Microsoft Certified: Security Operations Analyst Associate (SC200)

Analyste des opérations de sécurité Microsoft (SC-200T00)

Module 1: Introduction à la protection contre les menaces avec Microsoft 365

• Explorer les cas d’utilisation de la réponse XDR (Extended Detection and Response)
• Comprendre Microsoft 365 Defender dans un centre des opérations de sécurité (SOC)
• Enquêter sur un incident de sécurité dans Microsoft 365 Defender

Module 2: Réduire les incidents avec Microsoft 365 Defender

• Utiliser le portail Microsoft 365 Defender
• Gérer les incidents
• Investiguer les incidents
• Gérer et examiner les alertes
• Gérer les enquêtes automatisées
• Utiliser le Centre de notifications
• Explorer la recherche avancée de menaces
• Examiner les journaux de connexion Azure AD
• Présentation du niveau de sécurité Microsoft
• Analyser les menaces
• Analyser les rapports
• Configurer le portail Microsoft 365 Defender

Module 3: Protéger vos identités avec Azure AD Identity Protection

• Vue d’ensemble d’Azure AD Identity Protection
• Détecter les risques avec des stratégies Azure AD Identity Protection

Module 4: Résoudre les risques avec Microsoft Defender pour Office 365

• Automatiser, enquêter et corriger
• Configurer, protéger et détecter

Module 5: Protégez votre environnement avec Microsoft Defender pour l’identité

• Configurer les capteurs Microsoft Defender pour l’identité
• Examiner les données ou les comptes compromis
• Intégration avec d’autres outils Microsoft

Module 6: Sécurisez vos applications et services cloud avec Microsoft Defender for Cloud Apps

• Comprendre le cadre de Defender pour les applications Cloud
• Explorez vos applications cloud avec Cloud Discovery
• Protégez vos données et applications avec contrôle d’application par accès conditionnel
• Parcourez la découverte et le contrôle d’accès avec Microsoft Defender for Cloud Apps
• Classifier et protéger les informations sensibles
• Détecter les menaces

Module 7: Répondre aux alertes de protection contre la perte de données à l’aide de Microsoft 365

• Décrire les alertes de protection contre la perte de données
• Examiner les alertes de protection contre la perte de données dans Microsoft 365 conformité
• Investiguer les alertes de protection contre la perte de données dans Microsoft Defender for Cloud Apps

Module 8: Gérer les risques internes dans Microsoft Purview

• Introduction à la gestion des politiques de risques internes
• Créer et gérer des politiques de risque d'initié
• Enquêter sur les alertes de risque interne
• Agissez sur les alertes de risque internes via des cas

Module 9: Protégez-vous contre les menaces avec Microsoft Defender pour Endpoint

• Pratiquer l'administration de la sécurité
• Chassez les menaces au sein de votre réseau

Module 10: Déployer l’environnement Microsoft Defender pour point de terminaison

• Créer votre environnement
• Comprendre la compatibilité et les fonctionnalités des systèmes d’exploitation
• Appareils intégrés
• Gérer l’accès
• Créer et gérer des rôles pour le contrôle d’accès en fonction du rôle
• Configurer des groupes d’appareils
• Configurer des fonctionnalités avancées d’environnement

Module 11: Implémenter des améliorations de sécurité Windows avec Microsoft Defender pour point de terminaison

• Comprendre la réduction de la surface d’attaque
• Activer les règles de réduction de la surface d’attaque

Module 12: Enquêter sur les appareils dans Microsoft Defender pour point de terminaison

• Utiliser la liste d’inventaire des appareils
• Examiner l’appareil
• Utiliser le blocage comportemental

Module 13: Effectuer des actions sur un appareil à l’aide de Microsoft Defender pour point de terminaison

• Expliquer les actions de l’appareil
• Exécuter l’analyse antivirus Microsoft Defender sur les appareils
• Collecter le package d'examen d’une machine
• Lancer une session de réponse en direct

Module 14: Effectuer des investigations de preuve et d’entités à l’aide de Microsoft Defender pour point de terminaison

• Examiner un fichier
• Procéder à une investigation sur un compte d’utilisateur
• Examiner une adresse IP
• Examiner un domaine

Module 15: Configurer et gérer l’automatisation à l’aide de Microsoft Defender pour le point de terminaison

• Configurer les fonctionnalités avancées
• Gérer les paramètres de téléchargement et de dossier de l’automatisation
• Configurer des fonctionnalités d’investigation et de correction automatisées
• Bloquer les appareils à risque

Module 16: Configurer les alertes et les détections dans Microsoft Defender pour point de terminaison

• Configurer les fonctionnalités avancées
• Configurer des notifications d’alerte
• Gérer la suppression d’alerte
• Gérer les indicateurs

Module 17: Utiliser la Gestion des vulnérabilités dans Microsoft Defender pour point de terminaison

• Comprendre Gestion des menaces et des vulnérabilités
• Explorer les vulnérabilités sur vos appareils
• Gérer la correction
• Suivre les menaces émergentes avec l’analyse des menaces

Module 18: Planifier des protections de charge de travail Cloud à l’aide de Microsoft Defender pour le Cloud

• Expliquer Microsoft Defender pour le cloud
• Décrire les protections de charge de travail de Microsoft Defender pour le cloud
• Activer Microsoft Defender pour le cloud

Module 19: Connecter des ressources Azure à Microsoft Defender pour le cloud

• Explorer et gérer vos ressources avec l’inventaire des ressources
• Configurer le provisionnement automatique
• Approvisionnement manuel de l’agent Log Analytics

Module 20: Connecter des ressources non Azure à Microsoft Defender pour le cloud

• Protéger les ressources non Azure
• Connecter des machines non-Azure
• Connectez vos comptes AWS
• Connectez vos comptes GCP

Module 21: Gérer votre gestion de la posture de sécurité cloud

• Explorer le degré de sécurisation
• Explorer les recommandations
• Mesurer et appliquer la conformité réglementaire
• Comprendre les classeurs

Module 22: Expliquer les protections de charge de travail cloud dans Microsoft Defender pour le cloud

• Comprendre Microsoft Defender pour les serveurs
• Comprendre Microsoft Defender pour App Service
• Comprendre Microsoft Defender pour le stockage
• Comprendre Microsoft Defender pour SQL
• Comprendre Microsoft Defender pour les bases de données open source
• Comprendre Microsoft Defender pour Key Vault
• Comprendre Microsoft Defender pour Resource Manager
• Comprendre Microsoft Defender pour DNS
• Comprendre le fonctionnement de Microsoft Defender pour les conteneurs
• Comprendre les protections supplémentaires de Microsoft Defender

Module 23: Corriger les alertes de sécurité à l’aide de Microsoft Defender pour le Cloud

• Comprendre les alertes de sécurité
• Corriger les alertes et automatiser les réponses
• Supprimer les alertes de Defender pour le cloud
• Générer des rapports de renseignement sur les menaces
• Répondre aux alertes à partir de ressources Azure

Module 24: Construire des instructions KQL pour Microsoft Azure Sentinel

• Comprendre la structure des instructions du langage de requête Kusto
• Utiliser l’opérateur de recherche
• Utiliser l’opérateur where
• Utiliser l’instruction Let
• Utiliser l’opérateur extend
• Utiliser l’ordre par opérateur
• Utiliser les opérateurs de projet

Module 25: Analyser les résultats d’une requête à l’aide de KQL

• Utiliser l’opérateur de synthèse
• Utiliser l’opérateur de synthèse pour filtrer les résultats
• Utiliser l’opérateur de synthèse pour préparer les données
• Utiliser l’opérateur de rendu pour créer des visualisations

Module 26: Générer des instructions de tables multiples à l’aide de KQL

• Utiliser l’opérateur d’union
• Utiliser l’opérateur de jointure

Module 27: Utiliser des données dans Microsoft Azure Sentinel à l’aide du langage de requête Kusto

• Extraire des données à partir de champs de chaîne non structurés
• Extraire des données à partir de données de chaîne structurées
• Intégrer des données externes
• Créer des analyseurs avec des fonctions

Module 28: Présentation de Microsoft Sentinel

• Présentation de Microsoft Sentinel
• Fonctionnement de Microsoft Sentinel
• Quand utiliser Microsoft Sentinel

Module 29: Créer et gérer des espaces de travail Microsoft Sentinel

• Organisation de l’espace de travail Microsoft Sentinel
• Créer un espace de travail Microsoft Sentinel
• Gérer les espaces de travail parmi les locataires avec Azure Lighthouse
• Présentation des autorisations et des rôles Microsoft Sentinel
• Gestion des paramètres Microsoft Sentinel
• Configurer les journaux

Module 30: Journaux de requêtes dans Microsoft Azure Sentinel

• Journaux de requête sur la page journaux
• Présentation des tables Microsoft Sentinel
• Comprendre les tables courantes
• Comprendre les tables Microsoft 365 Defender

Module 31: Utiliser des watchlists dans Microsoft Azure Sentinel

• Planifier des watchlists
• Créer une liste de surveillance
• Gérer des listes Watchlist

Module 32: Utiliser le renseignement sur les menaces dans Microsoft Azure Sentinel

• Définir le renseignement sur les menaces
• Gérer vos indicateurs de menace
• Afficher vos indicateurs de menace avec KQL

Module 33: Connecter des données à Microsoft Sentinel à l’aide de connecteurs de données

• Ingérer des données de journal avec des connecteurs de données
• Comprendre les fournisseurs de connecteurs de données
• Afficher les hôtes connectés

Module 34: Connecter des services Microsoft à Microsoft Sentinel

• Planifier les connecteurs de services Microsoft
• Activer le connecteur Microsoft Office 365
• Activer le connecteur Microsoft Azure Active Directory
• Activer le connecteur Azure Active Directory Identity Protection
• Se connecter au connecteur Activité Azure

Module 35: Connecter Microsoft 365 Defender à Microsoft Azure Sentinel

• Planifier les connecteurs Microsoft 365 Defender
• Connecter les alertes de Microsoft Defender pour Office 365
• Connecter les alertes de Microsoft Defender pour point de terminaison
• Raccorder le connecteur Microsoft 365 Defender
• Connecter le connecteur Microsoft Defender pour le cloud
• Connecter Microsoft Defender pour IoT
• Connecter les connecteurs existants Microsoft Defender

Module 36: Connecter des hôtes Windows à Microsoft Sentinel

• Planifier le connecteur pour les événements de sécurité des hôtes Windows
• Se connecter en utilisant le connecteur Événements de sécurité Windows via AMA
• Se connecter en utilisant le connecteur Événements de sécurité via l’agent hérité
• Collecter des journaux d'événements Sysmon

Module 37: Connecter des journaux Common Event Format à Microsoft Sentinel

• Planifier un connecteur Common Event Format
• Connectez votre solution externe en utilisant le connecteur CEF

Module 38: Connecter des sources de données Syslog à Microsoft Sentinel

• Planifier le connecteur syslog
• Collecter des données à partir de sources Linux à l’aide de syslog
• Configurer l’agent Log Analytics
• Analyser les données syslog avec KQL

Module 39: Connecter des indicateurs de menace à Microsoft Sentinel

• Planifier les connecteurs de renseignement sur les menaces
• Connecter le connecteur de renseignement sur les menaces TAXII
• Activer le connecteur des plateformes de renseignement sur les menaces
• Afficher vos indicateurs de menace avec KQL

Module 40: Détection des menaces avec Analytique Microsoft Sentinel

• Qu’est-ce qu’Analytique Microsoft Sentinel?
• Types de règles analytiques
• Créer une règle analytique à partir de modèles
• Créer une règle analytique à partir de l’Assistant
• Gérer les règles analytiques

Module 41: Automatisation dans Microsoft Sentinel

• Comprendre les options d’automatisation
• Créer des règles d’automatisation

Module 42: Réponse aux menaces avec les playbooks Microsoft Sentinel

• Que sont les playbooks Microsoft Sentinel?
• Déclencher un playbook en temps réel
• Exécuter des playbooks à la demande

Module 43: Gestion des incidents de sécurité dans Microsoft Sentinel

• Préparation de l’exercice
• Décrire la gestion des incidents
• Comprendre les preuves et les entités
• Gérer les incidents

Module 44: Identifier les menaces avec l’analytique comportementale

• Comprendre l’analytique comportementale
• Explorer les entités
• Afficher les informations sur le comportement des entités
• Utiliser des modèles de règle analytique de détection d’anomalies

Module 45: Normalisation des données dans Microsoft Sentinel

• Comprendre la normalisation des données
• Utiliser des analyseurs ASIM
• Comprendre les fonctions KQL paramétrables
• Créer un analyseur ASIM
• Configurer des règles de collecte de données Azure Monitor

Module 46: Interroger, visualiser et monitorer des données dans Microsoft Sentinel

• Superviser et visualiser les données
• Interroger des données en utilisant le langage de requête Kusto
• Utiliser les workbooks Microsoft Sentinel par défaut
• Créer un workbook Microsoft Sentinel

Module 47: Gérer le contenu dans Microsoft Sentinel

• Utiliser des solutions à partir du hub de contenu
• Utiliser des dépôts pour le déploiement

Module 48: Expliquer les concepts de chasse des menaces dans Microsoft Sentinel

• Comprendre les repérages de menaces de cybersécurité
• Développer une hypothèse
• Explorer MITRE ATT&CK

Module 49: Repérage des menaces avec Microsoft Sentinel

• Explorer la création et la gestion des requêtes de repérage des menaces Microsoft Sentinel
• Enregistrer les résultats clés avec des signets
• Observer les menaces dans le temps avec le stream en direct

Module 50: Utiliser des travaux de recherche dans Microsoft Sentinel

• Repérer avec un travail de recherche
• Restaurer des données historiques

Module 51: Repérer les menaces à l’aide de notebooks dans Microsoft Sentinel

• Accéder aux données Azure Sentinel avec des outils externes
• Repérer avec les notebooks
• Créer un notebook
• Explorer le code du notebook

*La littérature fournie est en langue anglaise.