Descrizione corso

Questo corso offre una panoramica completa e pratica di Microsoft Sentinel, guidando i partecipanti nella configurazione dell’ambiente e nell’ingestione delle principali fonti dati. Verranno acquisite competenze fondamentali nell’uso di KQL per analizzare i log e comprendere gli incidenti. Il corso fornisce inoltre le basi per creare regole di analytics, effettuare attività di hunting e impostare automazioni per la risposta agli attacchi. Infine, vengono affrontati gli aspetti essenziali di governance e gestione dei costi, così da utilizzare Sentinel in modo efficace e sostenibile.

Requisiti

Prima di partecipare a questo corso, gli studenti dovrebbero avere una conoscenza di base sulle tecnologie di sicurezza e conformità di Microsoft. È consigliata una conoscenza di base dei concetti cloud e una minima familiarità con il portale Azure.

Modulo 1 — Introduzione al SIEM & a Microsoft Sentinel

• Introduzione a Microsoft Sentinel
• Architettura SIEM/SOAR
• Workspace, RBAC, ruoli minimi
• Panoramica delle funzionalità principali
• LAB: Configura l’ambiente Microsoft Sentinel

Modulo 2 — Ingestione Dati & Data Connectors

• Tipologie di connettori
• Ingestion modes, costi, retention
• Connettori agent-based vs. cloud-native
• Connettori per sistemi operativi e servizi di sicurezza
• LAB: Connessione di fonti on-prem e cloud in Microsoft Sentinel

Modulo 3 — Kusto Query Language (KQL)

• Struttura di una query KQL
• Filtri, sort, join, aggregazioni
• Analisi dei log più comuni (SecurityEvent, Syslog, ecc.)
• Troubleshooting tramite query
• LAB: Crea analizza e usa KQL queries

Modulo 4 — Detection Engineering (Analytics)

• Scheduled rules
• Rule templates
• Best practice per il tuning
• LAB: Crea e usa Analytics Rules

Modulo 5 — Incident Response & Investigation

• Queue degli incidenti
• Analisi degli alert correlati
• Entity graphs, timeline e bookmarks
• Collegamento con XDR e altre fonti
• LAB: Investigate incidents

Modulo 6 — Automations (SOAR)

• Automation Rules
• Playbook basati su Logic Apps
• Modelli di risposta automatica
• Valutazione delle automazioni esistenti
• LAB: Creazione di un playbook in Microsoft Sentinel