Zuletzt überprüft: Mai 2026
Erstellen Sie die AWS-Dienste der SC-200-Prüfung mit reinem Terraform — ein Block nach dem anderen, jeweils abgestimmt auf eine Prüfungsdomäne. Derselbe Code funktioniert auch mit OpenTofu.
Am Ende dieses Labs haben Sie mit reinem Terraform das SC-200 SOC-Referenzsubstrat bereitgestellt – einen Log Analytics-Arbeitsbereich als Datenebene, Microsoft Sentinel, das in diesen Arbeitsbereich integriert ist, eine geplante Analyseregel, die einen Incident bei einem Beispiel-KQL-Muster auslöst, und eine Automatisierungsregel, die bei jeder Erstellung eines Incidents ausgeführt wird. Dies ist das Substrat, auf dem jeder SC-200 Jagd- + Reaktions-Workflow läuft.
Fügen Sie die Snippets in eine einzelne main.tf ein, führen Sie terraform init aus und anschließend terraform apply Schritt für Schritt.
>= 1.5 oder OpenTofu >= 1.6.az login).destroy korrekt über Terraform.Die Sentinel-Preisgestaltung ist der Hauptkostenfaktor:
~0 $/Monat bei Lab-Volumen. Sentinel wird bei größerem Umfang teuer – die Integration eines Multi-Server-CloudTrail-Äquivalents (Defender XDR-Konnektoren, M365-Konnektoren) erreicht für eine echte Organisation leicht 10.000 $/Monat.
Standard Azure-Einstieg.
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
}
}
provider "azurerm" {
features {}
}
locals {
tags = {
Project = "certlabpro-sc-200"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-200-rg"
location = "eastus"
tags = local.tags
}Microsoft Sentinel ist eine Schicht über einem Log Analytics-Arbeitsbereich – es besitzt keine eigene Datenebene. Die Domäne Verwalten einer Microsoft Sentinel-Umgebung des SC-200 betont diese Abhängigkeit: Jede Sentinel-Funktion liest/schreibt aus dem Arbeitsbereich, jeder Datenkonnektor legt Daten darin ab, jede Analyseregel führt KQL dagegen aus.
Wir stellen den Arbeitsbereich mit der PerGB2018 SKU und der Ressource azurerm_sentinel_log_analytics_workspace_onboarding bereit, um Sentinel anzuhängen. Danach würden Sie Datenquellen (Azure Activity, Microsoft Entra ID-Anmeldungen, Defender XDR-Konnektoren) über das Portal verbinden – diese sind oberflächenintensiv und einfacher über die GUI als mit Terraform.
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc200"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
workspace_id = azurerm_log_analytics_workspace.main.id
}Analyseregeln sind die Art und Weise, wie Sentinel rohe Protokollereignisse in Incidents umwandelt. SC-200 testet die Erkennung von Regeltypen: Geplant (KQL-basiert, am häufigsten), Microsoft Incident (leitet Defender XDR-Benachrichtigungen weiter), Anomalie (ML-basiert), Bedrohungsdaten (TI-Abgleich).
Wir erstellen eine geplante Regel mit einer Stub-KQL-Abfrage (alle 5 Minuten, mit Rückblick von 5 Minuten – die SC-200 nahe Echtzeit-Form). Die Abfrage hier ist ein Platzhalter (SecurityEvent | take 1); in der Produktion ist die KQL die eigentliche Logik der Regel – Tests auf unmögliche Reiseanmeldungen, Password-Spray-Muster, ungewöhnliche Privilegieneskalationen usw.
Das Feld tactics ordnet die Regel dem MITRE ATT&CK-Framework zu – erforderlich für die Defender XDR-Integration und für Jagd-Workflows, die nach Taktik pivotieren.
resource "azurerm_sentinel_alert_rule_scheduled" "stub" {
name = "certlabpro-sc-200-stub-rule"
log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
display_name = "Stub rule — lab demonstration"
description = "Sample scheduled analytic rule for the SC-200 lab. Replace KQL with a real hunting pattern."
severity = "Medium"
enabled = true
query = "SecurityEvent | take 1"
query_frequency = "PT5M" # run every 5 minutes
query_period = "PT5M" # look back 5 minutes
trigger_operator = "GreaterThan"
trigger_threshold = 0
tactics = ["InitialAccess"]
techniques = ["T1078"] # Valid Accounts (MITRE ATT&CK)
incident {
create_incident_enabled = true
grouping {
enabled = true
}
}
depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}Automatisierungsregeln sind die SC-200-Grundlage für Konfigurieren Ihrer Microsoft Sentinel-Umgebung für das Incident Management – sie lösen aus, wenn ein Incident erstellt, aktualisiert oder geschlossen wird, und führen eine Reihe von Aktionen aus: den Incident einem Benutzer zuweisen, seine Schwere ändern, Tags hinzufügen oder ein Logic App-Playbook aufrufen.
Wir erstellen eine Regel, die jedes Mal ausgeführt wird, wenn ein Incident erstellt wird. Die Beispielaktion ändert lediglich die Schwere auf „Hoch“ und versieht den Incident mit Tags – in der Produktion würden Sie hier ein Logic App-Playbook aufrufen, das an Teams postet, ein Jira-Ticket erstellt, mit Bedrohungsdaten anreichert oder ein Remediation-Runbook auslöst. SC-200 testet diese ausgelöste Automatisierungs-Form als Standard-L1-SOC-Muster.
resource "azurerm_sentinel_automation_rule" "tag_and_escalate" {
name = "0e84e57b-8b8a-4c8b-a0a8-1d3f3e6f9a01" # GUID required
log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
display_name = "Tag-and-escalate every new incident"
order = 1
enabled = true
triggers_on = "Incidents"
triggers_when = "Created"
action_incident {
order = 1
severity = "High"
}
action_incident {
order = 2
labels = ["lab-auto-tagged"]
}
depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}terraform destroy reißt alles ab. Die Sentinel-Integration wird vom Arbeitsbereich getrennt; der Arbeitsbereich bleibt bestehen, bis er separat zerstört wird (Terraform handhabt beides korrekt). Die Ausführungen der Analyse-Regeln stoppen sofort. Logic App-Playbooks (in diesem Lab nicht bereitgestellt) müssten separat zerstört werden, falls Sie diese hinzugefügt hätten.
SC-200 deckt mehr SecOps-Bereiche ab, als dieses Lab aufnehmen kann – Microsoft Defender for Endpoint (das Endpoint-EDR), Defender for Identity (lokale AD-Bedrohungen), Defender for Office 365 (E-Mail-Fluss-Schutz), Defender for Cloud Apps (CASB), das vollständige Defender XDR Unified Portal, KQL-Jagd in der Tiefe, Microsoft Sentinel-Datenkonnektoren (Azure Activity, M365, AWS CloudTrail, GCP Audit, Drittanbieter-Konnektoren), Sentinel Workbooks für Dashboards, Bedrohungsdatenindikatoren, Watchlists, Benutzer- und Entitätsverhaltensanalysen (UEBA), Notebooks für fortgeschrittene Jagd und Logic App-Playbooks für die Reaktionsorchestrierung.
Wir bleiben bei den Arbeitsbereich + Sentinel + geplante Regel + Automatisierungsregel, weil sie das Substrat sind, auf dem jedes SC-200-Muster aufbaut. Datenkonnektoren landen Daten im Arbeitsbereich; Analyse-Regeln fragen die Daten ab; Automatisierungsregeln reagieren auf Incidents; Playbooks (Logic Apps) erweitern Automatisierungsregeln. Die Basis richtig machen; pro Datenquelle schichten.
Für die oben genannten Bereiche siehe die Abschnitte Durchsuchen, Handbuch und Editorial dieser Zertifizierungsseite.