मार्गदर्शिका

Microsoft Security Operations Analyst

अंतिम समीक्षा: मई 2026

SC-200 परीक्षा द्वारा परखे जाने वाले architectural patterns का स्कैन-योग्य संदर्भ। ऊपर से नीचे पढ़ें या किसी section पर जाएं।

माइक्रोसॉफ्ट सेंटिनल का उपयोग करके खतरों को कम करें

कई भौगोलिक क्षेत्रों में कड़े डेटा रेजीडेंसी आवश्यकताएं।

प्रत्येक क्षेत्र में एक माइक्रोसॉफ्ट सेंटिनल वर्कस्पेस तैनात करें। केंद्रीकृत प्रबंधन के लिए Azure Lighthouse का उपयोग करें।

क्यों: यह अनुपालन के लिए लॉग डेटा को भौगोलिक सीमाओं के भीतर रखता है, साथ ही एक केंद्रीय SOC को सभी वर्कस्पेस पर काम करने की अनुमति देता है।

संदर्भ

सेंटिनल वर्कस्पेस प्रति दिन 100 GB से अधिक डेटा इनजेस्ट कर रहा है।

Log Analytics वर्कस्पेस के मूल्य निर्धारण टियर को Pay-As-You-Go से Commitment Tiers में बदलें।

क्यों: Commitment Tiers मानक मूल्य निर्धारण की तुलना में उच्च-मात्रा वाले, अनुमानित डेटा इनजेस्ट के लिए महत्वपूर्ण लागत बचत प्रदान करते हैं।

उच्च-मात्रा वाले लॉग (जैसे, Windows Security Events) SIEM लागत बढ़ा रहे हैं।

1. स्रोत पर इवेंट्स को फ़िल्टर करने के लिए एक Data Collection Rule (DCR) का उपयोग करें। 2. Basic Logs के लिए गंतव्य तालिका कॉन्फ़िगर करें।

क्यों: DCRs केवल आवश्यक इवेंट्स को एकत्र करके इनजेस्ट लागत को कम करते हैं। Basic Logs उन विस्तृत डेटा के लिए स्टोरेज लागत को कम करते हैं जिन्हें पूर्ण एनालिटिक्स की आवश्यकता नहीं होती है।

संदर्भ

अनुपालन के लिए 2 साल से अधिक (जैसे, 7 साल) के लिए डेटा प्रतिधारण की आवश्यकता होती है।

वर्कस्पेस को 90-दिवसीय इंटरैक्टिव प्रतिधारण और 7-वर्षीय कुल प्रतिधारण (आर्काइव टियर) के साथ कॉन्फ़िगर करें।

क्यों: यह तत्काल खोजने की क्षमता (इंटरैक्टिव) को कम लागत वाले, दीर्घकालिक स्टोरेज (आर्काइव) के साथ संतुलित करता है। Search Jobs के माध्यम से संग्रहीत डेटा तक पहुंचें।

ऑन-प्रिमाइसेस Windows और Linux सर्वर से सुरक्षा इवेंट्स एकत्र करें।

प्रबंधन के लिए Azure Arc एजेंट इंस्टॉल करें, फिर Arc के माध्यम से Azure Monitor Agent (AMA) तैनात करें।

क्यों: Arc Azure कंट्रोल प्लेन को ऑन-प्रिमाइसेस तक बढ़ाता है, जिससे आधुनिक AMA एजेंट के साथ मूल प्रबंधन और डेटा संग्रह सक्षम होता है।

Syslog का समर्थन करने वाले थर्ड-पार्टी डिवाइस (जैसे, फ़ायरवॉल) से लॉग इनजेस्ट करें।

AMA के साथ Log Forwarder के रूप में एक समर्पित Linux VM तैनात करें। संरचित सुरक्षा डेटा के लिए CEF फॉर्मेट का उपयोग करें।

क्यों: यह उन डिवाइसों के लिए संग्रह को केंद्रीकृत करता है जो एजेंट होस्ट नहीं कर सकते हैं। CEF सुरक्षा इवेंट्स के लिए एक सामान्यीकृत, क्वेरी करने योग्य स्कीमा प्रदान करता है।

Microsoft Defender XDR से सेंटिनल में घटनाओं और अलर्ट्स को इनजेस्ट करें।

Microsoft Defender XDR डेटा कनेक्टर और इसके घटना निर्माण/द्वि-दिशात्मक सिंक विकल्प को सक्षम करें।

क्यों: यह एक एकीकृत घटना कतार बनाता है और सुनिश्चित करता है कि Sentinel और Defender पोर्टल के बीच स्थिति परिवर्तन सिंक्रनाइज़ किए गए हैं।

इनजेस्ट वॉल्यूम को कम करने के लिए स्रोत पर विशिष्ट Windows Event IDs को फ़िल्टर करें।

एक XPath क्वेरी के साथ एक Data Collection Rule (DCR) कॉन्फ़िगर करें ताकि यह निर्दिष्ट किया जा सके कि कौन से Event IDs एकत्र किए जाएं।

क्यों: यह डेटा को स्रोत एजेंट पर फ़िल्टर करके इनजेस्ट वॉल्यूम और लागत को कम करता है, इससे पहले कि इसे वर्कस्पेस पर भेजा जाए।

महत्वपूर्ण इवेंट्स के लिए सबसे तेज़ संभव डिटेक्शन समय की आवश्यकता है।

एक Near Real-Time (NRT) एनालिटिक्स रूल का उपयोग करें।

क्यों: NRT नियम हर मिनट चलते हैं, ~1-2 मिनट की डिटेक्शन लेटेंसी प्रदान करते हैं, जो निर्धारित नियमों के लिए 5 मिनट के न्यूनतम से कहीं अधिक तेज़ है।

एक विशिष्ट समय विंडो के भीतर इवेंट्स के एक थ्रेशोल्ड का पता लगाएं (जैसे, ब्रूट फोर्स अटैक)।

KQL `summarize ... by bin(TimeGenerated, 5m), ...` का उपयोग करके एक Scheduled एनालिटिक्स रूल बनाएं।

क्यों: `bin()` फ़ंक्शन सटीक थ्रेशोल्ड डिटेक्शन के लिए इवेंट्स को अलग, गैर-ओवरलैपिंग समय विंडो में समूहित करने के लिए महत्वपूर्ण है।

जटिल, बहु-चरणीय हमलों का पता लगाएं जिन्हें व्यक्तिगत अलर्ट्स मिस कर सकते हैं।

उन्नत बहु-चरणीय हमले का पता लगाने के लिए Fusion एनालिटिक्स रूल्स को सक्षम करें।

क्यों: Fusion ML का उपयोग करता है ताकि कई डेटा स्रोतों से कम-विश्वसनीयता वाले संकेतों को उच्च-विश्वसनीयता वाली घटनाओं में सहसंबंधित किया जा सके, जिससे अलर्ट थकान कम होती है।

विसंगतिपूर्ण व्यवहार के आधार पर अंदरूनी खतरों या समझौता किए गए खातों का पता लगाएं।

User and Entity Behavior Analytics (UEBA) सक्षम करें।

क्यों: UEBA उपयोगकर्ताओं और संस्थाओं के लिए व्यवहारिक आधारभूत रेखाएं स्थापित करता है, फिर महत्वपूर्ण विचलनों को चिह्नित करता है जो विशिष्ट नियम तर्क से मेल नहीं खाते हैं।

कई डेटा स्रोतों (जैसे, विभिन्न वेंडरों से DNS) के लिए एक एकल, स्रोत-अज्ञेयवादी एनालिटिक्स रूल लिखें।

KQL क्वेरी में Advanced Security Information Model (ASIM) पार्सर का उपयोग करें।

क्यों: ASIM एक सामान्यीकृत स्कीमा प्रदान करता है, जिससे क्वेरीज़ कई वेंडर-विशिष्ट तालिकाओं के बजाय एक एकीकृत दृश्य (जैसे, `imDns`) के विरुद्ध चल सकती हैं।

सेंटिनल सामग्री (एनालिटिक्स रूल्स, वर्कबुक) को कोड के रूप में प्रबंधित करें और विभिन्न वातावरणों में तैनात करें।

GitHub या Azure DevOps रिपॉजिटरी को जोड़ने के लिए Microsoft Sentinel Repositories का उपयोग करें।

क्यों: यह CI/CD वर्कफ़्लो, संस्करण नियंत्रण और सुरक्षा सामग्री (Sentinel-as-Code) की स्वचालित, सुसंगत तैनाती को सक्षम बनाता है।

मूल घटना ट्राइएज कार्यों को स्वचालित करें जैसे मालिकों को असाइन करना, स्थिति बदलना, या टैग जोड़ना।

घटना निर्माण पर ट्रिगर किए गए एक Automation Rule का उपयोग करें।

क्यों: Automation rules हल्के और तुल्यकालिक होते हैं, जो Logic App के ओवरहेड के बिना सरल ट्राइएज क्रियाओं के लिए आदर्श होते हैं।

बाहरी प्रणालियों (जैसे, Entra ID में उपयोगकर्ता को ब्लॉक करना, Teams संदेश भेजना) से जुड़े जटिल घटना प्रतिक्रियाओं को स्वचालित करें।

एक Playbook (Azure Logic App) बनाएं और इसे एक Automation Rule से ट्रिगर करें।

क्यों: Logic Apps जटिल, बहु-चरणीय प्रतिक्रियाओं और एकीकरण के लिए आवश्यक ऑर्केस्ट्रेशन इंजन और कनेक्टर प्रदान करते हैं।

संस्थाओं (उपयोगकर्ताओं, IPs, होस्ट्स) के बीच संबंधों को विज़ुअलाइज़ करके हमले के दायरे को समझें।

घटना विवरण पृष्ठ पर Investigation Graph का उपयोग करें।

क्यों: यह हमले का एक इंटरैक्टिव मानचित्र प्रदान करता है, जिससे कनेक्शन देखना और संबंधित संस्थाओं और अलर्ट्स के बीच आसानी से पिवट करना आसान हो जाता है।

SOC टीम के लिए सामान्य जांच वर्कफ़्लो को मानकीकृत और तेज करें।

Microsoft Security Copilot में एक Promptbook बनाएं और साझा करें।

क्यों: Promptbooks सामान्य परिदृश्यों के लिए एक निर्देशित, दोहराने योग्य जांच प्रक्रिया बनाने के लिए प्राकृतिक भाषा संकेतों की एक श्रृंखला को एक साथ जोड़ते हैं।

माइक्रोसॉफ्ट डिफेंडर XDR का उपयोग करके खतरों को कम करें

सभी Microsoft Defender उत्पादों के लिए सुरक्षा अनुमतियों को केंद्रीय रूप से प्रबंधित करें।

Microsoft Defender XDR Unified RBAC मॉडल को सक्रिय करें।

क्यों: यह व्यक्तिगत उत्पाद-विशिष्ट भूमिकाओं को एक एकल, दानेदार अनुमति मॉडल से बदल देता है, जिससे प्रशासन सरल हो जाता है।

अलर्ट गंभीरता के आधार पर डिवाइसों को स्वचालित रूप से अलग करें या फ़ाइलों का निवारण करें।

डिवाइस समूहों के लिए Automated investigation सेटिंग्स कॉन्फ़िगर करें, Automation Level को 'Full' या 'Semi' पर सेट करें।

क्यों: यह सामान्य खतरों के लिए हाथों से मुक्त निवारण सक्षम बनाता है। डिवाइस समूह वर्कस्टेशन बनाम महत्वपूर्ण सर्वर के लिए विभिन्न स्वचालन स्तरों की अनुमति देते हैं।

संदर्भ

सभी एंडपॉइंट्स पर एक ज्ञात दुर्भावनापूर्ण फ़ाइल हैश, IP एड्रेस या URL को तुरंत ब्लॉक करें।

एक "Block and Remediate" एक्शन के साथ एक Indicator of Compromise (IoC) बनाएं।

क्यों: यह एक तेज़, संगठन-व्यापी रोकथाम तंत्र प्रदान करता है जो AV हस्ताक्षर अपडेट की प्रतीक्षा करने से तेज़ है।

सामान्य हमले की तकनीकों (जैसे, Office चाइल्ड प्रोसेस बनाता है) को ब्लॉक करके एंडपॉइंट्स को मजबूत करें।

Attack Surface Reduction (ASR) नियमों को तैनात करें, 'Audit' मोड में शुरू करके स्विच करने से पहले प्रभाव का आकलन करें।

क्यों: ASR नियम एक महत्वपूर्ण निवारक नियंत्रण हैं। रोलआउट के दौरान व्यावसायिक अनुप्रयोगों में व्यवधान को रोकने के लिए ऑडिट मोड महत्वपूर्ण है।

एक लाइव एंडपॉइंट पर गहरी फोरेंसिक जांच या मैन्युअल निवारण करें।

रिमोट शेल स्थापित करने और फोरेंसिक पैकेज एकत्र करने के लिए Live Response सुविधा का उपयोग करें।

क्यों: यह कमांड चलाने, फ़ाइलों को एकत्र करने और फोरेंसिक स्क्रिप्ट चलाने के लिए डिवाइस तक सीधा, वास्तविक समय पहुंच प्रदान करता है।

एक विशिष्ट समझौता किए गए डिवाइस पर एक हमलावर की कार्रवाइयों का पुनर्निर्माण करें।

Device Timeline का विश्लेषण करें।

क्यों: यह एंडपॉइंट पर सभी प्रक्रिया, नेटवर्क, फ़ाइल और रजिस्ट्री गतिविधि का एक विस्तृत, कालानुक्रमिक इवेंट लॉग प्रदान करता है।

क्रेडेंशियल चोरी और Pass-the-Hash/Ticket जैसी पार्श्व गति तकनीकों का पता लगाएं।

सभी Domain Controllers पर Microsoft Defender for Identity सेंसर तैनात करें।

क्यों: Defender for Identity सीधे ऑन-प्रिमाइसेस AD प्रमाणीकरण ट्रैफ़िक की निगरानी करता है, जिससे पहचान-आधारित हमलों के लिए उच्च-विश्वसनीयता वाले अलर्ट प्रदान होते हैं।

उपयोगकर्ताओं को ईमेल अटैचमेंट में एम्बेडेड ज़ीरो-डे मैलवेयर से बचाएं।

Dynamic Delivery विकल्प के साथ एक Safe Attachments नीति कॉन्फ़िगर करें।

क्यों: यह दुर्भावनापूर्ण व्यवहार की जांच के लिए सैंडबॉक्स में अटैचमेंट को विस्फोट करता है, जबकि ईमेल बॉडी को तुरंत डिलीवर करता है, सुरक्षा और उत्पादकता को संतुलित करता है।

उपयोगकर्ता मेलबॉक्स से फ़िशिंग ईमेल के सभी उदाहरणों को ढूंढें और हटा दें।

ईमेल खोजने और सॉफ्ट या हार्ड डिलीट एक्शन निष्पादित करने के लिए Threat Explorer (या Advanced Hunting) का उपयोग करें।

क्यों: Threat Explorer मेल सिस्टम से सक्रिय खतरों को संगठन-व्यापी रूप से हटाने के लिए एक शक्तिशाली खोज और निवारण उपकरण है।

अनप्रबंधित (गैर-अनुपालक) डिवाइसों पर संवेदनशील फ़ाइलों के डाउनलोड को ब्लॉक करके डेटा एक्सफ़िल्ट्रेशन को रोकें।

Conditional Access App Control का उपयोग करके Defender for Cloud Apps सत्र नीति कॉन्फ़िगर करें।

क्यों: यह क्लाउड ऐप सत्र के भीतर उपयोगकर्ता गतिविधि का वास्तविक समय में निरीक्षण और नियंत्रण करने के लिए एक रिवर्स प्रॉक्सी के रूप में कार्य करता है, डेटा एक्सेस नीतियों को लागू करता है।

मानव-संचालित रैंसमवेयर जैसे व्यापक, सक्रिय हमले को स्वचालित रूप से नियंत्रित करें।

Microsoft Defender XDR में Automatic Attack Disruption सक्षम करें।

क्यों: यह क्रॉस-डोमेन सिग्नल (XDR) का उपयोग मशीन गति पर निर्णायक कार्रवाई करने के लिए करता है, जैसे समझौता किए गए उपयोगकर्ता खातों को अक्षम करना और डिवाइसों को अलग करना।

सभी XDR डेटा (एंडपॉइंट, ईमेल, पहचान, क्लाउड ऐप्स) में खतरों की सक्रिय रूप से खोज करें।

Kusto Query Language (KQL) के साथ Advanced Hunting का उपयोग करें।

क्यों: यह कच्चे टेलीमेट्री के 30 दिनों में शिकार करने के लिए एक शक्तिशाली, क्वेरी-आधारित इंटरफ़ेस प्रदान करता है, जिससे उन खतरों की खोज संभव होती है जो मानक डिटेक्शन से बचते हैं।

कई अलर्ट और संस्थाओं से जुड़ी एक जटिल घटना के पूरे दायरे को तुरंत समझें।

घटना की Attack Story या Investigation Graph का विश्लेषण करें।

क्यों: यह पूरी हमले की श्रृंखला को समेकित और विज़ुअलाइज़ करता है, यह दिखाता है कि एक हमलावर कैसे एक प्रारंभिक प्रवेश बिंदु से विभिन्न संपत्तियों में चला गया।

Defender for Cloud वर्कलोड सुरक्षा को ऑन-प्रिमाइसेस और मल्टी-क्लाउड सर्वर तक बढ़ाएँ।

Azure Arc का उपयोग करके सर्वर को ऑनबोर्ड करें, फिर Defender for Servers प्लान सक्षम करें।

क्यों: Azure Arc एक कंट्रोल प्लेन ब्रिज के रूप में कार्य करता है, गैर-Azure संसाधनों को Azure में प्रोजेक्ट करता है ताकि उन्हें Defender for Cloud द्वारा प्रबंधित और सुरक्षित किया जा सके।

एक जटिल स्क्रिप्ट (जैसे, PowerShell) के उद्देश्य और संभावित दुर्भावनापूर्णता को तुरंत समझें।

स्क्रिप्ट को Security Copilot में पेस्ट करें और उसके फ़ंक्शन और जोखिम के विश्लेषण के लिए पूछें।

क्यों: यह कोड को डी-ऑब्फ्यूस्केट और समझाने के लिए जनरेटिव AI का लाभ उठाता है, स्क्रिप्ट को निष्पादित किए बिना कलाकृतियों के विश्लेषण को काफी तेज करता है।

ऑन-प्रिमाइसेस AD से सिंक्रनाइज़ किए गए एक समझौता किए गए उपयोगकर्ता खाते को तुरंत नियंत्रित करें।

ऑन-प्रिमाइसेस Active Directory में खाते को अक्षम करें, फिर तत्काल AD Connect सिंक ट्रिगर करें।

क्यों: सिंक्रनाइज़ की गई पहचानों के लिए, ऑन-प्रिमाइसेस AD प्राधिकरण का स्रोत है। वहां खाते को अक्षम करना सबसे प्रभावी रोकथाम कार्रवाई है।

माइक्रोसॉफ्ट सेंटिनल में खतरे की खुफिया जानकारी का उपयोग करें

उद्योग-मानक प्रोटोकॉल का उपयोग करके एक TIP से बाहरी खतरे की खुफिया जानकारी इनजेस्ट करें।

सेंटिनल में 'Threat Intelligence - TAXII' डेटा कनेक्टर का उपयोग करें।

क्यों: यह TAXII 2.x सर्वर से जुड़ता है ताकि STIX-स्वरूपित संकेतकों को स्वचालित रूप से आयात किया जा सके, जिससे खतरे की खुफिया जानकारी का संचालन होता है।

संदर्भ

सभी इनजेस्टेड लॉग स्रोतों के विरुद्ध ज्ञात खतरे के संकेतकों (IPs, डोमेन, हैश) को सहसंबंधित करें।

ThreatIntelligenceIndicator तालिका में संकेतकों को इनजेस्ट करें और अंतर्निहित "TI map..." एनालिटिक्स रूल्स को सक्षम करें।

क्यों: ये नियम ज्ञात दुर्भावनापूर्ण गतिविधि पर अलर्ट उत्पन्न करने के लिए लॉग में सामान्यीकृत इकाई क्षेत्रों के विरुद्ध खतरे की खुफिया जानकारी का कुशलता से मिलान करते हैं।

अलर्टिंग या संवर्धन के लिए संकेतकों की एक कस्टम सूची (जैसे, व्यावसायिक भागीदारों के IPs, समाप्त कर्मचारी खाते) का उपयोग करें।

एक Watchlist बनाएं और इसे KQL क्वेरी में डेटा के साथ जोड़ें।

क्यों: Watchlists कस्टम डेटा के लिए एक सरल कुंजी-मूल्य स्टोर के रूप में कार्य करते हैं, जिसका उपयोग डिटेक्शन लॉजिक के लिए या गलत सकारात्मकता को कम करने के लिए क्वेरीज़ में आसानी से किया जाता है।

एक सफल KQL हंटिंग क्वेरी को स्वचालित डिटेक्शन के लिए सहेजने और परिचालित करने की आवश्यकता है।

1. क्वेरी को Hunting ब्लेड में सहेजें। 2. हंटिंग क्वेरी को एक Scheduled Analytics Rule में प्रमोट करें।

क्यों: यह तदर्थ खोज (हंटिंग) से स्वचालित, दोहराने योग्य डिटेक्शन (एनालिटिक्स रूल) तक संक्रमण को औपचारिक बनाता है।

MITRE ATT&CK फ्रेमवर्क के आधार पर डिटेक्शन कवरेज का आकलन करें और अंतराल की पहचान करें।

सेंटिनल में MITRE ATT&CK ब्लेड का उपयोग करें। प्रासंगिक युक्तियों/तकनीकों के साथ एनालिटिक्स नियमों को टैग करें।

क्यों: यह उद्योग-मानक फ्रेमवर्क के विरुद्ध मैप की गई डिटेक्शन क्षमताओं का एक विज़ुअल हीट मैप प्रदान करता है, जो डिटेक्शन इंजीनियरिंग का मार्गदर्शन करता है।

बाद में फॉलो-अप के लिए शिकार के दौरान पाए गए दिलचस्प परिणामों या सबूतों को संरक्षित करें।

KQL क्वेरी परिणामों से एक Hunting Bookmark बनाएं।

क्यों: यह क्वेरी, परिणाम और इकाई संदर्भ को कैप्चर करता है, जिससे एक विश्लेषक को तुरंत एक पूर्ण घटना बनाए बिना निष्कर्षों को सहेजने की अनुमति मिलती है।