Apresentação
Neste curso, aprenderás a investigar, responder e fazer hunting de ameaças utilizando o Microsoft Azure Sentinel, o Microsoft Defender for Endpoint (anteriormente Azure Defender) e o Microsoft 365 Defender. O curso capacita os profissionais para mitigar ciberameaças através da configuração, utilização e automatização destas tecnologias. Inclui ainda a utilização do Kusto Query Language (KQL) para deteção, análise e geração de relatórios. Esta formação prepara os participantes para o exame de certificação SC-200: Microsoft Security Operations Analyst.
Enquadramento
Com o aumento e a sofisticação das ciberameaças, as organizações precisam de profissionais capazes de monitorizar e proteger os seus sistemas de forma proativa. O Security Operations Analyst assume um papel central na deteção, investigação e resposta a incidentes, utilizando um conjunto de ferramentas integradas e modernas de segurança Microsoft. Esta função exige competências técnicas para operar soluções como o Azure Sentinel e Microsoft Defender, bem como capacidade analítica para identificar comportamentos anómalos e mitigar riscos em tempo útil.
Destinatários
- Profissionais que exercem ou pretendem exercer funções na área de Security Operations (SecOps).
- Analistas de Segurança responsáveis pela gestão de ameaças, resposta a incidentes e hunting de ameaças utilizando soluções Microsoft e de terceiros.
- Candidatos ao exame de certificação SC-200.
Pré-requisitos
- Conhecimento básico do Microsoft 365.
- Compreensão fundamental dos produtos Microsoft de segurança, conformidade e identidade.
- Conhecimento intermédio do Windows 10.
- Familiaridade com serviços Azure, nomeadamente Azure SQL Database, Azure Storage, máquinas virtuais e rede virtual.
- Conhecimentos básicos de scripting (PowerShell/CLI).
- É recomendado o conhecimento prévio dos cursos SC-900 e AZ-104, ou experiência equivalente.
Objectivo Geral
Dotar os participantes de competências práticas e teóricas para atuar como analistas de operações de segurança, utilizando as ferramentas Microsoft para investigar, responder e mitigar ameaças, com foco em ambientes híbridos e cloud.
Objectivos Específicos
Após a conclusão da formação, os participantes serão capazes de:
- Utilizar o Microsoft Defender for Endpoint, Microsoft 365 Defender e Azure Defender para deteção e resposta a ameaças.
- Configurar e utilizar o Azure Sentinel para gestão de incidentes e hunting.
- Redigir e aplicar consultas KQL para análise de dados de segurança.
- Automatizar respostas a ameaças com playbooks e regras analíticas.
- Configurar conectores de dados para integrar diversas fontes no Azure Sentinel.
- Realizar investigações e hunting de ameaças de forma proativa.
Programa
Módulo 1: Mitigar Ameaças com Microsoft Defender for Endpoint
- Proteção contra ameaças com Defender for Endpoint
- Implementação e configuração do ambiente
- Melhorias de segurança no Windows 10
- Gestão de alertas, incidentes e investigações
- Investigação forense e ações em dispositivos
- Gestão da automação e indicadores
- Gestão de ameaças e vulnerabilidades
Módulo 2: Mitigar Ameaças com Microsoft 365 Defender
- Introdução à proteção contra ameaças
- Gestão de incidentes no Microsoft 365 Defender
- Proteção de identidades com Azure AD Identity Protection
- Defender for Office 365 e Defender for Identity
- Segurança para aplicações e serviços cloud com Microsoft Cloud App Security
- Gestão de risco interno e alertas de perda de dados
Módulo 3: Mitigar Ameaças com Azure Defender
- Planeamento da proteção de workloads cloud
- Ligação de ativos e recursos não-Azure
- Remediação e automatização de alertas de segurança
- Utilização do Azure Security Center em conjunto com o Azure Defender
Módulo 4: Criar Consultas com KQL no Azure Sentinel
- Sintaxe básica e operadores do Kusto Query Language (KQL)
- Consultas em múltiplas tabelas
- Análise e visualização de dados
- Manipulação de strings e campos estruturados/não estruturados
- Criação de funções personalizadas
Módulo 5: Configurar o Ambiente Azure Sentinel
- Arquitetura do workspace do Azure Sentinel
- Criação e gestão de workspaces
- Utilização de watchlists e indicadores de ameaça
- Consulta de dados e indicadores com KQL
Módulo 6: Conectar Registos ao Azure Sentinel
- Conectores de dados no Azure Sentinel
- Integração com Microsoft 365 Defender e outros serviços Microsoft
- Ligação de hosts Windows/Linux e logs em formatos comuns (CEF, Syslog)
- Ligação de indicadores de ameaça
Módulo 7: Criar Deteções e Investigar com Azure Sentinel
- Regras analíticas para deteção de ameaças
- Playbooks e orquestração (SOAR)
- Gestão e resolução de incidentes
- Análise comportamental de entidades (UEBA)
- Visualização de dados com Workbooks
Módulo 8: Threat Hunting com Azure Sentinel
- Conceitos e hipóteses de threat hunting
- Utilização de consultas, bookmarks e livestream
- Utilização de notebooks para hunting avançado