Formation Préparation à la Certification SC-200

Programme denotre  formation : Microsoft Security Operations Analyst (SC-200)

[Jour 1 – Matin]

La Plateforme de Sécurité Unifiée et les Identités

• Découvrir la Unified Security Operations Platform (convergence Defender/Sentinel)
• Gestion des rôles et permissions avec le Unified RBAC
• Microsoft Entra ID : Protection des identités et investigation des risques
• Microsoft Defender for Identity : Détection des mouvements latéraux et attaques AD
• Analyse des alertes d’identité et remédiation
• Atelier pratique : Configuration du portail unifié et investigation d’une compromission d’identité.

[Jour 1 – Après-midi]

Maîtriser le langage KQL (Kusto Query Language)

• Structure fondamentale du langage : Tables, Pipes et Opérateurs
• Filtrage et projection : where, project, extend, summarize
• Manipulation avancée : join, union et externaldata
• Analyse de séries temporelles et détection d’anomalies
• Optimisation des requêtes pour la performance
• Atelier pratique : Création de requêtes d’investigation complexes sur des logs d’authentification.

[Jour 2 – Matin]

Microsoft Defender for Endpoint (XDR)

• Architecture, Onboarding et gestion de la conformité des appareils
• Réduire la surface d’attaque : ASR rules (Attack Surface Reduction)
• Gestion des vulnérabilités (Defender Vulnerability Management)
• Réponse aux incidents : Isolation, Live Response et collecte de paquets Forensics
• Investigation sur la chronologie des alertes (Timeline)
• Atelier pratique : Simulation d’une attaque sur un Endpoint et réponse immédiate.

[Jour 2 – Après-midi]

Cloud Apps et Intégration Microsoft Purview

• Defender for Cloud Apps (CASB) : Découverte du Shadow IT
• Politiques de contrôle d’accès et de session
• Intégration avec Microsoft Purview : Gestion des alertes DLP
• Surveillance de l’Insider Risk Management dans le portail Defender
• Gouvernance des données et applications SaaS
• Atelier pratique : Détection d’une exfiltration de données sensibles vers un cloud non autorisé.

[Jour 3 – Matin]

Sécurité Cloud et Defender for DevOps

• Microsoft Defender for Cloud : Posture (CSPM) et protection (CWP)
• Mise en conformité avec le Microsoft Cloud Security Benchmark (MCSB)
• Defender for DevOps : Sécuriser les pipelines GitHub et Azure DevOps
• Protection multi-cloud (AWS, GCP) et hybride via Azure Arc
• Configuration du Defender for Servers et auto-provisioning
• Atelier pratique : Analyse du Secure Score et sécurisation d’une infrastructure multi-cloud.

[Jour 3 – Après-midi]

Architecture et Gestion de Microsoft Sentinel

• Conception de l’espace de travail Log Analytics
• Gestion des coûts : Tables Analytics, Basic et Auxiliary Logs
• Le modèle ASIM (Advanced Security Information Model) pour la normalisation
• Configuration des connecteurs de données (Agent AMA, Syslog, CEF)
• Rétention des données et archivage
• Atelier pratique : Déploiement de Sentinel et normalisation de logs via ASIM.

[Jour 4 – Matin]

Détection, Threat Intelligence et Hunting

• Création de règles analytiques (Scheduled, NRT, Fusion)
• Analyse comportementale via l’UEBA
• Threat Hunting proactif : Utilisation des Livestreams et Notebooks
• Gestion de la Threat Intelligence (flux TAXII et STIX)
• Visualisation des menaces avec les Workbooks
• Atelier pratique : Création d’une règle de détection personnalisée basée sur un flux de menaces externe.

[Jour 4 – Après-midi]

Automatisation (SOAR) et Security Copilot

• Réponse automatisée avec les Playbooks (Logic Apps)
• Gestion du cycle de vie des incidents dans la plateforme unifiée
• Introduction à Microsoft Copilot for Security
• Utilisation de l’IA pour le résumé d’incidents et la génération de scripts
• Maintenance et mise à jour du contenu (Content Hub)
• Atelier pratique : Création d’un workflow SOAR pour la remédiation automatique d’un incident critique.