Microsoft Security Operations Analyst
225 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
Microsoft Security Operations Analyst (SC-200) ist eine rollenbasierte Associate-Level-Prüfung, die praktische Fähigkeiten für SOC-Analysten validiert, die Bedrohungen suchen, Warnungen triagieren und auf Vorfälle reagieren, indem sie Microsoft Sentinel, Microsoft Defender XDR und Microsoft Defender for Cloud verwenden. Die Zielgruppe sind arbeitende SOC-Analysten und Incident Responder – keine Generalisten – und die Prüfung spiegelt dies wider mit szenariobasierten Fragen zu KQL-Abfragen, Analyseregeln, Automatisierungs-Playbooks, der Reduzierung der Angriffsfläche und produktübergreifenden Untersuchungen über Endpunkte, Identitäten, E-Mails und Cloud-Workloads hinweg. SC-200 ist das Standard-Microsoft-Stack-Zertifikat für Tier 1–2 Analysten und wird zunehmend als bevorzugt oder erforderlich in Stellenanzeigen für Enterprise SOCs aufgeführt.
Konfigurieren von Microsoft Sentinel (Arbeitsbereiche, Datenkonnektoren, Watchlists, Bedrohungsdaten) und Defender XDR (rollenbasierter Zugriff, Warnungs- und Vorfallseinstellungen, benutzerdefinierte Erkennungen). Macht etwa 25 % der Prüfung aus. Erwarten Sie spezifische Details dazu, welcher Konnektor welche Daten aufnimmt und wie Sentinel und Defender XDR über das einheitliche Portal integriert werden.
Optimierung von Erkennungen in Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps und Defender for Cloud. Benutzerdefinierte Analyseregeln in Sentinel (geplant, NRT, Fusion, ML-basiert). Macht etwa 20 % der Prüfung aus – der am stärksten von KQL geprägte Bereich.
Größter Bereich (30 %). Triage und Untersuchung über Defender XDR und Sentinel hinweg, Automatisierung mit Playbooks (Logic Apps), Microsoft Security Copilot für SOC-Workflows und der End-to-End-Vorfallslebenszyklus von der Warnungskorrelation bis zum Abschluss und der Überprüfung nach dem Vorfall.
Bedrohungsjagd mit KQL über das erweiterte Jagdschema, proaktive Jagden unter Verwendung integrierter Abfragen und Lesezeichen, MITRE ATT&CK-Mapping und Integration von Bedrohungsdaten. Macht etwa 25 % der Prüfung aus.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Cloud-natives SIEM und SOAR, das auf Azure basiert, Telemetriedaten aus der gesamten Umgebung aufnimmt, Bedrohungen mit KQL jagt und die Reaktion über Automatisierungsregeln und Playbooks orchestriert.
Warum er in der Prüfung steht: Domäne 1 (Verwalten einer Sicherheitsbetriebsumgebung) konzentriert sich auf Sentinel als SIEM/SOAR – erwarten Sie Fragen zu Datenkonnektoren, Workspaces und Content Hubs.
Vereinheitlichte Suite für die Abwehr vor und nach einem Verstoß, die Signale von Endpunkten, Identitäten, E-Mails, Cloud-Apps und Daten in einer einzigen Incident-Warteschlange und einem Graphen korreliert.
Warum er in der Prüfung steht: Domäne 3 (Verwalten der Incident Response) hängt von Defender XDR als übergreifende Oberfläche für die Incident-Untersuchung ab – Incident-Zusammenführung, Beweismittel und Graph-Hunting.
EDR für Unternehmen mit Angriffsflächenreduzierung, Antimalware der nächsten Generation, automatisierter Untersuchung, Live Response und Advanced Hunting über Windows, macOS, Linux, iOS und Android hinweg.
Warum er in der Prüfung steht: Domäne 4 (Verwalten von Sicherheitsbedrohungen) nennt Defender for Endpoint als EDR-Schicht für gerätebasierte Bedrohungserkennung, Isolation und forensische Datenerfassung.
CNAPP, das Sicherheitsstatusverwaltung (CSPM) und Workload-Schutz (CWP) über Azure, AWS und GCP hinweg bietet und Empfehlungen sowie Laufzeitwarnungen in Defender XDR einfließen lässt.
Warum er in der Prüfung steht: Domäne 2 (Konfigurieren von Schutzmaßnahmen und Erkennungen) prüft die Aktivierung von CWP-Plänen und die CSPM-Behebung – Defender for Cloud ist die genannte Steuerung für Multicloud-Workload-Warnungen.
Schutz für Microsoft 365-Postfächer, Teams, SharePoint und OneDrive vor Phishing, BEC und bösartigen Anhängen über Safe Links, Safe Attachments und Attack Simulation Training.
Warum er in der Prüfung steht: Domäne 2 + Domäne 4 behandeln E-Mail-/Kollaborationsbedrohungen – Defender for Office 365 liefert die Threat Explorer-Abfragen und Richtlinienkontrollen, die SOC-Analysten triagieren.
Bedrohungserkennung für lokale Active Directorys, die Aufklärung, laterale Bewegung, Kerberos-Missbrauch und Domänenherrschaft aus dem Domänencontroller-Datenverkehr aufdeckt.
Warum er in der Prüfung steht: Domäne 4 behandelt hybride Identitätsbedrohungen – Defender for Identity ist die benannte, AD-fokussierte Erkennungsschicht, die Incidents an Defender XDR weiterleitet.
Cloud Access Security Broker (CASB), der Schatten-IT entdeckt, Sitzungssteuerungen über Reverse Proxy anwendet und sanktioniertes SaaS mit API-Konnektoren und Richtlinien-Engines schützt.
Warum er in der Prüfung steht: Domäne 2 umreißt SaaS-Bedrohungsszenarien – Defender for Cloud Apps ist die genannte Steuerung für die Schatten-IT-Erkennung und Conditional Access App Control.
Agentenlose OT/IoT-Netzwerküberwachung (ehemals CyberX) plus Geräte-Builder-Agenten, die anomales Verhalten in industriellen und Unternehmens-IoT-Segmenten erkennen.
Warum er in der Prüfung steht: Domäne 4 behandelt OT/IoT-Bedrohungsszenarien – Defender for IoT ist die benannte Plattform für Purdue-Modell-Sichtbarkeit und ICS-fähige Erkennungen.
Nur-Lese-Abfragesprache für Log Analytics, Sentinel und Defender Advanced Hunting – Pipe-and-Filter-Syntax über schematisierte Ereignistabellen für Ad-hoc- und geplante Untersuchungen.
Warum er in der Prüfung steht: Jede Domäne setzt KQL-Fließfähigkeit voraus – Domäne 3 Incident-Untersuchung und Domäne 4 Bedrohungsjagd erwarten von den Kandidaten, KQL-Abfragen zu lesen und zu erstellen.
Geplante, NRT-, Microsoft-, ML-Verhaltens- und Fusion-Regeltypen, die KQL-Abfragen und integrierte Vorlagen in Warnungen und Incidents innerhalb von Sentinel umwandeln.
Warum er in der Prüfung steht: Domäne 2 prüft explizit Analyseregeltypen, Schweregrad-Anpassung und Incident-Gruppierungslogik bei der Konfiguration von Erkennungen.
Logic Apps-Workflows, die durch Incidents, Warnungen oder Analystenaktionen ausgelöst werden – automatisieren Anreicherung, Ticketerstellung, Kontodeaktivierung und Host-Eindämmung.
Warum er in der Prüfung steht: Domäne 3 behandelt SOAR-Automatisierung; Playbooks sind die genannte Antwort für automatisierte Reaktion und Human-in-the-Loop-Genehmigungen, die an Automatisierungsregeln gebunden sind.
Anpassbare Dashboards, die auf Azure Monitor Workbooks basieren und Sentinel-Daten, MITRE-Abdeckung und Analysten-KPIs über einen oder mehrere Workspaces hinweg visualisieren.
Warum er in der Prüfung steht: Domäne 1 testet SOC-Berichterstattung und MITRE-Abdeckungs-Visualisierung – Workbooks liefern die benannte Telemetrie-Oberfläche für Analysten- und Führungskräfteberichte.
Kuratierte Referenzdaten (VIP-Benutzer, gekündigte Mitarbeiter, IOC-Feeds, Asset-Tiers), die über den KQL-Operator _GetWatchlist in Analyseregeln und Jagdabfragen eingebunden werden.
Warum er in der Prüfung steht: Domäne 2 nennt Watchlists bei der Begrenzung von Erkennungen auf bestimmte Assets oder dem Ausschließen von Rauschen aus Baseline-Regeln.
Threat-Intelligence-Portal (ehemals RiskIQ), das gegnerische Infrastrukturen, Indikatoren und Artikel über TI-Konnektoren in Defender XDR und Sentinel abbildet.
Warum er in der Prüfung steht: Domäne 4 prüft IOC-Aufnahme und Gegner-Attribution – Defender TI ist die benannte Quelle für kuratierte Indikator-Feeds und Bedrohungsakteur-Profile.
Entdeckt kontinuierlich dem Internet ausgesetzte Assets (Domains, Hosts, Zertifikate, IP-Blöcke), die der Organisation zugeordnet werden können, und zeigt extern beobachtbare Risiken auf.
Warum er in der Prüfung steht: Domäne 4 behandelt externe Angriffsflächenszenarien – Defender EASM ist das benannte Tool für die Schatten-Asset-Erkennung jenseits der verwalteten Umgebung.
Risikobasierte Schwachstellenbewertung für Defender for Endpoint-Umgebungen, mit CVE-Inventar, Bewertung der Sicherheitsbaselines, Software-Inventar und Workflows für Behebungsanfragen.
Warum er in der Prüfung steht: Domäne 4 umreißt die Priorisierung von Schwachstellen und die Nachverfolgung der Behebung – Defender VM ist die benannte Workload, die für das Ticketing mit Intune integriert ist.
Cloud-Identitätsanbieter, der Benutzer und Workloads authentifiziert und Anmelde-, Audit- und Identitätsschutzsignale sendet, die Sentinel und Defender XDR während Incidents korrelieren.
Warum er in der Prüfung steht: Die Incident-Eingrenzung in Domäne 3 konzentriert sich wiederholt auf Benutzer-, Anmelde- und Risikosignale von Entra ID – Analysten müssen diese Protokolle lesen und Eindämmungsmaßnahmen wie Passwort-Reset / Sitzungsaufhebung anwenden.
Telemetrie-Pipeline und KQL-gestützter Log Analytics-Workspace, auf dem Sentinel läuft – Datensammelregeln, benutzerdefinierte Protokolle und Aufbewahrungsrichtlinien fließen alle durch diese Schicht.
Warum er in der Prüfung steht: Domäne 1 testet Workspace-Architektur, Protokollaufnahme und Datenresidenz – Sentinel-spezifische Einstellungen basieren auf den Grundlagen von Azure Monitor / Log Analytics.
Tenant-übergreifende Verwaltungsebene, die es einem MSSP oder zentralen SOC ermöglicht, Sentinel-Workspaces, Defender for Cloud und Azure-Ressourcen über Kunden-Tenants hinweg mit delegiertem RBAC zu verwalten.
Warum er in der Prüfung steht: Domäne 1 behandelt Multi-Tenant-SOC-Szenarien – Lighthouse ist die benannte Plattform für MSSP-artigen Tenant-übergreifenden Sentinel-Zugriff.
Integrierte Compliance-Status-Engine in Defender for Cloud, die Empfehlungen Frameworks (CIS, ISO 27001, NIST 800-53, PCI DSS) zuordnet und die Behebung im Zeitverlauf verfolgt.
Warum er in der Prüfung steht: Domäne 1 behandelt den Compliance-Status als Verantwortung eines SOC-Managers – Defender for Cloud Regulatory Compliance ist das benannte Dashboard, auf das Analysten und Führungskräfte verweisen.
$85k–$120k–$165k USD jährlich
Die Spanne umfasst in den USA ansässige SOC-Analysten-, Detection-Engineering- und Sentinel-fokussierte Rollen. Tier 1 Analysten und Märkte außerhalb der Küstenregionen tendieren zu niedrigeren Gehältern; leitende Detection Engineers und Threat Hunter in großen Unternehmen oder bei MSSPs tendieren zu höheren Gehältern. SC-200 allein verändert diese Zahlen nicht — nachgewiesene KQL-Fließfähigkeit und vorherige Erfahrung in der Incident Response sind die größeren Treiber.
Quelle: U.S. BLS OEWS Mai 2024 (15-1212 information security analysts, Median ~$120k), levels.fyi 2025–2026 security-engineering und SOC-Rollen, (ISC)² Cybersecurity Workforce Study 2024. Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Microsoft Sentinel und Defender XDR werden in einem großen Teil der mittelständischen und Enterprise-SOCs eingesetzt, da sie sich nahtlos in bestehende Microsoft 365- und Azure-Umgebungen einfügen. Dies hat SC-200 zu einer der am weitesten anerkannten SOC-Analysten-Zertifizierungen gemacht. Personalvermittler nutzen es als Screening-Signal für Tier 1- und Tier 2-Analysten-, Detection-Engineering- und Sentinel-Implementierungsrollen, und MSSPs führen es häufig als bevorzugtes Zertifikat für Ingenieure auf, die Sentinel als Managed Service betreiben. Die Arbeitsmarktdaten von (ISC)² zeigen eine anhaltend ungedeckte Nachfrage nach Talenten im Bereich Sicherheitsoperationen bis 2024–2026, was Inhaber von SC-200 auch am Anfang ihrer Karriere attraktiv macht. Die Kombination von SC-200 mit AZ-500 oder SC-300 stärkt den Lebenslauf spürbar für leitende SOC- und identitätsorientierte Erkennungsrollen.
Es gibt keine erzwungenen Voraussetzungen, aber Microsoft positioniert SC-200 als rollenbasierte Prüfung, die Arbeitserfahrung als Security Operations Analyst voraussetzt — das bedeutet, echte Erfahrung mit der Triage von Warnungen, KQL-Abfragen und mindestens einem von Microsoft Sentinel, Defender XDR oder Defender for Cloud in einem Produktions-Tenant. Kandidaten ohne SOC-Erfahrung scheitern routinemäßig beim ersten Versuch.
Der empfohlene Vorbereitungsweg ist zuerst SC-900 (für ein gemeinsames Vokabular im gesamten Microsoft Security Stack), dann 3–6 Monate praktische Arbeit in einem Sentinel-Arbeitsbereich und Defender-Portal — selbst ein persönliches Labor, das auf einem Microsoft 365-Entwickler-Tenant plus einem kostenlosen Azure-Konto aufgebaut ist, reicht aus, um die Konfiguration von Konnektoren, Analyseregeln und KQL-Jagd zu üben. Microsoft Learn bietet einen kostenlosen 18–25-stündigen Lernpfad mit integrierten Labs, die Prüfungs-Szenarien eng widerspiegeln; die Kombination mit der offiziellen Übungsbewertung und einer Drittanbieter-Fragenbank zur KQL-Mustererkennung ist der effizienteste Weg.
SC-200 ist nach Microsoft Associate-Standards moderat – schwieriger als AZ-500 in Bezug auf die KQL-Spezifität, einfacher als SC-100 im Umfang. Planen Sie 60–100 Stunden Lernzeit über 6–10 Wochen ein, wenn Sie bereits etwas SOC-Erfahrung haben, oder 100–150 Stunden, wenn Sie neu einsteigen. Die Prüfung dauert 100–120 Minuten mit etwa 40–60 Fragen, einschließlich Multiple-Choice, Multiple-Response, Drag-and-Drop und Fallstudienformaten; die Bestehensnote beträgt 700/1000 nach Microsofts skaliertem Modell.
Die beiden Stolpersteine sind die KQL-Fließfähigkeit und die Produktbreite. KQL-Abfragen erscheinen direkt in der Prüfung – Sie müssen Abfragen gegen Sentinel- und Defender-Advanced-Hunting-Schemas lesen und verstehen können, nicht nur Schlüsselwörter erkennen. Die Produktbreite ist anspruchsvoll, da die Defender-Familie Endpunkte, Identitäten, Office 365, Cloud-Apps und Cloud-Workloads umfasst, jedes mit seinen eigenen Portal-Nuancen und Integrationsmöglichkeiten mit Sentinel. Kandidaten, die praktische Labs überspringen und sich allein auf Videokurse verlassen, stoßen bei den Fallstudien oft an ihre Grenzen.
Allgemeine Verfügbarkeit April 2021. Die Ziele wurden mehrfach aktualisiert, um die Konsolidierung von Defender zu Defender XDR, die Umbenennung von Azure AD in Entra ID, die Hinzufügung von Microsoft Security Copilot und das einheitliche Defender + Sentinel Portal-Erlebnis widerzuspiegeln. Rollenbasierte Zertifizierungen laufen ein Jahr nach Bestehen ab; die Verlängerung ist kostenlos über eine unbeaufsichtigte Online-Bewertung auf Microsoft Learn möglich.
SC-200 (Microsoft Security Operations Analyst) ist eine eine mittelschwere Prüfung, die praktische Erfahrung sowie ein solides Verständnis der Best Practices erwartet Associate-Level-Prüfung. Die meisten Kandidaten benötigen 80–150 Stunden Lernzeit, verteilt über 6–12 Wochen, für Prüfungen auf Associate-Niveau. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 80–150 Stunden Lernzeit, verteilt über 6–12 Wochen, für Prüfungen auf Associate-Niveau. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
SC-200 ist ein anerkanntes Zeugnis im Microsoft-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit Microsoft arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für SC-200 beträgt 700 / 1000. Die Prüfung enthält 50 Fragen und dauert 2 Std.
Die Prüfungsgebühr für SC-200 beträgt $165 USD. Die Gebühren werden von Microsoft festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen Microsoft Zertifizierungsseite, bevor Sie buchen.
Microsoft rollenbasierte Zertifizierungen verfallen nach 1 Jahr, können aber kostenlos über eine unüberwachte Online-Bewertung auf Microsoft Learn erneuert werden, beginnend 6 Monate vor dem Ablaufdatum.
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für SC-200. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 50 Fragen in 2 Std, mit der gleichen Bestehensschwelle von 700 / 1000. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.