Ruta de aprendizaje: Mitigación de amenazas mediante Microsoft Defender XDR.
Analice los datos de amenazas en todos los dominios y corrija rápidamente las amenazas con la orquestación y la automatización integradas en Microsoft Defender XDR.
Módulo 1: Introducción a la protección contra amenazas de Microsoft Defender XDR.
En este módulo, aprenderá a usar el conjunto de protección contra amenazas integrado Microsoft Defender XDR.
• Explore los casos de uso de respuesta de detección y respuesta extendidas (XDR).
• Descripción de Microsoft Defender XDR en un Centro de operaciones de seguridad (SOC).
• Explorar Microsoft Security Graph.
• Investigación de incidentes de seguridad en Microsoft Defender XDR.
Módulo 2: Mitigación de incidentes con Microsoft Defender.
Obtenga información sobre cómo el portal de Microsoft Defender proporciona una vista unificada de los incidentes de la familia de productos de Microsoft Defender.
• Uso del portal de Microsoft Defender.
• Gestionar incidentes.
• Investigar incidentes.
• Administrar e investigar alertas.
• Gestione investigaciones automatizadas.
• Usar el centro de actividades.
• Explora la búsqueda avanzada.
• Investigación de los registros de inicio de sesión de Microsoft Entra.
• Descripción de la puntuación de seguridad de Microsoft.
• Análisis de amenazas.
• Analizar informes.
• Configuración del portal de Microsoft Defender.
Módulo 3: Corrija los riesgos con Microsoft Defender para Office 365.
Obtenga información sobre el componente Microsoft Defender para Office 365 de Microsoft Defender XDR.
• Introducción a Microsoft Defender para Office 365.
• Automatizar, investigar y corregir.
• Configurar, proteger y detectar.
• Simular ataques.
Módulo 4: Administrar Microsoft Entra Identity Protection.
La protección de la identidad de un usuario mediante la supervisión de su uso y patrones de inicio de sesión garantiza una solución segura en la nube. Explore cómo diseñar e implementar la protección de identidad de Microsoft Entra.
• Revise los conceptos básicos de protección de identidad.
• Implementar y administrar la política de riesgo del usuario.
• Ejercicio de la directiva de riesgo de inicio de sesión.
• Ejercicio de configuración de la directiva de registro de autenticación multifactor de Microsoft Entra.
• Supervise, investigue y corrija usuarios de riesgo elevado.
• Implementación de la seguridad para las identidades de carga de trabajo.
• Exploración de Microsoft Defender for Identity.
Módulo 5: Protección del entorno con Microsoft Defender for Identity.
Obtenga información sobre el componente Microsoft Defender for Identity de Microsoft Defender XDR.
• Introducción a Microsoft Defender for Identity.
• Configuración de sensores de Microsoft Defender for Identity.
• Revisar cuentas o datos comprometidos.
• Integración con otras herramientas de Microsoft.
Módulo 6: Proteja sus aplicaciones y servicios en la nube con Microsoft Defender for Cloud Apps.
Microsoft Defender for Cloud Apps es un agente de seguridad de acceso a la nube (CASB) que opera en varias nubes. Proporciona una gran visibilidad, control sobre el viaje de datos y análisis sofisticados para identificar y combatir las amenazas cibernéticas en todos sus servicios en la nube. Obtenga información sobre cómo usar Defender for Cloud Apps en su organización.
• Descripción del marco de Defender for Cloud Apps.
• Explore sus aplicaciones en la nube con Cloud Discovery.
• Proteja sus datos y aplicaciones con el control de aplicaciones de acceso condicional.
• Recorrido por la detección y el control de acceso con Microsoft Defender for Cloud Apps.
• Clasifique y proteja la información confidencial.
• Detectar amenazas.
Ruta de aprendizaje: Mitigación de amenazas mediante Microsoft Security Copilot.
Introducción a Microsoft Security Copilot. Se le presenta la terminología básica, cómo Microsoft Security Copilot procesa los avisos, los elementos de un mensaje eficaz y cómo habilitar la solución.
Módulo 7: Introducción a la IA generativa y los agentes.
La IA generativa impulsa aplicaciones que pueden crear contenido, responder preguntas y ayudar con las tareas. En este módulo, explorará los fundamentos de la IA generativa, incluidos los modelos de lenguaje grandes (LLM), las solicitudes y los agentes de IA.
• Modelos de lenguaje grandes (LLM).
• Indicaciones.
• Agentes de IA.
• Ejercicio: Exploración de escenarios de agentes de IA generativa.
Módulo 8: Descripción de Microsoft Security Copilot.
Familiarícese con Microsoft Security Copilot. Se le presentará terminología básica, cómo Microsoft Security Copilot procesa los mensajes, los elementos de un mensaje eficaz y cómo habilitar la solución.<
• Familiarícese con Microsoft Security Copilot.
• Describir la terminología de Microsoft Security Copilot.
• Describir cómo Microsoft Security Copilot procesa las solicitudes de solicitud.
• Describir los elementos de un mensaje efectivo.
• Describir cómo habilitar Microsoft Security Copilot.
Módulo 9: Describir las características principales de Microsoft Security Copilot.
Microsoft Security Copilot tiene un amplio conjunto de características. Obtén información sobre los plugins disponibles, los promptbooks, las formas en que puedes exportar y compartir información de Copilot y mucho más.
• Describir las características disponibles en la experiencia independiente de Microsoft Security Copilot.
• Describir las características disponibles en una sesión de la experiencia independiente.
• Describir espacios de trabajo.
• Describir los complementos de Microsoft disponibles en Microsoft Security Copilot.
• Describir los complementos que no son de Microsoft compatibles con Microsoft Security Copilot.
• Descripción de promptbooks personalizados.
• Describir las conexiones de la base de conocimientos.
Módulo 10: Describir las experiencias insertadas de Microsoft Security Copilot.
Se puede acceder a Microsoft Security Copilot directamente desde algunos productos de seguridad de Microsoft. Esto se conoce como la experiencia integrada. Obtenga información sobre los escenarios admitidos por la experiencia integrada de Copilot en las soluciones de seguridad de Microsoft.
• Descripción de Copilot en Microsoft Defender XDR.
• Copilot en Microsoft Purview.
• Copiloto en Microsoft Entra.
• Copilot en Microsoft Intune.
• Copilot en Microsoft Defender for Cloud (versión preliminar).
Módulo 11: Explore los casos de uso de Microsoft Security Copilot.
Explore casos de uso de Microsoft Security Copilot en las experiencias independientes e integradas, a través de ejercicios similares a los de laboratorio.
• Explora la experiencia de la primera carrera.
• Explora la experiencia independiente.
• Explore los espacios de trabajo de Security Copilot.
• Configuración del complemento Microsoft Sentinel.
• Habilitar un complemento personalizado.
• Explore las cargas de archivos como base de conocimientos.
• Crear un promptbook personalizado.
• Exploración de las funcionalidades de Copilot en Microsoft Defender XDR.
• Explore las funcionalidades de Copilot en Microsoft Purview.
• Explore las capacidades de Copilot en Microsoft Entra.
Ruta de aprendizaje: Mitigación de amenazas mediante Microsoft Purview.
En esta ruta de aprendizaje, nos centramos en las soluciones de riesgo y cumplimiento de Microsoft Purview que ayudan a los analistas de operaciones de seguridad a detectar amenazas a las organizaciones e identificar, clasificar y proteger datos confidenciales, así como a supervisar e informar sobre el cumplimiento.
Módulo 12: Investigación y respuesta a alertas de prevención de pérdida de datos de Microsoft Purview.
Microsoft Purview y Microsoft Defender XDR ayudan a las organizaciones a detectar posibles riesgos de pérdida de datos y responder rápidamente para proteger la información confidencial. Las actividades de investigación y respuesta incluyen la revisión de las alertas de DLP, la aplicación de las acciones de corrección adecuadas y la documentación de los hallazgos de forma estructurada y coherente.
• Descripción de las alertas de prevención de pérdida de datos (DLP).
• Descripción del ciclo de vida de las alertas de DLP.
• Configuración de directivas DLP para generar alertas.
• Investigación de alertas DLP en Microsoft Purview.
• Investigación de alertas DLP en Microsoft Defender XDR.
• Investigación de alertas DLP con Security Copilot y agentes de IA.
• Responder a alertas de DLP.
• Ejercicio: Investigar una alerta DLP y un incidente relacionado.
Módulo 13: Investigar alertas de riesgo interno y actividad relacionada.
Investigue las alertas de riesgo interno y administre casos relacionados en Microsoft Purview para evaluar el comportamiento del usuario, tomar las medidas adecuadas y coordinar revisiones más profundas entre equipos.
• Comprender las alertas e investigaciones de riesgos internos.
• Administrar el volumen de alertas en la administración de riesgos internos.
• Investigación y evaluación de las alertas de riesgo interno en Microsoft Purview.
• Investigue alertas de riesgo interno con Security Copilot y agentes de IA.
• Analizar el contexto de alerta con la pestaña Todos los factores de riesgo.
• Investigar los detalles de la actividad con la pestaña Explorador de actividades.
• Revise los patrones a lo largo del tiempo con la pestaña Actividad del usuario.
• Investigación de alertas de riesgo interno en Microsoft Defender XDR.
• Administrar y tomar medidas en casos de riesgo interno.
• Ejercicio: Investigar posibles robos de datos mediante la administración de riesgos internos.
Módulo 14: Búsqueda e investigación con Microsoft Purview Audit.
Mejore la seguridad y el cumplimiento de los datos con Microsoft Purview Audit mediante la configuración de auditorías detalladas, la administración de registros y el análisis de patrones de acceso.
• Introducción a la auditoría de Microsoft Purview.
• Configuración y administración de la auditoría de Purview.
• Realizar búsquedas con Auditoría (Estándar).
• Auditoría de Microsoft Copilot para interacciones de Microsoft 365.
• Investigación de actividades con Auditoría (Premium).
• Exportar datos de registro de auditoría.
• Configuración de la retención de auditoría con Auditoría (Premium).
Módulo 15: Búsqueda de contenido con Microsoft Purview eDiscovery.
Use Microsoft Purview eDiscovery para buscar contenido en Microsoft 365. En este módulo se explica cómo configurar casos, definir criterios de búsqueda y localizar mensajes, archivos y otros datos de la organización.
• Descripción de las capacidades de exhibición de documentos electrónicos y búsqueda de contenido.
• Requisitos previos para usar eDiscovery en Microsoft Purview.
• Crear una búsqueda de exhibición de documentos electrónicos.
• Realizar una búsqueda de exhibición de documentos electrónicos.
• Exportación de resultados de búsqueda de exhibición de documentos electrónicos.
Ruta de aprendizaje: Mitigación de amenazas mediante Microsoft Defender para punto de conexión.
Implemente la plataforma Microsoft Defender para punto de conexión para detectar, investigar y responder a amenazas avanzadas.
Módulo 16: Protección contra amenazas con Microsoft Defender para punto de conexión.
Obtenga información sobre cómo Microsoft Defender para punto de conexión puede ayudar a su organización a mantenerse segura.
• Introducción a Microsoft Defender para punto de conexión.
• Practique la administración de seguridad.
• Busque amenazas dentro de su red.
Módulo 17: Implementación del entorno de Microsoft Defender para punto de conexión.
Obtenga información sobre cómo implementar el entorno de Microsoft Defender para punto de conexión, incluida la incorporación de dispositivos y la configuración de la seguridad.
• Crea tu entorno.
• Comprender la compatibilidad y las características de los sistemas operativos.
• Dispositivos a bordo.
• Administrar acceso.
• Crear y administrar roles para el control de acceso basado en roles.
• Configurar grupos de dispositivos.
• Configurar características avanzadas del entorno.
Módulo 18: Implementación de mejoras de seguridad de Windows con Microsoft Defender para punto de conexión.
Microsoft Defender para punto de conexión proporciona varias herramientas para eliminar riesgos al reducir el área expuesta de ataques sin bloquear la productividad del usuario. Obtenga información sobre la reducción de la superficie expuesta a ataques (ASR) con Microsoft Defender para punto de conexión.
• Descripción de la reducción de la superficie expuesta a ataques.
• Habilitación de reglas de reducción de superficie expuesta a ataques.
Módulo 19: Realización de investigaciones de dispositivos en Microsoft Defender para punto de conexión.
Microsoft Defender para punto de conexión proporciona información detallada del dispositivo, incluida información forense. Obtenga información sobre la información disponible a través de Microsoft Defender para punto de conexión que le ayuda en sus investigaciones.
• Usar la lista de inventario de dispositivos.
• Investigar el dispositivo.
• Usar bloqueo de comportamiento.
• Detección de dispositivos con detección de dispositivos.
Módulo 20: Realización de acciones en un dispositivo mediante Microsoft Defender para punto de conexión.
Obtenga información sobre cómo Microsoft Defender para punto de conexión proporciona la funcionalidad remota para contener dispositivos y recopilar datos forenses.
• Explicar las acciones del dispositivo.
• Ejecutar el análisis antivirus de Microsoft Defender en dispositivos.
• Recopilación del paquete de investigación de los dispositivos.
• Iniciar sesión de respuesta en vivo.
Módulo 21: Realización de investigaciones de pruebas y entidades mediante Microsoft Defender para punto de conexión.
Obtenga información sobre los artefactos de su entorno y cómo se relacionan con otros artefactos y alertas que le proporcionan información para comprender el impacto general en su entorno.
• Investigar un archivo.
• Investigar una cuenta de usuario.
• Investigar una dirección IP.
• Investigar un dominio.
Módulo 22: Configuración y administración de la automatización mediante Microsoft Defender para punto de conexión.
Obtenga información sobre cómo configurar la automatización en Microsoft Defender para punto de conexión mediante la administración de la configuración del entorno.
• Configurar funciones avanzadas.
• Administrar la carga de automatización y la configuración de carpetas.
• Configuración de capacidades automatizadas de investigación y corrección.
• Bloquear dispositivos en riesgo.
Módulo 23: Configuración de alertas y detecciones en Microsoft Defender para punto de conexión.
Aprende a configurar los ajustes para administrar alertas y notificaciones. También aprenderá a habilitar indicadores como parte del proceso de detección.
• Configurar funciones avanzadas.
• Configurar notificaciones de alerta.
• Administrar la supresión de alertas.
• Gestionar indicadores.
Módulo 24: Uso de la administración de vulnerabilidades en Microsoft Defender para punto de conexión.
Obtenga información sobre los puntos débiles de su entorno mediante la administración de vulnerabilidades en Microsoft Defender para punto de conexión.
• Comprender la gestión de vulnerabilidades.
• Explora las vulnerabilidades de tus dispositivos.
• Administrar la corrección.
Ruta de aprendizaje: Mitigación de amenazas mediante Microsoft Defender for Cloud.
Use Microsoft Defender for Cloud, para Azure, nube híbrida y protección y seguridad de cargas de trabajo locales.
Módulo 25: Planeación de protecciones de cargas de trabajo en la nube mediante Microsoft Defender for Cloud.
Obtenga información sobre el propósito de Microsoft Defender for Cloud y cómo habilitar el sistema.
• Explicación de Microsoft Defender for Cloud.
• Descripción de las protecciones de cargas de trabajo de Microsoft Defender for Cloud.
• Habilitación de Microsoft Defender for Cloud.
• Ejercicio: Guía interactiva de Microsoft Defender for Cloud.
Módulo 26: Conexión de recursos de Azure a Microsoft Defender for Cloud.
Obtenga información sobre cómo conectar los distintos recursos de Azure a Microsoft Defender for Cloud para detectar amenazas.
• Explore y administre sus recursos con el inventario de activos.
• Configurar el aprovisionamiento automático.
• Aprovisionamiento manual de agentes.
Módulo 27: Conexión de recursos que no son de Azure a Microsoft Defender for Cloud.
Obtenga información sobre cómo puede agregar funcionalidades de Microsoft Defender for Cloud a su entorno híbrido.
• Protección de recursos que no son de Azure.
• Conexión de máquinas que no son de Azure.
• Conecte sus cuentas de AWS.
• Conecta tus cuentas de GCP.
Módulo 28: Administre la administración de su postura de seguridad en la nube.
Microsoft Defender for Cloud, Cloud Security Posture Management (CSPM) proporciona visibilidad de los recursos vulnerables y proporciona instrucciones de protección.
• Explorar Secure Score.
• Explorar recomendaciones.
• Mida y haga cumplir la normativa.
• Descripción de los libros de trabajo.
Módulo 29: Explicación de las protecciones de cargas de trabajo en la nube en Microsoft Defender for Cloud.
Obtenga información sobre las protecciones y detecciones proporcionadas por Microsoft Defender for Cloud con cada carga de trabajo en la nube.
• Descripción de Microsoft Defender para servidores.
• Descripción de Microsoft Defender para App Service.
• Descripción de Microsoft Defender para almacenamiento.
• Descripción de Microsoft Defender para SQL.
• Descripción de Microsoft Defender para bases de datos de código abierto.
• Descripción de Microsoft Defender para Key Vault.
• Descripción de Microsoft Defender para Resource Manager.
• Descripción de Microsoft Defender para DNS.
• Descripción de Microsoft Defender para contenedores.
• Descripción de las protecciones adicionales de Microsoft Defender.
Módulo 30: Corrección de alertas de seguridad mediante Microsoft Defender for Cloud.
Obtenga información sobre cómo corregir las alertas de seguridad en Microsoft Defender for Cloud.
• Descripción de las alertas de seguridad.
• Corrija las alertas y automatice las respuestas.
• Supresión de alertas de Defender for Cloud.
• Generar informes de inteligencia de amenazas.
• Respuesta a alertas de recursos de Azure.
Ruta de aprendizaje: Creación de consultas para Microsoft Sentinel mediante el lenguaje de consulta Kusto (KQL).
Escriba instrucciones de lenguaje de consulta Kusto (KQL) para consultar datos de registro para realizar detecciones, análisis e informes en Microsoft Sentinel. Esta ruta de aprendizaje se centrará en los operadores más utilizados. Las instrucciones KQL de ejemplo mostrarán consultas de tabla relacionadas con la seguridad.
Módulo 31: Construcción de instrucciones KQL para Microsoft Sentinel.
El lenguaje de consulta Kusto (KQL) es el lenguaje de consulta que se usa para realizar análisis de datos para crear análisis, libros y realizar la búsqueda en Microsoft Sentinel. Obtenga información sobre cómo la estructura básica de instrucciones KQL proporciona la base para crear instrucciones más complejas.
• Descripción de la estructura de instrucciones del lenguaje de consulta Kusto.
• Usar el operador de búsqueda.
• Utilice el operador where.
• Usar la instrucción let.
• Usar el operador extend.
• Utilice el operador de pedido por.
• Utilice los operadores del proyecto.
Módulo 32: Análisis de los resultados de las consultas mediante KQL.
Aprenda a resumir y visualizar datos con una instrucción KQL que proporciona la base para crear detecciones en Microsoft Sentinel.
• Usar el operador summarize.
• Usar el operador summarize para filtrar los resultados.
• Usar el operador summarize para preparar datos.
• Usar el operador de representación para crear visualizaciones.
Módulo 33: Creación de instrucciones de varias tablas mediante KQL.
Aprenda a trabajar con varias tablas mediante KQL.
• Usar el operador union.
• Usar el operador de unión.
Módulo 34: Trabajar con datos en Microsoft Sentinel mediante el lenguaje de consulta Kusto.
Obtenga información sobre cómo usar el lenguaje de consulta Kusto (KQL) para manipular los datos de cadena ingeridos desde orígenes de registro.
• Extraer datos de campos de cadena no estructurados.
• Extracción de datos de datos de cadenas estructuradas.
• Integrar datos externos.
• Crear analizadores con funciones.
Ruta de aprendizaje: Configuración del entorno de Microsoft Sentinel.
Para empezar a trabajar con Microsoft Sentinel, configure correctamente el área de trabajo de Microsoft Sentinel.
Módulo 35: Introducción a Microsoft Sentinel.
Los sistemas tradicionales de gestión de eventos e información de seguridad (SIEM) suelen tardar mucho tiempo en instalarse y configurarse. Tampoco están necesariamente diseñados teniendo en cuenta las cargas de trabajo en la nube. Microsoft Sentinel le permite empezar a obtener información de seguridad valiosa de los datos locales y en la nube rápidamente. Este módulo le ayuda a empezar.
• ¿Qué es Microsoft Sentinel?
• Cómo funciona Microsoft Sentinel.
• Cuándo usar Microsoft Sentinel.
Módulo 36: Creación y administración de áreas de trabajo de Microsoft Sentinel.
Obtenga información sobre la arquitectura de las áreas de trabajo de Microsoft Sentinel para asegurarse de configurar el sistema para cumplir con los requisitos de operaciones de seguridad de su organización.
• Planeación del área de trabajo de Microsoft Sentinel.
• Creación de un área de trabajo de Microsoft Sentinel.
• Administración de áreas de trabajo entre inquilinos mediante Azure Lighthouse.
• Descripción de los permisos y roles de Microsoft Sentinel.
• Administrar la configuración de Microsoft Sentinel.
• Configurar registros.
Módulo 37: Registros de consulta en Microsoft Sentinel.
Como analista de operaciones de seguridad, debe comprender las tablas, los campos y los datos ingeridos en el área de trabajo. Obtenga información sobre cómo consultar las tablas de datos más usadas en Microsoft Sentinel.
• Consulta de registros en la página de registros.
• Descripción de las tablas de Microsoft Sentinel.
• Descripción de las tablas comunes.
• Descripción de las tablas XDR de Microsoft Defender.
Módulo 38: Uso de listas de reproducción en Microsoft Sentinel.
Obtenga información sobre cómo crear listas de reproducción de Microsoft Sentinel que son una lista con nombre de datos importados. Una vez creado, puede usar fácilmente la lista de seguimiento con nombre en consultas KQL.
• Planeación de listas de seguimiento.
• Crear una lista de seguimiento.
• Administrar listas de seguimiento.
Módulo 39: Uso de la inteligencia sobre amenazas en Microsoft Sentinel.
Obtenga información sobre cómo la página Inteligencia sobre amenazas de Microsoft Sentinel le permite administrar indicadores de amenazas.
• Definir inteligencia de amenazas.
• Administre sus indicadores de amenazas.
• Vea sus indicadores de amenazas con KQL.
Módulo 40: Integración de Microsoft Defender XDR con Microsoft Sentinel.
En este módulo, aprenderá cómo el portal de Microsoft Defender integra Microsoft Defender XDR con Microsoft Sentinel.
• Descripción de las ventajas de integrar Microsoft Sentinel con Defender XDR.
• Explore las diferencias de funcionalidad entre los portales de Microsoft Defender XDR y Microsoft Sentinel.
• Incorporación de Microsoft Sentinel a Microsoft Defender XDR.
• Exploración de las características de Microsoft Sentinel en Microsoft Defender XDR.
• Ejercicio: Conexión de Microsoft Sentinel a Microsoft Defender XDR.
Ruta de aprendizaje: Conexión de registros a Microsoft Sentinel.
Conecte datos a escala de nube en todos los usuarios, dispositivos, aplicaciones e infraestructura, tanto en el entorno local como en varias nubes a Microsoft Sentinel.
Módulo 41: Conexión de datos a Microsoft Sentinel mediante conectores de datos.
El enfoque principal para conectar datos de registro es usar los conectores de datos proporcionados por Microsoft Sentinel. Este módulo proporciona una descripción general de los conectores de datos disponibles.
• Ingesta de datos de registro con conectores de datos.
• Descripción de los proveedores de conectores de datos.
• Ver hosts conectados.
Módulo 42: Conexión de los servicios de Microsoft a Microsoft Sentinel.
Obtenga información sobre cómo conectar registros de servicio de Microsoft 365 y Azure a Microsoft Sentinel.
• Planeación de conectores de servicios de Microsoft.
• Conexión del conector de Microsoft 365.
• Conectar el conector de Microsoft Entra.
• Conexión del conector de protección de ID de Microsoft Entra.
• Conexión del conector de actividad de Azure.
Módulo 43: Conexión de Microsoft Defender XDR a Microsoft Sentinel.
Obtenga información sobre las opciones de configuración y los datos proporcionados por los conectores de Microsoft Sentinel para Microsoft Defender XDR.
• Planeación de conectores XDR de Microsoft Defender.
• Conexión del conector XDR de Microsoft Defender.
• Conexión del conector de Microsoft Defender for Cloud.
• Conexión de Microsoft Defender para IoT.
• Conexión de conectores heredados de Microsoft Defender.
Módulo 44: Conexión de hosts de Windows a Microsoft Sentinel.
Dos de los registros más comunes para recopilar son los eventos de seguridad de Windows y Sysmon. Obtenga información sobre cómo Microsoft Sentinel facilita esto con los conectores de datos de eventos de Microsoft Windows.
• Planeación del conector de eventos de seguridad de hosts de Windows.
• Conexión mediante los eventos de seguridad de Windows a través del conector AMA.
• Conéctese mediante los eventos de seguridad a través del conector de agente heredado.
• Recopilación de registros de eventos de Sysmon.
Módulo 45: Conexión de registros de formato de evento común a Microsoft Sentinel.
La mayoría de los conectores proporcionados por el proveedor utilizan el conector CEF. Obtenga información sobre las opciones de configuración del conector de formato de evento común (CEF).
• Planeación del conector de formato de evento común.
• Conexión de la solución externa mediante el conector de formato de evento común.
Módulo 46: Conexión de orígenes de datos de syslog a Microsoft Sentinel.
Obtenga información sobre las opciones de configuración de la regla de recopilación de datos de Syslog de Linux del agente de Azure Monitor, que le permiten analizar los datos de Syslog.
• Planeación de la recopilación de datos de syslog.
• Recopilar datos de fuentes basadas en Linux mediante syslog.
• Configurar la regla de recopilación de datos para orígenes de datos de Syslog.
• Análisis de datos de syslog con KQL.
Módulo 47: Conexión de indicadores de amenazas a Microsoft Sentinel.
Obtenga información sobre cómo conectar indicadores de inteligencia sobre amenazas al área de trabajo de Microsoft Sentinel mediante los conectores de datos proporcionados.
• Planeación de conectores de inteligencia sobre amenazas.
• Conexión del conector de inteligencia sobre amenazas de Defender.
• Conexión del conector TAXII de inteligencia de amenazas.
• Conexión del conector de la API de carga de inteligencia sobre amenazas.
• Vea sus indicadores de amenazas con KQL.
Ruta de aprendizaje: Creación de detecciones y realización de investigaciones mediante Microsoft Sentinel.
Detecte amenazas descubiertas anteriormente y corrija rápidamente las amenazas con la orquestación y automatización integradas en Microsoft Sentinel.
Módulo 48: Detección de amenazas con el análisis de Microsoft Sentinel.
En este módulo, ha aprendido cómo Microsoft Sentinel Analytics puede ayudar al equipo de SecOps a identificar y detener los ciberataques.
• ¿Qué es Microsoft Sentinel Analytics?
• Tipos de reglas de análisis.
• Crear una regla de análisis a partir de plantillas.
• Crear una regla de análisis desde el asistente.
• Administrar reglas de análisis.
• Ejercicio: Detección de amenazas con el análisis de Sentinel.
Módulo 49: Automatización en Microsoft Sentinel.
Al final de este módulo, puede usar reglas de automatización en Microsoft Sentinel para automatizar la administración de incidentes.
• Comprender las opciones de automatización.
• Crear reglas de automatización.
Módulo 50: Respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel.
En este módulo se describe cómo crear cuadernos de estrategias de Microsoft Sentinel para responder a amenazas de seguridad.
• ¿Qué son los cuadernos de estrategias de Microsoft Sentinel?
• Activar un libro de jugadas en tiempo real.
• Ejecute cuadernos de estrategias a petición.
• Ejercicio: Creación de un cuaderno de estrategias de Microsoft Sentinel.
Módulo 51: Administración de incidentes de seguridad en Microsoft Sentinel.
Obtenga información sobre los incidentes de seguridad, las pruebas y entidades de incidentes, la administración de incidentes y cómo usar Microsoft Sentinel para controlar incidentes.
• Comprender los incidentes.
• Evidencia y entidades de incidentes.
• Gestión de incidentes.
• Ejercicios:
- Configuración del entorno de Azure.
- Investigar un incidente.
Módulo 52: Identifique amenazas con análisis de comportamiento.
Obtenga información sobre cómo usar el análisis de comportamiento de entidades en Microsoft Sentinel para identificar amenazas dentro de su organización.
• Comprender el análisis del comportamiento.
• Explorar entidades.
• Mostrar información de comportamiento de entidad.
• Uso de plantillas de reglas analíticas de detección de anomalías.
Módulo 53: Normalización de datos en Microsoft Sentinel.
Al final de este módulo, puede usar analizadores del modelo de información de seguridad avanzada (ASIM) para identificar amenazas dentro de su organización.
• Comprender la normalización de datos.
• Uso de analizadores ASIM.
• Descripción de las funciones KQL parametrizadas.
• Creación de un analizador de ASIM.
• Configuración de reglas de recopilación de datos de Azure Monitor.
Módulo 54: Consultar, visualizar y supervisar datos en Microsoft Sentinel.
En este módulo se describe cómo consultar, visualizar y supervisar datos en Microsoft Sentinel.
• Supervisar y visualizar datos.
• Consulta de datos mediante el lenguaje de consulta Kusto.
• Uso predeterminado de libros de Microsoft Sentinel.
• Creación de un nuevo libro de Microsoft Sentinel.
• Ejercicios:
- Consulta de datos con libros de Microsoft Sentinel.
- Visualización de datos mediante libros de Microsoft Sentinel.
Módulo 55: Administración de contenido en Microsoft Sentinel.
Al final de este módulo, puede administrar el contenido en Microsoft Sentinel.
• Usar soluciones del centro de contenido.
• Uso de repositorios para la implementación.
Ruta de aprendizaje: Búsqueda de amenazas en Microsoft Sentinel.
Busque de forma proactiva amenazas de seguridad con las potentes herramientas de búsqueda de amenazas de Microsoft Sentinel.
Módulo 56: Explicación de los conceptos de búsqueda de amenazas en Microsoft Sentinel.
Conozca el proceso de búsqueda de amenazas en Microsoft Sentinel.
• Comprender las búsquedas de amenazas de ciberseguridad.
• Desarrollar una hipótesis.
• Explora MITRE ATT&CK.
• Evaluación del módulo.
Módulo 57: Búsqueda de amenazas con Microsoft Sentinel.
En este módulo, aprenderá a identificar de forma proactiva los comportamientos de amenazas mediante consultas de Microsoft Sentinel. También aprenderá a usar marcadores y transmisiones en vivo para cazar amenazas.
• Configuración del ejercicio.
• Explore la creación y administración de consultas de búsqueda de amenazas.
• Guardar hallazgos clave con marcadores.
• Observe las amenazas a lo largo del tiempo con la transmisión en vivo.
• Ejercicio: Búsqueda de amenazas mediante Microsoft Sentinel.
Módulo 58: Uso de trabajos de búsqueda en Microsoft Sentinel.
En Microsoft Sentinel, puede buscar durante largos períodos de tiempo en conjuntos de datos grandes mediante un trabajo de búsqueda.
• Caza con un trabajo de búsqueda.
• Restaurar datos históricos.
Módulo 59: Búsqueda de amenazas mediante cuadernos en Microsoft Sentinel.
Aprenda a usar cuadernos en Microsoft Sentinel para la búsqueda avanzada.
• Acceso a datos de Azure Sentinel con herramientas externas.
• Caza con cuadernos.
• Crear un bloc de notas.
• Explorar el código del cuaderno.
| 
