第一部分:

使用 Microsoft 365 Defender

缓解威胁

l  Microsoft 365 威胁防护简介

l  使用 Microsoft 365 Defender 缓解事件

l  使用 Microsoft Defender for Office 365 修正风险

l  Microsoft Defender for Identity

l  使用 Azure AD 标识保护保护标识

l  Microsoft Defender for Cloud Apps

l  使用 Microsoft 365 响应数据丢失防护警报

l  在 Microsoft 365 中管理内部风险

第二部分:

使用 Microsoft Defender for Endpoint 缓解威胁

l  使用 Microsoft Defender for Endpoint 防范威胁

l  部署 Microsoft Defender for Endpoint 环境

l  实现 Windows 安全性增强功能

l  执行设备调查

l  在设备上执行操作

l  执行证据和实体调查

l  配置和管理自动化

l  配置警报和检测

l  利用威胁和漏洞管理

第三部分：

使用 Microsoft Defender for Cloud

缓解威胁

l  使用 Microsoft Defender for Cloud 规划云工作负载保护

l  Microsoft Defender for Cloud 的工作负载保护

l  将 Azure 资产连接到 Microsoft Defender for Cloud

l  将非 Azure 资源连接到 Microsoft Defender for Cloud

l  使用 Microsoft Defender for Cloud 修正安全警报

第四部分：

使用 Kusto 查询语言 (KQL)

为 Microsoft Sentinel 创建查询

l  为 Microsoft Sentinel 构造 KQL 语句

l  使用 KQL 分析查询结果

l  使用 KQL 生成多表语句

l  使用 KQL 语句处理字符串数据

第五部分：

配置 Microsoft Sentinel 环境

l  Microsoft Sentinel 简介

l  创建和管理 Microsoft Sentinel 工作区

l  在 Microsoft Sentinel 中查询日志

l  在 Microsoft Sentinel 中使用监视列表

l  利用 Microsoft Sentinel 中的威胁情报

第六部分：

将日志连接到 Microsoft Sentinel

l  使用数据连接器将数据连接到 Microsoft Sentinel

l  将 Microsoft 服务连接到 Microsoft Sentinel

l  将 Microsoft 365 Defender 连接到 Microsoft Sentinel

l  将 Windows 主机连接到 Microsoft Sentinel

l  将通用事件格式日志连接到 Microsoft Sentinel

l  将 syslog 数据源连接到 Microsoft Sentinel

l  将威胁指标连接到 Microsoft Sentinel

第七部分：

使用 Microsoft Sentinel

创建检测并执行调查

l  使用 Microsoft Sentinel 分析进行威胁检测

l  Microsoft Sentinel 中的安全事件管理

l  使用 Microsoft Sentinel playbook 响应威胁

l  Microsoft Sentinel 中的用户和实体行为分析

l  在 Microsoft Sentinel 中查询、可视化和监视数据

第八部分：

在 Microsoft Sentinel 中
执行威胁搜寻

l  Microsoft Sentinel 中的威胁搜寻概念

l  使用 Microsoft Sentinel 执行威胁搜寻

l  在 Microsoft Sentinel 中使用笔记本搜寻威胁