tertiarycourses/TGS-2024042604---Microsoft-Security-Operations-Analyst-SC-200-

GitHub: tertiarycourses/TGS-2024042604---Microsoft-Security-Operations-Analyst-SC-200-

一套面向 Microsoft SC-200 认证的 10 个实操实验,涵盖微软安全运营平台的配置、事件响应和威胁狩猎全流程。

Stars: 0 | Forks: 0

# TGS-2024042604 - Microsoft Security Operations Analyst (SC-200) 这些是 [Tertiary Infotech Academy Pte Ltd](https://www.tertiarycourses.com.sg/) 提供的 WSQ Microsoft Security Operations Analyst (SC-200) 课程的实操实验练习。 本代码库包含 **10 个引导式安全操作实验**,与截至 2026 年 7 月 28 日的 Microsoft SC-200 考试测评技能保持一致。这些实验涵盖了 Microsoft Defender XDR、Microsoft Sentinel、Defender for Endpoint、Defender for Cloud、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、Microsoft Entra ID、Microsoft Purview、KQL、自动化、事件响应、威胁狩猎以及 Security Copilot 场景。 ## 课程资料 | 资料 | 文件 | |----------|------| | **学员指南 (Markdown)** | [LG-Microsoft-Security-Operations-Analyst-SC-200.md](LG-Microsoft-Security-Operations-Analyst-SC-200.md) | | **实验索引** | [labs/README.md](labs/README.md) | | **工具和门户** | [labs/tools.md](labs/tools.md) | ## 如何使用 1. 首先阅读学员指南,以了解 SOC 场景和当前的 SC-200 领域。 2. 打开每个实验并按顺序完成步骤。 3. 根据访问权限,使用 Microsoft 安全实验租户、培训师提供的租户、Microsoft Learn 沙盒或基于文档的练习册。 4. 将输出保存为笔记、截图、KQL 代码片段、调查时间线、playbook 设计或就绪情况表。 5. 查看每个实验末尾的检查点问题。 ## 实验目录 ### 领域 1 - 管理安全操作环境 - [实验 1 - 配置 Defender XDR 自动化、通知、ASR、AIR 和攻击中断](labs/lab-01-defender-xdr-automation-notifications-asr-air.md) - [实验 2 - 配置 Microsoft Sentinel 角色、保留策略、工作簿、SOC 优化和数据层](labs/lab-02-sentinel-roles-retention-workbooks-optimization.md) - [实验 3 - 使用 AMA、WEF、Syslog、CEF、Azure Diagnostics、威胁指标和自定义日志将数据摄取到 Sentinel](labs/lab-03-sentinel-data-ingestion-connectors-custom-logs.md) - [实验 4 - 通过高级狩猎、自定义规则、Sentinel Analytics、MITRE 和异常配置检测](labs/lab-04-detections-hunting-rules-analytics-mitre.md) ### 领域 2 - 响应安全事件 - [实验 5 - 调查 Defender XDR 事件、案例管理、多阶段攻击和 Security Copilot](labs/lab-05-defender-xdr-incident-investigation-case-management.md) - [实验 6 - 使用设备时间线、实时响应、证据和调查包响应端点事件](labs/lab-06-endpoint-timeline-live-response-evidence.md) - [实验 7 - 调查 Microsoft 365、Purview Audit、eDiscovery、Graph 活动日志和受损身份](labs/lab-07-m365-purview-entra-graph-investigation.md) ### 领域 3 - 执行威胁狩猎 - [实验 8 - 使用 KQL、高级狩猎表、威胁分析和爆炸半径在 Defender XDR 中进行狩猎](labs/lab-08-defender-xdr-kql-threat-hunting.md) - [实验 9 - 使用 KQL 查询、作业、摘要规则、Notebooks、MCP 和实体图在 Sentinel 中进行狩猎](labs/lab-09-sentinel-kql-jobs-notebooks-graphs.md) - [实验 10 - 自动化 Playbook、事件 Runbook、SOC 指标和考试准备](labs/lab-10-automation-playbooks-soc-metrics-readiness.md) ## 参考 - [Microsoft SC-200 学习指南](https://learn.microsoft.com/en-us/credentials/certifications/resources/study-guides/sc-200) - [课程注册页面](https://www.tertiarycourses.com.sg/wsq-microsoft-security-operations-analyst-sc-200.html) - [labs/tools.md](labs/tools.md) - 实验中使用的 Microsoft 门户、工具和文档链接 ## 使用的免费工具 大多数实验可以通过 Microsoft Learn 和文档来完成。实操实验需要 Microsoft 安全实验租户或培训师提供的环境。 - Microsoft Defender 门户 - Microsoft Sentinel - Azure 门户 - Microsoft Purview 门户 - Microsoft Entra 管理中心 - KQL 参考 - Markdown 编辑器或 GitHub Web 编辑器
标签:防御加固