# [模板]SC-200 Microsoft 安全运营分析师 ## 课程基本情况 Microsoft Learn 课程主页： 简体中文：https://learn.microsoft.com/zh-cn/certifications/exams/sc-200 繁体中文：https://learn.microsoft.com/zh-tw/certifications/exams/sc-200 英文：https://learn.microsoft.com/en-us/certifications/exams/sc-200 日期：2023年5月15日-18日 上午：9:00-12:00 午休：1小时(12:00-13:00) 下午：13:00-15:00（课后是动手实验时间） 课间休息：约每1小时休息15分钟 ## 学习方式 * 讲师指导（包含操作的录像） * 免费在线课件（在课程主页中课找到） * 动手实验（每天下午） * 参加认证考试（课后） ## 预约和参加考试 请下载：https://wbsharestorehk.blob.core.windows.net/share/!ESI-Exam-Scheduling-Guide-FY25-CHS.pdf 包括对考试预约和参加流程的详细介绍，以及老师的联系方式。 ## 预约和参加考试，获得优惠 SC-200 考试主页（包含备考视频、学习指南、免费在线教材）：https://learn.microsoft.com/zh-cn/certifications/exams/sc-200 微软认证考试时长和考题类型：https://learn.microsoft.com/zh-cn/certifications/exam-duration-question-types 预约考试的说明：https://wbsharestorehk.blob.core.windows.net/share/!ESI-Exam-Scheduling-Guide-FY23-CHS.pdf ## 课程讲解已结束，请完成动手实验  1. 访问 https://esi.learnondemand.net 使用个人Microsoft Account 登录（即 @outlook.com/@hotmail.com 账号, 不能用公司账号） 2. 选择“兑换培训密钥”，输入 C6D41F2ABC144500 并点击“兑换培训密钥(Redeem Training Key)”参加实验 3. 点击“启动(Launch)”启动第一个实验，最右侧的实验手册将指导您在左侧虚拟机中兑换Promo Code来激活 Azure Pass 订阅(如右上图)。注意事项： 若由于网络限制而看不到右侧激活Azure订阅的说明，请参考 https://www.microsoftazurepass.com/Home/HowTo Azure Pass 订阅不支持中国大陆IP地址来激活，所以请在左侧虚拟机桌面中操作或者在你的电脑上连接VPN。 填写注册信息时要填写区域（选择中国大陆以外地区）及个人信息，其中姓名、电话等随意填写，城市、州、邮编则必须匹配，如美国的城市：城市：Redmond 州：Washington 邮编：98052 4. 登录 portal.azure.com 找到订阅(Subscription)，确定”Azure Pass”订阅创建成功(如右下图)。随后可根据实验手册在虚拟机中完成实验。 提醒: 订阅的额度为 100 美元，有效期 1 个月。访问 https://www.microsoftazuresponsorships.com 查余额。 完成每个实验后删除创建的所有 Azure 资源，尽量不要让 Azure 资源隔夜或长时间运行，以最大程度节省余额并保证订阅足够的使用时间 将光标定位到要输入文本的位置，点击实验手册中的 绿色文字，即可将它输入到虚拟机中。 做完当天的实验之后，直接关闭网页即可。 ## 01 - Microsoft Defender XDR 缓解威胁 Microsoft Defender XDR 互动演示（19mins）：https://aka.ms/M365Defender-InteractiveGuide Graph Explorer （API的调试工具）：https://developer.microsoft.com/en-us/graph/graph-explorer MITRE ATT&CK 框架 ：https://attack.mitre.org Microsoft Defender 门户（需要企业管理员批准，并且购买了该服务，才能使用。我们有给大家提供动手实验环境）：https://security.microsoft.com Microsoft Defender 各个组件组要购买许可证。 电子邮件和协作即“Defender for Office 365” 【Demo】Detect and respond to modern attacks with unified SIEM and XDR capabilities - https://mslearn.cloudguides.com/en-us/guides/Detect%20and%20respond%20to%20modern%20attacks%20with%20unified%20SIEM%20and%20XDR%20capabilities Threat Analytics https://www.microsoft.com/en-us/videoplayer/embed/RWwJfU (4 minutes) 高级搜寻(5mins)：https://www.microsoft.com/zh-cn/videoplayer/embed/RE4COn3 威胁专家(4mins)：https://www.microsoft.com/zh-cn/videoplayer/embed/RE4qZ0B Defender for Office 365 互动演示 (28mins)：https://aka.ms/MSDO-IG Defender for Identity 相关组件（30mins）：https://learn.microsoft.com/zh-cn/defender-for-identity/architecture#defender-for-identity-components Microsoft Defender for Cloud App 演示视频 (26 mins)： https://www.microsoft.com/zh-cn/videoplayer/embed/RE4CMYG 内部风险管理 – 交互演示（17 分钟）https://mslearn.cloudguides.com/guides/Minimize%20internal%20risks%20with%20insider%20risk%20management%20in%20Microsoft%20365 ## 02-Mitigate threats using Microsoft Purview Insider risk management (17mins): https://mslearn.cloudguides.com/guides/Minimize%20internal%20risks%20with%20insider%20risk%20management%20in%20Microsoft%20365 Incident Investigation https://www.microsoft.com/en-us/videoplayer/embed/RE4qLUV?rel=0&postJsllMsg=true (6 minutes) ## 03 - Microsoft Defender for Endpoint 对终端设备的事件调查：https://www.microsoft.com/zh-cn/videoplayer/embed/RE4qLUV （6 分钟） Microsoft Defender for Endpoint 攻击面减少视频演示（7 分钟）： https://www.microsoft.com/zh-cn/videoplayer/embed/RE4woug Microsoft Defender for Endpoint 攻击面减少 (仅适用于 Windows) 文档： https://learn.microsoft.com/zh-cn/microsoft-365/security/defender-endpoint/overview-attack-surface-reduction?view=o365-worldwide 发现非托管设备(文档及视频)：https://learn.microsoft.com/zh-cn/microsoft-365/security/defender-endpoint/device-discovery Microsoft Defender for Endpoint：实时响应 https://www.microsoft.com/zh-cn/videoplayer/embed/RE4qLUW （4 分钟） Microsoft Defender for Endpoint：统一的 IoC https://www.microsoft.com/zh-cn/videoplayer/embed/RE4qLVw （4 分钟） Microsoft Defender for Endpoint 威胁和漏洞管理 - 发现并修正: https://www.microsoft.com/videoplayer/embed/RE4qLVs ## 04 - Microsoft Defender for Cloud Microsoft Defender for Cloud 文档： https://learn.microsoft.com/zh-cn/azure/defender-for-cloud/defender-for-cloud-introduction 交互演示链接(1小时左右)：https://mslearn.cloudguides.com/guides/Protect%20your%20hybrid%20cloud%20with%20Azure%20Security%20Center ## 05 - KQL 查询语言 KQL 快速参考：https://docs.microsoft.com/zh-cn/azure/data-explorer/kql-quick-reference 查询最佳做法：https://docs.microsoft.com/zh-cn/azure/data-explorer/kusto/query/best-practices Render运算符生成可视化效果：https://learn.microsoft.com/zh-cn/azure/data-explorer/kusto/query/renderoperator KQL 语言视频（M365 Defender）：https://www.youtube.com/watch?v=BNJJdPgXy6w KQL 语言视频（Sentinel）1 小时：https://www.youtube.com/watch?v=YKD_OFLMpf8 第三方学习资料(英文)：https://github.com/rod-trent/MustLearnKQL ## 06 - 配置 Microsoft Sentinel 环境 什么是 SIEM？ https://www.microsoft.com/zh-cn/security/business/security-101/what-is-siem Sentinel 的主要概念和内容：https://learn.microsoft.com/zh-cn/azure/sentinel/sentinel-solutions 互动指南：使用 Microsoft Sentinel 实现安全操作现代化：https://aka.ms/AzureSentinel_SOC_InteractiveGuide Sentinel 工作区创建的先决条件：https://learn.microsoft.com/zh-cn/azure/sentinel/quickstart-onboard#global-prerequisites Sentinel 需要的Azure RBAC角色：https://learn.microsoft.com/zh-cn/azure/sentinel/roles ## 07 - 数据连接器 数据连接器文档：https://learn.microsoft.com/zh-cn/azure/sentinel/connect-data-sources 视频（5mins）：https://www.youtube.com/watch?v=VrNXVV2IW-s ## 08 - 创建威胁检测并执行调查 视频(42mins)：https://www.youtube.com/watch?v=BxRLVMY2EQg ## 09 - 搜寻威胁 搜寻(Hunting)的文档：https://learn.microsoft.com/zh-cn/azure/sentinel/hunting 视频(60mins)：https://youtu.be/g1eibR1IJLY?t=1209 ## 10 - Microsoft Copilot for Security Copilot for Security 文档：https://learn.microsoft.com/zh-cn/copilot/security/microsoft-security-copilot 视频系列： https://www.youtube.com/playlist?list=PL3ZTgFEc7LyuQRLD61q9YqPKEDlZj4j5u