SC-200T00 Microsoft Security Operations Analyst

Categoría:
Tecnología de la Información /
Aprenda a investigar y buscar amenazas, y a responder a ellas, mediante Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft 365 Defender. En este curso aprenderá a mitigar ciberamenazas mediante estas tecnologías. En concreto, configurará y usará Microsoft Sentinel, así como el lenguaje de consulta Kusto (KQL), para realizar la detección, el análisis y la generación de informes. El curso se diseñó para personas que desempeñan un rol de trabajo de operaciones de seguridad y ayuda a los alumnos a prepararse para el examen SC-200: Microsoft Security Operations Analyst.

 

Objetivos

  • Explicar cómo Microsoft Defender para punto de conexión puede corregir los riesgos de su entorno.
  • Administrar un entorno de Microsoft Defender para punto de conexión.
  • Configurar reglas de reducción de la superficie expuesta a ataques en dispositivos con Windows.
  • Realizar acciones en un dispositivo con Microsoft Defender para punto de conexión.
  • Investigar dominios y direcciones IP en Microsoft Defender para punto de conexión.
  • Investigar cuentas de usuario en Microsoft Defender para punto de conexión.
  • Configurar las opciones de alerta en Microsoft 365 Defender.
  • Realizar una búsqueda en Microsoft 365 Defender.
  • Administrar incidentes en Microsoft 365 Defender.
  • Explicar cómo Microsoft Defender for Identity puede corregir los riesgos de su entorno.
  • Investigar alertas de DLP en Microsoft Defender for Cloud Apps
  • Explicar los tipos de acciones que puede realizar en caso de administración de riesgos internos.
  • Configurar el aprovisionamiento automático en Microsoft Defender for Cloud Apps.
  • Corregir alertas en Microsoft Defender for Cloud Apps.
  • Construir instrucciones KQL.
  • Filtrar búsquedas en función de la hora del evento, la gravedad, el dominio y otros datos relevantes mediante KQL.
  • Extraer datos de campos de cadena no estructurados usando KQL.
  • Administrar un área de trabajo de Microsoft Sentinel.
  • Uso de KQL para acceder a la lista de reproducción en Microsoft Sentinel.
  • Administrar indicadores de amenazas en Microsoft Sentinel.
  • Explicar las diferencias entre el formato de evento común y el conector Syslog en Microsoft Sentinel.
  • Conectar Azure Windows Virtual Machines a Microsoft Sentinel.
  • Configurar el agente de Log Analytics para recopilar eventos de Sysmon.
  • Crear reglas y consultas de análisis mediante el Asistente para reglas de análisis.
  • Crear un cuaderno de estrategias para automatizar una respuesta a incidentes.
  • Usar consultas para buscar amenazas.
  • Observación de amenazas a lo largo del tiempo con streaming en vivo.

  • El rol Microsoft Security Operations Analyst colabora con las partes interesadas de la organización para proteger los sistemas de tecnología de la información de la organización. Su objetivo es reducir los riesgos de la organización mediante la corrección rápida de ataques activos en el entorno, el asesoramiento sobre mejoras de los procedimientos de protección contra amenazas y la comunicación de las infracciones de directivas de la organización a las partes interesadas pertinentes. Entre sus responsabilidades están la administración y la supervisión de amenazas y la respuesta a estas mediante diferentes soluciones de seguridad en el entorno. El rol se ocupa principalmente de investigar y detectar amenazas, así como de responder a ellas, mediante Microsoft Sentinel, Microsoft Defender for Cloud, Microsoft 365 Defender y productos de seguridad de terceros. Dado que el analista de operaciones de seguridad es quien va a hacer uso de los resultados operativos de estas herramientas, también es una parte interesada fundamental en la configuración e implementación de estas tecnologías.

Módulo 1: Mitigación de amenazas con Microsoft 365 Defender

  • Introducción a la protección contra amenazas de Microsoft
  • Mitigación de incidentes con Microsoft 365 Defender.
  • Protección de las identidades con Azure ADIdentity Protection.
  • Corrección de riesgos con Microsoft Defender para Office
  • Protección del entorno con MicrosoftDefender for Identity.
  • Protección de aplicaciones y servicios en la nube con MicrosoftDefender for Cloud Apps.
  • Respuesta a las alertas de prevención de pérdida de datos mediante Microsoft
  • Administración del riesgo interno en Microsoft

 

Módulo 2: Mitigación de amenazas con Microsoft Defender para punto de conexión

  • Protección contra amenazas con Microsoft Defender para punto de conexión.
  • Implementación del entorno de Microsoft Defender para punto de conexión.
  • Implementación de mejoras de seguridad de Windows con Microsoft Defender para punto de conexión.
  • Realización de investigaciones de dispositivos en Microsoft Defender para punto de conexión.
  • Realizar acciones en un dispositivo con Microsoft Defender para punto de conexión.
  • Llevar a cabo investigaciones sobre evidencias y entidades con MicrosoftDefender para punto de conexió
  • Configuración y administración de la automatización con Microsoft Defender para punto de conexión.
  • Configuración de alertas y detecciones en Microsoft Defender para punto de conexión.
  • Uso de Administración de vulnerabilidades en MicrosoftDefender para punto de conexió

 

Módulo 3: Mitigación de amenazas con Microsoft Defender for Cloud

  • Explicación de las protecciones de las cargas de trabajo en la nube en Microsoft Defender para la nube.
  • Conexión de recursos de Azure a MicrosoftDefender para la nube.
  • Conexión de recursos que no son de Azure a MicrosoftDefender for Cloud.
  • Administración de la posición de seguridad en la nube.
  • Explicación de las protecciones de las cargas de trabajo en la nube en Microsoft Defender for Cloud.
  • Corrección de alertas de seguridad mediante Microsoft Defender for Cloud.

 

Módulo 4: Creación de consultas para Microsoft Sentinel mediante el Lenguaje de consulta de Kusto (KQL)

  • Construcción de instrucciones KQL para Microsoft Sentinel.
  • Uso de KQL para analizar los resultados de consultas.
  • Uso de KQL para crear instrucciones de varias tablas.
  • Trabajo con datos en MicrosoftSentinel mediante el lenguaje de consulta Kusto.

 

Módulo 5: Configuración del entorno de Microsoft Sentinel

  • Introducción a Microsoft
  • Creación y administración de áreas de trabajo de Microsoft
  • Registros de consulta en Microsoft
  • Uso de listas de reproducción en Microsoft
  • Uso de la inteligencia sobre amenazas en Microsoft

 

Módulo 6: Conexión de registros a Microsoft Sentinel

  • Conexión de datos a MicrosoftSentinel mediante conectores de datos.
  • Conexión de servicios Microsoft a Microsoft
  • Conexión de Microsoft365 Defender a Microsoft
  • Conexión de hosts de Windows a Microsoft
  • Conexión de registros de formato de evento común a Microsoft
  • Conexión de orígenes de datos Syslog a Microsoft
  • Conexión de indicadores de amenazas a Microsoft

 

Módulo 7: Creación de detecciones y realización de investigaciones con Microsoft Sentinel

  • Detección de amenazas con análisis de Microsoft
  • Automatización en Microsoft
  • Respuesta a amenazas con cuadernos de estrategias de Microsoft
  • Administración de incidentes de seguridad en Microsoft
  • Identificación de amenazas con análisis de comportamiento de entidades en Microsoft
  • Normalización de datos en Microsoft
  • Consulta, visualización y supervisión de datos en Microsoft
  • Administración de contenido en Microsoft

 

Módulo 8: Búsqueda de amenazas en Microsoft Sentinel

  • Explicación de los conceptos de búsqueda de amenazas en Microsoft
  • Búsqueda de amenazas con Microsoft
  • Uso de trabajos de búsqueda en Microsoft
  • Búsqueda de amenazas con cuadernos en Microsoft

  • Conocimientos básicos de Microsoft 365.
  • Conocimientos básicos de los productos de identidad, cumplimiento normativo y seguridad de Microsoft.
  • Conocimiento intermedio de Microsoft Windows.
  • Conocimientos sobre los servicios de Azure, en particular Azure SQL Database y Azure Storage.
  • Familiaridad con las máquinas virtuales de Azure y las redes virtuales.
  • Conocimientos básicos de los conceptos de scripting.

Detalles del Examen

Entrega En línea (basado en la web)
Formato Elección múltiple
Supervisión En vivo
Duración Entre 100 a 120 minutos
# de preguntas Entre 40 y 60 preguntas
Puntuación 700 o más.
  • Todas las puntuaciones de los exámenes técnicos se indican en una escala de 1 a 1000. La puntuación de aprobado es de 700 o más. Como se trata de una puntuación escalada, puede que no sea igual al 70 % de los puntos.

 

Certificación

Escanea el código