آموزش SC-200: تحلیلگر عملیات امنیتی مایکروسافت

سرفصل ها و درس ها

مقدمه Introduction

• خوش آمدید Welcome

• مهم - مبانی IMPORTANT - Basics

• مهم - دموها IMPORTANT - Demos

• مهم - Defender M365 اکنون Defender XDR است IMPORTANT - Defender M365 is now Defender XDR

• سوالات متداول FAQs

• اسلایدهای دوره Course Slides

مبانی - مرکز عملیات امنیتی (SOC) Basics - Security Operations Center (SOC)

• پیچیدگی و چالش های امنیت سایبری Complexity and Cyber Security Challenges

• SOC چیست؟ What is a SOC?

• مدل ردیف SOC SOC Tier Model

• فرآیند پاسخگویی به حوادث امنیت سایبری Cyber Security Incident Response Process

• EDR، XDR، SIEM و SOAR EDR, XDR, SIEM & SOAR

• تیم آبی، قرمز و بنفش Blue, Red & Purple Teaming

مبانی - هوش تهدید سایبری (CTI) Basics - Cyber Threat Intelligence (CTI)

• تهدید چیست؟ What is a Threat?

• اطلاعات، اطلاعات تهدید و اطلاعات تهدید سایبری (CTI) Intelligence, Threat Intelligence & Cyber Threat Intelligence (CTI)

• CTI چیست؟ What is CTI?

• تهدید، آسیب پذیری و خطر Threat, Vulnerability & Risk

• دفاع آگاهانه از تهدید Threat-Informed Defense

• تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) Tactics, Techniques & Procedures (TTPs)

• IOC و IOA IOCs & IOAs

• هرم درد Pyramid of Pain

• منابع CTI CTI Sources

مبانی - آسیب پذیری ها Basics - Vulnerabilities

• آسیب پذیری چیست؟ What is a Vulnerability?

• آسیب پذیری ها و مواجهه های رایج (CVE) Common Vulnerabilities and Exposures (CVE)

• سیستم امتیازدهی آسیب پذیری رایج (CVSS) Common Vulnerability Scoring System (CVSS)

مبانی - لاجوردی Basics - Azure

• ویژگی های رایانش ابری Cloud Computing Properties

• انواع رایانش ابری Cloud Computing Types

• Azure Global Backbone Azure Global Backbone

• مدل مسئولیت مشترک Shared Responsibility Model

• سلسله مراتب منابع Azure Azure Resource Hierarchy

• انواع اشتراک Azure Azure Subscription Types

• Entra ID مستاجران و اشتراک های Azure Entra ID Tenants and Azure Subscriptions

مبانی - امنیت مایکروسافت و اعتماد صفر Basics - Microsoft Security and Zero Trust

• اعتماد صفر Zero Trust

• Microsoft Security Cosmos The Microsoft Security Cosmos

• دفاع در مقابل زنجیره های حمله Defending Across Attack Chains

مبانی - MITER ATT&CK Basics - MITRE ATT&CK

• MITER ATT&CK در SC-200 MITRE ATT&CK in the SC-200

• ATT&CK چیست؟ What is ATT&CK?

• نگاشت ATT&CK به هرم درد Mapping ATT&CK to the Pyramid of Pain

• ماتریس ها Matrices

• تاکتیک Tactics

• تکنیک ها Techniques

• تکنیک های فرعی Subtechniques

• تاکتیک ها، تکنیک ها و تکنیک های فرعی Tactics, Techniques & Subtechniques

• منابع داده Data Sources

• تشخیص ها Detections

• اقدامات کاهشی Mitigations

• گروه ها Groups

• نرم افزار Software

• کمپین ها Campaigns

• روابط Relations

• نسخه ی نمایشی: ATT&CK Enterprise Matrix Demo: ATT&CK Enterprise Matrix

محیط مایکروسافت را راه اندازی کنید Setup Microsoft Environment

• نسخه ی نمایشی: مایکروسافت 365 E5 را فعال و اختصاص دهید Demo: Activate and Assign Microsoft 365 E5

• نسخه ی نمایشی: اشتراک رایگان Azure خود را ایجاد کنید Demo: Create your free Azure Subscription

راه اندازی محیط آزمایشگاه Setup Lab Environment

• مهم است IMPORTANT

• نسخه ی نمایشی: VirtualBox را نصب کنید Demo: Install VirtualBox

• نسخه ی نمایشی: کالی لینوکس را نصب کنید Demo: Install Kali Linux

• نسخه ی نمایشی: چیدمان صفحه کلید Kali را پیکربندی کنید Demo: Configure Kali Keyboard Layout

• مرورگر Tor را روی کالی نصب کنید Install Tor Browser on Kali

راه اندازی Microsoft Defender برای Cloud (MDC) Setup Microsoft Defender for Cloud (MDC)

• نسخه ی نمایشی: ایجاد گروه منابع Demo: Create Resource Group

• نسخه ی نمایشی: فعال کردن همه برنامه ها در Defender برای Cloud Demo: Enable All Plans in Defender for Cloud

• نسخه ی نمایشی: ایجاد هشدارهای نمونه Demo: Create Sample Alerts

تنظیمات را در Microsoft Defender XDR پیکربندی کنید Configure settings in Microsoft Defender XDR

• Defender XDR چیست؟ What is Defender XDR?

• نسخه ی نمایشی: یکپارچه RBAC را پیکربندی کنید Demo: Configure Unified RBAC

• نسخه ی نمایشی: مدیریت حوادث و هشدارها Demo: Manage Incidents and Alerts

• نسخه ی نمایشی: Microsoft Defender را برای ویژگی های پیشرفته Endpoint پیکربندی کنید Demo: Configure Microsoft Defender for Endpoint advanced features

مدیریت دارایی ها و محیط ها Manage assets and environments

• با استفاده از مدیریت قرار گرفتن در معرض (XSPM) در Microsoft Defender XDR، خطر را کاهش دهید Mitigate risk by using Exposure Management (XSPM) in Microsoft Defender XDR

• نسخه ی نمایشی: XSPM - Attack Surface Demo: XSPM - Attack Surface

• نسخه ی نمایشی: XSPM - Exposure Insights Demo: XSPM - Exposure Insights

• نسخه ی نمایشی: XSPM - امتیاز امن Demo: XSPM - Secure Score

• با استفاده از Defender for Cloud، منابع محافظت نشده را کشف کنید Discover unprotected resources by using Defender for Cloud

• مدافع برای ابر: CSPM و CWP Defender for Cloud: CSPM & CWP

• Defender for Cloud: CSPM چیست؟ Defender for Cloud: What is CSPM?

• Defender for Cloud: CSPM Plans Defender for Cloud: CSPM Plans

• مدافع برای ابر: RBAC Defender for Cloud: RBAC

• Defender for Cloud: Asset Inventory Defender for Cloud: Asset Inventory

• نسخه ی نمایشی: موجودی دارایی Demo: Asset Inventory

• Defender for Cloud: توصیه های امنیتی Defender for Cloud: Security Recommendations

• نسخه ی نمایشی: توصیه های امنیتی Demo: Security Recommendations

• Defender for Cloud: Secure Score Defender for Cloud: Secure Score

• نسخه ی نمایشی: امتیاز امن Demo: Secure Score

• Defender for Cloud: Remediation Defender for Cloud: Remediation

• نسخه ی نمایشی: اصلاح Demo: Remediation

• Defender for Cloud: DevOps Security Defender for Cloud: DevOps Security

• قوس لاجوردی Azure Arc

یک فضای کاری Microsoft Sentinel را طراحی و پیکربندی کنید Design and configure a Microsoft Sentinel workspace

• یک فضای کاری Microsoft Sentinel برنامه ریزی کنید Plan a Microsoft Sentinel workspace

• نسخه ی نمایشی: یک گروه منبع Azure برای Sentinel ایجاد کنید Demo: Create an Azure Resource Group for Sentinel

• گزارش تجزیه و تحلیل Log Analytics

• خوشه اختصاصی تجزیه و تحلیل ورود به سیستم Log Analytics Dedicated Cluster

• نسخه ی نمایشی: یک فضای کاری Log Analytics ایجاد کنید Demo: Create a Log Analytics Workspace

• نسخه ی نمایشی: یک فضای کاری Sentinel ایجاد کنید Demo: Create a Sentinel Workspace

• Sentinel RBAC Sentinel RBAC

• نسخه ی نمایشی: نقش های Microsoft Sentinel را پیکربندی کنید Demo: Configure Microsoft Sentinel roles

• نسخه ی نمایشی: Sentinel را با Defender XDR وصل کنید Demo: Connect Sentinel with Defender XDR

• مدل های قیمت گذاری Pricing Models

• رده های تعهد Commitment Tiers

• انواع لاگ Log Types

• بایگانی و بازیابی گزارش‌ها Archive and Restore Logs

• نسخه ی نمایشی: کتاب کار بهینه سازی هزینه Demo: Cost Optimization Workbook

• نگهداری طولانی مدت با Azure Data Explorer Long-Term Retention with Azure Data Explorer

• نگهداری طولانی مدت با ذخیره سازی لکه های لاجوردی Long-Term Retention with Azure Blob Storage

منابع داده را در Microsoft Sentinel مصرف کنید Ingest data sources in Microsoft Sentinel

• نمای کلی Overview

• منابع داده ای را که باید برای مایکروسافت سنتینل جذب شود، شناسایی کنید Identify data sources to be ingested for Microsoft Sentinel

• نسخه ی نمایشی: راه حل های هاب محتوا را پیاده سازی و استفاده کنید Demo: Implement and use Content hub solutions

• نسخه ی نمایشی: CTI را در Sentinel وارد کنید Demo: Ingest CTI into Sentinel

• نسخه ی نمایشی: تأیید ورود CTI Demo: Verify CTI Ingestion

• نسخه ی نمایشی: ورود Entra ID به Sentinel Demo: Ingesting Entra ID into Sentinel

• نسخه ی نمایشی: استقرار آزمایشگاه آموزشی نگهبان Demo: Deploy Sentinel Training Lab

• AMA و DCR AMA and DCR

• نسخه ی نمایشی: دریافت گزارش رویدادهای امنیتی ویندوز با AMA و DCR Demo: Ingesting Windows Security Event Logs with AMA and DCR

• نظارت و بهینه سازی مصرف داده ها Monitor and optimize data ingestion

• نسخه ی نمایشی: نظارت و بهینه سازی مصرف داده ها Demo: Monitor and optimize data ingestion

پیکربندی حفاظت ها در فناوری های امنیتی Microsoft Defender Configure protections in Microsoft Defender security technologies

• Microsoft Defender برای Office 365 (MDO) چیست؟ What is Microsoft Defender for Office 365 (MDO)?

• MDO: حفاظت از لبه MDO: Edge Protection

• MDO: اطلاعات فرستنده MDO: Sender Intelligence

• MDO: فیلتر محتوا MDO: Content Filtering

• MDO: محافظت پس از تحویل MDO: Post Delivery Protection

• MDO: سیاست های امنیتی از پیش تعیین شده MDO: Preset Security Policies

• MDO: سیاست ضد فیشینگ MDO: Anti-Phishing Policy

• MDO: سیاست ضد هرزنامه MDO: Anti-Spam Policy

• MDO: سیاست ضد بدافزار MDO: Anti-Malware Policy

• MDO: پیوست های ایمن MDO: Safe Attachments

• MDO: پیوندهای ایمن MDO: Safe Links

• نسخه ی نمایشی: لیست های مجاز/مسدود مستاجر Demo: Tenant Allow/Block Lists

• Microsoft Defender for Cloud Apps (MDCA) چیست؟ What is Microsoft Defender for Cloud Apps (MDCA)?

• MDCA: کاتالوگ برنامه های ابری MDCA: Cloud App Catalog

• MDCA: سیاست های برنامه ابری MDCA: Cloud App Policies

شناسایی ها را در Microsoft Sentinel پیکربندی کنید Configure detections in Microsoft Sentinel

• گردش کار نگهبان Sentinel Workflow

• قوانین تجزیه و تحلیل را پیکربندی و مدیریت کنید Configure and manage analytics rules

• نسخه ی نمایشی: قوانین تحلیلی Demo: Analytic Rules

• قوانین تحلیلی برنامه ریزی شده Scheduled Analytic Rules

• نسخه ی نمایشی: قوانین تحلیلی برنامه ریزی شده - شناسه ورودی Demo: Scheduled Analytic Rules - Entra ID

• نسخه ی نمایشی: قوانین تحلیلی برنامه ریزی شده - رویدادهای امنیتی ویندوز Demo: Scheduled Analytic Rules - Windows Security Events

• قوانین نزدیک به زمان واقعی (NRT) Near-Real-Time-Rules (NRT)

• نسخه ی نمایشی: قوانین نزدیک به زمان واقعی (NRT) Demo: Near-Real-Time-Rules (NRT)

• فیوژن Fusion

• نسخه ی نمایشی: فیوژن Demo: Fusion

• تجزیه و تحلیل رفتار ML ML Behavior Analytics

• نسخه ی نمایشی: ML Behavior Analytics Demo: ML Behavior Analytics

• قوانین اطلاعاتی تهدید Threat Intelligence Rules

• نسخه ی نمایشی: قوانین اطلاعاتی تهدید Demo: Threat Intelligence Rules

• قوانین امنیتی مایکروسافت Microsoft Security Rules

• نسخه ی نمایشی: قوانین امنیتی مایکروسافت Demo: Microsoft Security Rules

• پیاده سازی تجزیه و تحلیل رفتاری (UEBA) Implement behavioral analytics (UEBA)

به هشدارها و حوادث در Microsoft Defender XDR پاسخ دهید Respond to alerts and incidents in Microsoft Defender XDR

• CWP چیست؟ What is CWP?

• مدافع برای پایگاه های داده Defender for Databases

• مدافع برای ذخیره سازی Defender for Storage

• نسخه ی نمایشی: یک حساب ذخیره سازی ایجاد کنید Demo: Create a Storage Account

• نسخه ی نمایشی: Defender for Storage Demo: Defender for Storage

• نسخه ی نمایشی: پاسخ اسکن بدافزار با اتوماسیون گردش کار و برنامه های منطقی Azure Demo: Malware Scanning Response with Workflow Automation & Azure Logic Apps

• مدافع برای کانتینرها Defender for Containers

• نسخه ی نمایشی: یک خوشه AKS ایجاد کنید Demo: Create an AKS Cluster

• نسخه ی نمایشی: Defender for Containers Demo: Defender for Containers

• مدافع برای خرک کلید Defender for Key Vault

• نسخه ی نمایشی: یک Azure Key Vault ایجاد کنید Demo: Create an Azure Key Vault

• نسخه ی نمایشی: Defender for Key Vault Demo: Defender for Key Vault

• مدافع برای مدیر منابع Defender for Resource Manager

• نسخه ی نمایشی: Defender for Resource Manager Demo: Defender for Resource Manager

• اعلان های ایمیل Email Notifications

• نسخه ی نمایشی: قوانین سرکوب ایجاد کنید Demo: Create Suppression Rules

• اتوماسیون گردش کار Workflow Automation

• Defender for Identity چیست؟ What is Defender for Identity?

• هویت ها محیط امنیتی جدید هستند! Identities are the new security perimeter!

• NTLM NTLM

• Pass-the-Hash Attacks Pass-the-Hash Attacks

• کربروس Kerberos

• حملات Pass-The-Ticket Pass-The-Ticket Attacks

• حملات Brute Force Brute Force Attacks

• حملات اجرای کد از راه دور Remote Code Execution Attacks

به هشدارها و حوادث شناسایی شده توسط Microsoft Defender برای Endpoint پاسخ دهید Respond to alerts and incidents identified by Microsoft Defender for Endpoint

• Defender for Servers چیست؟ What is Defender for Servers?

• عوامل Agents

• تشخیص تهدید برای سطح سیستم عامل Threat Detection for OS Level

• هشدار برای ماشین های ویندوز Alerts for Windows Machines

• هشدار برای ماشین های لینوکس Alerts for Linux Machines

• نسخه ی نمایشی: ماشین های مجازی ایجاد کنید Demo: Create Virtual Machines

• نسخه ی نمایشی: Brute Force SSH Demo: Brute Force SSH

• نسخه ی نمایشی: اقداماتی را روی دستگاه انجام دهید، از جمله پاسخ زنده و جداسازی Demo: Perform actions on the device, including live response and isolation

فعالیت های مایکروسافت 365 را بررسی کنید Investigate Microsoft 365 activities

• Microsoft Purview چیست؟ What is Microsoft Purview?

• پورتال جدید Purview The New Purview Portal

• نسخه ی نمایشی: به پورتال Purview دسترسی پیدا کنید Demo: Access the Purview Portal

• امنیت داده ها Data Security

• تهدیدات امنیت داده ها Data Security Threats

• انواع اطلاعات حساس Purview Purview Sensitive Information Types

• نسخه ی نمایشی: انواع اطلاعات حساس Purview Demo: Purview Sensitive Information Types

• برچسب های حساسیت Purview Purview Sensitivity Labels

• نسخه ی نمایشی: برچسب های حساسیت Purview Demo: Purview Sensitivity Labels

• Purview Prevention Loss Data (DLP) Purview Data Loss Prevention (DLP)

• نسخه ی نمایشی: Purview DLP Policies Demo: Purview DLP Policies

• Purview Audit Purview Audit

• نسخه ی نمایشی: حسابرسی Demo: Audit

• مدیریت ریسک داخلی Insider Risk Management

• نسخه ی نمایشی: مدیریت ریسک داخلی Demo: Insider Risk Management

• نسخه ی نمایشی: Purview & Defender XDR Demo: Purview & Defender XDR

به حوادث در مایکروسافت سنتینل پاسخ دهید Respond to incidents in Microsoft Sentinel

• داشبورد حوادث Incident Dashboard

• قابلیت های اتوماسیون در Sentinel Automation Capabilities in Sentinel

• قوانین اتوماسیون Automation rules

• نسخه ی نمایشی: قوانین اتوماسیون Demo: Automation rules

• کتاب های بازی Playbooks

• قوانین اتوماسیون در مقابل کتابهای بازی Automation rules vs. Playbooks

• برنامه های منطقی Azure Azure Logic Apps

• نسخه ی نمایشی: Playbooks و Azure Logic Apps Demo: Playbooks & Azure Logic Apps

• نسخه ی نمایشی: کتاب بازی با MITER ATT&CK و ChatGPT Demo: Playbook with MITRE ATT&CK & ChatGPT

• Sentinel REST API Sentinel REST API

Microsoft Copilot برای امنیت را پیاده سازی و استفاده کنید Implement and use Microsoft Copilot for Security

• GenAI چیست؟ What is GenAI?

• مدل زبان بزرگ (LLM) چیست؟ What is a Large Language Model (LLM)?

• Prompt چیست؟ What is a Prompt?

• مدل های هوش مصنوعی AI Models

• معماری LLM LLM Architecture

• اهمیت امنیت در GenAI The Importance of Security in GenAI

• بردارهای تهدید برای یک برنامه GenAI Threat Vectors for a GenAI Application

• چگونه دشمنان از هوش مصنوعی استفاده می کنند How Adversaries Leverage AI

• مسئولیت مشترک در هوش مصنوعی Shared Responsibility in AI

• هوش مصنوعی مسئول مایکروسافت Microsoft Responsible AI

• Microsoft Copilot برای امنیت چیست؟ What is Microsoft Copilot for Security?

• از Prompt تا Reponse From Prompt to Reponse

• معماری Architecture

• گسترش Copilot با افزونه ها و موارد دیگر Extending Copilot with Plugins & more

• مفاهیم حریم خصوصی Privacy Implications

• مجوزها و نقش ها را در Copilot for Security: Authentication & RBAC مدیریت کنید Manage permissions and roles in Copilot for Security: Authentication & RBAC

• تجربه مستقل در مقابل تجربه جاسازی شده Standalone vs. Embedded Experience

• قیمت گذاری Pricing

• مهم - پرش نکنید IMPORTANT - DO NOT SKIP

• الزامات ورود Onboarding Requirements

• نسخه ی نمایشی: ایجاد ظرفیت های محاسباتی Demo: Create Compute Capacities

• نسخه ی نمایشی: راه اندازی Copilot برای امنیت Demo: Setup Copilot for Security

• ایجاد اعلان های موثر Creating Effective Prompts

• نسخه ی نمایشی: مانیتور Copilot برای ظرفیت امنیتی و هزینه Demo: Monitor Copilot for Security capacity and cost

• نسخه ی نمایشی: ایجاد و استفاده از promptbooks Demo: Create and use promptbooks

• نسخه ی نمایشی: کتاب درخواست تجزیه و تحلیل اسکریپت مشکوک Demo: Suspicious Script Analysis Promptbook

• دمو: دفترچه درخواست نمایه بازیگر تهدید Demo: Threat Actor Profile Promptbook

• نسخه آزمایشی: کتاب اعلان ارزیابی تأثیر آسیب پذیری Demo: Vulnerability Impact Assessment Promptbook

• نسخه ی نمایشی: CTI Prompts Demo: CTI Prompts

• نسخه ی نمایشی: درخواست های ارزیابی آسیب پذیری Demo: Vulnerability Assessment Prompts

• نسخه ی نمایشی: Purview Demo: Purview

با استفاده از KQL تهدیدات را جستجو کنید Hunt for threats by using KQL

• Threat Hunting چیست؟ What is Threat Hunting?

• شناسایی تهدیدات با استفاده از Kusto Query Language (KQL) Identify threats by using Kusto Query Language (KQL)

• نسخه ی نمایشی: با استفاده از KQL پرس و جوهای شکار سفارشی ایجاد کنید Demo: Create custom hunting queries by using KQL

• نسخه ی نمایشی: تجزیه و تحلیل تهدید را در پورتال Microsoft Defender تفسیر کنید Demo: Interpret threat analytics in the Microsoft Defender portal

• نسخه ی نمایشی: پروفایل های اینتل Demo: Intel Profiles

• نسخه ی نمایشی: Intel Explorer Demo: Intel Explorer

با استفاده از مایکروسافت سنتینل، تهدیدات را جستجو کنید Hunt for threats by using Microsoft Sentinel

• نسخه ی نمایشی: KQL در Log Analytics Demo: KQL in Log Analytics

• نسخه ی نمایشی: شکار را ایجاد و مدیریت کنید Demo: Create and manage hunts

• نسخه ی نمایشی: ایجاد و نظارت بر نمایش داده شد شکار Demo: Create and monitor hunting queries

• نوت بوک Notebooks

• نسخه ی نمایشی: نوت بوک با MSTICPy Demo: Notebooks with MSTICPy

• CTI در Sentinel CTI in Sentinel

• STIX & TAXII STIX & TAXII

• نسخه ی نمایشی: CTI در Sentinel Demo: CTI in Sentinel

تجزیه و تحلیل و تفسیر داده ها با استفاده از کتاب های کار Analyze and interpret data by using workbooks

• کتاب های کار در Sentinel Workbooks in Sentinel

• نسخه ی نمایشی: قالب های کتاب کار را فعال و سفارشی کنید Demo: Activate and customize workbook templates

پاداش Bonus

• پاداش Bonus