آموزش SC-200: تحلیلگر عملیات امنیتی مایکروسافت [ویدئو]

سرفصل ها و درس ها

معرفی Introduction

• نیاز به تیم SOC The Need for SOC Team

• SC-200 - تحلیلگر عملیات امنیتی مایکروسافت - معرفی دوره SC-200 - Microsoft Security Operations Analyst - Course Introduction

• SC-200 - تحلیلگر عملیات امنیتی مایکروسافت - به روز رسانی اخیر SC-200 - Microsoft Security Operations Analyst - Recent Update

ماژول 1- کاهش تهدیدات با استفاده از Microsoft 365 Defender Module 1- Mitigate Threats Using Microsoft 365 Defender

• ماژول 1 - اهداف آموزشی Module 1 - Learning Objectives

• مقدمه ای بر حفاظت از تهدید Introduction to Threat Protection

• Microsoft 365 Defender Suite Microsoft 365 Defender Suite

• جدول زمانی معمول یک حمله Typical Timeline of an Attack

• Microsoft 365 Defender - نمایش تعاملی Microsoft 365 Defender - Interactive Demonstration

• کاهش حوادث با استفاده از Microsoft 365 Defender - فصل مقدمه Mitigate Incidents Using Microsoft 365 Defender - Chapter Introduction

• چگونه زمین بازی خود را ایجاد کنیم - محیط آزمایشگاه How to Create Your Playground - Lab Environment

• Microsoft 365 Defender Portal - مقدمه Microsoft 365 Defender Portal - Introduction

• مدیریت حوادث Managing Incidents

• اطلاعات بیشتر در مورد حوادث More about Incidents

• شبیه سازی حوادث - مرورگر Tor Simulate Incidents - Tor Browser

• مدیریت حوادث Managing Incidents

• مدیریت هشدارها Managing Alerts

• بررسی حوادث - MITER ATT-A-CK Investigating Incidents - MITRE ATT-A-CK

• شکار پیشرفته Advance Hunting

• طرح شکار پیشرفته Advance Hunting Schema

• کاوش در پرس و جوهای Kusto Exploring the Kusto Queries

• کارشناسان تهدید مایکروسافت Microsoft Threat Experts

• Microsoft Defender برای آفیس 365 - مقدمه فصل Microsoft Defender for Office 365 - Chapter Introduction

• Microsoft Defender برای Office 365 - قابلیت های کلیدی Microsoft Defender for Office 365 - Key Capabilities

• Microsoft Defender برای Office 365 - قابلیت های کلیدی - II Microsoft Defender for Office 365 - Key Capabilities - II

• از سازمان خود محافظت کنید - M365 Defender برای O365 - آزمایشگاه I Safeguard Your Organization- M365 Defender for O365 - Lab I

• از سازمان خود محافظت کنید - M365 Defender برای O365 - آزمایشگاه II Safeguard Your Organization- M365 Defender for O365 - Lab II

• شبیه سازی حمله - فعالیت آزمایشگاهی Attack Simulation - Lab Activity

• Microsoft Defender for Identity - مقدمه Microsoft Defender for Identity - Introduction

• Microsoft Defender برای هویت چیست؟ What Is Microsoft Defender for Identity

• Microsoft Defender for Identity - قابلیت های کلیدی Microsoft Defender for Identity - Key Capabilities

• نصب سنسورها روی کنترل کننده دامنه - 1 Installing Sensors on Domain Controller - 1

• نصب سنسورها بر روی کنترل کننده دامنه - 2 Installing Sensors on Domain Controller - 2

• گرفتن حرکات جانبی Capturing Lateral Movements

• آزمایشگاه شکار تهدید Threat Hunting Lab

• Microsoft Defender برای سنسورهای هویت - معماری Microsoft Defender for Identity Sensors - Architecture

• با Azure AD Identity Protection از هویت خود محافظت کنید - مقدمه Protect Your Identities with Azure AD Identity Protection - Introduction

• خطرات کاربر و خطرات ورود به سیستم User Risks and Sign-In Risks

• خط مشی ریسک کاربر و خط مشی ریسک ورود به سیستم - فعالیت آزمایشگاهی User Risk Policy and Sign-In Risk Policy - Lab Activity

• امنیت برنامه ابری - مقدمه Cloud App Security - Introduction

• چارچوب امنیتی Cloud App The Cloud App Security Framework

• کنترل های برنامه دسترسی مشروط Conditional Access App Controls

• حفاظت از اطلاعات چیست؟ What Is Information Protection?

• مدیریت ریسک داخلی - حسابرسی را فعال کنید Insider Risk Management - Enable Auditing

• مراحل امنیت اپلیکیشن ابری Phases of Cloud App security

• مراحل امنیتی برنامه ابری - فعالیت آزمایشگاهی Cloud App security Phases - Lab Activity

• پیشگیری از از دست دادن داده - مقدمه فصل Data Loss Prevention - Chapter Introduction

• هشدارهای DLP DLP Alerts

• ایجاد خط مشی برای DLP در پرتال انطباق Create Policies for DLP in Compliance Portal

• مدیریت ریسک داخلی Insider Risk Management

• ریسک داخلی چیست What Is Insider Risk

• نکات دردناک یک محل کار مدرن Pain Points of a Modern Workplace

• مدیریت ریسک داخلی با M365 Defender Insider Risk management with M365 Defender

• مدیریت ریسک داخلی - مجوزها Insider Risk Management - Permissions

• ماژول 1 - خلاصه Module 1 - Summary

ماژول 2 - کاهش تهدیدات با استفاده از Microsoft Defender برای Endpoint Module 2 - Mitigate Threats Using Microsoft Defender for Endpoint

• ماژول 2 - مقدمه Module 2 - Introduction

• Defender for Endpoint - ویژگی ها Defender for Endpoint - Features

• Defender for Endpoint - اصطلاحات Defender for Endpoint - Terminology

• نصب دستگاه ها به Defender Onboarding Devices to Defender

• بهبودهای امنیتی ویندوز 10 - مقدمه فصل Windows 10 Security Enhancements - Chapter Introduction

• قوانین کاهش سطح حمله Attack Surface Reduction Rules

• قوانین سطح حمله Attack Surface Rules

• موجودی دستگاه Device Inventory

• بررسی دستگاه - هشدارها Device Investigation -Alerts

• انسداد رفتاری Behavioral Blocking

• مسدود کردن رفتار مشتری Client Behavioral Blocking

• EDR- حالت بلوک EDR- Block Mode

• EDR- Block Mode - Lab Activity EDR- Block Mode - Lab Activity

• انجام اقدامات روی دستگاه Performing Actions on the Device

• پاسخ زنده Live Response

• انجام تحقیقات شواهد و نهادها Perform Evidence and Entities Investigations

• بررسی های کاربر User Investigations

• ویژگی‌های اصلاح خودکار پیشرفته - نقطه پایانی Advance Automated Remediation Features - Endpoint

• مدیریت آپلود فایل Managing File Uploads

• حذف پوشه اتوماسیون Automation Folder Exclusion

• بررسی سطح فایل File Level Investigation

• خودکارسازی اصلاح گروه دستگاه Automating Device Group Remediation

• مسدود کردن دستگاه‌های خطرناک با استفاده از Intune، Defender و Azure AD Blocking Risky Devices Using Intune, Defender, and Azure AD

• پیکربندی هشدارها و تشخیص ها - مقدمه فصل Configure Alerts and Detections - Chapter Introduction

• پیکربندی ویژگی های پیشرفته Configuring Advance Features

• پیکربندی اعلان های ایمیل Configuring Email Notifications

• شاخص های سازش Indicators of Compromise

• مدیریت تهدید و آسیب پذیری - مقدمه فصل Threat and Vulnerability Management - Chapter Introduction

• مدیریت تهدید و آسیب پذیری - توضیح Threat and Vulnerability Management - Explanation

• ماژول 2 - خلاصه Module 2 - Summary

ماژول 3 - کاهش تهدیدات با استفاده از Microsoft Defender برای Cloud Module 3 - Mitigate Threats Using Microsoft Defender for Cloud

• ماژول 3 - مقدمه Module 3 - Introduction

• مرکز امنیتی Azure چیست؟ What Is Azure Security Center

• Microsoft Defender for Cloud - ویژگی ها Microsoft Defender for Cloud - Features

• Azure Defender for Cloud - Lab Activity Azure Defender for Cloud - Lab Activity

• CSPM و CWP CSPM and CWP

• کدام منابع با استفاده از Microsoft Defender محافظت می شوند Which Resources Are Protected Using Microsoft Defender

• مزایای Azure Defender برای سرورها Benefits of Azure Defender for Servers

• Defender for App Services Defender for App Services

• Defender for App Services - Lab Defender for App Services - Lab

• مدافع برای ذخیره سازی - آزمایشگاه Defender for Storage - Lab

• Defender برای SQL - Lab Defender for SQL - Lab

• مدافع برای Keyvault Defender for Keyvault

• مدافع برای DNS Defender for DNS

• مدافع کوبرنتس Defender for Kubernetes

• مدافع برای رجیستری کانتینر Defender for Container Registry

• اتصال دارایی های Azure به Azure Defender - مقدمه فصل Connect Azure Assets to Azure Defender- Chapter Introduction

• موجودی دارایی - آزمایشگاه Asset Inventory - Lab

• تامین خودکار Auto-Provisioning

• انواع رویداد ذخیره شده Stored Event Types

• تهیه دستی Manual Provisioning

• منابع غیر آژور را به Defender متصل کنید Connect Non-Azure Resources to Defender

• روش های سوار شدن Onboarding Methods

• نمونه GCP داخلی به Azure ARC Onboard GCP Instance to Azure ARC

• نصب سرویس های AWS در Defender Cloud Onboarding AWS Services to Defender Cloud

• اصلاح هشدارهای امنیتی - مقدمه فصل Remediating Security Alerts- Chapter Introduction

• در حال تغییر جهان و مهاجمان Changing World and Attackers

• هشدارها و اعلان های امنیتی چیست؟ What Are Security Alerts and Notifications

• مدافع چگونه کار می کند؟ How Does a Defender Work?

• سطح شدت هشدار Alert Severity Level

• نظارت و ارزیابی مستمر Continuous Monitoring and Assessments

• تاکتیک های حمله MITER و انواع هشدار MITRE Attack Tactics and Alert Types

• اصلاح هشدارها Remediating Alerts

• پاسخ های خودکار Automated Responses

• سرکوب هشدار Alert Suppression

• ماژول 3 - خلاصه Module 3 - Summary

ماژول 4 - با استفاده از زبان Kusto Query Queries برای Microsoft Sentinel ایجاد کنید Module 4 - Create Queries for Microsoft Sentinel Using Kusto Query Language

• ماژول 4 - مقدمه Module 4 - Introduction

• ساختار زبان KQL The Construct of KQL Language

• محیط آزمایشگاه The Lab Environment

• اعلان متغیرها با Let Declaring Variables with Let

• جستجو و مکان اپراتور Search and Where Operator

• اپراتور را گسترش دهید Extend Operator

• سفارش بر اساس استفاده Order by Usage

• اپراتور پروژه Project Operator

• توابع خلاصه، شمارش و DCount Summarize, Count, and DCount Functions

• توابع Arg_Max و Arg_Min Arg_Max and Arg_Min Functions

• توابع Make_List و Make_Set Make_List and Make_Set Functions

• اپراتور رندر Render Operator

• عملکرد Bin Bin Function

• اپراتور اتحادیه Union Operator

• خلاصه ماژول 4 Module 4 Summary

ماژول 5 - Microsoft Sentinel Environment - پیکربندی Module 5 - Microsoft Sentinel Environment - Configuration

• راه حل SIEM چیست؟ What Is a SIEM Solution

• مایکروسافت سنتینل چیست؟ What Is Microsoft Sentinel

• Microsoft Sentinel - کامپوننت ها Microsoft Sentinel - Components

• اتصال دهنده های داده Data Connectors

• حفظ گزارش Log Retention

• کتاب های کار Workbooks

• هشدارهای تجزیه و تحلیل Analytics Alerts

• شکار تهدید Threat Hunting

• حوادث و تحقیقات Incidents and Investigations

• کتاب های بازی اتوماسیون Automation Playbooks

• ایجاد فضای کاری Azure Sentinel Creating Azure Sentinel Workspace

• Azure Sentinel - RBAC Azure Sentinel - RBAC

• اتصال دهنده های داده Data Connectors

• نصب میزبان ویندوز در Sentinel Onboarding Windows host to Sentinel

• بلع رویدادها به Sentinel Ingesting Events to Sentinel

• فهرست نظارت نگهبان Sentinel Watchlist

• Sentinel - ایجاد فهرست پیگیری برای گره های Tor ویرایش شده Sentinel - Creating a Watchlist for Tor Nodes-Edited

• Sentinel - ایجاد جستجوی شکار Sentinel - Create Hunting Query

• Sentinel - پخش زنده Sentinel - Live Stream

• Sentinel - گرفتن ترافیک از گره های خروجی TOR Sentinel - Capturing Traffic from TOR Exit Nodes

• Sentinel - قوانین تحلیلی ایجاد کنید Sentinel - Create Analytical Rules

• نوع قانون تحلیلی - فیوژن Analytical Rule Type - Fusion

• انواع قوانین تحلیلی - انواع امنیت Analytical Rule Types - Security Types

• انواع قوانین تحلیلی - تحلیل رفتاری مبتنی بر ML Analytical Rule Types - ML-Based Behavioral Analytics

• انواع قوانین تحلیلی - ناهنجاری، هشدارهای برنامه ریزی شده و NRT Analytical Rule Types - Anomaly, Scheduled Alerts, and NRT

• ایجاد قوانین تجزیه و تحلیل بر اساس الگو Creating Analytics Rules Based on Template

• ایجاد قوانین تحلیلی بر اساس Wizard Creating Analytic Rules Based on Wizard

• مدیریت قوانین Managing the Rules

• تعریف هوش تهدید - CTI Define Threat Intelligence - CTI

• ایجاد TI - فعالیت آزمایشگاهی Create TI - Lab Activity

ماژول 6 - Microsoft Sentinel Environment - Log های اتصال Module 6 - Microsoft Sentinel Environment - Connecting Logs

• ماژول 6 مقدمه Module 6 Introduction

• M365 Defender را به Sentinel وصل کنید Connect M365 Defender to Sentinel

• رابط Log Office 365 Office 365 Log Connector

• رابط Log فعالیت Azure Azure Activity Log Connector

• رابط حفاظت از هویت اکتیو دایرکتوری Azure Azure Active Directory Identity Protection Connector

• Defender for Office 365 Connector Defender for Office 365 Connector

• Defender for Endpoint Connector Defender for Endpoint Connector

• نشانگرهای تهدید را به Microsoft Sentinel متصل کنید Connect Threat Indicators to Microsoft Sentinel

ماژول 7 - محیط نگهبان مایکروسافت - حوادث، پاسخ به تهدید، UEBA و نظارت Module 7 - Microsoft Sentinel Environment - Incidents, Threat Response, UEBA, and Monitoring

• مقدمه ماژول 7 Module 7 Introduction

• مفاهیم کلیدی مدیریت حوادث - I Key Concepts of Incident Management - I

• تحقیقات در Azure Sentinel Investigations in Azure Sentinel

• مفاهیم کلیدی مدیریت حوادث - II Key Concepts of Incident Management - II

• مدیریت حوادث در Microsoft Sentinel - I Incident Management in Microsoft Sentinel - I

• مدیریت حوادث در Microsoft Sentinel - II Incident Management in Microsoft Sentinel - II

• حمله Brute Force در برابر پورتال Azure - شبیه سازی Brute Force Attack against Azure Portal - Simulation

• پاسخ به تهدید با Microsoft Sentinel Playbooks - مقدمه/مورد استفاده Threat Response with Microsoft Sentinel Playbooks - Introduction/Use Case

• مرحله 1 - ایجاد قانون تحلیلی برای جستجوی تغییرات عضویت در نقش Step 1 - Creating Analytical Rule to Look for Role Membership Changes

• مرحله 2 - Log Analytics را با Azure AD Audit Logs یکپارچه کنید Step 2 - Integrate Log Analytics with Azure AD Audit Logs

• مرحله 3 - بررسی Log Analytics Step 3 - Verify Log Analytics

• مرحله 4 - ایجاد حادثه در Sentinel Step 4 - Incident Creation in Sentinel

• مرحله 5 - برنامه منطقی را برای ادغام با تیم های مایکروسافت ایجاد کنید Step 5 - Create Logic App to Integrate with Microsoft Teams

• مرحله 6 - قانون تحلیلی را برای افزودن برنامه منطقی - Playbooks ویرایش کنید Step 6 - Edit Analytical Rule to Add Logic App - Playbooks

• تست ادغام Testing the Integration

• UEBA - تجزیه و تحلیل رفتار نهاد کاربر - مقدمه UEBA - User Entity Behavior Analytics - Introduction

• آزمایشگاه رفتار نهاد -I Entity Behavior Lab -I

• آزمایشگاه رفتار نهاد -II Entity Behavior Lab -II

• کتاب کار - مقدمه Workbooks - Introduction

• ایجاد کتابهای کاری با استفاده از الگو Create Workbooks Using Template

• کتاب کار را از ابتدا ایجاد کنید Create Workbook from scratch

ماژول 8 - شکار تهدید را با مایکروسافت سنتینل انجام دهید Module 8 - Perform Threat Hunting with Microsoft Sentinel

• مقدمه ماژول 8 Module 8 Introduction

• شکار تهدیدات امنیت سایبری Cyber Security Threat Hunting

• نیاز به شکار فعال The Need for Proactive Hunting

• یک فرضیه شکار تهدید ایجاد کنید Develop a Threat Hunting Hypothesis

• شکار تهدید - خلاصه Threat Hunting - Recap

• نوت بوک - مقدمه Notebooks - Introduction

• نوت بوک های نگهبان - فعالیت آزمایشگاهی Sentinel Notebooks - Lab Activity

SC 200 - تحلیلگر عملیات امنیتی مایکروسافت - خلاصه دوره SC 200 - Microsoft Security Operations Analyst - Course Summary

• تحلیلگر عملیات امنیتی مایکروسافت - خلاصه دوره Microsoft Security Operations Analyst - Course Summary