SC-200T00 Microsoft Security Operations Analyst
Descripción general
Aprenda a investigar y buscar amenazas, y a responder a ellas, mediante Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft 365 Defender. En este curso aprenderá a mitigar ciberamenazas mediante estas tecnologías. En concreto, configurará y usará Microsoft Sentinel, así como el lenguaje de consulta Kusto (KQL), para realizar la detección, el análisis y la generación de informes.
Objetivos
- Explicar cómo Microsoft Defender para punto de conexión puede corregir los riesgos de su entorno.
- Administrar un entorno de Microsoft Defender para punto de conexión.
- Configurar reglas de reducción de la superficie expuesta a ataques en dispositivos con Windows.
- Realizar acciones en un dispositivo con Microsoft Defender para punto de conexión.
- Investigar dominios y direcciones IP en Microsoft Defender para punto de conexión.
- Investigar cuentas de usuario en Microsoft Defender para punto de conexión.
- Configurar las opciones de alerta en Microsoft 365 Defender.
- Realizar una búsqueda en Microsoft 365 Defender.
- Administrar incidentes en Microsoft 365 Defender.
- Explicar cómo Microsoft Defender for Identity puede corregir los riesgos de su entorno.
- Investigar alertas de DLP en Microsoft Defender for Cloud Apps
- Explicar los tipos de acciones que puede realizar en caso de administración de riesgos internos.
- Configurar el aprovisionamiento automático en Microsoft Defender for Cloud Apps.
- Corregir alertas en Microsoft Defender for Cloud Apps.
- Construir instrucciones KQL.
- Filtrar búsquedas en función de la hora del evento, la gravedad, el dominio y otros datos relevantes mediante KQL.
- Extraer datos de campos de cadena no estructurados usando KQL.
- Administrar un área de trabajo de Microsoft Sentinel.
- Uso de KQL para acceder a la lista de reproducción en Microsoft Sentinel.
- Administrar indicadores de amenazas en Microsoft Sentinel.
- Explicar las diferencias entre el formato de evento común y el conector Syslog en Microsoft Sentinel.
- Conectar Azure Windows Virtual Machines a Microsoft Sentinel.
- Configurar el agente de Log Analytics para recopilar eventos de Sysmon.
- Crear reglas y consultas de análisis mediante el Asistente para reglas de análisis.
- Crear un cuaderno de estrategias para automatizar una respuesta a incidentes.
- Usar consultas para buscar amenazas.
- Observación de amenazas a lo largo del tiempo con streaming en vivo.
Audiencia
El rol Microsoft Security Operations Analyst colabora con las partes interesadas de la organización para proteger los sistemas de tecnología de la información de la organización. Su objetivo es reducir los riesgos de la organización mediante la corrección rápida de ataques activos en el entorno, el asesoramiento sobre mejoras de los procedimientos de protección contra amenazas y la comunicación de las infracciones de directivas de la organización a las partes interesadas pertinentes. Entre sus responsabilidades están la administración y la supervisión de amenazas y la respuesta a estas mediante diferentes soluciones de seguridad en el entorno. El rol se ocupa principalmente de investigar y detectar amenazas, así como de responder a ellas, mediante Microsoft Sentinel, Microsoft Defender for Cloud, Microsoft 365 Defender y productos de seguridad de terceros. Dado que el analista de operaciones de seguridad es quien va a hacer uso de los resultados operativos de estas herramientas, también es una parte interesada fundamental en la configuración e implementación de estas tecnologías.
Prerrequisitos
- Comprensión básica de Microsoft 365
- Comprensión fundamental de los productos de seguridad, cumplimiento e identidad de Microsoft.
- Conocimiento intermedio de Microsoft Windows.
- Familiaridad con los servicios de Azure, específicamente Azure SQL Database y Azure Storage.
- Familiaridad con las máquinas virtuales de Azure y las redes virtuales.
- Comprensión básica de los conceptos de secuencias de comandos.
Contenido del curso
- Explore los casos de uso de respuesta de detección y respuesta extendidas (XDR)
- Comprender Microsoft Defender XDR en un centro de operaciones de seguridad (SOC)
- Explorar el gráfico de seguridad de Microsoft
- Investigar incidentes de seguridad en Microsoft Defender XD
- Utilice el portal de Microsoft Defender
- Gestionar incidencias
- Investigar incidentes
- Gestionar e investigar alertas
- Gestionar investigaciones automatizadas
- Utilice el centro de acción
- Explora la caza avanzada
- Investigar los registros de inicio de sesión de Microsoft Entra
- Comprender la puntuación segura de Microsoft
- Analizar análisis de amenazas
- Analizar informes
- Configurar el portal de Microsoft Defender
- Descripción general de la protección de identificación de Microsoft Entra
- Detecte riesgos con las políticas de Microsoft Entra ID Protection
- Investigar y solucionar los riesgos detectados por Microsoft Entra ID Protection
- Automatizar, investigar y corregir
- Configurar, proteger y detectar
- Simular ataque
- Configurar Microsoft Defender para sensores de identidad
- Revisar cuentas o datos comprometidos
- Integre con otras herramientas de Microsoft
- Comprender el marco de Defender para aplicaciones en la nube
- Explore sus aplicaciones en la nube con Cloud Discovery
- Proteja sus datos y aplicaciones con el control de aplicaciones de acceso condicional
- Descubra el descubrimiento y el control de acceso con Microsoft Defender para aplicaciones en la nube
- Clasificar y proteger información sensible
- Detectar amenazas
- Describir las alertas de prevención de pérdida de datos
- Investigar alertas de prevención de pérdida de datos en Microsoft Purview
- Investigar alertas de prevención de pérdida de datos en Microsoft Defender para aplicaciones en la nube
- Descripción general de la gestión de riesgos internos
- Crear y gestionar políticas de riesgo interno.
- Investigar alertas de riesgos internos
- Tome medidas sobre alertas de riesgos internos a través de casos
- Gestione la evidencia forense de gestión de riesgos internos
- Cree plantillas de avisos de gestión de riesgos internos
- Defender XDR y Microsoft Purview Standard
- Explore las soluciones de auditoría de Microsoft Purview
- Implementar la auditoría de ámbito de Microsoft (estándar)
- Comience a registrar la actividad en el Registro de auditoría unificado
- Buscar en el Registro de Auditoría Unificada (UAL)
- Exportar, configurar y ver registros de auditoría
- Utilice la búsqueda de registros de auditoría para investigar problemas de soporte comunes
- Explore la auditoría de ámbito de Microsoft (Premium)
- Implementar la auditoría de ámbito de Microsoft (Premium)
- Administrar políticas de retención de registros de auditoría
- Investigue cuentas de correo electrónico comprometidas utilizando Purview Audit (Premium)
- Explore las soluciones de eDiscovery de Microsoft Purview
- Crear una búsqueda de contenido
- Ver los resultados de búsqueda y las estadísticas.
- Exportar los resultados de la búsqueda y el informe de búsqueda
- Configurar el filtrado de permisos de búsqueda
- Buscar y eliminar mensajes de correo electrónico
- Practica la administración de seguridad.
- Busque amenazas dentro de su red
- Crea tu entorno
- Comprender la compatibilidad y las características de los sistemas operativos
- Dispositivos a bordo
- Administrar acceso
- Cree y administre roles para el control de acceso basado en roles
- Configurar grupos de dispositivos
- Configurar funciones avanzadas del entorno
- Comprender la reducción de la superficie de ataque
- Habilitar reglas de reducción de la superficie de ataque
- Utilice la lista de inventario de dispositivos
- Investigar el dispositivo
- Utilice bloqueo de comportamiento
- Detectar dispositivos con descubrimiento de dispositivos
- Explicar las acciones del dispositivo.
- Ejecute el análisis antivirus de Microsoft Defender en los dispositivos
- Recopilar el paquete de investigación de los dispositivos
- Iniciar sesión de respuesta en vivo
- Investigar un expediente
- Investigar una cuenta de usuario
- Investigar una dirección IP
- Investigar un dominio
- Configurar funciones avanzadas
- Administrar la carga de automatización y la configuración de carpetas
- Configurar capacidades automatizadas de investigación y remediación
- Bloquear dispositivos en riesgo
- Configurar funciones avanzadas
- Configurar notificaciones de alerta
- Administrar la supresión de alertas
- Gestionar indicadores
- Comprender la gestión de vulnerabilidades
- Explora las vulnerabilidades en tus dispositivos
- Gestionar la remediación
- Explicar Microsoft Defender para la nube
- Describir las protecciones de cargas de trabajo de Microsoft Defender para la nube
- Habilite Microsoft Defender para la nube
- Explore y administre sus recursos con el inventario de activos
- Configurar el aprovisionamiento automático
- Aprovisionamiento manual del agente de análisis de registros
- Proteger los recursos que no son de Azure
- Conecte máquinas que no sean de Azure
- Conecte sus cuentas de AWS
- Conecte sus cuentas de GCP
- Explorar puntuación segura
- Explorar recomendaciones
- Medir y hacer cumplir el cumplimiento normativo
- Comprender los libros de trabajo
- Comprender Microsoft Defender para servidores
- Comprender Microsoft Defender para App Service
- Comprender Microsoft Defender para almacenamiento
- Comprender Microsoft Defender para SQL
- Comprender Microsoft Defender para bases de datos de código abierto
- Comprender Microsoft Defender para Key Vault
- Comprender Microsoft Defender para el Administrador de recursos
- Comprender Microsoft Defender para DNS
- Comprender Microsoft Defender para contenedores
- Comprender las protecciones adicionales de Microsoft Defender
- Comprender las alertas de seguridad
- Corregir alertas y automatizar respuestas
- Suprimir alertas de Defender for Cloud
- Genere informes de inteligencia sobre amenazas
- Responder a alertas de recursos de Azure
- Comprender la estructura de la declaración del lenguaje de consulta Kusto
- Utilice el operador de búsqueda
- Utilice el operador donde
- Utilice la declaración let
- Utilice el operador de extensión
- Utilice el pedido por operador
- Utilice los operadores del proyecto
- Utilice el operador de resumen
- Utilice el operador de resumen para filtrar resultados
- Utilice el operador de resumen para preparar datos
- Utilice el operador de renderizado para crear visualizaciones
- Utilice el operador de unión
- Utilice el operador de unión
- Extraiga datos de campos de cadena no estructurados
- Extraer datos de datos de cadenas estructuradas
- Integrar datos externos
- Crear analizadores con funciones
- ¿Qué es Microsoft Sentinel?
- Cómo funciona Microsoft Sentinel
- Cuándo utilizar Microsoft Sentinel
- Plan para el área de trabajo de Microsoft Sentinel
- Crear un espacio de trabajo de Microsoft Sentinel
- Administre áreas de trabajo entre inquilinos mediante Azure Lighthouse
- Comprender los permisos y roles de Microsoft Sentinel
- Administrar la configuración de Microsoft Sentinel
- Configurar registros
- Consultar registros en la página de registros.
- Comprender las tablas de Microsoft Sentinel
- Comprender tablas comunes
- Comprender las tablas de Microsoft Defender XDR
- Plan para listas de seguimiento
- Crear una lista de seguimiento
- Administrar listas de seguimiento
- Definir inteligencia sobre amenazas
- Administre sus indicadores de amenazas
- Vea sus indicadores de amenazas con KQL
- Ingerir datos de registro con conectores de datos
- Comprender los proveedores de conectores de datos
- Ver hosts conectados
- Plan para conectores de servicios de Microsoft
- Conecte el conector de Microsoft Office 365
- Conecte el conector Microsoft Entra
- Conecte el conector de protección de identificación de Microsoft Entra
- Conecte el conector de actividad de Azure
- Plan para conectores Microsoft Defender XDR
- Conecte el conector XDR de Microsoft Defender
- Conecte el conector de Microsoft Defender para la nube
- Conecte Microsoft Defender para IoT
- Conecte conectores heredados de Microsoft Defender
- Plan para el conector de eventos de seguridad de hosts de Windows
- Conéctese utilizando los eventos de seguridad de Windows a través del conector AMA
- Conéctese mediante eventos de seguridad a través del conector de agente heredado
- Recopilar registros de eventos de Sysmon
- Conector Plan para formato de evento común
- Conecte su solución externa mediante el conector de formato de evento común
- Plan para la recopilación de datos de syslog
- Recopile datos de fuentes basadas en Linux usando syslog
- Configurar la regla de recopilación de datos para fuentes de datos Syslog
- Analizar datos de syslog con KQL
- Plan para conectores de inteligencia de amenazas
- Conecte el conector TAXII de inteligencia de amenazas
- Conecte el conector de plataformas de inteligencia de amenazas
- Vea sus indicadores de amenazas con KQL
- ¿Qué es Microsoft Sentinel Analytics?
- Tipos de reglas analíticas
- Crear una regla de análisis a partir de plantillas
- Crear una regla de análisis desde el asistente
- Administrar reglas de análisis
- Comprender las opciones de automatización
- Crear reglas de automatización
- ¿Qué son las guías de Microsoft Sentinel?
- Activar un libro de jugadas en tiempo real
- Ejecute libros de jugadas a pedido
- Comprender incidentes
- Evidencias y entidades del incidente
- Administracion de incidentes
- Comprender el análisis del comportamiento
- Explorar entidades
- Mostrar información de comportamiento de la entidad
- Utilice plantillas de reglas analíticas de detección de anomalías
- Comprender la normalización de datos
- Utilice analizadores ASIM
- Comprender las funciones KQL parametrizadas
- Crear un analizador ASIM
- Configurar reglas de recopilación de datos de Azure Monitor
- Monitorear y visualizar datos
- Consultar datos mediante el lenguaje de consulta Kusto
- Usar libros de trabajo predeterminados de Microsoft Sentinel
- Crear un nuevo libro de trabajo de Microsoft Sentinel
- Utilice soluciones del centro de contenido
- Utilice repositorios para la implementación
- Comprender la búsqueda de amenazas de ciberseguridad
- Desarrollar una hipótesis
- Explorar MITRE ATT&CK
- Explore la creación y gestión de consultas de búsqueda de amenazas
- Guarde los hallazgos clave con marcadores
- Observe las amenazas a lo largo del tiempo con la transmisión en vivo
- Caza con un trabajo de búsqueda
- Restaurar datos históricos
- Acceda a datos de Azure Sentinel con herramientas externas
- Cazar con cuadernos
- Crear un cuaderno
- Explorar el código del cuaderno
Datos del examen
| Entrega | En línea (basado en la web) |
| Formato | Elección múltiple |
| Supervisión | En vivo |
| Duración | Entre 100 a 120 minutos |
| # de preguntas | Entre 40 y 60 preguntas |
| Puntuación | 700 o más |
- Todas las puntuaciones de los exámenes técnicos se indican en una escala de 1 a 1000. La puntuación de aprobado es de 700 o más. Como se trata de una puntuación escalada, puede que no sea igual al 70 % de los puntos.
Certificación Relacionada
- SC-200T00 Microsoft Security Operations Analyst
