Visão Geral

O curso Microsoft Sentinel Advanced Administration foi desenvolvido para profissionais responsáveis pela administração, arquitetura e evolução de ambientes Microsoft Sentinel em organizações de médio e grande porte. O treinamento aborda recursos avançados de integração, normalização de dados, detecção de ameaças, automação de resposta, inteligência de ameaças e operações avançadas de SOC.

Durante o curso, os participantes aprenderão a projetar arquiteturas escaláveis, implementar ambientes multi-tenant, desenvolver regras avançadas de detecção, utilizar recursos de UEBA, integrar fontes de inteligência de ameaças e automatizar processos de resposta utilizando Microsoft Sentinel e Azure Logic Apps.

Objetivo

Após realizar este curso Microsoft Sentinel Advanced Administration, você será capaz de:

• Projetar arquiteturas avançadas utilizando Microsoft Sentinel
• Implementar ambientes multi-tenant para monitoramento centralizado
• Configurar conectores avançados de ingestão de dados
• Implementar estratégias de normalização utilizando ASIM
• Desenvolver Analytics Rules personalizadas
• Utilizar recursos avançados de UEBA
• Implementar e administrar Watchlists
• Desenvolver Workbooks avançados para operações de SOC
• Automatizar processos utilizando Azure Logic Apps
• Integrar fontes de Threat Intelligence
• Utilizar o Content Hub para expansão das capacidades do Sentinel
• Integrar Microsoft Sentinel com Microsoft Defender XDR
• Implementar processos avançados de monitoramento e resposta a incidentes

Publico Alvo

• Administradores Microsoft Sentinel
• Analistas SOC Nível 2 e Nível 3
• Security Engineers
• Detection Engineers
• Arquitetos de Segurança
• Especialistas em Cyber Security
• Administradores Azure
• Threat Hunters
• Equipes Blue Team
• Consultores de Segurança Microsoft

Pre-Requisitos

• Conhecimentos de Microsoft Sentinel Fundamentals ou experiência equivalente
• Conhecimentos básicos de Azure
• Conceitos de SIEM e SOAR
• Experiência com operações de segurança
• Conhecimentos básicos de Kusto Query Language (KQL)
• Familiaridade com Microsoft Defender XDR

Materiais

Conteúdo Programatico

Module 1: Advanced Microsoft Sentinel Architecture

1. Advanced Sentinel Architecture
2. Enterprise Security Monitoring Design
3. High-Scale Deployment Strategies
4. Data Ingestion Architecture
5. Security Operations Architecture
6. Governance and Operational Best Practices

Module 2: Multi-Tenant Security Operations

1. Multi-Tenant Concepts
2. Lighthouse Architecture
3. Tenant Segregation Models
4. Cross-Tenant Monitoring
5. Access Control Strategies
6. Operational Governance

Module 3: Advanced Data Connectors

1. Connector Architecture
2. Advanced Microsoft Connectors
3. Third-Party Integrations
4. API-Based Integrations
5. Custom Log Sources
6. Connector Health Monitoring

Module 4: Log Normalization and Data Management

1. Log Normalization Concepts
2. Data Quality Management
3. Schema Standardization
4. Data Transformation Techniques
5. Ingestion Optimization
6. Operational Monitoring

Module 5: Azure Sentinel Information Model (ASIM)

1. ASIM Architecture
2. Normalized Schemas
3. Parsers and Transformations
4. ASIM Implementation
5. Query Optimization
6. Cross-Source Correlation

Module 6: Custom Analytics Rules

1. Detection Engineering Concepts
2. Analytics Rule Architecture
3. Custom Detection Development
4. Correlation Rules
5. Advanced Alert Logic
6. Detection Validation and Tuning

Module 7: User and Entity Behavior Analytics (UEBA)

1. UEBA Fundamentals
2. Behavioral Analytics Models
3. Entity Risk Scoring
4. Insider Threat Detection
5. Anomaly Detection
6. Investigation Techniques

Module 8: Watchlists Administration

1. Watchlists Fundamentals
2. Data Sources and Import Methods
3. Dynamic Watchlists
4. Correlation with Analytics Rules
5. Investigation Workflows
6. Operational Best Practices

Module 9: Advanced Workbooks

1. Workbook Architecture
2. Advanced Visualizations
3. Interactive Dashboards
4. Security KPI Development
5. Executive Dashboards
6. SOC Operational Dashboards

Module 10: SOAR with Azure Logic Apps

1. SOAR Architecture
2. Logic Apps Fundamentals
3. Automated Investigation
4. Automated Containment Actions
5. Incident Response Automation
6. Workflow Optimization

Module 11: Threat Intelligence Integration

1. Threat Intelligence Framework
2. IOC Management
3. Threat Intelligence Platforms
4. TAXII and STIX Integration
5. Threat Enrichment
6. Intelligence-Driven Detection

Module 12: Content Hub Administration

1. Content Hub Overview
2. Solution Packages
3. Analytics Content
4. Community Content
5. Deployment and Maintenance
6. Content Lifecycle Management

Module 13: Microsoft Defender XDR Integration

1. Defender XDR Architecture
2. Unified Security Operations
3. Incident Synchronization
4. Threat Intelligence Sharing
5. Cross-Platform Investigation
6. Unified SOC Operations

Module 14: Advanced Security Operations

1. Advanced Threat Detection
2. Threat Hunting Integration
3. Detection Optimization
4. False Positive Reduction
5. Security Metrics and Reporting
6. Continuous Improvement Processes

Module 15: Enterprise SOC Design with Sentinel

1. SOC Architecture Design
2. Tiered Operations Model
3. Governance Frameworks
4. Operational Procedures
5. Maturity Assessment
6. Security Operations Roadmap

Laboratórios Práticos

1. Implementação de arquitetura corporativa Microsoft Sentinel
2. Configuração de ambiente Multi-Tenant com Azure Lighthouse
3. Integração avançada de fontes de dados
4. Implementação de normalização utilizando ASIM
5. Desenvolvimento de Analytics Rules personalizadas
6. Configuração e análise de UEBA
7. Administração de Watchlists corporativas
8. Desenvolvimento de Workbooks avançados
9. Construção de Playbooks utilizando Azure Logic Apps
10. Integração de fontes de Threat Intelligence
11. Implantação de soluções através do Content Hub
12. Integração operacional com Microsoft Defender XDR
13. Criação de processos automatizados de investigação
14. Otimização de regras para redução de falsos positivos
15. Simulação completa de operações de SOC corporativo