Du lernst, wie du mit Microsoft Azure Sentinel, Azure Defender und Microsoft 365 Defender Bedrohungen untersuchen, auf sie reagieren und sie aufspüren kannst.

Inhalte

In diesem Kurs lernst du, wie du mit diesen Technologien Cyberbedrohungen abwehren kannst. Insbesondere wirst du Azure Sentinel konfigurieren und verwenden sowie die Kusto Query Language (KQL) zur Erkennung, Analyse und Berichterstellung einsetzen. Der Kurs wurde für Personen konzipiert, die in einer Security Operations Job-Rolle arbeiten und hilft dir bei der Vorbereitung auf die Prüfung SC-200: Microsoft Security Operations Analyst.

Modul 1: Abwehr von Bedrohungen mithilfe von Microsoft 365 Defender

Analysiere Bedrohungsdaten domänenübergreifend, und beseitige Bedrohungen schnell mithilfe der integrierten Orchestrierung und Automatisierung in Microsoft 365 Defender. Erfahre mehr über Bedrohungen der Cybersicherheit und wie die neuen Bedrohungsschutztools von Microsoft die Benutzer, Geräte und Daten in deinem Unternehmen schützen. Verwende die erweiterte Erkennung und Beseitigung von identitätsbasierten Bedrohungen, um deine Azure Active Directory-Identitäten und -Anwendungen vor Angriffen zu schützen.

Lektionen

Einführung in den Bedrohungsschutz mit Microsoft 365
Abmildern von Incidents mithilfe von Microsoft 365 Defender
Minimieren von Risiken mit Microsoft Defender für Office 365
Microsoft Defender for Identity
Schützen deiner Identitäten mit Azure AD Identity Protection
Microsoft Defender for Cloud Apps
Reagieren auf Warnungen zur Verhinderung von Datenverlust mithilfe von Microsoft 365
Verwalten des Insiderrisikos in Microsoft 365

Lab: Abwehr von Bedrohungen mithilfe von Microsoft 365 Defender

Erkunden von Microsoft 365 Defender

Modul 2: Abwehr von Bedrohungen mithilfe von Microsoft Defender für Endpunkt

Implementiere die Microsoft Defender for Endpoint-Plattform, um erweiterte Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren. Erfahre, wie Microsoft Defender für Endpunkt die Sicherheit deiner Organisation verbessern kann. Hier erfährst du, wie du die Microsoft Defender für Endpunkt-Umgebung bereitstellst, einschließlich des Onboardings von Geräten und der Sicherheitskonfiguration. Du erfährst, wie Incidents und Warnungen mithilfe von Microsoft Defender für Endpunkte untersucht werden. Du kannst eine erweiterte Bedrohungssuche durchführen und dich an Experten für Bedrohungen wenden. Du wirst darüber hinaus lernen, wie du die Automatisierung in Microsoft Defender for Endpoint durch die Verwaltung von Umgebungseinstellungen konfigurieren kannst. Schließlich lernst du mithilfe des Bedrohungs- und Schwachstellenmanagements in Microsoft Defender for Endpoint die Schwachstellen deiner Umgebung kennen.

Lektionen

Schützen vor Bedrohungen mit Microsoft Defender für Endpunkt
Bereitstellen der Microsoft Defender für Endpunkt-Umgebung
Implementieren von Windows-Sicherheitsverbesserungen
Durchführen von Geräteuntersuchungen
Ausführen von Aktionen auf einem Gerät
Durchführung von Beweis- und Entitätsuntersuchungen
Konfigurieren und Verwalten der Automatisierung
Konfigurieren von Warnungen und Erkennungen
Nutzen des Bedrohungs- und Sicherheitsrisikomanagements

Lab: Abwehren von Bedrohungen mithilfe von Microsoft 365 Defender für Endpunkt

Bereitstellen von Microsoft Defender für Endpunkt
Entschärfen von Angriffen mit Defender für Endpunkt

Modul 3: Abwehr von Bedrohungen mithilfe von Microsoft Defender für Cloud

Verwenden von Microsoft Defender für Cloud, für Azure, Hybrid Cloud und lokalem Workloadschutz und lokaler Sicherheit. Erfahre mehr über den Zweck von Microsoft Defender für Cloud und seine Aktivierung. Erfahre außerdem mehr über die von Microsoft Defender für Cloud für die einzelnen Cloudworkloads bereitgestellten Schutz- und Erkennungsfunktionen. Hier erfährst du, wie du deiner Hybridumgebung Funktionen von Microsoft Defender für Cloud hinzufügst.

Lektionen

Planen von Workloadschutz in der Cloud mit Microsoft Defender für Cloud
Schutz von Workloads mit Microsoft Defender für Cloud
Verbinden von Azure-Ressourcen mit Microsoft Defender für Cloud
Verbinden Azure-fremder Ressourcen mit Microsoft Defender für Cloud
Beheben von Sicherheitswarnungen mit Microsoft Defender für Cloud

Lab: Abwehr von Bedrohungen mithilfe von Microsoft Defender für Cloud

Bereitstellen von Microsoft Defender für Cloud
Entschärfung von Angriffen mit Microsoft Defender für Cloud

Modul 4: Erstellen von Abfragen für Microsoft Sentinel mithilfe von Kusto Query Language (KQL)

Schreibe die KQL-Anweisungen (Kusto Query Language) zum Abfragen von Protokolldaten, um Erkennungen, Analysen und Berichte in Microsoft Sentinel auszuführen. Dieses Modul konzentriert sich auf die am häufigsten verwendeten Operatoren. In den KQL-Beispielanweisungen werden sicherheitsbezogene Tabellenabfragen vorgestellt. KQL ist die Abfragesprache, die der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Huntingvorgängen in Microsoft Sentinel dient. Im Folgenden findest du Informationen darüber, wie du mithilfe der grundlegenden KQL-Anweisungsstruktur komplexe Anweisungen erstellst. Hier erfährst du, wie du Daten in einer KQL-Anweisung zusammenfassen und visualisieren kannst. Dies ist die Grundlage zum Erstellen von Erkennungen in Microsoft Sentinel. Erfahre, wie du mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) aus Protokollquellen erfasste Zeichenfolgendaten bearbeitest.

Lektionen

Erstellen von KQL-Anweisungen für Microsoft Sentinel
Analysieren von Abfrageergebnissen mithilfe von KQL
Erstellen von Anweisungen mit mehreren Tabellen mithilfe von KQL
Arbeiten mit Zeichenfolgendaten mithilfe von KQL-Anweisungen

Lab: Erstellen von Abfragen für Microsoft Sentinel mithilfe von Kusto Query Language (KQL)

Modul 5: Konfigurieren deiner Microsoft Sentinel-Umgebung

Erste Schritte mit Microsoft Sentinel durch ordnungsgemäßes Konfigurieren des Microsoft Sentinel-Arbeitsbereichs. Das Einrichten und Konfigurieren herkömmlicher SIEM-Systeme (Security Information & Event Management) erfordert in der Regel viel Zeit. Außerdem sind diese Systeme nicht unbedingt für Cloudworkloads konzipiert. Microsoft Sentinel ermöglicht es dir, dich anhand deiner Cloud- und lokalen Daten schnell wertvolle sicherheitsrelevante Erkenntnisse zu verschaffen. Dieses Modul unterstützt dich beim Einstieg. Im Folgenden findest du Informationen darüber, wie du mit der Architektur von Microsoft-Sentinel-Arbeitsbereichen dein System so konfigurierst, dass die Anforderungen an die Sicherheitsanforderungen deiner Organisation erfüllt werden. Als Security Operations Analyst musst du die Tabellen, Felder und Daten verstehen, die in deinem Arbeitsbereich erfasst werden. Hier erfährst du, wie du die am häufigsten genutzten Datentabellen in Microsoft Sentinel abfragst.

Lektionen

Einführung in Microsoft Sentinel
Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen
Abfragen von Protokollen in Microsoft Sentinel
Verwenden von Watchlists in Microsoft Sentinel
Verwenden der Threat Intelligence in Microsoft Sentinel

Lab: Konfigurieren deiner Microsoft Sentinel-Umgebung

Modul 6: Verbinden von Protokollen mit Microsoft Sentinel

Verknüpfe Daten auf Cloudniveau mit Microsoft Sentinel – benutzerübergreifend, anwendungs- und infrastrukturübergreifend sowie lokal als auch in mehreren Clouds. Zum Verbinden von Protokolldaten werden in erster Linie die von Microsoft Sentinel bereitgestellten Datenconnectors verwendet. Dieses Modul liefert einen Überblick über die verfügbaren Datenconnectors. Du lernst die Konfigurationsoptionen und Daten kennen, die von Microsoft Sentinel-Connectors für Microsoft 365 Defender bereitgestellt werden.

Lektionen

Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors
Herstellen einer Verbindung von Microsoft-Diensten mit Microsoft Sentinel
Verbinden von Microsoft 365 Defender mit Microsoft Sentinel
Verbinden von Windows-Hosts mit Microsoft Sentinel
Verbinden von Common Event Format-Protokollen mit Microsoft Sentinel
Verbinden von Syslog-Datenquellen mit Microsoft Sentinel
Verbinden von Bedrohungsindikatoren mit Microsoft Sentinel

Lab: Verbinden von Protokollen mit Microsoft Sentinel

Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenconnectors
Verbinden von Windows-Geräten mit Microsoft Sentinel über Datenconnectors
Verbinden von Linux-Hosts mit Microsoft Sentinel über Datenconnectors
Verbinden von Threat Intelligence mit Microsoft Sentinel über Datenconnectors

Modul 7: Erstellen von Erkennungen und Durchführen von Untersuchungen mithilfe von Microsoft Sentinel

Erkennen von zuvor unentdeckten Bedrohungen und schnelles Beheben von Bedrohungen mit integrierter Orchestrierung und Automatisierung in Microsoft Sentinel. Du erfährst, wie du mit Microsoft-Sentinel-Playbooks auf Sicherheitsbedrohungen reagierst. Du siehst dir das Incidentmanagement in Microsoft Sentinel an, erhältst Informationen zu Ereignissen und Entitäten in Microsoft Sentinel und lernst Möglichkeiten kennen, Incidents aufzulösen. Du erfährst auch mehr über das Abfragen, Visualisieren und Überwachen von Daten in Microsoft Sentinel.

Lektionen

Bedrohungserkennung mit Microsoft Sentinel-Analysen
Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel
Reaktion auf Bedrohungen mit Microsoft Sentinel-Playbooks
User and Entity Behavior Analytics in Microsoft Sentinel
Abfragen, Visualisieren und Überwachen von Daten in Microsoft Sentinel

Lab: Erstellen von Erkennungen und Durchführen von Untersuchungen mithilfe von Microsoft Sentinel

Aktivieren einer Microsoft-Sicherheitsregel
Erstellen eines Playbooks
Erstellen einer geplanten Abfrage
Verstehen der Erkennungsmodellierung
Durchführen von Angriffen
Erstellen von Erkennungen
Untersuchen von Incidents
Erstellen von Arbeitsmappen

Modul 8: Ausführen von Bedrohungssuche in Microsoft Sentinel

In diesem Modul erfährst du, wie du mithilfe von Microsoft Sentinel-Abfragen proaktiv Bedrohungsverhaltensweisen identifizieren kannst. Außerdem lernst du, Lesezeichen und Livestreams zum Suchen von Bedrohungen zu verwenden. Außerdem erfährst du, wie du Notebooks in Microsoft Sentinel für die erweiterte Bedrohungssuche verwendest.

Lektionen

Konzepte zur Bedrohungssuche in Microsoft Sentinel
Bedrohungssuche mit Microsoft Sentinel
Suchen von Bedrohungen mithilfe von Notebooks in Microsoft Sentinel

Lab: Ausführen von Bedrohungssuche in Microsoft Sentinel

Ausführen von Bedrohungssuche in Microsoft Sentinel
Bedrohungssuche mithilfe von Notebooks mit Microsoft Sentinel