Objetivos

Obtenga información sobre cómo investigar, responder y buscar amenazas mediante Microsoft Sentinel, Microsoft Defender para la nube y Microsoft 365 Defender. En este curso aprenderá a mitigar ciberamenazas mediante estas tecnologías. En concreto, configurará y usará Microsoft Sentinel, así como el lenguaje de consulta Kusto (KQL) para realizar la detección, el análisis y los informes. El curso se diseñó para personas que desempeñan un rol de trabajo de operaciones de seguridad y ayuda a los alumnos a prepararse para el examen SC-200: Microsoft Security Operations Analyst.

Perfil de Audiencia

El rol Microsoft Security Operations Analyst colabora con las partes interesadas de la organización para proteger los sistemas de tecnología de la información de la organización. Su objetivo es reducir los riesgos de la organización mediante la corrección rápida de ataques activos en el entorno, el asesoramiento sobre mejoras de los procedimientos de protección contra amenazas y la comunicación de las infracciones de directivas de la organización a las partes interesadas pertinentes. Entre sus responsabilidades están la administración y la supervisión de amenazas y la respuesta a estas mediante diferentes soluciones de seguridad en el entorno. El rol investiga principalmente, responde y busca amenazas mediante Microsoft Sentinel, Microsoft Defender para la nube, Microsoft 365 Defender y productos de seguridad de terceros. Dado que el analista de operaciones de seguridad es quien va a hacer uso de los resultados operativos de estas herramientas, también es una parte interesada fundamental en la configuración e implementación de estas tecnologías.

Prerrequisitos

• Conocimientos básicos de Microsoft 365
• Conocimientos básicos de los productos de identidad, cumplimiento normativo y seguridad de Microsoft
• Conocimientos intermedios de Windows 10
• Conocimientos sobre los servicios de Azure, en particular Azure SQL Database y Azure Storage
• Familiaridad con las máquinas virtuales de Azure y las redes virtuales
• Conocimientos básicos de los conceptos de scripting.

Intensidad y Horarios

Capacitación en modalidad virtual en Vivo.

Con una intensidad de 32 horas, la capacitación se dicta 3 veces por semana de 6:30 pm a 9:30 pm hora Colombia.

Módulo 1: Mitigación de amenazas mediante Microsoft 365 Defender

Analice datos sobre amenazas en varios dominios y soluciónelas rápidamente con las opciones de orquestación y automatización en Microsoft 365 Defender. Conozca las amenazas de ciberseguridad y cómo las nuevas herramientas de protección contra amenazas de Microsoft protegen a los usuarios, los dispositivos y los datos de la organización. Use las características avanzadas de detección y corrección de amenazas basadas en identidades para proteger las aplicaciones y las identidades de Azure Active Directory de posibles riesgos.

Lecciones

1. Introducción a la protección contra amenazas con Microsoft 365
2. Mitigación de incidentes con Microsoft 365 Defender
3. Corrección de riesgos con Microsoft Defender para Office 365
4. Microsoft Defender for Identity
5. Protección de las identidades con Azure AD Identity Protection
6. Microsoft Defender for Cloud Apps
7. Respuesta a las alertas de prevención de pérdida de datos mediante Microsoft 365
8. Administración del riesgo interno en Microsoft 365

Laboratorio: mitigación de amenazas mediante Microsoft 365 Defender

• Exploración de Microsoft 365 Defender

Después de completar este módulo, los alumnos podrán:

• Explicar cómo evoluciona el panorama de amenazas.
• Administrar incidentes en Microsoft 365 Defender
• Realice una búsqueda avanzada en Microsoft 365 Defender
• Investigación de alertas en Microsoft 365 Defender
• Describir las características de investigación y corrección de Azure Active Directory Identity Protection.
• Explicar cómo Cloud Discovery ayuda a ver lo que sucede en su organización.

Módulo 2: Mitigación de amenazas mediante Microsoft Defender para el punto de conexión

Implemente la plataforma Microsoft Defender for Endpoint para detectar e investigar amenazas avanzadas, así como responder a ellas. Sepa cómo Microsoft Defender para punto de conexión puede ayudar a su organización a mantenerse segura. Aprenda a implementar el entorno de Microsoft Defender para punto de conexión, incluidas la incorporación de dispositivos y la configuración de seguridad. Obtenga información sobre cómo investigar incidentes y alertas mediante Microsoft Defender para el punto de conexión. Realice una búsqueda avanzada y póngase en contacto con expertos en amenazas. También aprenderá a configurar la automatización en Microsoft Defender para Endpoint mediante la administración de la configuración del entorno. Por último, conocerá los puntos débiles de su entorno mediante Administración de amenazas y vulnerabilidades en Microsoft Defender para punto de conexión.

Lecciones

1. Protección contra amenazas con Microsoft Defender para punto de conexión
2. Implementación del entorno de Microsoft Defender para punto de conexión
3. Implementación de Windows mejoras de seguridad
4. Realización de investigaciones de dispositivos
5. Realización de acciones en un dispositivo
6. Realización de investigaciones de evidencias y entidades
7. Configuración y administración de la automatización
8. Configuración para alertas y detecciones
9. Uso de Administración de amenazas y vulnerabilidades

Laboratorio: Mitigación de amenazas mediante Microsoft 365 Defender para punto de conexión

• Implementación de Microsoft Defender para punto de conexión
• Mitigación de ataques mediante Defender para punto de conexión

Después de completar este módulo, los alumnos podrán:

• Definir las funcionalidades de Microsoft Defender para punto de conexión.
• Configuración de Microsoft Defender para punto de conexión
• Configuración de reglas de reducción de la superficie de ataque en Windows dispositivos
• Describir la información de análisis forenses del dispositivo recopilada por Microsoft Defender para punto de conexión
• Realizar la recopilación de datos forenses con Microsoft Defender para punto de conexión
• Investigar cuentas de usuario en Microsoft Defender para punto de conexión
• Administrar la configuración de automatización en Microsoft Defender para punto de conexión
• Administrar los indicadores en Microsoft Defender para punto de conexión
• Describir la capacidad de Administración de amenazas y vulnerabilidades en Microsoft Defender para punto de conexión

Módulo 3: Mitigación de amenazas mediante Microsoft Defender para la nube

Use Microsoft Defender for Cloud, para la seguridad y la protección de cargas de trabajo locales, en Azure y en la nube híbrida. Obtenga información sobre el propósito de Microsoft Defender para la nube y cómo habilitarlo. También aprenderá sobre las protecciones y detecciones proporcionadas por Microsoft Defender para la nube para cada carga de trabajo en la nube. Obtenga información sobre cómo agregar funcionalidades de Microsoft Defender for Cloud a su entorno híbrido.

Lecciones

1. Explicación de las protecciones de las cargas de trabajo en la nube en Microsoft Defender para la nube
2. Protección de cargas de trabajo en Microsoft Defender para la nube
3. Conexión de recursos de Azure a Microsoft Defender para la nube
4. Conexión de recursos que no son de Azure a Microsoft Defender for Cloud
5. Corrección de alertas de seguridad mediante Microsoft Defender for Cloud

Laboratorio: Mitigación de amenazas mediante Microsoft Defender para la nube

• Implementación de Microsoft Defender para la nube
• Mitigación de ataques con Microsoft Defender para la nube

Después de completar este módulo, los alumnos podrán:

• Descripción de Microsoft Defender para características en la nube
• Explicación de qué cargas de trabajo están protegidas por Microsoft Defender for Cloud
• Explicación del funcionamiento de las protecciones de Microsoft Defender for Cloud
• Configurar el aprovisionamiento automático en Microsoft Defender para la nube
• Describir el aprovisionamiento manual en Microsoft Defender para la nube
• Conexión de máquinas que no son de Azure a Microsoft Defender para la nube
• Descripción de alertas en Microsoft Defender for Cloud
• Corrección de alertas en Microsoft Defender for Cloud
• Automatización de respuestas en Microsoft Defender for Cloud

Módulo 4: Creación de consultas para Microsoft Sentinel mediante el lenguaje de consulta Kusto (KQL)

Escriba instrucciones en Lenguaje de consulta de Kusto (KQL) para consultar los datos de registro para realizar detecciones, análisis e informes en Microsoft Sentinel. Este módulo se centrará en los operadores más usados. Las instrucciones en KQL de ejemplo mostrarán consultas de tabla relacionadas con la seguridad. KQL es el lenguaje de consulta que se usa para analizar datos con el fin de crear análisis, libros y realizar búsquedas en Microsoft Sentinel. Obtenga información sobre cómo la estructura de instrucciones KQL básica proporciona la base para crear instrucciones más complejas. Aprender a resumir y visualizar datos con una instrucción KQL proporciona la base para crear detecciones en Microsoft Sentinel. Aprenda a usar el lenguaje de consulta Kusto (KQL) para manipular los datos de cadena ingeridos de los orígenes de registros.

Lecciones

1. Construcción de instrucciones KQL para Microsoft Sentinel
2. Uso de KQL para analizar los resultados de consultas
3. Uso de KQL para crear instrucciones de varias tablas
4. Trabajar con datos de cadena mediante instrucciones KQL

Laboratorio: Creación de consultas para Microsoft Sentinel mediante el lenguaje de consulta Kusto (KQL)

• Creación de consultas para Microsoft Sentinel mediante el lenguaje de consulta Kusto (KQL)

Después de completar este módulo, los alumnos podrán:

• Construir instrucciones KQL
• Buscar eventos de seguridad en archivos de registro con KQL
• Filtrar búsquedas en función de la hora del evento, la gravedad, el dominio y otros datos relevantes mediante KQL
• Resumir datos usando instrucciones KQL.
• Representar visualizaciones con instrucciones KQL.
• Extraer datos de campos de cadena no estructurados usando KQL.
• Extraer datos de datos de cadena estructurados usando KQL.
• Crear funciones con KQL.

Módulo 5: Configuración del entorno de Microsoft Sentinel

Para empezar a trabajar con Microsoft Sentinel, configure correctamente el área de trabajo de Microsoft Sentinel. Los sistemas tradicionales de administración de eventos e información de seguridad (SIEM) suelen tardar mucho tiempo en instalarse y configurarse. Tampoco están diseñados de forma específica para cargas de trabajo en la nube. Microsoft Sentinel permite empezar a obtener conclusiones valiosas sobre la seguridad de los datos en la nube y locales en muy poco tiempo. Este módulo lo ayuda a empezar. Obtenga información sobre la arquitectura de las áreas de trabajo de Microsoft Sentinel para asegurarse de que configura el sistema para satisfacer los requisitos de las operaciones de seguridad de su organización. Como analista de operaciones de seguridad, debe comprender las tablas, los campos y los datos ingeridos en el área de trabajo. Descubra cómo consultar las tablas de datos más utilizadas en Microsoft Sentinel.

Lecciones

1. Introducción a Microsoft Sentinel
2. Creación y administración de áreas de trabajo de Microsoft Sentinel
3. Registros de consulta en Microsoft Sentinel
4. Uso de listas de reproducción en Microsoft Sentinel
5. Uso de la inteligencia sobre amenazas en Microsoft Sentinel

Laboratorio: Configuración del entorno de Microsoft Sentinel

• Configuración del entorno de Microsoft Sentinel

Después de completar este módulo, los alumnos podrán:

• Identificar los distintos componentes y la funcionalidad de Microsoft Sentinel.
• Identificar los casos de uso en los que Microsoft Sentinel sería una buena solución.
• Describir la arquitectura de un área de trabajo de Microsoft Sentinel
• Instalar un área de trabajo de Microsoft Sentinel
• Administrar un área de trabajo de Microsoft Sentinel
• Creación de una lista de reproducción en Microsoft Sentinel
• Uso de KQL para acceder a la lista de reproducción en Microsoft Sentinel
• Administrar indicadores de amenazas en Microsoft Sentinel
• Usar KQL para acceder a los indicadores de amenazas en Microsoft Sentinel

Módulo 6: Conectar registros en Microsoft Sentinel

Conecte datos a Microsoft Sentinel a la escala de la nube en todos los usuarios, dispositivos y aplicaciones, así como en la totalidad de la infraestructura, tanto en el entorno local como en varias nubes. El enfoque principal para conectar datos de registro es usar los conectores de datos proporcionados de Microsoft Sentinel. En este módulo, se proporciona información general sobre los conectores de datos disponibles. Podrá obtener información sobre las opciones de configuración y los datos proporcionados por los conectores de Microsoft Sentinel para Microsoft 365 Defender.

Lecciones

1. Conexión de datos a Microsoft Sentinel mediante conectores de datos
2. Conexión de servicios Microsoft a Microsoft Sentinel
3. Conexión de Microsoft 365 Defender a Microsoft Sentinel
4. Conexión de hosts de Windows a Microsoft Sentinel
5. Conexión de registros de formato de evento común a Microsoft Sentinel
6. Conexión de orígenes de datos Syslog a Microsoft Sentinel
7. Conexión de indicadores de amenazas a Microsoft Sentinel

Laboratorio: Conectar registros en Microsoft Sentinel

• Conexión de datos a Microsoft Sentinel mediante conectores de datos
• Conectar Windows dispositivos a Microsoft Sentinel mediante conectores de datos
• Conectar hosts de Linux a Microsoft Sentinel mediante conectores de datos
• Conectar inteligencia sobre amenazas a Microsoft Sentinel mediante conectores de datos

Después de completar este módulo, los alumnos podrán:

• Explicar el uso de los conectores de datos en Microsoft Sentinel.
• Explicar las diferencias entre el formato de evento común y el conector Syslog en Microsoft Sentinel.
• Conectar conectores de servicios de Microsoft.
• Explicar el modo en el que los conectores crean incidentes automáticamente en Microsoft Sentinel.
• Activación del conector de Microsoft 365 Defender en Microsoft Sentinel
• Conectar Azure Windows Virtual Machines a Microsoft Sentinel.
• Conectar hosts Windows que no son de Azure a Microsoft Sentinel.
• Configurar el agente de Log Analytics para recopilar eventos de Sysmon.
• Explicar las opciones de implementación del conector de formato de evento común en Microsoft Sentinel.
• Configuración del conector TAXII en Microsoft Sentinel
• Visualización de indicadores de amenazas en Microsoft Sentinel

Módulo 7: Creación de detecciones y realización de investigaciones mediante Microsoft Sentinel

Detecte amenazas descubiertas anteriormente y soluciónelas rápidamente con opciones de orquestación y automatización en Microsoft Sentinel. Aprenderá a crear cuadernos de reproducción de Microsoft Sentinel para responder a amenazas de seguridad. Investigará la administración de incidentes de Microsoft Sentinel, conocerá los eventos y entidades de Microsoft Sentinel y detectará formas de resolver incidentes. También aprenderá a consultar, visualizar y supervisar datos en Microsoft Sentinel.

Lecciones

1. Detección de amenazas con análisis de Microsoft Sentinel
2. Administración de incidentes de seguridad en Microsoft Sentinel
3. Respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel
4. Análisis del comportamiento de usuarios y entidades en Microsoft Sentinel
5. Consulta, visualización y supervisión de datos en Microsoft Sentinel

Laboratorio: Creación de detecciones y realización de investigaciones mediante Microsoft Sentinel

• Activación de una regla de seguridad de Microsoft
• Creación de un cuaderno de estrategias
• Creación de una consulta programada
• Descripción del modelado de detección
• Realización de ataques
• Creación de detecciones
• Investigación de incidentes
• Creación de libros

Después de completar este módulo, los alumnos podrán:

• Explicar la importancia de Análisis de Microsoft Sentinel.
• Crear reglas a partir de plantillas
• Administrar reglas con modificaciones
• Explicar las funcionalidades de SOAR de Microsoft Sentinel.
• Crear un cuaderno de estrategias para automatizar la respuesta a incidentes.
• Investigar y administrar la resolución de incidentes.
• Explicar el análisis de comportamiento de entidades y usuarios en Microsoft Sentinel
• Explorar entidades en Microsoft Sentinel
• Visualizar datos de seguridad mediante libros de Microsoft Sentinel.

Módulo 8: Realizar la búsqueda de amenazas en Microsoft Sentinel

En este módulo aprenderá a identificar de forma proactiva comportamientos de amenaza mediante consultas de Azure Sentinel. También va a aprender a usar marcadores y streaming en vivo para la búsqueda de amenazas. También aprenderá a usar cuadernos en Azure Sentinel para la búsqueda avanzada.

Lecciones

1. Conceptos de búsqueda de amenazas en Microsoft Sentinel
2. Búsqueda de amenazas con Microsoft Sentinel
3. Búsqueda de amenazas con cuadernos en Microsoft Sentinel

Laboratorio: búsqueda de amenazas en Microsoft Sentinel

• Búsqueda de amenazas en Microsoft Sentinel
• Búsqueda de amenazas mediante cuadernos con Microsoft Sentinel

Después de completar este módulo, los alumnos podrán:

• Describir los conceptos de búsqueda de amenazas para usarlos con Microsoft Sentinel.
• Definir una hipótesis de búsqueda de amenazas para usarla en Microsoft Sentinel.
• Usar consultas para buscar amenazas.
• Observar amenazas a lo largo del tiempo con streaming en vivo.
• Explorar las bibliotecas de API para la búsqueda avanzada de amenazas en Microsoft Sentinel
• Crear y usar cuadernos en Microsoft Sentinel