Microsoft Sentinel Siem päivässä tutuksi - Kuinka rakentaa toimiva kybernäkymä?

Kurssi soveltuu Azure-, M365- ja palvelinympäristöjen administraattoreille tai organisaation tietoturvan kanssa työskenteleville.

SIEM-ratkaisulla saadaan helposti kokonaiskuva eri lokilähteistä – mitä ja missä milloinkin tapahtuu – tunnistetaan niistä yleisimpiä tietoturvapoikkeamia sekä tutkitaan, reagoidaan ja hallitaan poikkeamia automaatioiden avulla. Kurssilla opit myös hyödyntämään valmiita Azure Notebookeja ja Githubia tunnistaaksesi poikkeamia ja kategorioimaan niitä parantaaksesi näkymien tarkkuutta. Lisäksi käymme läpi myös SIEMin parhaat toimintatavat kyberturvallisuuden näkövinkkelistä ja pääset hands-on harjoittelemaan käytänteitä harjoitusympäristössämme.

Perusteet Azure tai M365 hallinnasta.

1. Johdanto

• Mikä on SIEM?
• Mikä on Sentinel?
• Sentinel vs. Log Analytics
• Sentinel vs muut SIEM-järjestelmät
• Sentinel vs. M365:n tietoturvateknologiat

2. Lokien kerääminen (Collect)

• Lokiformaatit
• Lokilähteet ja lokien muodostuminen lokilähteissä
• Valmiit connectorit lokilähteiden ja näkymien integraatioiden apuna

3. Havaitseminen (Detect)

• Graafinen näkymä ja sen muokkaaminen
• Hälytyssäännöstöjen (alertien) luominen (Kusto-kyselyt)
• Koneoppimisen hyödyntäminen Azure notebookien ja valmiiden algoritmien avulla suoraan GitHubista

4. Tutkinta (Investigate)

• Kuinka voit hyödyntää tilannenäkymää tutkinnassa?
• Tutkintakyselyiden tekeminen (Kusto-kyselyt)

5. Orkestrointi ja poikkeamien hallinta (Respond)

• Automaatiot poikkeamien hallinnassa
• Pelikirjat ja niiden luominen