Kursbeschreibung
Copilots können SOC-Teams entlasten, aber nur, wenn Du sie wie ein neues Tooling mit klaren Regeln betreibst. In diesem Specialty-Seminar lernst Du, Copilot-Funktionen gezielt dort einzusetzen, wo sie messbar helfen: schnellere Triage, bessere Priorisierung, strukturierte Incident-Dokumentation und konsistente Reports. Du arbeitest an realistischen Szenarien rund um Microsoft Security Copilot, Sentinel und Defender XDR und siehst, wie sich Copilot-Ausgaben in bestehende Prozesse integrieren lassen, ohne die Verantwortung vom Menschen wegzuschieben. Du entwickelst praxistaugliche Prompt-Patterns für SOC-Aufgaben: Zusammenfassungen mit Belegpflicht, Hypothesenlisten für Hunting, Extraktion von Indicators und Formulierungen für Stakeholder-Kommunikation. Gleichzeitig lernst Du, typische Risiken aktiv zu steuern: Halluzinationen erkennst Du über Plausibilitätschecks und Quellenanforderungen, Datenabfluss reduzierst Du über Klassifizierung, Redaction und Zugriffskonzepte. Ein weiterer Baustein ist die Betriebsfähigkeit: Logging und Aufbewahrung für Compliance, Dokumentationsstandards für Schichtbetrieb und ein Review-Prozess, der Qualität messbar macht. Am Ende nimmst Du ein Operating Model mit, das Rollen, Freigaben, KPIs und einen 30-60-90-Tage-Plan verbindet, damit Du Copilots kontrolliert einführst und den Nutzen im SOC nachweisen kannst.
Zielgruppe
- SOC-Analysten und Incident Responder
- Security Engineers für SIEM/SOAR (z. B. Microsoft Sentinel)
- Blue-Team- und Threat-Hunting-Verantwortliche
- Security Operations Leads und SOC-Manager
- Alle, die Security Copilots im SOC produktiv und kontrolliert einsetzen wollen
Voraussetzung für die Schulung
- Grundverständnis von SOC-Prozessen, Incidents und Logdaten (SIEM/XDR).
- Erste Berührung mit KQL oder ähnlichen Abfragesprachen ist hilfreich, aber nicht zwingend.
Kursinhalte
- Copilot-Realität im SOC
- Einsatzfelder: Triage, Hunting, Reporting, Knowledge
- Grenzen: Halluzinationen, Datenabfluss, Bias
- Rollenmodell: Analyst, Engineer, Lead, CISO
- Messgrößen: MTTD, MTTR, Alert-Fatigue
- Use Cases mit Microsoft Security Copilot
- Incident-Zusammenfassungen und Next Steps
- KQL-gestützte Abfragen und Hypothesen
- Bedrohungsanalyse aus TI-Feeds
- Automatisierte Executive- und Audit-Reports
- Prompting, das im Betrieb funktioniert
- Prompt-Templates für Triage und Hunting
- Kontextaufbau: Artefakte, Zeitfenster, Scope
- Verifikation: Quellen, Belege, Reproduzierbarkeit
- Fehlerbilder erkennen und abfangen
- Integration in SIEM, SOAR und Ticketing
- Copilot in Workflows: Sentinel, Defender XDR
- Handovers: Chat zu Case, Case zu Playbook
- Runbooks, Automations und Genehmigungen
- Dokumentation für Nachvollziehbarkeit
- Governance, Datenschutz und Risiko
- Datenklassifizierung und Prompt-Redaction
- Logging, Aufbewahrung, Zugriffskontrollen
- Threat Modeling für Copilot-Workflows
- Policy-Set: Do’s, Don’ts, Freigaben
- Operating Model und Enablement
- Skill-Matrix und Trainingspfade im SOC
- Qualitätssicherung: Review, Sampling, KPIs
- Einführung in 30-60-90 Tagen
- Business Case und Kostensteuerung
