آموزش زبان پرس و جوی کاستو (KQL) برای امنیت سایبری - آخرین آپدیت

سرفصل ها و درس ها

مقدمه Introduction

• خوش آمدید Welcome

• اسلایدها Slides

• مبانی Basics

• سوالات متداول FAQs

مبانی - مرکز عملیات امنیت (SOC) Basics - Security Operations Center (SOC)

• پیچیدگی و چالش‌های امنیت سایبری Complexity and Cyber Security Challenges

• SOC چیست؟ What is a SOC?

• مدل لایه‌ای SOC SOC Tier Model

• فرایند پاسخ به حادثه امنیت سایبری Cyber Security Incident Response Process

• EDR، XDR، SIEM و SOAR EDR, XDR, SIEM & SOAR

• تیم‌های آبی، قرمز و بنفش Blue, Red & Purple Teaming

مبانی - Azure Basics - Azure

• ویژگی‌های محاسبات ابری Cloud Computing Properties

• انواع محاسبات ابری Cloud Computing Types

• ستون فقرات جهانی Azure Azure Global Backbone

• مدل مسئولیت مشترک Shared Responsibility Model

• سلسله مراتب منابع Azure Azure Resource Hierarchy

• انواع اشتراک Azure Azure Subscription Types

• مستاجرهای Entra ID و اشتراک‌های Azure Entra ID Tenants and Azure Subscriptions

مبانی - امنیت مایکروسافت Basics - Microsoft Security

• اعتماد صفر Zero Trust

• دنیای امنیت مایکروسافت The Microsoft Security Cosmos

• دفاع در برابر زنجیره‌های حمله Defending Across Attack Chains

زبان پرس و جو Kusto (KQL) The Kusto Query Language (KQL)

• KQL چیست؟ What is KQL?

• دمو: زمین بازی KQL Demo: KQL Playground

عملگرهای KQL - مبانی KQL Operators - Fundamentals

• جستجو search

• where where

• datetime & timespans datetime & timespans

• count, dcount, summarize & top count, dcount, summarize & top

• order, sort, take order, sort, take

• extend, project extend, project

• contains, startswith, endswith contains, startswith, endswith

• let let

• render render

عملگرهای KQL - Joins و Union KQL Operators - Joins and Union

• union union

• inner join inner join

• left outer join left outer join

• right outer join right outer join

• full outer join full outer join

KQL در Microsoft Security Copilot KQL in Microsoft Security Copilot

• دمو: دریافت اشتراک Azure شما Demo: Get your Azure Subscription

• Security Copilot چیست؟ What is Security Copilot?

• از اعلان تا پاسخ From Prompt to Reponse

• معماری Architecture

• گسترش Copilot با پلاگین‌ها و موارد دیگر Extending Copilot with Plugins & more

• مفاهیم حریم خصوصی Privacy Implications

• احراز هویت و RBAC Authentication & RBAC

• تجربه مستقل در مقابل تجربه تعبیه شده Standalone vs. Embedded Experience

• قیمت گذاری Pricing

• الزامات فعال سازی Onboarding Requirements

• مهم - از دست ندهید IMPORTANT - DO NOT SKIP

• دمو: ایجاد ظرفیت‌های محاسباتی Demo: Create Compute Capacities

• دمو: Security Copilot Demo: Security Copilot

• دمو: KQL با Security Copilot Demo: KQL with Security Copilot

KQL در Microsoft Defender for Cloud KQL in Microsoft Defender for Cloud

• Defender for Cloud چیست؟ What is Defender for Cloud?

• دمو: KQL در Defender for Cloud Demo: KQL in Defender for Cloud

KQL برای Microsoft Sentinel KQL for Microsoft Sentinel

• Sentinel چیست؟ What is Sentinel?

• دمو: KQL در Sentinel Demo: KQL in Sentinel

KQL در Microsoft Defender XDR KQL in Microsoft Defender XDR

• دمو: دریافت E5 Demo: Get E5

• Defender XDR چیست؟ What is Defender XDR?

• دمو: پیکربندی RBAC Demo: Configure RBAC

• دمو: ایجاد هشدارهای نمونه در Defender for Cloud Demo: Create Sample Alerts in Defender for Cloud

• دمو: مدیریت حوادث و هشدارها Demo: Manage Incidents and Alerts

• دمو: اتصال Sentinel به Defender XDR Demo: Connect Sentinel to Defender XDR

• دمو: KQL در Defender XDR Demo: KQL in Defender XDR

پرس و جوهای KQL برای Microsoft Entra ID KQL Queries for Microsoft Entra ID

• Microsoft Entra ID چیست؟ What is Microsoft Entra ID?

• روش‌های احراز هویت Entra ID Entra ID Authentication Methods

• دسترسی شرطی Conditional Access

• دمو: دسترسی شرطی Demo: Conditional Access

• حفاظت از هویت Identity Protection

• دمو: حفاظت از هویت Demo: Identity Protection

• پرس و جوهای شکار KQL: ورود مشکوک به حساب‌های ممتاز KQL Hunting Queries: Suspicious Sign-in to privileged Accounts

• پرس و جوهای شکار KQL: Entra ID Brute Force KQL Hunting Queries: Entra ID Brute Force

• قانون تحلیلی KQL: خط مشی دسترسی شرطی اصلاح شده توسط کاربر جدید KQL Analytic Rule: Conditional Access Policy modified by new User

پرس و جوهای KQL برای اطلاعات تهدید سایبری (CTI) KQL Queries for Cyber Threat Intelligence (CTI)

• تهدید چیست؟ What is a Threat?

• اطلاعات، اطلاعات تهدید و اطلاعات تهدید سایبری (CTI) Intelligence, Threat Intelligence & Cyber Threat Intelligence (CTI)

• CTI چیست؟ What is CTI?

• تهدید، آسیب پذیری و خطر Threat, Vulnerability & Risk

• دفاع مبتنی بر تهدید Threat-Informed Defense

• تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs) Tactics, Techniques & Procedures (TTPs)

• IOCs و IOAs IOCs & IOAs

• هرم درد Pyramid of Pain

• منابع CTI CTI Sources

• پرس و جوهای شکار KQL: فعالیت Office موجودیت فایل KQL Hunting Queries: File Entity Office Activity

• پرس و جوهای شکار KQL: رویدادهای امنیتی KQL Hunting Queries: Security Events

پرس و جوهای KQL برای Azure Firewall KQL Queries for Azure Firewall

• Azure Firewall Azure Firewall

• دمو: Azure Firewall Demo: Azure Firewall

• پرس و جوهای شکار KQL: IP منبع به طور غیر طبیعی به چندین مقصد متصل می‌شود KQL Hunting Queries: Source IP Abnormally Connects to Multiple Destinations

پرس و جوهای KQL برای مدیریت آسیب پذیری KQL Queries for Vulnerability Management

• آسیب پذیری چیست؟ What is a Vulnerability?

• آسیب پذیری‌ها و قرار گرفتن در معرض مشترک (CVE) Common Vulnerabilities and Exposures (CVE)

• سیستم امتیازدهی آسیب پذیری مشترک (CVSS) Common Vulnerability Scoring System (CVSS)

• Log4j Log4j

• قانون تحلیلی: شناسایی ماشین‌های آسیب پذیر log4j Analytic Rule: Identify log4j vulnerable machines

ChatGPT برای KQL ChatGPT for KQL

• دمو: ایجاد حساب OpenAI خود Demo: Create your OpenAI Account

• دمو: قوانین تحلیلی برای Microsoft Sentinel Demo: Analytic Rules for Microsoft Sentinel

• دمو: پرس و جوهای شکار Demo: Hunting Queries

منابع امنیت سایبری برای KQL Cybersecurity Resources for KQL

• منابع امنیت سایبری برای KQL Cybersecurity Resources for KQL

جایزه Bonus

• جایزه Bonus