SC-200T00-A: Microsoft Security Operations Analyst

I. Giới thiệu khóa học:

Khóa học SC-200 Microsoft Security Operations Analyst là một khóa học được thiết kế dành cho các chuyên gia trong lĩnh vực bảo mật, đặc biệt là các chuyên gia về Security Operations. Trong khóa học chính hãng Microsoft SC-200 này, học viên sẽ học cách điều tra, đối phó và tìm kiếm các mối đe dọa bằng Microsoft Azure Sentinel, Azure Defender. Microsoft 365 Defender và sử dụng Azure Sentinel, Kusto Query Language (KQL) để thực hiện phát hiện, phân tích và báo cáo.các mối đe dọa bảo mật.

Khóa học cũng là nền tảng kiến thức giúp học viên chuẩn bị cho kỳ thi SC-200 Exam và chứng chỉ SC-200 Microsoft Certified: Security Operations Analyst Associate.

II. Thời lượng: 32 giờ (4 ngày)
III. Hình thức đào tạo:

Đào tạo trực tiếp tại lớp học, đào tạo online tương tác với giảng viên, đào tạo kết hợp online và trực tiếp tại lớp học, đào tạo tại văn phòng khách hàng theo yêu cầu

IV. Đối tượng tham gia:
  • Chuyên viên phân tích bảo mật (Security Operations Analyst)
  • Quản trị viên bảo mật (Security Administrator)
  • Chuyên viên quản lý SOC (Security Operations Center)
  • Những ai muốn học về bảo mật và SIEM
  • Những ai muốn thi lấy chứng chỉ SC-200 Microsoft Certified: Security Operations Analyst Associate
  • Kiến thức cơ bản về Microsoft 365
  • Hiểu biết nền tảng về các sản phẩm bảo mật, tuân thủ và danh tính của Microsoft
  • Kiến thức trung cấp về Windows 10
  • Quen thuộc với các dịch vụ Azure, đặc biệt là Azure SQL Database và Azure Storage
  • Quen thuộc với Azure virtual machines và virtual networking
  • Hiểu biết cơ bản về các khái niệm scripting
V. Điều kiện tiên quyết:

Nếu chưa có các kiến thức trên, bạn nên tham gia khóa học SC-900 Microsoft Security, Compliance and Identity Fundamentals để trang bị kiến thức nền tảng trước khi tham gia khóa học SC-200 Microsoft Security Operations Analyst.

VI. Nội dung khóa học:

Module 1: Giới thiệu về giải pháp bảo vệ trước mối đe dọa với Microsoft 365

Trong học phần này, bạn sẽ học cách sử dụng bộ giải pháp bảo vệ toàn diện chống lại các mối đe dọa – Microsoft 365 Defender.

  • Hiểu giải pháp Microsoft 365 Defender theo từng miền bảo mật.
  • Hiểu vai trò của Microsoft 365 Defender trong mô hình SOC hiện đại.

Module 2: Giảm thiểu sự cố bảo mật với Microsoft 365 Defender

Tìm hiểu cách cổng Microsoft 365 Defender cung cấp góc nhìn hợp nhất về các sự cố bảo mật từ hệ sinh thái sản phẩm Microsoft 365 Defender.

  • Quản lý sự cố trong Microsoft 365 Defender.
  • Điều tra sự cố trong Microsoft 365 Defender.
  • Thực hiện săn tìm mối đe dọa nâng cao (advanced hunting) trong Microsoft 365 Defender.

Module 3: Bảo vệ danh tính với Azure AD Identity Protection

Sử dụng các tính năng phát hiện và khắc phục mối đe dọa liên quan đến định danh để bảo vệ tài khoản Azure Active Directory và ứng dụng khỏi nguy cơ bị xâm nhập.

  • Mô tả các tính năng của Azure Active Directory Identity Protection.
  • Mô tả các tính năng điều tra và khắc phục trong Azure Active Directory Identity Protection.

Module 4: Khắc phục rủi ro với Microsoft Defender for Office 365

Tìm hiểu thành phần Microsoft Defender for Office 365 trong bộ giải pháp Microsoft 365 Defender.

  • Xác định các tính năng của Microsoft Defender for Office 365.
  • Hiểu cách mô phỏng tấn công trong hệ thống mạng.
  • Giải thích cách Microsoft Defender for Office 365 hỗ trợ khắc phục rủi ro trong môi trường doanh nghiệp.

Module 5: Bảo vệ an toàn hệ thống với Microsoft Defender for Identity

Tìm hiểu thành phần Microsoft Defender for Identity trong Microsoft 365 Defender.

  • Xác định các năng lực của Microsoft Defender for Identity.
  • Hiểu cách cấu hình cảm biến (sensors) của Microsoft Defender for Identity.
  • Giải thích cách Microsoft Defender for Identity xử lý và khắc phục các rủi ro trong môi trường doanh nghiệp.

Module 6: Bảo mật ứng dụng và dịch vụ đám mây với Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps là giải pháp giám sát truy cập đám mây an toàn (CASB) hoạt động trên môi trường đa đám mây (multi-cloud). Giải pháp này mang lại khả năng hiển thị sâu rộng, kiểm soát luồng dữ liệu di chuyển và phân tích chuyên sâu để nhận diện cũng như ngăn chặn các mối đe dọa không gian mạng trên tất cả các dịch vụ đám mây của doanh nghiệp. Học cách triển khai Defender for Cloud Apps trong tổ chức.

  • Xác định khung kiến trúc (framework) của Defender for Cloud Apps.
  • Giải thích cách tính năng Khám phá Đám mây (Cloud Discovery) giúp doanh nghiệp giám sát toàn diện các hoạt động trong tổ chức.
  • Hiểu cách sử dụng chính sách Conditional Access App Control để kiểm soát truy cập ứng dụng.

Module 7: Phản ứng với các cảnh báo ngăn ngừa thất thoát dữ liệu sử dụng Microsoft 365

Với vai trò Security Operations Analyst, học viên cần nắm vững các thuật ngữ pháp lý/tuân thủ và các cảnh báo liên quan. Học phần này giúp học viên biết cách sử dụng cảnh báo ngăn ngừa thất thoát dữ liệu (DLP) để hỗ trợ quá trình điều tra, nhằm xác định toàn bộ phạm vi ảnh hưởng của sự cố.

  • Mô tả các thành phần Data Loss Prevention trong Microsoft 365.
  • Điều tra các cảnh báo DLP trên cổng quản lý tuân thủ Microsoft Purview (Microsoft Purview compliance portal).
  • Điều tra cảnh báo DLP trong Microsoft Defender for Cloud Apps.

Module 8: Quản lý rủi ro nội bộ trong Microsoft Purview

Microsoft Purview Insider Risk Management giúp tổ chức xử lý các rủi ro nội bộ như đánh cắp tài sản trí tuệ, gian lận và phá hoại. Tìm hiểu về quản lý rủi ro nội bộ và cách các công nghệ của Microsoft giúp bạn phát hiện, điều tra và xử lý các hoạt động rủi ro trong tổ chức.

  • Giải thích cách Microsoft Purview Insider Risk Management hỗ trợ ngăn ngừa, phát hiện và kiểm soát rủi ro nội bộ.
  • Mô tả các loại mẫu chính sách (policy templates) được cấu hình sẵn và tích hợp sẵn.
  • Liệt kê các điều kiện tiên quyết trước khi tạo chính sách kiểm soát rủi ro nội bộ.
  • Giải thích các hành động có thể thực hiện đối với một case quản lý rủi ro nội bộ.

Module 9: Bảo vệ hệ thống trước mối đe dọa với Microsoft Defender for Endpoint

 Tìm hiểu cách Microsoft Defender for Endpoint giúp tổ chức duy trì an toàn bảo mật.

  • Xác định các tính năng của Microsoft Defender for Endpoint.
  • Hiểu cách săn tìm mối đe dọa trong hệ thống mạng.
  • Giải thích cách Microsoft Defender for Endpoint hỗ trợ khắc phục rủi ro trong môi trường doanh nghiệp.

Module 10: Triển khai môi trường Microsoft Defender for Endpoint

Tìm hiểu cách triển khai môi trường Microsoft Defender for Endpoint, bao gồm việc tích hợp các thiết bị đầu cuối (onboarding devices) và cấu hình bảo mật..

  • Tạo môi trường Microsoft Defender for Endpoint.
  • Tích hợp (onboard) các thiết bị để giám sát bằng Microsoft Defender for Endpoint.
  • Cấu hình các thiết lập môi trường Microsoft Defender for Endpoint.

Module 11: Triển khai tăng cường bảo mật Windows với Microsoft Defender for Endpoint

Microsoft Defender for Endpoint cung cấp nhiều công cụ khác nhau để loại bỏ rủi ro bằng cách giảm thiểu bề mặt tấn công (attack surface area) mà không làm ảnh hưởng đến hiệu suất làm việc của người dùng. Tìm hiểu về tính năng Giảm thiểu Bề mặt Tấn công (ASR) với Microsoft Defender for Endpoint.

  • Giải thích ASR trong Windows.
  • Kích hoạt các quy tắc ASR trên các thiết bị Windows 10.
  • Cấu hình quy tắc ASR trên thiết bị Windows 10.

Module 12: Thực hiện điều tra thiết bị trong Microsoft Defender for Endpoint

Microsoft Defender for Endpoint cung cấp thông tin chi tiết về thiết bị, bao gồm cả dữ liệu pháp điều tra kỹ thuật số (forensics). Tìm hiểu về các thông tin sẵn có trong Microsoft Defender for Endpoint để hỗ trợ cho quá trình điều tra của doanh nghiệp.

  • Sử dụng trang thiết bị trong Microsoft Defender for Endpoint.
  • Mô tả thông tin pháp chứng số của thiết bị được Microsoft Defender for Endpoint thu thập.
  • Mô tả tính năng chặn dựa trên hành vi (behavioral blocking) của Microsoft Defender for Endpoint.

Module 13: Thực hiện các hành động xử lý trên thiết bị bằng Microsoft Defender for Endpoint

Tìm hiểu cách Microsoft Defender for Endpoint cung cấp khả năng điều khiển từ xa để cô lập/khoanh vùng thiết bị (contain devices) và thu thập dữ liệu điều tra (forensics data).

 Thực hiện các hành động can thiệp trực tiếp trên thiết bị bằng Microsoft Defender for Endpoint.

  • Thu thập dữ liệu pháp chứng bằng Microsoft Defender for Endpoint.
  • Truy cập thiết bị từ xa bằng Microsoft Defender for Endpoint.

Module 14: Điều tra bằng chứng và thực thể trong Microsoft Defender for Endpoint

Tìm hiểu về các tạo tác (artifacts) trong môi trường của doanh nghiệp và mối tương quan của chúng với các tạo tác cũng như cảnh báo khác, giúp doanh nghiệp có cái nhìn toàn diện để đánh giá tổng thể mức độ ảnh hưởng đối với hệ thống.

  • Điều tra tệp trong Microsoft Defender for Endpoint.
  • Điều tra tên miền và địa chỉ IP trong Microsoft Defender for Endpoint.
  • Điều tra tài khoản người dùng trong Microsoft Defender for Endpoint.

Module 15: Cấu hình và quản lý tự động hóa với Microsoft Defender for Endpoint

Tìm hiểu cách cấu hình tự động hóa trong Microsoft Defender for Endpoint thông qua quản lý các thiết lập môi trường.

  • Cấu hình các tính năng nâng cao của Microsoft Defender for Endpoint.
  • Quản lý thiết lập tự động hóa trong Microsoft Defender for Endpoint.

Module 16: Cấu hình cảnh báo và phát hiện trong Microsoft Defender for Endpoint

Tìm hiểu cách cấu hình các thiết lập quản lý cảnh báo và thông báo. Học viên cũng sẽ học cách kích hoạt các chỉ dấu dấu hiệu xâm nhập (indicators) như một phần của quy trình phát hiện mối đe dọa.

  • Cấu hình thiết lập cảnh báo trong Microsoft Defender for Endpoint.
  • Quản lý indicator trong Microsoft Defender for Endpoint.

Module 17: Khai thác tính năng Quản lý Lỗ hổng trong Microsoft Defender for Endpoint

Tìm hiểu về các điểm yếu trong môi trường của bạn bằng cách sử dụng tính năng Quản lý Lỗ hổng (Vulnerability Management) trong Microsoft Defender for Endpoint.

  • Mô tả tính năng Quản lý Lỗ hổng trong Microsoft Defender for Endpoint.
  • Xác định lỗ hổng trên thiết bị bằng Microsoft Defender for Endpoint.
  • Theo dõi các mối đe dọa mới nổi (emerging threats) trong Microsoft Defender for Endpoint.

Module 18: Lập kế hoạch bảo vệ cloud workload với Microsoft Defender for Cloud

 Tìm hiểu mục đích của Microsoft Defender for Cloud và cách kích hoạt hệ thống.

  • Mô tả các tính năng của Microsoft Defender for Cloud.
  • Tìm hiểu khả năng bảo vệ workload của Microsoft Defender for Cloud.
  • Kích hoạt Microsoft Defender for Cloud.

Module 19: Kết nối tài nguyên Azure với Microsoft Defender for Cloud

Tìm hiểu cách kết nối các tài nguyên Azure với Microsoft Defender for Cloud để phát hiện mối đe dọa.

  • Khám phá tài nguyên Azure.
  • Cấu hình auto-provisioning trong Microsoft Defender for Cloud.
  • Mô tả provisioning thủ công trong Microsoft Defender for Cloud.

Module 20: Kết nối tài nguyên ngoài Azure với Microsoft Defender for Cloud

Tìm hiểu cách mở rộng năng lực Microsoft Defender for Cloud sang môi trường hybrid.

  • Kết nối máy chủ ngoài Azure với Microsoft Defender for Cloud.
  • Kết nối tài khoản AWS với Microsoft Defender for Cloud.
  • Kết nối tài khoản GCP với Microsoft Defender for Cloud.

Module 21: Quản lý vị thế an ninh đám mây (CSPM)

Cloud Security Posture Management trong Microsoft Defender for Cloud cung cấp khả năng hiển thị các tài nguyên dễ bị tấn công và đưa ra khuyến nghị tăng cường bảo mật.

  • Mô tả các tính năng của Microsoft Defender for Cloud.
  • Giải thích các cơ chế bảo vệ của quản lý vị thế an ninh đám mây (CSPM) đối với tài nguyên.

Module 22: Giải thích khả năng bảo vệ cloud workload trong Microsoft Defender for Cloud

Tìm hiểu các cơ chế bảo vệ và phát hiện do Microsoft Defender for Cloud cung cấp cho từng loại cloud workload.

  • Giải thích các workload được Microsoft Defender for Cloud bảo vệ.
  • Mô tả lợi ích của các cơ chế bảo vệ do Microsoft Defender for Cloud cung cấp.
  • Giải thích cách hoạt động của các cơ chế bảo vệ trong Microsoft Defender for Cloud.

Module 23: Khắc phục cảnh báo bảo mật bằng Microsoft Defender for Cloud

Tìm hiểu cách xử lý và khắc phục cảnh báo bảo mật trong Microsoft Defender for Cloud.

  • Mô tả cảnh báo trong Microsoft Defender for Cloud.
  • Khắc phục cảnh báo trong Microsoft Defender for Cloud.
  • Tự động hóa phản hồi (automated responses) trong Microsoft Defender for Cloud.

Module 24: Xây dựng câu lệnh KQL cho Microsoft Sentinel

KQL (Kusto Query Language) là ngôn ngữ truy vấn được sử dụng để phân tích dữ liệu, phục vụ việc xây dựng các biểu đồ phân tích (analytics), bảng thông tin (workbooks) và thực hiện săn tìm mối đe dọa trong Microsoft Sentinel. Học cách cấu trúc câu lệnh KQL cơ bản để làm nền tảng xây dựng các câu lệnh phức tạp hơn.

  • Xây dựng câu lệnh KQL.
  • Tìm kiếm các sự kiện bảo mật trong tệp nhật ký (log files) bằng KQL.
  • Lọc kết quả tìm kiếm dựa trên thời gian sự kiện, mức độ nghiêm trọng, tên miền và các dữ liệu liên quan khác bằng KQL.

Module 25: Phân tích kết quả truy vấn bằng KQL

Tìm hiểu cách tổng hợp và trực quan hóa dữ liệu bằng KQL, tạo nền tảng để xây dựng các quy tắc phát hiện (detections) trong Microsoft Sentinel.

  • Tổng hợp dữ liệu bằng câu lệnh KQL.
  • Trực quan hóa dữ liệu bằng câu lệnh KQL.

Module 26: Xây dựng câu lệnh truy vấn đa bảng bằng KQL

Tìm hiểu cách làm việc với nhiều bảng dữ liệu bằng KQL.

  • Tạo truy vấn sử dụng union để xem kết quả trên nhiều bảng bằng KQL.
  • Kết hợp hai bảng bằng toán tử join trong KQL.

Module 27: Xử lý dữ liệu trong Microsoft Sentinel bằng ngôn ngữ truy vấn Kusto (KQL)

Tìm hiểu cách sử dụng Kusto Query Language để xử lý dữ liệu dạng chuỗi (string) được thu thập từ các nguồn log.

  • Trích xuất dữ liệu từ các trường chuỗi phi cấu trúc (unstructured string fields) bằng KQL.
  • Trích xuất dữ liệu từ dữ liệu chuỗi có cấu trúc bằng KQL.
  • Tạo các Hàm (Functions) tùy biến bằng KQL.

Module 28: Giới thiệu Microsoft Sentinel

Các hệ thống quản lý sự kiện và thông tin an ninh mạng (SIEM) truyền thống thường mất nhiều thời gian để thiết lập và cấu hình, đồng thời không tối ưu cho các tải làm việc trên đám mây. Microsoft Sentinel giúp học viên nhanh chóng có được những thông tin chuyên sâu về bảo mật từ cả dữ liệu đám mây lẫn dữ liệu on-premises (hạ tầng nội bộ). Học phần này giúp học viên bắt đầu tiếp cận giải pháp này.

  • Xác định các thành phần và chức năng cốt lõi của Microsoft Sentinel.
  • Xác định các trường hợp sử dụng (use cases) mà Microsoft Sentinel là giải pháp tối ưu.

Module 29: Tạo và quản lý không gian làm việc (workspaces) Microsoft Sentinel

Tìm hiểu về kiến trúc của không gian làm việc Microsoft Sentinel (Log Analytics Workspace) để đảm bảo cấu hình hệ thống đáp ứng các yêu cầu vận hành an ninh của tổ chức.

  • Mô tả kiến trúc Microsoft Sentinel workspace.
  • Cài đặt Microsoft Sentinel workspace.
  • Quản lý Microsoft Sentinel workspace.

Module 30: Truy vấn nhật ký (logs) trong Microsoft Sentinel

Với tư cách là Chuyên viên Phân tích Điều hành An ninh mạng, học viên phải hiểu rõ các bảng, các trường và dữ liệu được nạp vào không gian làm việc của mình. Học cách truy vấn các bảng dữ liệu được sử dụng phổ biến nhất trong Microsoft Sentinel.

  • Sử dụng trang Logs để xem các bảng dữ liệu trong Microsoft Sentinel.
  • Truy vấn các bảng thường dùng trong Microsoft Sentinel.

Module 31: Sử dụng danh sách theo dõi (watchlists) trong Microsoft Sentinel

Học cách tạo các danh sách theo dõi (watchlists) trong Microsoft Sentinel — đây là các bộ dữ liệu được đặt tên sau khi nhập (import) vào hệ thống. Từ đó, học viên có thể dễ dàng gọi và sử dụng chúng trong các truy vấn KQL.

  • Tạo một danh sách theo dõi (watchlist) trong Microsoft Sentinel.
  • Sử dụng KQL để truy xuất danh sách theo dõi trong Microsoft Sentinel.

Module 32: Khai thác thông tin tình báo mối đe dọa (Threat Intelligence) trong Microsoft Sentinel

Học cách sử dụng trang Threat Intelligence của Microsoft Sentinel để quản lý các chỉ dấu cảnh báo mối đe dọa (threat indicators).

  • Quản lý threat indicator trong Microsoft Sentinel.
  • Sử dụng KQL để truy cập threat indicator trong Microsoft Sentinel.

Module 33: Kết nối dữ liệu với Microsoft Sentinel bằng các cổng kết nối (data connectors)

Phương pháp chính để kết nối dữ liệu log là sử dụng các cổng kết nối dữ liệu (data connectors) do Microsoft Sentinel cung cấp. Học phần này cung cấp cái nhìn tổng quan về các cổng kết nối sẵn có.

  • Giải thích cách sử dụng data connector trong Microsoft Sentinel.
  • Mô tả các nhà cung cấp data connector của Microsoft Sentinel.
  • Giải thích sự khác nhau giữa connector Common Event Format (CEF) và Syslog trong Microsoft Sentinel.

Module 34: Kết nối dịch vụ Microsoft với Microsoft Sentinel

Tìm hiểu cách kết nối log từ Microsoft 365 và các dịch vụ Azure vào Microsoft Sentinel.

  • Kết nối các cổng kết nối dịch vụ của Microsoft.
  • Giải thích cách các cổng kết nối tự động tạo sự cố (auto-create incidents) trong Microsoft Sentinel.

Module 35: Kết nối Microsoft 365 Defender với Microsoft Sentinel

Tìm hiểu các tùy chọn cấu hình và dữ liệu được cung cấp bởi các cổng kết nối Microsoft Sentinel dành cho Microsoft 365 Defender.

  • Kích hoạt cổng kết nối Microsoft 365 Defender trong Microsoft Sentinel.
  • Kích hoạt cổng kết nối Microsoft Defender for Endpoint trong Microsoft Sentinel.
  • Kích hoạt cổng kết nối Microsoft Defender for Office 365 trong Microsoft Sentinel.

Module 36: Kết nối các máy chủ Windows với Microsoft Sentinel

Windows security events là một trong những loại log phổ biến nhất cần thu thập. Học phần này hướng dẫn cách Microsoft Sentinel đơn giản hóa quá trình thu thập thông qua Security Events connector.

  • Kết nối máy ảo Windows trên Azure với Microsoft Sentinel.
  • Kết nối các máy chủ Windows không thuộc Azure với Microsoft Sentinel.
  • Cấu hình tác nhân Log Analytics (Log Analytics agent) để thu thập các sự kiện Sysmon.

Module 37: Kết nối log định dạng CEF (Common Event Format) với Microsoft Sentinel

Hầu hết các cổng kết nối do các hãng thứ ba cung cấp đều sử dụng định dạng CEF. Tìm hiểu về các tùy chọn cấu hình của cổng kết nối Common Event Format (CEF).

  • Giải thích các tùy chọn triển khai cổng kết nối CEF trong Microsoft Sentinel.
  • Chạy mã kịch bản triển khai (deployment script) cho cổng kết nối CEF.

Module 38: Kết nối nguồn dữ liệu Syslog với Microsoft Sentinel

Tìm hiểu các tùy chọn cấu hình Syslog connector để phân tích dữ liệu Syslog.

  • Mô tả các tùy chọn triển khai Syslog connector trong Microsoft Sentinel.
  • Chạy script triển khai connector để gửi dữ liệu đến Microsoft Sentinel.
  • Cấu hình tích hợp Log Analytics agent cho Microsoft Sentinel.
  • Tạo bộ phân tích cú pháp (parser) bằng KQL trong Microsoft Sentinel.

Module 39: Kết nối các chỉ dấu mối đe dọa (Threat Indicators) với Microsoft Sentinel

Tìm hiểu cách kết nối Threat Intelligence Indicator với Microsoft Sentinel workspace bằng các cổng kết nối được cung cấp.

  • Cấu hình cổng kết nối TAXII trong Microsoft Sentinel.
  • Cấu hình cổng kết nối Nền tảng Tình báo Mối đe dọa (Threat Intelligence Platform - TIP) trong Microsoft Sentinel.
  • Xem các chỉ dấu mối đe dọa trong Microsoft Sentinel.

Module 40: Phát hiện mối đe dọa với Microsoft Sentinel Analytics

Học phần này giúp học viên hiểu cách Microsoft Sentinel Analytics hỗ trợ đội ngũ SecOps xác định và ngăn chặn tấn công mạng.

  • Giải thích tầm quan trọng của Microsoft Sentinel Analytics.
  • Giải thích các loại quy tắc phân tích (analytics rules) khác nhau.
  • Tạo các quy tắc từ mẫu có sẵn (templates).
  • Tạo các quy tắc phân tích và câu lệnh truy vấn mới bằng trình hướng dẫn (wizard).
  • Quản lý và chỉnh sửa các quy tắc hiện có.

Module 41: Tự động hóa trong Microsoft Sentinel

Sau khi hoàn thành học phần này, học viên có thể sử dụng quy tắc tự động hóa (automation rules) trong Microsoft Sentinel để tự động hóa quy trình quản lý sự cố.

  • Giải thích các tùy chọn tự động hóa trong Microsoft Sentinel.
  • Tạo automation rule trong Microsoft Sentinel.

Module 42: Phản hồi mối đe dọa bằng Microsoft Sentinel playbook

Học phần này mô tả cách tạo Microsoft Sentinel playbook để phản hồi các mối đe dọa bảo mật.

  • Giải thích năng lực SOAR của Microsoft Sentinel.
  • Khám phá cổng kết nối Logic Apps trong Microsoft Sentinel.
  • Tạo một playbook để tự động hóa quy trình ứng phó sự kiện (incident response).
  • Chạy thủ công một playbook theo yêu cầu khi có sự cố xảy ra..

Module 43: Quản lý sự cố bảo mật trong Microsoft Sentinel

 Trong học phần này, học viên sẽ điều tra quy trình quản lý sự cố của Microsoft Sentinel, tìm hiểu về các sự kiện (events), thực thể (entities) và khám phá các phương thức để xử lý/đóng sự cố.

  • Hiểu rõ quy trình quản lý sự cố trong Microsoft Sentinel.
  • Khám phá quy trình quản lý chứng cứ (evidence) và thực thể (entity) trong Microsoft Sentinel.
  • Điều tra và quản lý quy trình xử lý dứt điểm sự cố (incident resolution).

Module 44: Xác định mối đe dọa bằng Behavioral Analytics

Học cách sử dụng tính năng phân tích hành vi người dùng và thực thể (UEBA) trong Microsoft Sentinel để nhận diện các mối đe dọa tiềm ẩn bên trong tổ chức.

  • Giải thích Phân tích Hành vi Người dùng và Thực thể (User and Entity Behavior Analytics) trong Azure Sentinel.
  • Khám phá các thực thể (entities) trong Microsoft Sentinel.

Module 45: Chuẩn hóa dữ liệu trong Microsoft Sentinel

Sau khi hoàn thành học phần này, học viên có thể sử dụng các bộ phân tích cú pháp ASIM (Advanced Information Model) để nhận diện các mối đe dọa trong tổ chức của mình.

  • Sử dụng các bộ phân tích cú pháp ASIM Parsers.
  • Khởi tạo bộ phân tích cú pháp ASIM Parser.
  • Tạo các hàm KQL có tham số (parameterized KQL functions)..

Module 46: Truy vấn, trực quan hóa và giám sát dữ liệu trong Microsoft Sentinel

Học phần này mô tả cách truy vấn, trực quan hóa và giám sát dữ liệu trong Microsoft Sentinel.

  • Trực quan hóa dữ liệu bảo mật bằng Microsoft Sentinel Workbook.
  • Hiểu cách hoạt động của truy vấn.
  • Khám phá các năng lực của workbook.
  • Tạo Microsoft Sentinel Workbook.

Module 47: Quản lý nội dung trong Microsoft Sentinel

Sau khi hoàn thành học phần này, học viên có thể quản lý content trong Microsoft Sentinel.

  • Cài đặt một giải pháp từ trung tâm nội dung (content hub solution) trong Microsoft Sentinel.
  • Kết nối một kho lưu trữ GitHub với Microsoft Sentinel.

Module 48: Giải thích các khái niệm săn tìm mối đe dọa (Threat Hunting) trong Microsoft Sentinel

Tìm hiểu về quy trình chủ động săn tìm mối đe dọa (threat hunting) trong Microsoft Sentinel.

  • Mô tả các khái niệm threat hunting khi sử dụng Microsoft Sentinel.
  • Xác định giả thuyết threat hunting để sử dụng trong Microsoft Sentinel.

Module 49: Threat hunting với Microsoft Sentinel

Trong học phần này, học phần sẽ học cách chủ động nhận diện các hành vi đe dọa bằng cách sử dụng các câu truy vấn của Microsoft Sentinel. Học phần cũng sẽ học cách sử dụng tính năng đánh dấu (bookmarks) và phát trực tiếp (livestream) để theo dõi mối đe dọa.

  • Sử dụng truy vấn để săn tìm mối đe dọa.
  • Lưu các phát hiện quan trọng bằng bookmark.
  • Theo dõi mối đe dọa theo thời gian thực bằng livestream.

Module 50: Sử dụng Tác vụ Tìm kiếm (Search jobs) trong Microsoft Sentinel

Trong Microsoft Sentinel, học viên có thể tìm kiếm trên khoảng thời gian dài trong các tập dữ liệu lớn bằng Search job.

  • Sử dụng Search job trong Microsoft Sentinel.
  • Khôi phục log đã lưu trữ trong Microsoft Sentinel.

Module 51: Săn tìm mối đe dọa bằng notebook trong Microsoft Sentinel

Tìm hiểu cách sử dụng notebook trong Microsoft Sentinel cho hoạt động advanced hunting.

  • Khám phá các thư viện API phục vụ săn tìm mối đe dọa nâng cao trong Microsoft Sentinel.
  • Mô tả vai trò của notebooks trong Microsoft Sentinel.
  • Tạo và sử dụng notebooks trong Microsoft Sentinel.

  • Học trực tuyến

  • Học tại Hồ Chí Minh

  • Học tại Hà Nội

Các khóa học khác