Microsoft Security Operations Analyst
Zuletzt überprüft: Mai 2026
Eine übersichtliche Referenz der Architekturmuster, die in der SC-200-Prüfung getestet werden. Von oben nach unten lesen oder zu einem Abschnitt springen.
Strenge Anforderungen an die Datenresidenz über mehrere geografische Regionen hinweg.
Stellen Sie mehrere Microsoft Sentinel-Arbeitsbereiche bereit, einen pro Region. Verwenden Sie Azure Lighthouse für die zentralisierte Verwaltung.
Warum: Hält Protokolldaten zur Einhaltung der Vorschriften innerhalb geografischer Grenzen, während ein zentrales SOC über alle Arbeitsbereiche hinweg arbeiten kann.
Sentinel-Arbeitsbereich, der über 100 GB Daten pro Tag aufnimmt.
Wechseln Sie die Preisstufe des Log Analytics-Arbeitsbereichs von Pay-As-You-Go zu Commitment Tiers.
Warum: Commitment Tiers bieten erhebliche Kosteneinsparungen für die Aufnahme großer, vorhersehbarer Datenmengen im Vergleich zu Standardpreisen.
Hohe Protokollvolumina (z.B. Windows-Sicherheitsereignisse) treiben die SIEM-Kosten in die Höhe.
1. Verwenden Sie eine Datenregelsammlung (DCR), um Ereignisse an der Quelle zu filtern. 2. Konfigurieren Sie die Zieltabelle für Basic Logs.
Warum: DCRs reduzieren die Aufnahmekosten, indem sie nur notwendige Ereignisse sammeln. Basic Logs reduzieren die Speicherkosten für ausführliche Daten, die keine vollständige Analyse erfordern.
Compliance erfordert eine Datenaufbewahrung von mehr als 2 Jahren (z.B. 7 Jahre).
Konfigurieren Sie den Arbeitsbereich mit einer interaktiven Aufbewahrung von 90 Tagen und einer Gesamtaufbewahrung von 7 Jahren (Archivstufe).
Warum: Gleicht sofortige Durchsuchbarkeit (interaktiv) mit kostengünstiger, langfristiger Speicherung (Archiv) aus. Greifen Sie über Suchaufträge auf archivierte Daten zu.
Sicherheitsereignisse von lokalen Windows- und Linux-Servern sammeln.
Installieren Sie den Azure Arc-Agent für die Verwaltung und stellen Sie dann den Azure Monitor Agent (AMA) über Arc bereit.
Warum: Arc erweitert die Azure-Steuerungsebene auf lokale Umgebungen und ermöglicht native Verwaltung und Datenerfassung mit dem modernen AMA-Agenten.
Protokolle von Drittanbietergeräten (z.B. Firewalls), die Syslog unterstützen, aufnehmen.
Stellen Sie eine dedizierte Linux-VM als Log Forwarder mit dem AMA bereit. Verwenden Sie das CEF-Format für strukturierte Sicherheitsdaten.
Warum: Zentralisiert die Sammlung für Geräte, die keinen Agenten hosten können. CEF bietet ein normalisiertes, abfragbares Schema für Sicherheitsereignisse.
Vorfälle und Warnungen von Microsoft Defender XDR in Sentinel aufnehmen.
Aktivieren Sie den Microsoft Defender XDR-Datenkonnektor und seine Option zur Vorfallerstellung/bidirektionalen Synchronisierung.
Warum: Erstellt eine einheitliche Vorfallswarteschlange und stellt sicher, dass Statusänderungen zwischen Sentinel und dem Defender-Portal synchronisiert werden.
Bestimmte Windows-Ereignis-IDs an der Quelle filtern, um das Aufnahmeteil zu reduzieren.
Konfigurieren Sie eine Datenregelsammlung (DCR) mit einer XPath-Abfrage, um festzulegen, welche Ereignis-IDs gesammelt werden sollen.
Warum: Reduziert das Aufnahmeteil und die Kosten, indem Daten am Quellagenten gefiltert werden, bevor sie an den Arbeitsbereich gesendet werden.
Die schnellstmögliche Erkennungszeit für kritische Ereignisse benötigen.
Verwenden Sie eine Near Real-Time (NRT)-Analyseregel.
Warum: NRT-Regeln werden jede Minute ausgeführt und bieten eine Erkennungslatenz von ca. 1-2 Minuten, was viel schneller ist als das Minimum von 5 Minuten für geplante Regeln.
Einen Schwellenwert von Ereignissen innerhalb eines bestimmten Zeitfensters erkennen (z.B. Brute-Force-Angriffe).
Erstellen Sie eine geplante Analyseregel mit KQL `summarize ... by bin(TimeGenerated, 5m), ...`.
Warum: Die Funktion `bin()` ist entscheidend für die Gruppierung von Ereignissen in diskrete, nicht überlappende Zeitfenster für eine genaue Schwellenwerterkennung.
Komplexe, mehrstufige Angriffe erkennen, die einzelne Warnungen möglicherweise übersehen.
Aktivieren Sie Fusion-Analyse Regeln für die erweiterte Erkennung mehrstufiger Angriffe.
Warum: Fusion nutzt ML, um Low-Fidelity-Signale über mehrere Datenquellen hinweg zu hochkonfidenten Vorfällen zu korrelieren und so die Alarmmüdigkeit zu reduzieren.
Insider-Bedrohungen oder kompromittierte Konten auf der Grundlage anomalen Verhaltens erkennen.
Aktivieren Sie User and Entity Behavior Analytics (UEBA).
Warum: UEBA etabliert Verhaltensgrundlagen für Benutzer und Entitäten und markiert dann signifikante Abweichungen, die nicht mit spezifischer Regellogik übereinstimmen.
Eine einzelne, quellenunabhängige Analyseregel für mehrere Datenquellen schreiben (z.B. DNS von verschiedenen Anbietern).
Verwenden Sie Advanced Security Information Model (ASIM)-Parser in der KQL-Abfrage.
Warum: ASIM bietet ein normalisiertes Schema, das Abfragen ermöglicht, die gegen eine einheitliche Ansicht (z.B. `imDns`) anstatt gegen mehrere anbieterspezifische Tabellen ausgeführt werden.
Sentinel-Inhalte (Analyse Regeln, Arbeitsmappen) als Code verwalten und über Umgebungen hinweg bereitstellen.
Verwenden Sie Microsoft Sentinel-Repositorys, um ein GitHub- oder Azure DevOps-Repository zu verbinden.
Warum: Ermöglicht CI/CD-Workflows, Versionskontrolle und die automatisierte, konsistente Bereitstellung von Sicherheitsinhalten (Sentinel-as-Code).
Grundlegende Aufgaben der Vorfalls-Triage automatisieren, wie das Zuweisen von Verantwortlichen, das Ändern des Status oder das Hinzufügen von Tags.
Verwenden Sie eine Automatisierungsregel, die bei der Erstellung eines Vorfalls ausgelöst wird.
Warum: Automatisierungsregeln sind schlank und synchron, ideal für einfache Triage-Aktionen ohne den Overhead einer Logic App.
Komplexe Vorfallreaktionen automatisieren, die externe Systeme betreffen (z.B. Benutzer in Entra ID blockieren, Teams-Nachricht senden).
Erstellen Sie ein Playbook (Azure Logic App) und lösen Sie es über eine Automatisierungsregel aus.
Warum: Logic Apps bieten die Orchestrierungs-Engine und Konnektoren, die für komplexe, mehrstufige Antworten und Integrationen benötigt werden.
Den Umfang eines Angriffs verstehen, indem Beziehungen zwischen Entitäten (Benutzer, IPs, Hosts) visualisiert werden.
Verwenden Sie den Untersuchungsdiagramm auf der Seite mit den Vorfalldetails.
Warum: Bietet eine interaktive Karte des Angriffs, die es einfach macht, Verbindungen zu sehen und zwischen verwandten Entitäten und Warnungen zu wechseln.
Häufige Untersuchungsworkflows für das SOC-Team standardisieren und beschleunigen.
Erstellen und teilen Sie ein Promptbook in Microsoft Security Copilot.
Warum: Promptbooks verketten eine Reihe von natürlichen Sprachaufforderungen, um einen geführten, wiederholbaren Untersuchungsprozess für gängige Szenarien zu erstellen.
Sicherheitsberechtigungen für alle Microsoft Defender-Produkte zentral verwalten.
Aktivieren Sie das einheitliche RBAC-Modell von Microsoft Defender XDR.
Warum: Ersetzt individuelle produktspezifische Rollen durch ein einziges, granulareres Berechtigungsmodell und vereinfacht so die Verwaltung.
Geräte oder Dateien automatisch isolieren oder beheben basierend auf der Schwere des Alarms.
Konfigurieren Sie Einstellungen für automatisierte Untersuchungen für Gerätegruppen, indem Sie den Automatisierungsgrad auf 'Voll' oder 'Semi' festlegen.
Warum: Ermöglicht eine automatische Behebung gängiger Bedrohungen. Gerätegruppen ermöglichen unterschiedliche Automatisierungsgrade für Workstations im Vergleich zu kritischen Servern.
Einen bekannten bösartigen Dateihash, eine IP-Adresse oder URL sofort auf allen Endpunkten blockieren.
Erstellen Sie einen Indikator für Kompromittierung (IoC) mit der Aktion "Blockieren und Beheben".
Warum: Bietet einen schnellen, unternehmensweiten Eindämmungsmechanismus, der schneller ist als das Warten auf AV-Signatur-Updates.
Endpunkte härten, indem gängige Angriffstechniken blockiert werden (z.B. Office erstellt untergeordnete Prozesse).
Stellen Sie Attack Surface Reduction (ASR)-Regeln bereit, beginnend im 'Überwachungs'-Modus, um die Auswirkungen zu bewerten, bevor Sie auf 'Blockieren' umstellen.
Warum: ASR-Regeln sind eine wichtige präventive Kontrolle. Der Überwachungsmodus ist entscheidend, um Störungen von Geschäftsanwendungen während der Einführung zu verhindern.
Eine tiefgehende forensische Untersuchung oder manuelle Behebung auf einem aktiven Endpunkt durchführen.
Verwenden Sie die Live Response-Funktion, um eine Remote-Shell herzustellen und forensische Pakete zu sammeln.
Warum: Bietet direkten Echtzeitzugriff auf das Gerät zum Ausführen von Befehlen, Sammeln von Dateien und Ausführen forensischer Skripte.
Die Aktionen eines Angreifers auf einem bestimmten kompromittierten Gerät rekonstruieren.
Analysieren Sie die Geräte-Timeline.
Warum: Bietet ein detailliertes, chronologisches Ereignisprotokoll aller Prozess-, Netzwerk-, Datei- und Registrierungsaktivitäten auf dem Endpunkt.
Erkennen von Anmeldeinformationsdiebstahl und Lateral-Movement-Techniken wie Pass-the-Hash/Ticket.
Stellen Sie Microsoft Defender for Identity-Sensoren auf allen Domänencontrollern bereit.
Warum: Defender for Identity überwacht den lokalen AD-Authentifizierungsverkehr direkt und liefert hochpräzise Warnungen für identitätsbasierte Angriffe.
Benutzer vor Zero-Day-Malware schützen, die in E-Mail-Anhängen eingebettet ist.
Konfigurieren Sie eine Safe Attachments-Richtlinie mit der Option Dynamic Delivery.
Warum: Detoniert Anhänge in einer Sandbox, um auf bösartiges Verhalten zu prüfen, während der E-Mail-Text sofort zugestellt wird, wodurch Sicherheit und Produktivität in Einklang gebracht werden.
Alle Instanzen einer Phishing-E-Mail aus Benutzerpostfächern finden und entfernen.
Verwenden Sie Threat Explorer (oder Advanced Hunting), um nach der E-Mail zu suchen und eine Soft- oder Hard-Delete-Aktion auszuführen.
Warum: Threat Explorer ist ein leistungsstarkes Such- und Abhilfetool, um aktive Bedrohungen unternehmensweit aus dem Mailsystem zu entfernen.
Datenexfiltration verhindern, indem das Herunterladen sensibler Dateien auf nicht verwaltete (nicht konforme) Geräte blockiert wird.
Konfigurieren Sie eine Defender for Cloud Apps-Sitzungsrichtlinie mithilfe der App-Zugriffssteuerung für bedingten Zugriff.
Warum: Fungiert als Reverse-Proxy zur Echtzeit-Überprüfung und -Kontrolle von Benutzeraktivitäten innerhalb einer Cloud-App-Sitzung, um Datenzugriffsrichtlinien durchzusetzen.
Einen weit verbreiteten, aktiven Angriff wie von Menschen betriebene Ransomware automatisch eindämmen.
Aktivieren Sie die automatische Angriffsunterbrechung in Microsoft Defender XDR.
Warum: Verwendet domänenübergreifende Signale (XDR), um mit Maschinengeschwindigkeit entscheidende Maßnahmen zu ergreifen, z.B. kompromittierte Benutzerkonten zu deaktivieren und Geräte zu isolieren.
Proaktiv nach Bedrohungen in allen XDR-Daten (Endpunkt, E-Mail, Identität, Cloud-Apps) suchen.
Verwenden Sie Advanced Hunting mit Kusto Query Language (KQL).
Warum: Bietet eine leistungsstarke, abfragebasierte Schnittstelle zum Durchsuchen von 30 Tagen Roh-Telemetriedaten, was die Entdeckung von Bedrohungen ermöglicht, die Standarderkennungen umgehen.
Den vollständigen Umfang eines komplexen Vorfalls mit mehreren Warnungen und Entitäten schnell verstehen.
Analysieren Sie die Angriffsgeschichte oder das Untersuchungsdiagramm des Vorfalls.
Warum: Konsolidiert und visualisiert die gesamte Angriffskette und zeigt, wie ein Angreifer sich von einem anfänglichen Einstiegspunkt über verschiedene Assets bewegt hat.
Defender for Cloud Workload-Schutz auf lokale und Multi-Cloud-Server erweitern.
Fügen Sie die Server mit Azure Arc hinzu und aktivieren Sie dann den Defender for Servers-Plan.
Warum: Azure Arc fungiert als Brücke zur Steuerungsebene, indem es Nicht-Azure-Ressourcen in Azure projiziert, damit sie von Defender for Cloud verwaltet und gesichert werden können.
Den Zweck und die potenzielle Bösartigkeit eines komplexen Skripts (z.B. PowerShell) schnell verstehen.
Fügen Sie das Skript in Security Copilot ein und fordern Sie eine Analyse seiner Funktion und seines Risikos an.
Warum: Nutzt generative KI, um Code zu de-obfuszieren und zu erklären, was die Artefaktanalyse erheblich beschleunigt, ohne das Skript auszuführen.
Ein kompromittiertes Benutzerkonto, das aus dem lokalen AD synchronisiert wird, sofort eindämmen.
Deaktivieren Sie das Konto im lokalen Active Directory und lösen Sie dann eine sofortige AD Connect-Synchronisierung aus.
Warum: Bei synchronisierten Identitäten ist das lokale AD die maßgebliche Quelle. Das Deaktivieren des Kontos dort ist die effektivste Eindämmungsmaßnahme.
Externe Bedrohungsdaten von einem TIP unter Verwendung eines Industriestandardprotokolls aufnehmen.
Verwenden Sie den Datenkonnektor "Threat Intelligence - TAXII" in Sentinel.
Warum: Stellt eine Verbindung zu TAXII 2.x-Servern her, um STIX-formatierte Indikatoren automatisch zu importieren und Bedrohungsdaten zu operationalisieren.
Bekannte Bedrohungsindikatoren (IPs, Domänen, Hashes) mit allen aufgenommenen Protokollquellen korrelieren.
Indikatoren in die ThreatIntelligenceIndicator-Tabelle aufnehmen und die integrierten Analyse regeln "TI map..." aktivieren.
Warum: Diese Regeln gleichen Bedrohungsdaten effizient mit normalisierten Entitätsfeldern in Protokollen ab, um Warnungen vor bekannter bösartiger Aktivität zu generieren.
Eine benutzerdefinierte Liste von Indikatoren (z.B. IPs von Geschäftspartnern, beendete Mitarbeiterkonten) für Warnungen oder Anreicherung verwenden.
Erstellen Sie eine Beobachtungsliste und verknüpfen Sie diese mit Daten in KQL-Abfragen.
Warum: Beobachtungslisten fungieren als einfacher Schlüssel-Wert-Speicher für benutzerdefinierte Daten, die leicht in Abfragen für die Erkennungslogik oder zur Reduzierung von Fehlalarmen verwendet werden können.
Eine erfolgreiche KQL-Jagdabfrage muss für die automatische Erkennung gespeichert und operationalisiert werden.
1. Speichern Sie die Abfrage im Hunting-Blade. 2. Promoten Sie die Jagdabfrage zu einer geplanten Analyse regel.
Warum: Formalisiert den Übergang von der Ad-hoc-Entdeckung (Jagd) zur automatisierten, wiederholbaren Erkennung (Analyse regel).
Erkennungsabdeckung bewerten und Lücken basierend auf dem MITRE ATT&CK-Framework identifizieren.
Verwenden Sie das MITRE ATT&CK-Blade in Sentinel. Markieren Sie Analyse regeln mit relevanten Taktiken/Techniken.
Warum: Bietet eine visuelle Heatmap der Erkennungsfunktionen, die dem Industriestandard-Framework zugeordnet sind und das Detection Engineering leitet.
Interessante Ergebnisse oder Beweismittel, die während einer Jagd gefunden wurden, für spätere Nachverfolgung aufbewahren.
Erstellen Sie ein Hunting-Lesezeichen aus den KQL-Abfrageergebnissen.
Warum: Erfasst die Abfrage, Ergebnisse und den Entitätskontext, sodass ein Analyst Erkenntnisse speichern kann, ohne sofort einen vollständigen Vorfall zu erstellen.
