Analyste des opérations de sécurité Microsoft

Formation délivrée en présentiel ou distanciel* (blended-learning, e-learning, classe virtuelle, présentiel à distance).
Le formateur alterne entre méthode** démonstrative, interrogative et active (via des travaux pratiques et/ou des mises en situation).
Variables suivant les formations, les moyens pédagogiques mis en oeuvre sont :

• Ordinateurs Mac ou PC (sauf pour certains cours de l’offre Management), connexion internet fibre, tableau blanc ou paperboard, vidéoprojecteur ou écran tactile interactif (pour le distanciel)
• Environnements de formation installés sur les postes de travail ou en ligne
• Supports de cours et exercices

En cas de formation intra sur site externe à M2i, le client s'assure et s'engage également à avoir toutes les ressources matérielles pédagogiques nécessaires (équipements informatiques...) au bon déroulement de l'action de formation visée conformément aux prérequis indiqués dans le programme de formation communiqué.
* nous consulter pour la faisabilité en distanciel
** ratio variable selon le cours suivi

A l’issue de cette formation, vous serez capable de :

• Expliquer comment Microsoft Defender for Endpoint peut résoudre les risques dans votre environnement
• Administrer un environnement Microsoft Defender for Endpoint
• Configurer les règles de réduction de la surface d'attaque sur les périphériques Windows
• Effectuer des actions sur un appareil à l'aide de Microsoft Defender for Endpoint
• Examiner les domaines et les adresses IP dans Microsoft Defender for Endpoint
• Analyser les comptes d'utilisateur dans Microsoft Defender for Endpoint
• Configurer les paramètres d'alerte dans Microsoft 365 Defender
• Effectuer des recherches dans Microsoft 365 Defender
• Gérer les incidents dans Microsoft 365 Defender
• Expliquer comment Microsoft Defender for Identity peut résoudre les risques dans votre environnement
• Examiner les alertes DLP dans Microsoft Defender pour les applications Cloud
• Expliquer les types d'actions que vous pouvez effectuer dans le cas d'une gestion des risques Insider
• Configurer l'approvisionnement automatique dans Microsoft Defender pour les applications Cloud
• Corriger les alertes dans Microsoft Defender pour les applications Cloud
• Construire des instructions KQL
• Filtrer les recherches en fonction de l'heure de l'évènement, de la gravité, du domaine et d'autres données pertinentes à l'aide de KQL
• Extraire des données à partir de champs de chaînes non structurés à l'aide de KQL
• Gérer un espace de travail Microsoft Sentinel
• Utiliser KQL pour accéder à la watchlist dans Microsoft Azure Sentinel
• Gérer les indicateurs de menace dans Microsoft Azure Sentinel
• Expliquer les différences entre Common Event Format (CEF) et le connecteur Syslog dans Microsoft Sentinel
• Connecter les machines virtuelles Windows Azure à Microsoft Sentinel
• Configurer l'agent Log Analytics pour collecter les événements Sysmon
• Créer de nouvelles règles et requêtes analytiques à l'aide de l'assistant de règles d'analyse
• Concevoir un playbook pour automatiser une réponse à un incident
• Utiliser des requêtes pour chasser les menaces
• Observer les menaces dans le temps avec le stream en direct.

• En cours de formation, par des études de cas ou des travaux pratiques - Et, en fin de formation, par un questionnaire d'auto-évaluation et/ou une certification éditeur (proposée en option)

Avoir des connaissances fondamentales de Microsoft 365, des produits de sécurité, de conformité et d'identité Microsoft, ainsi que des concepts scripting. Avoir des connaissances intermédiaires de Windows ainsi que des services Azure, en particulier Azure SQL Database et Azure Storage. Etre familier avec des machines virtuelles Azure et des réseaux virtuels.

Tous publics