آموزش SC-200: تحلیلگر عملیات امنیتی مایکروسافت (تاریخ اعتبار: می 2025) - آخرین آپدیت

آماده‌سازی برای آزمون SC-200: بیش از 410 سوال تمرینی با پاسخ تشریحی

با این مجموعه سوالات تمرینی، گواهینامه Microsoft Security Operations Analyst (SC-200) را با موفقیت کسب کنید!

آنچه خواهید آموخت:

• پیاده‌سازی رویه‌های پاسخ به حادثه، مدیریت حوادث و خودکارسازی پاسخ‌ها با استفاده از Playbookها و Logic Appها.
• جمع‌آوری و تحلیل داده‌های امنیتی، ساخت پرس‌وجوها، ایجاد قوانین تحلیلی و بررسی حوادث با استفاده از Microsoft Sentinel.
• استفاده از ابزارهای امنیتی Microsoft برای ارزیابی، نظارت و تقویت وضعیت امنیتی کلی سازمان.
• تشخیص، بررسی و پاسخ به تهدیدات با استفاده از Microsoft Defender for Endpoint، Defender for Identity و Defender for Office 365.

پیش نیازها: شرکت‌کنندگان باید درک اولیه‌ای از راهکارهای امنیتی، انطباق و هویت Microsoft و همچنین آشنایی با محیط‌های Microsoft 365 و Azure داشته باشند.

مهارت‌ها در یک نگاه:

• مدیریت یک محیط عملیات امنیتی (20-25%)
• پیکربندی محافظت‌ها و تشخیص‌ها (15-20%)
• مدیریت پاسخ به حادثه (25-30%)
• مدیریت تهدیدات امنیتی (15-20%)

مدیریت یک محیط عملیات امنیتی

پیکربندی تنظیمات در Microsoft Defender XDR

• پیکربندی قوانین اعلان آسیب‌پذیری
• پیکربندی ویژگی‌های پیشرفته Microsoft Defender for Endpoint
• پیکربندی تنظیمات قوانین endpoint
• مدیریت قابلیت‌های خودکارسازی بررسی و پاسخ در Microsoft Defender XDR
• پیکربندی قطع خودکار حمله در Microsoft Defender XDR

مدیریت دارایی‌ها و محیط‌ها

• پیکربندی و مدیریت گروه‌های دستگاه، مجوزها و سطوح خودکارسازی در Microsoft Defender for Endpoint
• شناسایی دستگاه‌های مدیریت‌نشده در Microsoft Defender for Endpoint
• کشف منابع محافظت‌نشده با استفاده از Defender for Cloud
• شناسایی و رفع دستگاه‌های در معرض خطر با استفاده از Microsoft Defender Vulnerability Management
• کاهش خطر با استفاده از Exposure Management در Microsoft Defender XDR

طراحی و پیکربندی یک فضای کاری Microsoft Sentinel

• برنامه‌ریزی یک فضای کاری Microsoft Sentinel
• پیکربندی نقش‌های Microsoft Sentinel
• مشخص کردن نقش‌های Azure RBAC برای پیکربندی Microsoft Sentinel
• طراحی و پیکربندی فضای ذخیره‌سازی داده Microsoft Sentinel، شامل انواع لاگ و نگهداری لاگ

وارد کردن منابع داده در Microsoft Sentinel

• شناسایی منابع داده برای وارد کردن به Microsoft Sentinel
• پیاده‌سازی و استفاده از راه‌حل‌های Content Hub
• پیکربندی و استفاده از کانکتورهای Microsoft برای منابع Azure، شامل Azure Policy و تنظیمات تشخیص
• برنامه‌ریزی و پیکربندی جمع‌آوری رویدادهای Syslog و Common Event Format (CEF)
• برنامه‌ریزی و پیکربندی جمع‌آوری رویدادهای امنیتی Windows با استفاده از قوانین جمع‌آوری داده، شامل Windows Event Forwarding (WEF)
• ایجاد جداول لاگ سفارشی در فضای کاری برای ذخیره داده‌های واردشده
• نظارت و بهینه‌سازی وارد کردن داده

پیکربندی محافظت‌ها و تشخیص‌ها

پیکربندی محافظت‌ها در فناوری‌های امنیتی Microsoft Defender

• پیکربندی سیاست‌ها برای Microsoft Defender for Cloud Apps
• پیکربندی سیاست‌ها برای Microsoft Defender for Office 365
• پیکربندی سیاست‌های امنیتی برای Microsoft Defender for Endpoints، شامل قوانین کاهش سطح حمله (ASR)
• پیکربندی محافظت‌های workload ابری در Microsoft Defender for Cloud

پیکربندی تشخیص‌ها در Microsoft Defender XDR

• پیکربندی و مدیریت قوانین تشخیص سفارشی
• مدیریت هشدارها، شامل تنظیم، سرکوب و همبستگی
• پیکربندی قوانین فریب در Microsoft Defender XDR

پیکربندی تشخیص‌ها در Microsoft Sentinel

• دسته‌بندی و تحلیل داده‌ها با استفاده از entities
• پیکربندی و مدیریت قوانین تحلیلی
• کوئری داده‌های Microsoft Sentinel با استفاده از ASIM parsers
• پیاده‌سازی تحلیل رفتاری

مدیریت پاسخ به حادثه

پاسخ به هشدارها و حوادث در پورتال Microsoft Defender

• بررسی و رفع تهدیدات با استفاده از Microsoft Defender for Office 365
• بررسی و رفع حوادث ransomware و business email compromise که توسط قطع خودکار حمله شناسایی شده‌اند.
• بررسی و رفع entities آسیب‌دیده که توسط سیاست‌های Microsoft Purview data loss prevention (DLP) شناسایی شده‌اند.
• بررسی و رفع تهدیدات شناسایی شده توسط سیاست‌های Microsoft Purview insider risk
• بررسی و رفع هشدارها و حوادث شناسایی شده توسط Microsoft Defender for Cloud workload protections
• بررسی و رفع خطرات امنیتی شناسایی شده توسط Microsoft Defender for Cloud Apps
• بررسی و رفع هویت‌های در معرض خطر که توسط Microsoft Entra ID شناسایی شده‌اند.
• بررسی و رفع هشدارهای امنیتی از Microsoft Defender for Identity

پاسخ به هشدارها و حوادث شناسایی شده توسط Microsoft Defender for Endpoint

• بررسی timeline های دستگاه
• انجام اقدامات بر روی دستگاه، شامل live response و جمع‌آوری بسته‌های بررسی
• انجام بررسی شواهد و entity

بررسی فعالیت‌های Microsoft 365

• بررسی تهدیدات با استفاده از unified audit log
• بررسی تهدیدات با استفاده از Content Search
• بررسی تهدیدات با استفاده از Microsoft Graph activity logs

پاسخ به حوادث در Microsoft Sentinel

• بررسی و رفع حوادث در Microsoft Sentinel
• ایجاد و پیکربندی قوانین خودکارسازی
• ایجاد و پیکربندی Microsoft Sentinel playbooks
• اجرای playbook ها بر روی منابع on-premises

پیاده سازی و استفاده از Microsoft Security Copilot

• ایجاد و استفاده از promptbooks
• مدیریت منابع برای Security Copilot، شامل پلاگین‌ها و فایل‌ها
• ادغام Security Copilot با پیاده سازی کانکتورها
• مدیریت مجوزها و نقش‌ها در Security Copilot
• مانیتورینگ ظرفیت و هزینه Security Copilot
• شناسایی تهدیدات و خطرات با استفاده از Security Copilot
• بررسی حوادث با استفاده از Security Copilot

مدیریت تهدیدات امنیتی

شکار تهدیدات با استفاده از Microsoft Defender XDR

• شناسایی تهدیدات با استفاده از Kusto Query Language (KQL)
• تفسیر تحلیل تهدید در پورتال Microsoft Defender
• ایجاد کوئری‌های hunting سفارشی با استفاده از KQL

شکار تهدیدات با استفاده از Microsoft Sentinel

• تحلیل پوشش بردار حمله با استفاده از MITRE ATT&CK matrix
• مدیریت و استفاده از نشانگرهای تهدید
• ایجاد و مدیریت hunts
• ایجاد و مانیتورینگ کوئری‌های hunting
• استفاده از hunting bookmarks برای بررسی داده‌ها
• بازیابی و مدیریت داده‌های لاگ آرشیو شده
• ایجاد و مدیریت search jobs

ایجاد و پیکربندی Microsoft Sentinel workbooks

• فعال‌سازی و سفارشی‌سازی قالب‌های workbook
• ایجاد workbooks سفارشی که شامل KQL هستند
• پیکربندی visualizations