Kursbeskrivning
Den här kursen tar dig med på en intensiv kunskapsresa med de verktyg och ramverk som finns tillhanda för operativ övervakning av Microsofts molntjänster som Azure och Microsoft 365. Innehållet kretsar runt begreppet Security Operations Center (SOC), dvs det team som arbetar med denna typ av operativ säkerhetsövervakning.
Kursen går i workshopformat, vi rekommenderar att du håller dig utsövd och alert för att följa med i dess tempo. Den är uppdaterad med en modul som behandlar artificiell intelligens (AI) och machine learning, både som hot och verktyg för upptäckt av hot.
I början kommer du att introduceras till hanteringen av Azure Active Directory, tjänstegranskning och loggar, roller relaterade till övervakning av hot i molnet eller implementering av PIM- och PAM-tjänster. Nästa steg är funktionen för säkerhetspoäng (secure score) och hur du kan förbättra detta med best-practice för molnsäkerhetskonfiguration, Azure Defender för servrar och standardrekommendationer.
Under kursen kommer du att kunna konfigurera en miljö med EDR aktiverat, där vi ska försöka attackera endpoints och användaridentitet och se hur EDR beter sig. Sedan kommer vi att gå igenom best practice för säkerhetsoperationer och göra hunting queries.
Den implementerade EDR-lösningen och andra komponenter i säkerhetsstacken kommer att länkas i Microsoft SIEM - Sentinel, vilket kommer att möjliggöra övervakning och implementering av svar på hot.
Målgrupp och förkunskaper
Kursen riktar sig till dig som arbetar med IT-säkerhetsanalys eller på annat sätt är ansvarig för implementering av nätverks- och perimetersäkerhet.
För att hänga med i kursens tempo och tillgodogöra dig dess innehåll bör du ha en god praktisk erfarenhet av att administrera en Windows-infrastruktur och grundläggande kring offentliga molnkoncept (Office 365, Azure).
För att alltid hålla en hög kvalitet på våra teknikkurser använder vi både engelsk- och svensktalande experter som kursledare.
Detaljerad information
Kursmaterialet är på engelska, med detta innehåll:
Monitoring operations in Azure AD
- Azure Active Directory Operations and Logs
- Azure AD Roles
- Identity Protection – Roles, Review access, alerts, Discovery and Insights
- How to deal with Audit Log
- Challenging Azure AD settings in Azure and Office from red team perspective
- Privileged Identity Management – JITA, Discover and Monitor
- Office Management API – Logs around Office 365
- Microsoft Azure Policies – getting started, compliance, remediation, assignments, blueprints
- Labs
Microsoft 365 security
- Secure Score and Security Center
- Best Practices for Improving Your Secure Score
- Azure Defender for Servers
- Security Benchmark Policy
- Labs
- STIG & CIS – cloud security baseline
Understanding the impact of AI in threat detection
- Meaning of AI in threat detection tools
- Understanding machine learning as a solution for increased security, but also as a threat
- Discovering the activities of AI powered botnets
- Sophisticated phishing campaigns
- AI as a tool which helps in creating malicious software vs. detection techniques
Microsoft 365 Defender for Endpoint – EDR
- Intro 101 (configuration, device inventory, concept, Report, alerts) and EDR deployment
- Security Operations best practices with Microsoft EDR
- How to manage Incidents
- Kusto language 101 – basic and advanced queries
- Advanced Hunting
- Partner & APIs
- Hacker ways to hide malware and bypass EDR
- Attacks examples and remediation labs
- EDR Integration with Microsoft Defender for Identity
- EDR Integration with Microsoft Defender for Office 365
eXtended Detection and Response with Sentinel
- Sentinel 101 - Azure Sentinel Dashboards, Connectors
- Understanding Normalization in Azure Sentinel
- Cloud & on-prem architecture
- Workbooks deep dive - Visualize your security threats and hunts
- Incidents
- KQL intro (KQL hands-on lab exercises) and Optimizing Azure Sentinel KQL queries performance
- Auditing and monitoring your Azure Sentinel workspace
- Sentinel configuration with Microsoft Cloud stack, EDR and MCAS
- Fusion ML Detections with Scheduled Analytics Rules
- Streamlining your SOC Workflow with Automated Notebooks
- Customizing Azure Sentinel with Python
- Best Practices for Converting Detection Rules from Splunk, QRadar, and ArcSight to Azure tinel Rules
- Deep Dive into Azure Sentinel Innovations
- Investigating Azure Security Center alerts using Azure Sentinel
- Customizable Anomalies and How to Use Them
- Introduction to Monitoring GitHub with Azure Sentinel for Security Professionals
- Hunting in Sentinel
- Deep Dive on Threat Intelligence
- End-to-End SOC scenario with Sentinel
Microsoft Cloud App Security
- Intro do MCAS
- Enabling Secure Remote Work
- App Discovery and Log Collector Configuration
- Extending real-time monitoring & controls to any app
- Connecting 3rd party Applications
- Automation and integration with Microsoft Flow
- Conditional Access App Control
- Threat detection
- Information Protection
- Labs: Protect Your Environment Using MCAS
- DLP in Microsoft stack – how to deploy and monitor using MCAS and Sentinel
Kommande kursstarter
Intresseanmälan
Vi vill göra skillnad i världen
Med kompetens som verktyg inspirerar vi människor att växa, utvecklas och briljera. Vi gör det i en medveten riktning. Nya insikter, beteenden, arbetssätt och tekniker börjar tillämpas på ett sätt som ger medarbetarna trygghet och deras prestationer energi och kraft....