothesis

• شکار تهدید - خلاصه Threat Hunting - Recap

• نوت بوک - مقدمه Notebooks - Introduction

• نوت بوک های نگهبان - فعالیت آزمایشگاهی Sentinel Notebooks - Lab Activity

SC 200 - تحلیلگر عملیات امنیتی مایکروسافت - خلاصه دوره SC 200 - Microsoft Security Operations Analyst - Course Summary

• SC 200 - تحلیلگر عملیات امنیتی مایکروسافت - خلاصه دوره SC 200 - Microsoft Security Operations Analyst - Course Summary