Microsoft Security Operations Analyst (SC-200)

Algemene omschrijving

De Microsoft Security Operations Analyst (SC-200) training is ontworpen om jou een uitgebreide reeks aan vaardigheden te bieden op het gebied van beveiligingsoperaties. Het is een essentiële training voor iedereen die willen uitblinken in de dynamische wereld van cybersecurity en het beveiligingslandschap van Microsoft. 

De kernonderwerpen van deze Microsoft Security training omvatten het identificeren en verhelpen van kwetsbaarheden, het uitvoeren van bedreigingsanalyses, en het reageren op en onderzoeken van beveiligingsincidenten. De SC-200 dekt ook geavanceerde technieken in het beheren van identiteit en toegangsbeheer, het gebruik van Microsoft Azure Sentinel, Microsoft Defender for Endpoint, en andere relevante beveiligingshulpmiddelen van Microsoft.

Een belangrijk aspect van de Microsoft SC-200 training is de focus op praktische toepassingen. Deelnemers krijgen praktische vaardigheden door middel van realistische scenario's en casestudies. Dit stelt hen in staat om de theorie toe te passen in praktijksituaties. Door pragmatisch te leren krijg jij een diep begrip van hoe bedreigingen geïdentificeerd en aangepakt kunnen worden in een echte omgeving.

Doelgroep

Deze Microsoft SC-200 training is geschikt voor de volgende doelgroepen:

• ICT-beveiligingsprofessionals
  • Deze Microsoft security training is bij uitstek geschikt voor ICT-beveiligingsprofessionals die hun vaardigheden willen uitbreiden op het gebied van cybersecurityoperaties.
  • Professionals die reeds ervaring hebben in het werken met beveiligingssystemen en die hun expertise willen verdiepen, zullen veel baat hebben bij het volgen van deze Microsoft security training.
     
• Systeem- en netwerkbeheerders
  • Systeem- en netwerkbeheerders die hun kennis willen uitbreiden met specifieke beveiligingsvaardigheden zijn een belangrijke doelgroep voor de SC-200, omdat zij in deze Microsoft Security training de benodigde kennis en vaardigheden verkrijgen om bedreigingen effectief te identificeren en aan te pakken.
     
• Cybersecurityanalisten
  • Mensen die streven naar een carrière in cybersecurity en die de basisprincipes van ICT-beveiliging begrijpen, zullen ondervinden dat deze training een ideale stap is voor hen die een rol als cybersecurityanalist of Security Operations Center (SOC) Analyst nastreven.
     
• ICT-professionals die zich op Microsoft-technologieën richten
  • ICT-professionals die voornamelijk met Microsoft-technologieën werken en hun kennis uit willen breiden op het gebied van cybersecurity, zullen in deze SC-200 training diepgaande kennis verkrijgen van de hulpmiddelen en -praktijken van Microsoft security.

Leerdoelen SC-200

Na afloop van de Microsoft SC-200 training ben je in staat om het volgende te doen: 

• Uitleggen hoe Microsoft Defender for Endpoint risico’s kan verminderen in jouw omgeving.
• Maken van een Microsoft for Endpoint-omgeving.
• Configureren van Attack Surface Reduction-regels op Windows 10-apparaten.
• Acties uitvoeren op een apparaat met behulp van Microsoft Defender for Endpoint.
• Onderzoeken van domeinen en IP-adressen in Microsoft Defender for Endpoint.
• Onderzoeken van gebruikersaccounts in Microsoft Defender for Endpoint.
• Configureren van Alert Settings in Microsoft Defender for Endpoint.
• Uitleggen hoe het bedreigingslandschap zich ontwikkelt.
• Uitvoeren van geavanceerd zoeken naar bedreigingen in Microsoft 365 Defender.
• Beheren van incidenten in Microsoft 365 Defender.
• Uitleggen hoe Microsoft Defender for Identity risico’s in jouw omgeving kan verminderen.
• Onderzoeken van DLP Alerts in Microsoft Cloud App Security.
• Uitleggen van de soorten acties die je kan ondernemen op een Insider Risk Management-casus.
• Configureren van Auto Provisioning in Azure Defender.
• Reageren op meldingen in Azure Defender.
• Maken van KQL Statements.
• Filteren van zoekopdrachten gebaseerd op tijd, zwaarte, domein en andere relevante gegevens met gebruik van KQL.
• Uitpakken van gegevens uit ongestructureerde strings met gebruik van KQL.
• Beheer van een Azure Sentinel-werkruimte.
• Gebruik van KQL om de volglijst in Azure Sentinel te benaderen.
• Beheren van bedreigingsindicatoren in Azure Sentinel.
• Uitleggen van de verschillen tussen Common Event Format en Syslog-connector in Azure Sentinel.
• Verbinden van Azure Windows Virtual Machines met Azure Sentinel.
• Configureren van de Log Analytics Agent om Sysmon-gebeurtenissen te verzamelen.
• Configureren van Log Analytics-regels en -queries met gebruik van de Analytics Rule-wizard.
• Maken van een playbook om reacties op beveiligingsincidenten te automatiseren.
• Gebruiken van queries om op bedreigingen te jagen.
• Bedreigingen in de tijd volgen met een livestream.
• Goed voorbereid op het SC-200 examen.

Voorkennis SC-200

Om deel te nemen aan deze SC-200 training is het belang dat jij over de volgende kennis en vaardigheden beschikt:

• Basiskennis van Microsoft Azure
  • Een fundamenteel begrip van Microsoft Azure is belangrijk in deze Microsoft security training, omdat de training vaak betrekking heeft op het gebruik van Azure in het kader van beveiligingsoperaties.
     
• Basiskennis in cybersecurity
  • Enige voorkennis of ervaring in cybersecurity, zoals het begrijpen van basisbeveiligingsconcepten en -bedreigingen, zou goed van pas kunnen komen. Dit zorgt ervoor dat de deelnemers de geavanceerde onderwerpen in de SC-200 training kunnen volgen. Mocht je deze basiskennis nog niet hebben, dan raden wij de volgende training aan Microsoft Security, Compliance, and Identity Fundamentals (SC-900).
     
• Analytische vaardigheden
  • Het vermogen om data en beveiligingswaarschuwingen te analyseren is cruciaal, aangezien de rol van een Security Operations Analyst voornamelijk draait om het analyseren van en reageren op beveiligingsincidenten.
     
• Engelse taalvaardigheid
  • Een goede beheersing van de Engelse taal is vereist voor het begrijpen van het cursusmateriaal van de Microsoft SC-200 training en de begrippen.

Onderwerpen SC-200

In de onderstaande lijst vind je alle Microsoft Security training onderwerpen die tijdens onze SC-200 training behandeld zullen worden.

SC-200 | Module 1: Bedreigingen beperken met Microsoft Defender

Analyseer dreigingsdata over verschillende domeinen en reageer snel op bedreigingen met ingebouwde orkestratie en automatisering in Microsoft 365 Defender. Leer over cybersecuritydreigingen en hoe de nieuwe bedreigingsbeveiligingstools van Microsoft de apparaten, gebruikers en gegevens van uw organisatie beschermen. Gebruik de geavanceerde detectie en beperking van identiteitsgebonden dreigingen om de identiteiten en applicaties van Azure Active Directory te beschermen tegen compromittering.

Lessen:

• Inleiding tot dreigingsbeveiliging met Microsoft 365.
• Incidenten beperken met Microsoft 365 Defender.
• Risico’s beperken met Microsoft Defender voor Office 365.
• Microsoft Defender voor Identiteit.
• Azure AD Identiteitsbescherming.
• Microsoft Cloud App Security.
• Reageren op dataverliespreventiewaarschuwingen.
• Insider risico's beheren in Microsoft 365.

Lab: Bedreigingen beperken met Microsoft Defender.

• Verken Microsoft 365 Defender.

Na afronding van deze module van de SC-200 training kunnen studenten:

• Uitleggen hoe het dreigingslandschap zich ontwikkelt.
• Incidenten beheren in Microsoft 365 Defender.
• Geavanceerde bedreigingsopsporing uitvoeren in Microsoft 365 Defender.
• Waarschuwingen onderzoeken in Microsoft Defender.
• De onderzoek- en beperkingsfuncties van Azure Active Directory Identiteitsbescherming beschrijven.
• Het Cloud App Security-framework definiëren.
• Uitleggen hoe Cloud Discovery helpt bij inzicht in de activiteiten binnen uw organisatie.

SC-200 | Module 2: Bedreigingen beperken met Microsoft 365 Defender voor Endpoint

Implementeer het Microsoft Defender for Endpoint-platform om geavanceerde bedreigingen te detecteren, onderzoeken en erop te reageren. Leer hoe Microsoft Defender for Endpoint uw organisatie kan helpen veilig te blijven. Leer hoe u het Microsoft Defender for Endpoint-omgeving implementeert, inclusief het aansluiten van apparaten en het configureren van beveiligingsinstellingen. Leer hoe u incidenten en waarschuwingen onderzoekt met Microsoft Defender for Endpoint en geavanceerde bedreigingsopsporing uitvoert. U zult ook leren hoe u automatisering configureert door omgevingsinstellingen te beheren. Tot slot leert u de kwetsbaarheden van uw omgeving te identificeren met Bedreigings- en Kwetsbaarheidsbeheer in Microsoft Defender for Endpoint.

Lessen:

• Bescherm tegen bedreigingen met Microsoft Defender for Endpoint.
• Implementeer de Microsoft Defender for Endpoint-omgeving.
• Implementeer beveiligingsverbeteringen voor Windows 10.
• Voer apparaatonderzoeken uit.
• Onderneem acties op een apparaat.
• Voer onderzoeken uit naar bewijsmateriaal en entiteiten.
• Configureer waarschuwingen en detecties.
• Beheer insider risico's in Microsoft 365.
• Gebruik Bedreigings- en Kwetsbaarheidsbeheer.

Lab: Bedreigingen beperken met Microsoft 365 Defender for Endpoint.

• Implementeer Microsoft Defender for Endpoint.
• Aanvallen beperken met Defender for Endpoint.

Na afronding van deze module van de SC-200 training kunnen studenten:

• De capaciteiten van Microsoft Defender for Endpoint definiëren.
• Omgevingsinstellingen voor Microsoft Defender for Endpoint configureren.
• Regels voor Aanvalsoppervlakreductie configureren op Windows 10-apparaten.
• Beschrijven welke forensische gegevens worden verzameld door Microsoft Defender for Endpoint.
• Forensische gegevens verzamelen met Microsoft Defender for Endpoint.
• Gebruikersaccounts onderzoeken in Microsoft Defender for Endpoint.
• Automatiseringsinstellingen beheren in Microsoft Defender for Endpoint.
• Indicatoren beheren in Microsoft Defender for Endpoint.
• Bedreigings- en Kwetsbaarheidsbeheer in Microsoft Defender for Endpoint beschrijven.

SC-200 | Module 3: Bedreigingen beperken met Azure Defender

Gebruik Azure Defender, geïntegreerd met Azure Security Center, voor de bescherming van workloads in Azure hybride cloud- en on-premises omgevingen. Leer over het doel van Azure Defender, de relatie met Azure Security Center en hoe Azure Defender kan worden ingeschakeld. U leert ook over de bescherming en detectie die Azure Defender biedt voor elke cloud workload. Ontdek hoe u Azure Defender kunt toevoegen aan uw hybride omgeving.

Lessen:

• Bescherming van cloud workloads plannen met Azure Defender.
• Cloud workload bescherming uitleggen met Azure Defender.
• Azure-assets verbinden met Azure Defender.
• Niet-Azure-resources verbinden met Azure Defender.
• Beveiligingswaarschuwingen beperken met Azure Defender.

Lab: Bedreigingen beperken met Azure Defender.

• Azure Defender implementeren.
• Aanvallen beperken met Azure Defender.

Na afronding van deze module van de SC-200 training kunnen studenten:

• De kenmerken van Azure Defender beschrijven.
• De functies van Azure Security Center uitleggen.
• Uitleggen welke workloads worden beschermd door Azure Defender.
• Uitleggen hoe Azure Defender-beschermingen werken.
• Auto-provisioning configureren in Azure Defender.
• Handmatige provisioning beschrijven in Azure Defender.
• Niet-Azure-machines verbinden met Azure Defender.
• Waarschuwingen in Azure Defender beschrijven.
• Waarschuwingen beperken in Azure Defender.
• Reacties automatiseren in Azure Defender.

SC-200 | Module 4: Queries maken voor Azure Sentinel met Kusto Query Language (KQL)

Schrijf Kusto Query Language (KQL) statements om loggegevens te queryen voor detectie, analyse en rapportage in Azure Sentinel. Deze module richt zich op de meest gebruikte operatoren. De voorbeeld-KQL-statements illustreren beveiligingsgerelateerde tabelqueries. KQL is de querytaal die wordt gebruikt voor data-analyse om analytische werkboeken te maken en dreigingsopsporing uit te voeren in Azure Sentinel. Leer hoe de basisstructuur van KQL-statements de basis vormt voor complexere queries. Leer hoe u data kunt samenvatten en visualiseren met een KQL-statement voor de detectie in Azure Sentinel. U leert ook hoe u KQL kunt gebruiken om stringdata te manipuleren die is geïmporteerd vanuit logbronnen.

Lessen:

• KQL-statements construeren voor Azure Sentinel.
• Queryresultaten analyseren met KQL.
• Multi-tabel statements maken met KQL.
• Werken met data in Azure Sentinel met Kusto Query Language.

Lab: Queries maken voor Azure Sentinel met Kusto Query Language (KQL).

• Basis KQL-statements construeren.
• Queryresultaten analyseren met KQL.
• Multi-tabel statements bouwen in KQL.
• Werken met stringdata in KQL.

Na afronding van deze module van de SC-200 training kunnen studenten:

• KQL-statements construeren.
• Logbestanden zoeken op beveiligingsincidenten met KQL.
• Zoekopdrachten filteren op basis van tijd, ernst, domein en andere relevante gegevens met KQL.
• Data samenvatten met KQL-statements.
• Visualisaties maken met KQL-statements.
• Data extraheren uit ongestructureerde stringvelden met KQL.
• Data extraheren uit gestructureerde stringvelden met KQL.
• Functies maken met KQL.

SC-200 | Module 5: Uw Azure Sentinel-omgeving configureren

Begin met Azure Sentinel door de Azure Sentinel-werkruimte goed te configureren. Traditionele systemen voor beveiligingsinformatie en gebeurtenisbeheer (SIEM) kosten vaak veel tijd om in te stellen en te configureren. Bovendien zijn ze niet altijd ontworpen met cloud workloads in gedachten. Azure Sentinel stelt u in staat om snel waardevolle beveiligingsinzichten te verkrijgen uit uw cloud- en on-premises data. Deze module helpt u om goed van start te gaan. Leer over de architectuur van Azure Sentinel-werkruimten om ervoor te zorgen dat uw systeem voldoet aan de vereisten van de beveiligingsoperaties van uw organisatie. Als Security Operations Analyst moet u de tabellen, velden en gegevens begrijpen die in uw werkruimte worden geïmporteerd. Leer hoe u de meest gebruikte datatabellen in Azure Sentinel kunt queryen.

Lessen:

• Inleiding tot Azure Sentinel.
• Azure Sentinel-werkruimten creëren en beheren.
• Logbestanden queryen in Azure Sentinel.
• Gebruik maken van watchlists in Azure Sentinel.
• Gebruik maken van dreigingsinformatie in Azure Sentinel.

Lab: Uw Azure Sentinel-omgeving configureren.

• Een Azure Sentinel-werkruimte creëren.
• Een watchlist creëren.
• Een dreigingsindicator creëren.

Na afronding van deze module van de SC-200 training kunnen studenten:

• De verschillende componenten en functionaliteit van Azure Sentinel identificeren.
• Use-cases identificeren waarin Azure Sentinel een goede oplossing zou zijn.
• De architectuur van de Azure Sentinel-werkruimte beschrijven.
• Een Azure Sentinel-werkruimte installeren.
• Een Azure Sentinel-werkruimte beheren.
• Een watchlist creëren in Azure Sentinel.
• KQL gebruiken om toegang te krijgen tot de watchlist in Azure Sentinel.
• Dreigingsindicatoren beheren in Azure Sentinel.
• KQL gebruiken om toegang te krijgen tot dreigingsindicatoren in Azure Sentinel.

SC-200 | Module 6: Logs verbinden met Azure Sentinel

Verbind gegevens op grote schaal, afkomstig van alle gebruikers, apparaten, applicaties en infrastructuur, zowel on-premises als in meerdere clouds, met Azure Sentinel. De belangrijkste aanpak voor het verbinden van loggegevens is het gebruik van de dataconnectors van Azure Sentinel. Deze module geeft een overzicht van de beschikbare dataconnectors. U leert over de configuratie-opties en de gegevens die worden geleverd door de Azure Sentinel-connectors voor Microsoft 365 Defender.

Lessen:

• Gegevens verbinden met Azure Sentinel met behulp van dataconnectors.
• Microsoft-services verbinden met Azure Sentinel.
• Microsoft 365 Defender verbinden met Azure Sentinel.
• Windows-hosts verbinden met Azure Sentinel.
• Common Event Format logs verbinden met Azure Sentinel.
• Syslog-databronnen verbinden met Azure Sentinel.
• Dreigingsindicatoren verbinden met Azure Sentinel.

Lab: Logs verbinden met Azure Sentinel.

• Gegevens verbinden met Azure Sentinel met behulp van dataconnectors.
• Windows-apparaten verbinden met Azure Sentinel met behulp van dataconnectors.
• Linux-hosts verbinden met Azure Sentinel met behulp van dataconnectors.
• Dreigingsinformatie verbinden met Azure Sentinel met behulp van dataconnectors.

Na afronding van deze module van de SC-200 training kunnen studenten:

• Het gebruik van dataconnectors in Azure Sentinel uitleggen.
• De verschillen uitleggen tussen de Common Event Format en Syslog connector in Azure Sentinel.
• Microsoft-serviceconnectors verbinden.
• Uitleggen hoe connectors automatisch incidenten aanmaken in Azure Sentinel.
• De Microsoft 365 Defender-connector activeren in Azure Sentinel.
• Azure Windows Virtual Machines verbinden met Azure Sentinel.
• Niet-Azure Windows-hosts verbinden met Azure Sentinel.
• De Log Analytics-agent configureren om Sysmon-gebeurtenissen te verzamelen.
• De implementatieopties voor de Common Event Format-connector uitleggen in Azure Sentinel.
• Dreigingsindicatoren bekijken in Azure Sentinel.

SC-200 | Module 7: Detecties maken en onderzoeken uitvoeren met Azure Sentinel

Detecteer eerder onontdekte bedreigingen en reageer snel op bedreigingen met ingebouwde orkestratie en automatisering in Azure Sentinel. U leert hoe u Azure Sentinel playbooks kunt maken om te reageren op beveiligingsdreigingen. U onderzoekt incidentbeheer in Azure Sentinel, leert over Azure Sentinel-gebeurtenissen en entiteiten en ontdekt manieren om incidenten op te lossen. U leert ook hoe u gegevens kunt queryen, visualiseren en monitoren in Azure Sentinel.

Lessen:

• Bedreigingsdetectie met Azure Sentinel Analytics.
• Bedreigingsrespons met Azure Sentinel playbooks.
• Beveiligingsincidentbeheer in Azure Sentinel.
• Gebruik maken van entiteitengedrag analytics in Azure Sentinel.
• Queryen, visualiseren en monitoren van data in Azure Sentinel.

Lab: Detecties maken en onderzoeken uitvoeren met Azure Sentinel.

• Een Microsoft Security-regel activeren.
• Een playbook creëren.
• Een geplande query maken.
• Detectiemodellering begrijpen.
• Aanvallen uitvoeren.
• Detecties maken.
• Incidenten onderzoeken.
• Werkboeken creëren.

Na afronding van deze module van de SC-200 training kunnen studenten:

• Het belang van Azure Sentinel Analytics uitleggen.
• Regels maken vanuit templates.
• Regels beheren met aanpassingen.
• De SOAR-capaciteiten van Azure Sentinel uitleggen.
• Een playbook maken om een incidentrespons te automatiseren.
• Incidenten onderzoeken en beheren.
• User en Entity Behavior Analytics in Azure Sentinel uitleggen.
• Entiteiten verkennen in Azure Sentinel.
• Beveiligingsgegevens visualiseren met Azure Sentinel Workbooks.

SC-200 | Module 8: Dreigingsopsporing uitvoeren in Azure Sentinel

In deze module leert u proactief dreigingsgedrag identificeren met behulp van Azure Sentinel-queries. U leert ook hoe u bookmarks en livestreams kunt gebruiken om bedreigingen op te sporen. Daarnaast leert u hoe u notebooks in Azure Sentinel kunt gebruiken voor geavanceerde dreigingsopsporing.

Lessen:

• Dreigingsopsporing met Azure Sentinel.
• Dreigingen opsporen met notebooks in Azure Sentinel.

Lab: Dreigingsopsporing uitvoeren in Azure Sentinel.

• Dreigingsopsporing uitvoeren in Azure Sentinel.
• Dreigingsopsporing uitvoeren met notebooks in Azure Sentinel.