SC-200 Microsoft

Tienes que delegar las siguientes tareas: - Crear y ejecutar playbooks: - Crear libros de trabajo y reglas analíticas: La solución debe utilizar el principio de mínimos privilegios. Seleccionar y colocar. Colaborador de Microsoft Sentinel. Respondedor de Microsoft Sentinel. Lector Microsoft Sentinel. Colaborador de Logic App.

Una nueva analista de seguridad informa de que no puede asignar y resolver incidentes en Microsoft Sentinel. Es necesario "resolver el problema" para el analista. La solución debe utilizar el principio de mínimo privilegio. Respondedor de Microsoft Sentinel. Colaborador de Microsoft Sentinel. Colaborador de Logic App. Lector Microsoft Sentinel.

Una nueva analista de seguridad informa de que es incapaz de asignar y resolver incidentes en Microsoft Sentinel. Es necesario "Garantizar que el analista pueda asignar y resolver" para el analista. La solución debe utilizar el principio del menor privilegio. Respondedor de Microsoft Sentinel. Colaborador de Microsoft Sentinel. Colaborador de Logic App. Lector Microsoft Sentinel.

Es necesario utilizar una función integrada para proporcionar a un analista de seguridad la capacidad de "Editar las consultas de los libros de trabajo personalizados de Microsoft Sentinel". La solución debe utilizar el principio de mínimo privilegio. Lector Microsoft Sentinel. Colaborador de Logic App. Colaborador de Microsoft Sentinel. Respondedor de Microsoft Sentinel.

Usted tiene 100 máquinas virtuales en un grupo de recursos llamado RG1. Asigna las funciones de administrador de seguridad a un nuevo usuario llamado SecAdmin1. Debe asegurarse de que SecAdmin1 pueda aplicar correcciones rápidas a las máquinas virtuales mediante Microsoft Defender. La solución debe utilizar el principio de mínimo privilegio. El rol Lector de seguridad para la suscripción. El Colaborador para la suscripción. El rol de Colaborador para RG1. El rol de Propietario para RG1.

Es necesario delegar permisos para cumplir los siguientes requisitos: - Activar y desactivar Microsoft Defender. - Aplicar recomendaciones de seguridad a los recursos. La solución debe utilizar el principio de mínimo privilegio. Administrador de seguridad. Propietario del grupo de recursos. Suscripción Colaborador. Propietario de la suscripción.

Cree un informe utilizando Power BI Desktop y un conjunto de datos de Power BI que esté conectado a Azure SQL Database. Varios grupos de empleados utilizarán el informe. Debe asegurarse de que cada grupo de empleados solo pueda ver los datos correspondientes a su grupo. Cree y asigne perfiles de seguridad de campo. Cree y asigne roles de seguridad de Common Data Service. Cree y asigne roles utilizando la seguridad a nivel de fila. Cree una política de actividad que tenga una exclusión para las direcciones IP.

Su empresa empieza a utilizar Azure Sentinel. El gerente desea que la administración de la solución implementada se divida en dos grupos, Grupo A y Grupo B, donde: - El Grupo A se responsabiliza de reemplazar las etiquetas del Indicador de Inteligencia de Amenazas. - El grupo B se encarga de añadir playbooks a las reglas de automatización. Respondedor. Lector. Colaborador de Sentinel Automatización. Colaborador de Evaluación de la Seguridad.

Recibe una alerta de Microsoft Defender para Key Vault. Descubre que la alerta se genera desde varias direcciones IP sospechosas. Debe reducir la posibilidad de que se filtren secretos de Key Vault mientras investiga el problema. La solución debe implementarse lo antes posible y debe minimizar el impacto en los usuarios legítimos. Modificar la configuración del control de acceso al Key Vault. Habilitar el cortafuegos del Key Vault. Cree un grupo de seguridad de aplicaciones. Modificar la política de acceso al Key Vault.

Usted es responsable de responder a las alertas de Microsoft Defender para el Depósito de claves. Durante la investigación de una alerta, descubre intentos no autorizados de acceder a Key Vault desde un nodo de salida Tor. ¿Qué debe configurar para mitigar la amenaza?. Cortafuegos y redes virtuales de Key Vault. Permisos de Azure Active Directory (Azure AD). Control de acceso basado en roles (RBAC) para la Key Vault. La configuración de la política de acceso de la Key Vault.

¿El problema de qué equipo puede resolverse utilizando Microsoft Defender for Endpoint?. Ejecutivo. Ventas. Marketing. Seguridad.

¿El problema de qué equipo puede resolverse utilizando Microsoft Defender para Office 365?. Ejecutivo. Ventas. Marketing. Seguridad.

Debe completar la consulta de los inicios de sesión fallidos para cumplir los requisitos técnicos. ¿Dónde puede encontrar el nombre de la columna para completar la calusa where?. Alertas de seguridad en el Centro de seguridad de Microsoft Defender. Registro de actividad en Azure. Azure Advisor. Las ventanas de consulta del espacio de trabajo Log Analytics.

Usted debe remediar los ataques activos para cumplir los requisitos técnicos. Qué debe incluir en la solución?. Libros de ejecución de Azure Automatización. Aplicaciones Azure Logic. Funciones Azure. Transmisiones en directo de Microsoft Sentinel.

Debe crear una consulta de búsqueda avanzada para investigar el problema del equipo ejecutivo. Cómo debe completar la consulta? Para responder, seleccione las opciones adecuadas en el área de respuestas. CloudAppEvents. DeviceFileEvents. DeviceProcessEvents. avg(). count(). sum().

Debe implementar consultas de Microsoft Sentinel para Contoso y Fabrikam para cumplir los requisitos técnicos. ¿Qué debe incluir en la solución?. 0. 1. 2. 3. extend. project. workspace.

Debe recomendar una solución para cumplir los requisitos técnicos de las máquinas virtuales Azure. Qué debe incluir en la recomendación. Acceso justo a tiempo (JIT). Microsoft Defender para la nube. Firewall Azure. Puerta de enlace de aplicaciones Azure.

Debe recomendar acciones correctivas para las alertas de Azure Defender para Fabrikam. ¿Qué debe recomendar para cada amenaza?. Añadir bloqueos de recursos a Key Vault. Modificar la configuración de la política de acceso para el Key Vault. Modificar la configuración del control de acceso basado en roles (RBAC) para el Key Vault. Implementar Azure Firewall. Modificar la configuración del firewall de Key Vault. Modificar los grupos de seguridad de red (NSGs).

Debe aplicar los requisitos de protección de la información de Azure. Qué debe configurar en primer lugar?. Configuración del estado del dispositivo y de los informes de cumplimiento en el Centro de seguridad de Microsoft Defender. Clústeres de escáneres en Azure Information Protection desde el portal de Azure. Trabajos de análisis de contenido en Azure Information Protection desde el portal de Azure. Características avanzadas desde Configuración en Microfost Defender Security Center.

Debe restringir las aplicaciones en la nube que se ejecutan en CLIENT1 para cumplir los requisitos de Microsoft Defender for Endpoint. Qué dos configuraciones debe modificar?. La configuración de On boarding desde Device management en Microsoft Defender Security Center. Las políticas de detección de anomalías de Cloud App Security. Las características avanzadas desde Configuración en Microsoft Defender Security Center. La configuración de Cloud Discovery en Cloud App Security.

Es necesario añadir notas a los eventos para cumplir los requisitos de Microsoft Sentinel. ¿Qué tres acciones debe realizar en secuencia? Para responder, mueva las acciones apropiadas de la lista de acciones al área de respuestas y colóquelas en el orden correcto. Añadir un marcador y asignar una entidad. Desde Azure Monitor, ejecute una consulta de Log Analytics. Añada la consulta a favoritos. Seleccione un resultado de consulta. En el espacio de trabajo de Azure Sentinel, ejecute una consulta de Log Analytics.

Debe configurar la integración con Microsoft Sentinel para cumplir los requisitos de Microsoft Sentinel. ¿Qué debe hacer?. Añadir una extensión de seguridad. Configurar conectores de aplicaciones. Configurar recopiladores de registros. Añadir un conector de datos. Añadir un libro de trabajo. Configurar los registros.

¿Qué regla debe configurar para cumplir los requisitos de Microsoft Sentinel?. En Establecer lógica de reglas, desactive la supresión. En Detalles de la regla de análisis, configure las tácticas. En Establecer lógica de reglas, asigne las entidades. En Detalles de la regla de análisis, configure la gravedad.

Debe crear la regla de análisis para cumplir los requisitos de Microsoft Sentinel. Fusión. Creación de incidencias de Microsoft. Programado. Configuración de diagnósticos. Un servicio principal. Un disparador.

Necesita asignar un rol de control de acceso basado en roles (RBAC) a admin1 para cumplir con los requerimientos de Microsoft Sentinel y los requerimientos del negocio. Operador de automatización. Operador de runbook de automatización. Colaborador de Microsoft Sentinel. Colaborador de la aplicación lógica.

Planea configurar Microsoft Cloud App Security. Debe crear una política personalizada basada en plantillas que detecte las conexiones a las aplicaciones de Microsoft 365 que se originan en una red de botnet. Política de acceso. Política de actividad. Política de detección de anomalías. Etiqueta de dirección IP. Fuente. Cadena de agente de usuario.

Tiene una política de detección de amenazas personalizada basada en los intervalos de direcciones IP de las oficinas de su empresa en los Estados Unidos. Recibe muchas alertas relacionadas con viajes imposibles e inicios de sesión desde direcciones IP peligrosas. Usted determina que el 99 % de las alertas son inicios de sesión legítimos desde sus oficinas corporativas. Debe evitar las alertas de inicios de sesión legítimos desde ubicaciones conocidas. ¿Cuáles son las dos acciones que deberías llevar a cabo?. Configurar el enriquecimiento automático de datos. Agregue las direcciones IP a la categoría de rango de direcciones corporativas. Aumentar el nivel de sensibilidad de la política de detección de anomalías de viajes imposibles. Agregue las direcciones IP a la otra categoría de rango de direcciones y agregue una etiqueta. Cree una política de actividad que tenga una exclusión para las direcciones IP.

Tiene una suscripción a Microsoft 365 que contiene 1.000 dispositivos con Windows 10. Los dispositivos tienen instalado Microsoft Office 365. Debe mitigar las siguientes amenazas de dispositivos: - Macros de Microsoft Excel que descargan scripts de sitios web que no son de confianza. - Usuarios que abren archivos adjuntos ejecutables en Microsoft Outlook - Explosiones de reglas y formularios de Outlook. Antivirus de defensa de Microsoft. Reglas de reducción de superficie de ataque en Microsoft Defender para Endpoint. Cortafuegos de Windows Defender. Control de aplicaciones adaptable en Azure Defender.

Dispone de una solución de gestión de eventos e información de seguridad (SIEM) de terceros. Debe asegurarse de que la solución siem pueda generar alertas para los eventos de inicio de sesión de Azure Active Directory (Azure AD) casi en tiempo real. ¿Qué debe hacer para enrutar eventos a la solución SIEM?. Cree un espacio de trabajo de Microsoft Sentinel que tenga un conector de eventos de seguridad. Configure los ajustes de Diagnóstico en Azure AD para transmitir a un centro de eventos. Cree un espacio de trabajo de Microsoft Sentinel que tenga un conector de Azure Active Directory. Configure los ajustes de Diagnóstico en Azure AD para archivar en una cuenta de almacenamiento.

Crea una suscripción de Azure denominada sub1. En sub1, crea un área de trabajo de Log Analytics denominada workspace1. Debe recopilar registros de eventos de seguridad de las máquinas virtuales de Azure que informan a Workspace1. Desde Security Center, habilite la recopilación de datos. En sub1, registre un proveedor. Desde Security Center, cree una automatización de flujo de trabajo. En workspace1, cree un libro de trabajo.

Crea una nueva suscripción de Azure y comienza a recopilar registros para Azure Monitor. Debe configurar Azure Security Center para detectar posibles amenazas relacionadas con los inicios de sesión de direcciones IP sospechosas en máquinas virtuales de Azure. La solución debe validar la configuración. ¿Qué tres acciones debe realizar en una secuencia?. Cambie el umbral de gravedad de la alerta para correos electrónicos a Medio. Copie un archivo ejecutable en una máquina virtual y cambie el nombre del archivo como ASC_AlerTest_662jfi039N.exe. Habilite Azure Defender para la suscripción. Cambie el umbral de gravedad de la alerta para correos electrónicos a Bajo. Ejecute el archivo ejecutable y especifique los argumentos apropiados. Cambie el nombre del archivo ejecutable como AlertTest.exe.

Su empresa usa Microsoft Defender para aplicaciones en la nube (Azure Security Center y Azure Defender). El equipo de operaciones de seguridad de la empresa le informa que NO recibe notificaciones por correo electrónico de alertas de seguridad. ¿Qué debe configurar en la configuración del entorno (Centro de seguridad) para habilitar las notificaciones por correo electrónico?. Soluciones de seguridad. Política de seguridad. Valores y configuración. Alertas de seguridad. Defensor azur.

Tiene una aplicación de Azure Functions que genera miles de alertas en Azure Security Center cada día para la actividad normal. Debe ocultar las alertas automáticamente en Security Center. ¿Qué tres acciones debe realizar en secuencia en Security Center?. Seleccione Valores y configuración. Seleccione IP como tipo de entidad y especifique la dirección IP. Seleccione Recurso de Azure como tipo de entidad y especifique el Id. de recurso. Seleccionar política de seguridad. Seleccione Alertas de seguridad. Seleccione Reglas de supresión y luego seleccione Crear nueva regla de supresión.

Está investigando un incidente con Microsoft 365 Defender. Debe crear una consulta de búsqueda avanzada para contar las autenticaciones de inicio de sesión fallidas en tres dispositivos llamados CFOLaptop, CEOLaptop y COOLaptop. ¿Cómo debe completar la consulta?. | project LogonFailures==count (). | summarize LogonFailures=count () by DevicesName, LogonType. | where ActionType == FailureReason. | where DeviceName in ("CFOLaptop", "CEOLaptop", "COOLaptop."). ActionType == "LogonFailed". ActionType == FailureReason. DeviceEvents. DeviceLogonEvents.

La empresa tiene documentos de Microsoft Word que contienen macros. Los documentos se utilizan con frecuencia en los dispositivos del equipo de contabilidad de la empresa. Debe ocultar los falsos positivos en la cola de alertas, manteniendo la postura de seguridad existente. Ocultar la alerta. Resolver la alerta automáticamente. Cree una regla de supresión en el ambito de cualquier dispositivo. Cree una regla de supresion en el ambito de un grupo de disposisitivos. Generar la alerta.

Se le informa de un aumento en la recepción de correo electrónico malicioso por parte de los usuarios. Debe crear una consulta de búsqueda avanzada en Microsoft 365 Defender para identificar si las cuentas de los destinatarios de correo electrónico se vieron comprometidas. La consulta debe devolver los 20 inicios de sesión más recientes realizados por los destinatarios dentro de una hora de haber recibido el correo electrónico malicioso conocido. EmailAttachementinfo. EmailEvents. IdentityLogonEvents. EmailAttachementinfo. EmailEvents. IdentityLogonEvents. Select 20. Take 20. Top 20.

La solución debe utilizar el principio de mínimo privilegio. ¿Qué rol deberías asignarle a cada usuario? Usuario1: - Evaluación de iniciativas - Editar políticas de seguridad - Habilitar el aprovisionamiento automático Usuario2: - Ver alertas y recomendaciones - Aplicar recomendaciones de seguridad - Descartar alertas. Colaborador. Propietario. Administrador de seguridad. Lector de seguridad.

Tiene una suscripción a Microsoft 365 E5 que contiene 200 dispositivos con Windows 10 inscritos en Microsoft Defender para Endpoint. Debe asegurarse de que los usuarios puedan acceder a los dispositivos mediante una conexión de shell remota directamente desde el portal de Microsoft 365 Defender. La solución debe utilizar el principio de privilegio mínimo. Active la detección y respuesta de endpoint (EDR) en modo de bloque. Activar respuesta en vivo. Desactivar protección contra manipulaciones. ----------------------------------------------------------. Agregar un trabajo de evaluación de red. Cree un grupo de dispositivos que contenga los dispositivos y establezca el nivel de automatización en Completo. Cree un grupo de dispositivos que contenga los dispositivos y establezca el Nivel de automatización en Sin respuesta automática.

Recibe una alerta de seguridad en Microsoft Defender Debe ver las recomendaciones para resolver la alerta en Microsoft defender para la nube. Desde Alertas de seguridad, seleccione la alerta, seleccione Actuar y luego expanda la sección Prevenir ataques futuros. Desde Alertas de seguridad, seleccione Actuar y luego expanda la sección Mitigar la amenaza. Desde Cumplimiento normativo, descargue el informe. Desde Recomendaciones, descargue el informe CSV.

Tiene una regla de supresión en Microsoft Defender para la nube para 10 máquinas virtuales que se usan para pruebas. Las máquinas virtuales ejecutan Windows Server. Está solucionando un problema en las máquinas virtuales. En Microsoft Defender for Cloud, debe ver las alertas generadas por las máquinas virtuales durante los últimos cinco días. Cambie la fecha de caducidad de la regla de supresión. Cambie el estado de la regla de supresión a Deshabilitado. Modifique el filtro de la página Alertas de seguridad. Vea los registros de eventos de Windows en las máquinas virtuales.

Tiene una cuenta de almacenamiento de Azure a la que accederán varias aplicaciones de funciones de Azure durante el desarrollo de una aplicación. Debe ocultar las alertas de Microsoft Defender para la nube para la cuenta de almacenamiento. ¿Qué tipo de entidad y campo debe usar en una regla de supresión?. Dirección IP. Recurso de Azure. Host. Cuenta de usuario. ------------------------------------. Nombre. Identificación del recurso. Dirección. Línea de comando.

Planea usar la automatización del flujo de trabajo de Microsoft Defender para la nube para responder a las alertas de amenazas de Microsoft Defender para la nube. Debe crear una política de Azure que realice la reparación de amenazas automáticamente. Append. DeploylfNotExists. EnforceRegoPolicy. --------------------------------------------------------------------------------. Un runbook de automatización de Azure que tiene un webhook. Una aplicación de Azure Logic Apps que tiene el activador establecido en Cuando se crea o activa una alerta de Azure Security Center. Una aplicación de Azure Logic Apps que tiene el activador establecido en Cuando se activa una respuesta a una alerta de Azure Security Center.

El analista de operaciones de seguridad encontró un evento interesante, ¿qué se debe hacer para marcarlo para una revisión posterior?. Etiqueta. Destacar. Bandera. Alertas.

Está usando Microsoft Defender para la nube y Microsoft Sentinel para proteger sus cargas de trabajo en la nube y monitorear su entorno. Debe usar el lenguaje de consulta de Kusto (KQL) para crear una consulta que identifique las alertas de Microsoft Defnder. ¿Qué consulta debe escribir para cumplir con este requisito?. SecurityAlert. Microsoft Defender para la nube. Microsoft Sentinel. ----------------------------------------------------------------------. Microsoft Defender para la nube. Microsoft Sentinel. SecurityAlert.

Sub1 está vinculado a un arrendatario de Azure Active Directory (Azure AD) denominado contoso.com Crea un espacio de trabajo de Microsoft Sentinel denominado espacio de trabajo1. En Workspace1, activa un conector de Azure AD para contoso.com y un conector de Office 365 para la suscripción de Microsoft 365. Debe usar la regla Fusion para detectar ataques en varias etapas que incluyen inicios de sesión sospechosos en contoso.com seguidos de actividad anómala de Microsoft Office 365. ¿Qué dos acciones debe realizar?. Cree bases de reglas personalizadas en las plantillas de conector de Office 365. Cree una regla de creación de incidentes de Microsoft basada en Microsoft Defender para la nube. Cree un conector de Microsoft Cloud App Security. Cree un conector de Azure AD Identity Protection.

Su empresa utiliza aplicaciones de línea de negocio que contienen macros de Microsoft Office VBA. Debe evitar que los usuarios descarguen y ejecuten cargas útiles adicionales desde las macros de Office VBA como procesos secundarios adicionales. ¿Qué dos comandos puedes ejecutar para lograr el objetivo?. Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB -401B - 4EFC -AADC -AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled. Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB -401B - 4EFC -AADC -AD5F3C50688A -AttackSurfaceReductionRules_Actions AuditMode. Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB -401B - 4EFC -AADC -AD5F3C50688A -AttackSurfaceReductionRules_Actions AuditMode. Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB -401B - 4EFC -AADC -AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled.

Planea habilitar la protección contra la descarga y ejecución de cargas útiles adicionales desde las macros de Office VBA como procesos secundarios adicionales. Debe identificar qué macros de Office VBA podrían verse afectadas. Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB -401B - 4EFC -AADC -AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled. Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB -401B - 4EFC -AADC -AD5F3C50688A -AttackSurfaceReductionRules_Actions AuditMode. Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB -401B - 4EFC -AADC -AD5F3C50688A -AttackSurfaceReductionRules_Actions AuditMode. Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB -401B - 4EFC -AADC -AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled.

Planea realizar investigaciones entre dominios con Microsoft 365 Defender. Debe crear una consulta de búsqueda avanzada para identificar los dispositivos afectados por un archivo adjunto de correo electrónico malicioso. ¿Cómo debe completar la consulta?. 3-Cuadrado: join 1-Cuadrado: project project 2-Cuadrado:.

Tiene una suscripción de Microsoft 365 E5 que usa Microsoft Defender y una suscripción de Azure que usa Azure Sentinel. Debe identificar todos los dispositivos que contienen archivos en correos electrónicos enviados por un remitente de correo electrónico malicioso conocido. La consulta se basará en la coincidencia del hash SHA256. (DeviceID). (RecipientEmailAddress). (SenderFromAddress). (SHA256). ----------------------------------------------------. (DeviceID). (RecipientEmailAddress). (SenderFromAddress). (SHA256).

Tiene una suscripción de Azure que tiene habilitado Azure Defender para todos los tipos de recursos admitidos. Crea una aplicación lógica de Azure denominada LA1. Planea usar LA1 para corregir automáticamente los riesgos de seguridad detectados en Azure Security Center. Debe probar LA1 en Security Center. Cuando se crea o activa una recomendación de Azure Security Center. Cuando se crea o activa una alerta de Azure Security Center. Cuando se activa una respuesta a una alerta de Azure Security Center. ------------------------------------------------------------------------------------. Recomendaciones. Automatización del flujo de trabajo. Alertas de seguridad.

Aprovisiona una máquina virtual Linux en una nueva suscripción de Azure. Habilite Microsoft Defender e incorpore la máquina virtual a Microsoft Defender. Debe verificar que un ataque a la máquina virtual active una alerta en Microsoft Defender. ¿Qué dos comandos bash debería ejecutar en la máquina virtual?. cp /bin/echo ./asc_alerttest_662jfi039n. ./alerttest testing eicar pipe. cp /bin/echo ./alerttest. ./asc_alerttest_662jfi039n testing eicar pipe.

Tienes recursos en Azure y en la nube de Google Debe ingerir datos de Google Cloud Platform (GCP) en Microsoft Defender. Habilitar análisis de estado de seguridad. Desde Azure Security Center, agregue conectores en la nube. Configurar el centro de comando de seguridad de GCP. Cree una cuenta de servicio dedicada y una clave privada. Habilitar la API del centro de comando de seguridad de GCP.

Un analista de operaciones de seguridad puede crear una detección personalizada a partir de cuál de los siguientes. Búsqueda avanzada. Una alerta. Un incidente. Una evidencia.

Desea utilizar Microsoft Sentinel para identificar la actividad del Protocolo de escritorio remoto (RDP) que es inusual para su entorno. Debe habilitar la regla de detección de inicio de sesión RDP anómala. ¿Qué dos requisitos previos debe asegurarse de que se cumplen antes de poder habilitar esta regla?. Seleccione un conjunto de eventos que no sea ninguno. Deje que el algoritmo de aprendizaje automático recopile 30 días de datos de eventos de seguridad de Windows. Recopile eventos de seguridad o eventos de seguridad de Windows con el ID de evento 4720. Recopile eventos de seguridad o eventos de seguridad de Windows con ID de evento 4624.

Debe enviar un mensaje de Microsoft Teams a un canal siempre que se active un incidente que represente un evento de riesgo de inicio de sesión en Microsoft Sentinel. ¿Qué dos acciones debe realizar en Microsoft Sentinel?. Habilitar análisis de comportamiento de la entidad. Asociar un libro de jugadas a la regla de análisis que desencadenó el incidente. Habilitar la regla de fusión. Agregar un libro de jugadas. Crear un libro de trabajo.

Debe usar una regla de análisis de Microsoft Sentinel para buscar criterios específicos en los registros de Amazon Web Services (AWS) y generar incidentes. ¿Qué tres acciones debe realizar en secuencia?. Cree una regla utilizando la plantilla de regla Cambios en la configuración de Amazon VPC. Desde Analytics en Azure Sentinel, cree una regla de creación de incidentes de Microsoft. Agregar el conector de Amazon Web Services. Establecer la lógica de alerta. Desde Analytics en Azure Sentinel, cree una regla de análisis personalizada que use una consulta programada. Seleccione un servicio de seguridad de Microsoft. Agregue el conector Syslog.

Debe implementar conectores en Microsoft Sentinel para monitorear Microsoft Teams y máquinas virtuales Linux en Azure. La solución debe minimizar el esfuerzo administrativo. ¿Qué tipo de conector de datos debe usar para cada carga de trabajo?. Custom. Office 365. Security Events. Syslog. ------------------------------------. Custom. Office 365. Security Events. Syslog.

Tienes el siguiente entorno: Centinela de Microsoft - - Una suscripción a Microsoft 365 - Microsoft Defender para identidad - Un inquilino de Azure Active Directory (Azure AD) Configure Microsoft Sentinel para recopilar registros de seguridad de todos los controladores de dominio y servidores miembro de Active Directory. Implementa Microsoft Defender para la identidad mediante el uso de sensores independientes. Debe asegurarse de poder detectar cuándo se modifican los grupos confidenciales en Active Directory. ¿Cuáles son las dos acciones que deberías llevar a cabo?. Configure los ajustes de configuración de directiva de auditoría avanzada para los controladores de dominio. Modificar los permisos de la unidad organizativa de los controladores de dominio (OU). Configurar la auditoría en el centro de cumplimiento de Microsoft 365. Configurar el reenvío de eventos de Windows en los controladores de dominio.

Crea una consulta de búsqueda en Microsoft Sentinel. Debe recibir una notificación en Azure Portal tan pronto como la consulta de búsqueda detecte una coincidencia en la consulta. La solución debe minimizar el esfuerzo. Un libro de jugadas. Un cuaderno. Una transmisión en vivo. Un marcador.

Tiene una suscripción de Azure que tiene habilitado Azure Defender para todos los tipos de recursos admitidos. Debe configurar la exportación continua de alertas de alta gravedad para permitir su recuperación desde una gestión de eventos e información de seguridad (SIEM) de terceros. ¿A qué servicio se deben exportar las alertas?. Azure Cosmos DB. Cuadrícula de eventos de Azure. Centros de eventos de Azure. Azure Data Lake.

Tiene una suscripción de Azure que usa Microsoft Defender para la nube y contiene una aplicación lógica de Azure denominada app1. Debe asegurarse de que app1 se inicie cuando se genere una alerta de seguridad específica de Defender for Cloud. ¿Cómo debe completar la plantilla de Azure Resource Manager (ARM)?. Microsoft.Automation/automationAccounts",. "Microsoft.Logic/workflows". "Microsoft.Security/automations",. ----------------------------------------------------------. Actions. Contents. Triggers.

Debe usar una plantilla de Azure Resource Manager para crear una automatización de flujo de trabajo que desencadenará una corrección automática cuando Microsoft defender para la nube reciba alertas de seguridad específicas. ¿Cómo debe completar la parte de la plantilla que aprovisionará los recursos necesarios de Azure?. Microsoft.Automation. Microsoft.Logic. Microsoft.Security. -----------------------------------. Microsoft.Automation. Microsoft.Logic. Microsoft.Security.

Tiene una suscripción de Azure que contiene un área de trabajo de Log Analytics. Necesitas el nivel de suscripción. A nivel del espacio de trabajo. A nivel de recursos. Ninguna de las anteriores.

Tiene una cuenta de Azure Storage que contiene información confidencial. Debe ejecutar un script de PowerShell si alguien accede a la cuenta de almacenamiento desde una dirección IP sospechosa. ¿Cuáles son las dos acciones que deberías llevar a cabo?. Desde Microsoft Defender for Cloud habilite la automatización del flujo de trabajo. Cree una aplicación lógica de Azure que tenga un desencadenador manual. Cree una aplicación lógica de Azure que tenga un activador de alerta de Microsoft Defender para la nube. Cree una aplicación lógica de Azure que tenga un desencadenador HTTP. Desde Azure Active Directory (Azure AD), agregue un registro de aplicación.

Se le informa de una nueva vulnerabilidad de vulnerabilidades y exposiciones comunes (CVE) que afecta a su entorno. Debe usar el Centro de seguridad de Microsoft defender para solicitar la corrección del equipo responsable de los sistemas afectados si hay un exploit activo documentado disponible. ¿Qué tres acciones debe realizar en secuencia?. En el Inventario de dispositivos, busque el CVE. Abra el informe de protección contra amenazas. En Gestión de amenazas y vulnerabilidades, seleccione Debilidades y busque el CVE. Desde Búsqueda avanzada, busque CVEID en la tabla DeviceTvmSoftwareInventoryVulnerabilitites. Cree la solicitud de remediación. Seleccione Recomendaciones de seguridad.

Actualmente está utilizando Microsoft Sentinel para la recopilación de eventos de seguridad de Windows. Desea utilizar Microsoft Sentinel para identificar la actividad de Remote Desktop Porotocol (RDP) que es inusual para su entorno. Debe habilitar la regla de detección de inicio de sesión RDP anómala. ¿Qué dos requisitos previos debe asegurarse de que se cumplen antes de poder habilitar esta regla?. Deje que el algoritmo de aprendizaje automático recopile 30 días de datos de eventos de seguridad de Windows. Recopile eventos de seguridad o eventos de seguridad de Windows con ID de evento 4720. Recopile eventos de seguridad o eventos de seguridad de Windows con ID de evento 4624. Seleccione un conjunto de eventos que no sea Ninguno.

¿El período de retención de datos predeterminado en Microsoft Defender para Endpoint es?. Un mes. Un año. Seis meses. Tres meses.

NO define ninguna configuración de incidentes como parte de la definición de la regla. Utilice los menús desplegables presentados en el gráfico. 0 alerts. 1 alerts. 2 alerts. 3 alerts. --------------. 0 alerts. 1 alerts. 2 alerts. 3 alerts.

Crea una regla de análisis personalizada para detectar amenazas en Microsoft Sentinel. Descubre que la regla falla de forma intermitente. ¿Cuáles son dos posibles causas de las fallas?. La consulta de la regla tarda demasiado en ejecutarse y se agota el tiempo de espera. Se eliminó el espacio de trabajo de destino. Se modificaron los permisos a las fuentes de datos de la consulta de la regla. Hay problemas de conectividad entre las fuentes de datos y Log Analytics.

Planea crear una consulta personalizada de Microsoft Sentinel que rastreará la actividad de inicio de sesión anómala de Azure Active Directory (Azure AD) y presentará la actividad como un gráfico de tiempo agregado por día. Debe crear una consulta que se utilizará para mostrar el gráfico de tiempo. ¿Qué debes incluir en la consulta?. Extend. Bin. makeset. Workspace.

Tiene un inquilino de Microsoft 365 que usa Microsoft Exchange Online y Microsoft Defender para Office 365. ¿Qué debe usar para identificar si la purga automática de hora cero (ZAP) movió un mensaje de correo electrónico del buzón de un usuario?. El informe de estado de protección contra amenazas en Microsoft Defender para Office 365. El registro de auditoría del buzón en Exchange. El informe de tipos de archivo de datos adjuntos seguros en Microsoft Defender para Office 365. El informe de flujo de correo en Exchange.

Su entorno NO tiene habilitado Microsoft Defender para Endpoint. Debe remediar el riesgo de la aplicación Launchpad. ¿Qué cuatro acciones debe realizar en secuencia? Para responder, mueva las acciones apropiadas de la lista de acciones al área de respuesta y colóquelas en el orden correcto. Etiquetar la aplicación como no autorizada. Ejecute el script en el dispositivo de origen. Ejecute el script en Azure Cloud Shell. Seleccione la aplicación. Etiquetar la aplicación como sancionada. Generar un script de bloqueo.

Cada proyecto consta de varias máquinas virtuales de Azure que ejecutan Windows Server. Los eventos de Windows de las máquinas virtuales se almacenan en un área de trabajo de Log Analytics en la suscripción respectiva de cada máquina. Implementa Microsoft Sentinel en una nueva suscripción de Azure Debe realizar consultas de búsqueda en Microsoft Sentinel para buscar en todas las áreas de trabajo de Log Analytics de todas las suscripciones. ¿Qué dos acciones debe realizar?. Agregue el conector de eventos de seguridad al área de trabajo de Microsoft Sentinel. Cree una consulta que use la expresión del espacio de trabajo y el operador de unión. Usar la declaración de alias. Cree una consulta que use la expresión del recurso y el operador de alias. Agregue la solución Microsoft Sentinel a cada espacio de trabajo.

Tiene un espacio de trabajo de Microsoft Sentinel. Debe probar un manual de estrategias manualmente en Azure Portal. ¿Desde dónde puede ejecutar la prueba en Microsoft Sentinel?. Libros de jugadas. Analítica. Inteligencia de amenazas. Incidentes.

Descubre que la regla de análisis dejó de ejecutarse. La regla se inhabilitó y el nombre de la regla tiene el prefijo AUTO DISABLED. ¿Cuál es una posible causa del problema?. Hay problemas de conectividad entre las fuentes de datos y Log Analytics. El número de alertas superó las 10.000 en dos minutos. La consulta de la regla tarda demasiado en ejecutarse y se agota el tiempo de espera. Se modificó el permiso a una de las fuentes de datos de la consulta de la regla.

Descubre que la regla de Fusion predeterminada no genera ninguna alerta. Verifica que la regla está habilitada. Debe asegurarse de que la regla Fusion pueda generar alertas. ¿Qué debes hacer?. Deshabilite y luego habilite la regla. Agregar conectores de datos. Cree una nueva regla de análisis de aprendizaje automático. Agregar un marcador de busqueda.

Planea conectar una solución externa que enviará mensajes de formato de evento común (CEF) a Microsoft Sentinel. Debe implementar el reenviador de registros. ¿Qué tres acciones debe realizar en secuencia?. Implemente una puerta de enlace OMS en la red. Configure el demonio syslog para reenviar los eventos directamente a Azure Sentinel. Configure el demonio syslog. Reinicie el demonio syslog y el agente de Log Analytics. Descargue e instale el agente de Log Analytics. Configure el agente de Log Analytics para que escuche en el puerto 25226 y reenvíe los mensajes de CEF a Azure Sentinel.

Utilice los menús desplegables presentados en el gráfico. Las reglas del grupo de seguridad de red entrante (NSG). Los últimos cinco eventos de registro de seguridad de Windows. Los puertos abiertos en el host. Los procesos en ejecución. ----------------------------------------------------------------------------------. Entidades. Información. Perspectivas. Cronología.

Debe consultar todas las actividades de acceso de credenciales sospechosas. ¿Qué tres acciones debe realizar en secuencia?. En Azure Sentinel, seleccione Busqueda. Seleccione Ejecutar todas las consultas. Seleccione Nueva consulta. Filtrar por tácticas. Desde Azure Sentinel, seleccione Blocs de notas.

Tiene una aplicación lógica de Azure existente que se usa para bloquear usuarios de Azure Active Directory (Azure AD). La aplicación lógica se activa manualmente. Implementa Microsoft Sentinel. Debe usar la aplicación lógica existente como guía en Microsoft Sentinel. ¿Qué deberías hacer primero?. Y una nueva regla de consulta programada. Agregue un conector de datos a Microsoft Sentinel. Configure un conector de Threat Intelligence personalizado en Microsoft Sentinel. Modifique el disparador en la aplicación lógica.

Su empresa utiliza Microsoft Sentinel para gestionar alertas de más de 10.000 dispositivos IoT. Un gerente de seguridad de la empresa informa que el seguimiento de las amenazas de seguridad es cada vez más difícil debido a la gran cantidad de incidentes. Debe recomendar una solución para proporcionar una visualización personalizada para simplificar la investigación de amenazas e inferir amenazas mediante el uso del aprendizaje automático. ¿Qué debe incluir en la recomendación?. Consultas integradas. Transmisión en vivo. Cuadernos. Marcadores.

Cuando activa el libro de jugadas, envía un correo electrónico a un grupo de distribución. Debe modificar el libro de jugadas para enviar el correo electrónico al propietario del recurso en lugar del grupo de distribución. ¿Qué debes hacer?. Agregue un parámetro y modifique el disparador. Agregue un conector de datos personalizado y modifique el disparador. Agregue una condición y modifique la acción. Añadir una alerta y modificar la acción.

Una empresa utiliza Microsoft Sentinel. Necesita crear una respuesta de amenaza automatizada. ¿Qué debes usar?. Un conector de datos. Un libro de jugadas. Un libro de trabajo. Una regla de creación de incidentes de Microsoft.

Debe enviar un mensaje de Microsoft Teams a un canal cada vez que se detecte un inicio de sesión desde una dirección IP sospechosa. ¿Qué dos acciones debe realizar en Microsoft Sentinel?. Agrega un libro de jugadas. Asociar un libro de jugadas a un incidente. Habilite el análisis de comportamiento de la entidad. Crear un libro de trabajo. Habilite la regla de fusión.

Debe evitar que ocurran eventos duplicados en SW1. ¿Qué debes usar para cada acción?. SW1. CEF1. Server1. Server2.

Ha creado una consulta diseñada para identificar un evento específico en su controlador de dominio. Debe crear varias consultas similares porque tiene varios controladores de dominio y desea mantener cada consulta separada. La solución minimiza el esfuerzo administrativo. ¿Qué tres acciones debe realizar en secuencia para clonar una consulta?. En la página Crear consulta personalizada, realice sus ediciones y luego haga clic en el botón Crear. En la página de busqueda de Microsoft Sentinel, seleccione la consulta Nueva. Seleccione los puntos suspensivos en la línea de la consulta que desea modificar y seleccione Editar consulta. En la página de búsqueda de Microsoft Sentinel, busque la consulta que desea clonar. Elija Clonar consulta haciendo clic en el icono de puntos suspensivos al final de la fila.

Está usando el portal de Microsoft 365 Defender para realizar una investigación de un incidente de varias etapas relacionado con un documento malicioso sospechoso. Después de revisar todos los detalles, ha determinado que la alerta vinculada a este documento potencialmente malicioso también está relacionada con otro incidente en su entorno. Sin embargo, la alerta no figura actualmente como parte de ese segundo incidente. Su investigación sobre la alerta está en curso, al igual que su investigación sobre la alerta está en curso, al igual que su investigación sobre los dos incidentes relacionados. Debe categorizar adecuadamente la alerta y asegurarse de que esté asociada con el segundo incidente. ¿Qué dos acciones debe realizar en el panel Administrar alerta para cumplir con esta parte de la investigación?. Seleccione la opción alerta de enlace a otra incidencia. Establecer la clasificación en Alerta verdadera. Establecer el estado en En progreso. Establecer estado en Nuevo. Ingrese el ID de incidente del incidente relacionado en la sección Comentarios.

Debe crear una consulta para un libro de trabajo. La consulta debe cumplir con los siguientes requisitos: - Listar todos los incidentes por número de incidente. - Solo incluya el registro más reciente de cada incidente. ¿Cómo debe completar la consulta?. Project. Sort. Summarize. ----------------------------. arg_max. limit. top.

Debe visualizar los datos de Microsoft Sentinel y enriquecer los datos mediante el uso de fuentes de datos de terceros para identificar indicadores de compromiso (IOC). ¿Qué debes usar?. Cuadernos en Microsoft Sentinel. Seguridad de aplicaciones en la nube de Microsoft. Azure Monitor. Búsqueda de consultas en Microsoft Sentinel.

Planea crear una consulta personalizada de Microsft Sentinel que proporcionará una representación visual de las alertas de seguridad generadas por Microsoft Defender for Cloud (Azure Security Center) Debe crear una consulta que se utilizará para mostrar un gráfico de barras ¿Qué debes incluir en la consulta?. extend. bin. count. workspace.

Debe recibir una alerta inmediata cada vez que se enumeran las claves de cuenta de Azure Storage. ¿Qué dos acciones deberías realizar?. Crear una transmisión en vivo. Agregar un conector de datos. Crear una regla de análisis. Crear una consulta de búsqueda. Crear un marcador.

Está investigando un incidente en Microsoft Sentinel que contiene más de 127 alertas. Descubre ocho alertas en el incidente que requieren más investigación. Debe escalar las alertas a otro administrador de Microsoft Sentinel. ¿Qué debe hacer para proporcionar las alertas al administrador?. Crear una regla de creación de incidentes de Microsoft. Comparte la URL del incidente. Crear una regla de consulta programada. Asignar el incidente.