آموزش مایکروسافت دیفندر ایکس‌دی‌آر - آخرین آپدیت

سرفصل ها و درس ها

معرفی Introduction

• خوش آمدید Welcome

• اسلایدها Slides

• مبانی Basics

• دموها Demos

• سوالات متداول FAQs

مبانی - مرکز عملیات امنیتی (SOC) Basics - Security Operations Center (SOC)

• پیچیدگی و چالش‌های امنیت سایبری Complexity and Cyber Security Challenges

• SOC چیست؟ What is a SOC?

• مدل لایه‌ای SOC SOC Tier Model

• فرآیند پاسخ به حادثه امنیت سایبری Cyber Security Incident Response Process

• EDR، XDR، SIEM و SOAR EDR, XDR, SIEM & SOAR

• تیم‌های آبی، قرمز و بنفش Blue, Red & Purple Teaming

مبانی - اطلاعات تهدید سایبری (CTI) Basics - Cyber Threat Intelligence (CTI)

• تهدید چیست؟ What is a Threat?

• اطلاعات، اطلاعات تهدید و اطلاعات تهدید سایبری (CTI) Intelligence, Threat Intelligence & Cyber Threat Intelligence (CTI)

• CTI چیست؟ What is CTI?

• تهدید، آسیب‌پذیری و ریسک Threat, Vulnerability & Risk

• دفاع مبتنی بر تهدید Threat-Informed Defense

• تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs) Tactics, Techniques & Procedures (TTPs)

• IOC ها و IOA ها IOCs & IOAs

• هرم درد Pyramid of Pain

• منابع CTI CTI Sources

مبانی - آسیب پذیری‌ها Basics - Vulnerabilities

• آسیب پذیری چیست؟ What is a Vulnerability?

• آسیب‌پذیری‌ها و مواجهه‌های رایج (CVE) Common Vulnerabilities and Exposures (CVE)

• سیستم امتیازدهی مشترک آسیب پذیری (CVSS) Common Vulnerability Scoring System (CVSS)

مبانی - Azure Basics - Azure

• ویژگی های محاسبات ابری Cloud Computing Properties

• انواع محاسبات ابری Cloud Computing Types

• ستون فقرات جهانی Azure Azure Global Backbone

• مدل مسئولیت مشترک Shared Responsibility Model

• سلسله مراتب منابع Azure Azure Resource Hierarchy

• انواع اشتراک Azure Azure Subscription Types

• مستاجرهای Entra ID و اشتراک های Azure Entra ID Tenants and Azure Subscriptions

مبانی - امنیت مایکروسافت Basics - Microsoft Security

• اعتماد صفر Zero Trust

• دنیای امنیت مایکروسافت The Microsoft Security Cosmos

• دفاع در سراسر زنجیره‌های حمله Defending Across Attack Chains

مبانی - هوش مصنوعی مولد Basics - Generative AI

• مدل زبانی بزرگ (LLM) چیست؟ What is a Large Language Model (LLM)?

• Prompt چیست؟ What is a Prompt?

• مدل‌های هوش مصنوعی AI Models

• معماری LLM LLM Architecture

• OWASP OWASP

• 10 مورد برتر OWASP برای LLM ها OWASP Top 10 for LLMs

• نحوه استفاده مهاجمان از هوش مصنوعی How Adversaries Leverage AI

• هوش مصنوعی مسئولانه مایکروسافت Microsoft Responsible AI

• مسئولیت مشترک در هوش مصنوعی Shared Responsibility in AI

مبانی - MITRE ATT&CK Basics - MITRE ATT&CK

• ATT&CK چیست؟ What is ATT&CK?

• نگاشت ATT&CK به هرم درد Mapping ATT&CK to the Pyramid of Pain

• ماتریس ها Matrices

• تاکتیک ها Tactics

• تکنیک ها Techniques

• زیرتکنیک ها Subtechniques

• تاکتیک‌ها، تکنیک‌ها و زیرتکنیک‌ها Tactics, Techniques & Subtechniques

• منابع داده Data Sources

• شناسایی ها Detections

• تخفیف ها Mitigations

• گروه ها Groups

• نرم افزار Software

• کمپین ها Campaigns

• روابط Relations

• دمو: ماتریس سازمانی ATT&CK Demo: ATT&CK Enterprise Matrix

• تکامل ATT&CK Evolution of ATT&CK

راه اندازی آزمایشگاه Lab Setup

• دمو: فعال سازی و اختصاص Microsoft 365 E5 Demo: Activate and Assign Microsoft 365 E5

• دمو: ایجاد اشتراک رایگان Azure Demo: Create your free Azure Subscription

• دمو: نصب VirtualBox Demo: Install VirtualBox

• دمو: نصب Kali Linux Demo: Install Kali Linux

• دمو: پیکربندی طرح‌بندی صفحه‌کلید Kali Demo: Configure Kali Keyboard Layout

• دمو: نصب مرورگر Tor روی Kali Demo: Install Tor Browser on Kali

Defender XDR Defender XDR

• Defender XDR چیست؟ What is Defender XDR?

• دمو: پیکربندی RBAC Demo: Configure RBAC

• دمو: ایجاد هشدارهای نمونه در Defender for Cloud Demo: Create Sample Alerts in Defender for Cloud

• دمو: مدیریت حوادث و هشدارها Demo: Manage Incidents and Alerts

Defender XDR - اطلاعات تهدید Defender XDR - Threat Intelligence

• دمو: تحلیل تهدید Demo: Threat Analytics

• دمو: پروفایل های اطلاعاتی Demo: Intel Profiles

• دمو: اکسپلورر اطلاعاتی Demo: Intel Explorer

Defender XDR - مدیریت میزان مواجهه Defender XDR - Exposure Management

• دمو: نمای کلی Demo: Overview

• دمو: سطح حمله Demo: Attack Surface

• دمو: بینش های میزان مواجهه Demo: Exposure Insights

• دمو: امتیاز امنیتی Demo: Secure Score

Defender for Endpoint Defender for Endpoint

• Defender for Endpoint چیست؟ What is Defender for Endpoint?

• دمو: مدیریت و اداره Demo: Management and Administration

• دمو: مدیریت آسیب پذیری Demo: Vulnerability Management

Defender for Office 365 Defender for Office 365

• Defender for Office 365 چیست؟ What is Defender for Office 365?

• Defender for Office 365 - محافظت از لبه Defender for Office 365 - Edge Protection

• Defender for Office 365 - هوش فرستنده Defender for Office 365 - Sender Intelligence

• Defender for Office 365 - فیلتر کردن محتوا Defender for Office 365 - Content Filtering

• Defender for Office 365 - محافظت پس از تحویل Defender for Office 365 - Post Delivery Protection

• دمو: سیاست های امنیتی از پیش تعیین شده Demo: Preset Security Policies

• دمو: سیاست ضد فیشینگ Demo: Anti-Phishing Policy

• دمو: سیاست ضد هرزنامه Demo: Anti-Spam Policy

• دمو: سیاست ضد بدافزار Demo: Anti-Malware Policy

• دمو: پیوست های ایمن Demo: Safe Attachments

• دمو: پیوندهای ایمن Demo: Safe Links

• دمو: لیست های مجاز/مسدود مستاجر Demo: Tenant Allow/Block Lists

Defender for Identity Defender for Identity

• Defender for Identity چیست؟ What is Defender for Identity?

• هویت ها محیط امنیتی جدید هستند! Identities are the new security perimeter!

• NTLM NTLM

• حملات Pass-the-Hash Pass-the-Hash Attacks

• Kerberos Kerberos

• حملات Pass-The-Ticket Pass-The-Ticket Attacks

• حملات Brute Force Brute Force Attacks

• حملات اجرای کد از راه دور Remote Code Execution Attacks

Defender for Cloud Apps Defender for Cloud Apps

• Defender for Cloud Apps چیست؟ What is Defender for Cloud Apps?

• دمو: کاتالوگ برنامه های ابری Demo: Cloud App Catalog

• دمو: سیاست های برنامه های ابری Demo: Cloud App Policies

Defender for Cloud Defender for Cloud

• Microsoft Defender for Cloud چیست؟ What is Microsoft Defender for Cloud?

• CSPM و CWP CSPM & CWP

• CSPM چیست؟ What is CSPM?

• برنامه های CSPM CSPM Plans

• Defender for Cloud RBAC Defender for Cloud RBAC

• فهرست دارایی ها Asset Inventory

• دمو: فهرست دارایی ها Demo: Asset Inventory

• توصیه های امنیتی Security Recommendations

• دمو: توصیه های امنیتی Demo: Security Recommendations

• امتیاز امنیتی Secure Score

• دمو: امتیاز امنیتی Demo: Secure Score

• اصلاح Remediation

• دمو: اصلاح Demo: Remediation

• CWP چیست؟ What is CWP?

• Defender for Servers چیست؟ What is Defender for Servers?

• عامل ها Agents

• تشخیص تهدید برای سطح سیستم عامل Threat Detection for OS Level

• هشدارها برای ماشین های ویندوز Alerts for Windows Machines

• هشدارها برای ماشین های لینوکس Alerts for Linux Machines

• دمو: Brute Force SSH Demo: Brute Force SSH

• Defender for Databases Defender for Databases

• Defender for Storage Defender for Storage

• دمو: Defender for Storage Demo: Defender for Storage

• دمو: پاسخ اسکن بدافزار با اتوماسیون گردش کار و Azure Logic Apps Demo: Malware Scanning Response with Workflow Automation & Azure Logic Apps

• Defender for Containers Defender for Containers

• دمو: Defender for Containers Demo: Defender for Containers

• Defender for Key Vault Defender for Key Vault

• دمو: Defender for Key Vault Demo: Defender for Key Vault

• Defender for Resource Manager Defender for Resource Manager

• دمو: Defender for Resource Manager Demo: Defender for Resource Manager

• Azure Arc Azure Arc

• اعلان های ایمیلی Email Notifications

• دمو: ایجاد قوانین Suppression Demo: Create Suppression Rules

• اتوماسیون گردش کار Workflow Automation

• دمو: تولید هشدارهای نمونه Demo: Generate Sample Alerts

Sentinel Sentinel

• پیش نیازهای استقرار Deployment Prerequisites

• دمو: ایجاد یک گروه منابع Azure برای Sentinel Demo: Create an Azure Resource Group for Sentinel

• دمو: ایجاد یک Log Analytics Workspace Demo: Create a Log Analytics Workspace

• دمو: ایجاد یک Sentinel Workspace Demo: Create a Sentinel Workspace

• Sentinel RBAC Sentinel RBAC

• دمو: Azure RBAC برای Sentinel Demo: Azure RBAC for Sentinel

• دمو: اتصال Sentinel با Defender XDR Demo: Connect Sentinel with Defender XDR

• منابع داده معمولی برای SIEM Typical data sources for a SIEM

• دمو: Content Hub Demo: Content Hub

• دمو: دریافت CTI به Sentinel Demo: Ingesting CTI into Sentinel

• دمو: تأیید دریافت لاگ CTI Demo: Verify CTI Log Ingestion

• دمو: دریافت Entra ID به Sentinel Demo: Ingesting Entra ID into Sentinel

• دمو: تأیید دریافت Entra ID Demo: Verify Entra ID Ingestion

• AMA و DCR AMA and DCR

• دمو: دریافت لاگ‌های رویداد امنیتی ویندوز با AMA و DCR Demo: Ingesting Windows Security Event Logs with AMA and DCR

• گردش کار Sentinel Sentinel Workflow

• قوانین تحلیلی Analytic Rules

• دمو: قوانین تحلیلی Demo: Analytic Rules

• قوانین تحلیلی زمانبندی شده Scheduled Analytic Rules

• دمو: قوانین تحلیلی زمانبندی شده - Entra ID Demo: Scheduled Analytic Rules - Entra ID

• دمو: قوانین تحلیلی زمانبندی شده - رویدادهای امنیتی ویندوز Demo: Scheduled Analytic Rules - Windows Security Events

• قوانین نزدیک به زمان واقعی (NRT) Near-Real-Time-Rules (NRT)

• دمو: قوانین نزدیک به زمان واقعی (NRT) Demo: Near-Real-Time-Rules (NRT)

• Fusion Fusion

• دمو: Fusion Demo: Fusion

• تحلیل رفتار ML ML Behavior Analytics

• دمو: تحلیل رفتار ML Demo: ML Behavior Analytics

• قوانین اطلاعات تهدید Threat Intelligence Rules

• دمو: قوانین اطلاعات تهدید Demo: Threat Intelligence Rules

• قوانین امنیتی مایکروسافت Microsoft Security Rules

• دمو: قوانین امنیتی مایکروسافت Demo: Microsoft Security Rules

• دمو: داشبورد حادثه Demo: Incident Dashboard

• تأخیر در دریافت Ingestion Delay

• دمو: مقابله با تأخیر در دریافت Demo: Countering Ingestion Delay

• CTI در Sentinel CTI in Sentinel

• STIX و TAXII STIX & TAXII

• دمو: CTI در Sentinel Demo: CTI in Sentinel

• UEBA در Sentinel UEBA in Sentinel

• دمو: UEBA در Sentinel Demo: UEBA in Sentinel

• قابلیت های اتوماسیون در Sentinel Automation Capabilities in Sentinel

• قوانین اتوماسیون Automation Rules

• دمو: قوانین اتوماسیون Demo: Automation Rules

• Playbook ها Playbooks

• قوانین اتوماسیون در مقابل Playbook ها Automation Rules vs. Playbooks

• Azure Logic Apps Azure Logic Apps

• دمو: Playbook با MITRE ATT&CK و ChatGPT Demo: Playbook with MITRE ATT&CK & ChatGPT

• Notebook ها در Sentinel Notebooks in Sentinel

• دمو: Notebook ها با MSTICPy Demo: Notebooks with MSTICPy

• مدل های قیمت گذاری Pricing Models

• سطوح تعهد Commitment Tiers

• انواع لاگ Log Types

• بایگانی و بازیابی لاگ ها Archive and Restore Logs

• دمو: Workbook بهینه سازی هزینه Demo: Cost Optimization Workbook

• KQL 101 KQL 101

• دمو: KQL 101 Demo: KQL 101

Microsoft Purview Microsoft Purview

• Microsoft Purview چیست؟ What is Microsoft Purview?

• دمو: سیاست های جلوگیری از از دست دادن داده Demo: Data Loss Prevention Policies

• دمو: سیاست های ریسک داخلی Demo: Insider Risk Policies

Copilot for Security Copilot for Security

• Copilot for Security چیست؟ What is Copilot for Security?

• از Prompt تا پاسخ From Prompt to Reponse

• معماری Architecture

• گسترش Copilot با پلاگین ها و موارد دیگر Extending Copilot with Plugins & more

• مفاهیم حریم خصوصی Privacy Implications

• احراز هویت و RBAC Authentication & RBAC

• تجربه مستقل در مقابل تعبیه شده Standalone vs. Embedded Experience

• قیمت گذاری Pricing

• مهم - از آن رد نشوید IMPORTANT - DO NOT SKIP

• الزامات ورود Onboarding Requirements

• دمو: ایجاد Compute Capacities Demo: Create Compute Capacities

• دمو: راه اندازی Copilot for Security Demo: Setup Copilot for Security

• ایجاد Prompt های موثر Creating Effective Prompts

• دمو: نظارت بر استفاده از Prompt Demo: Prompt Usage Monitoring

• دمو: Promptbook بررسی حادثه Demo: Incident Investigation Promptbook

• دمو: Promptbook تجزیه و تحلیل اسکریپت مشکوک Demo: Suspicious Script Analysis Promptbook

• دمو: Promptbook پروفایل بازیگر تهدید Demo: Threat Actor Profile Promptbook

• دمو: Promptbook ارزیابی تاثیر آسیب پذیری Demo: Vulnerability Impact Assessment Promptbook

• دمو: Prompt های CTI Demo: CTI Prompts

• دمو: Prompt های ارزیابی آسیب پذیری Demo: Vulnerability Assessment Prompts

جایزه Bonus

• جایزه Bonus