Microsoft Azure Security Engineer Associate
225 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
AZ-500 valida las habilidades diarias de un ingeniero de seguridad de Azure: gestionar la identidad y el acceso a través de Microsoft Entra, proteger redes, fortalecer recursos de cómputo / almacenamiento / bases de datos, y ejecutar operaciones de seguridad con Microsoft Defender for Cloud y Microsoft Sentinel. La audiencia son ingenieros de seguridad en activo y administradores de Azure especializados en seguridad. El examen está centrado en la implementación —más cercano en estilo a AZ-104 que a los exámenes de diseño de nivel experto— con 40–60 preguntas en 120 minutos, incluyendo arrastrar y soltar, áreas interactivas, respuesta múltiple, y al menos un estudio de caso con elementos basados en escenarios que recompensan la experiencia práctica en el portal.
El dominio más grande con un 27%. Microsoft Entra ID (usuarios, grupos, MFA, Acceso condicional, PIM, Protección de identidad, B2B / B2C), aplicaciones empresariales, registros de aplicaciones, RBAC y roles personalizados. Espere escenarios intensivos de Acceso condicional.
Aproximadamente el 23%. NSGs, ASGs, Azure Firewall, Web Application Firewall en Front Door / Application Gateway, DDoS Protection, Private Endpoints / Private Link, Service Endpoints y Bastion. Gran énfasis en escenarios de flujo de tráfico.
Aproximadamente el 22%. Reforzamiento de VM, Azure Disk Encryption, Microsoft Defender for Servers, seguridad de contenedores, seguridad de cuentas de almacenamiento (firewalls, SAS, cifrado, inmutabilidad), Key Vault y seguridad de Azure SQL (TDE, Always Encrypted, RLS).
Aproximadamente el 28%. Microsoft Defender for Cloud (CSPM, CWPP, cumplimiento normativo), Microsoft Sentinel (conectores de datos, reglas de análisis, libros de trabajo, búsqueda KQL, automatización), Azure Policy para seguridad, y alertas de seguridad e respuesta a incidentes integradas.
Servicios que encontrarás en el examen y por qué cada uno importa.
Directorio de identidad en la nube con usuarios, grupos, registros de aplicaciones, políticas de Acceso Condicional, MFA y Privileged Identity Management (PIM) para elevación justo a tiempo.
Por qué está en el examen: El Dominio 1 (Administrar identidad y acceso) se basa en Entra ID — el Acceso Condicional, la aplicación de MFA y la activación de PIM son los temas más examinados.
Detección de amenazas de identidad basada en riesgos — las señales de riesgo de inicio de sesión, riesgo de usuario y viajes atípicos alimentan las políticas de Acceso Condicional para desafíos y bloqueos adaptativos.
Por qué está en el examen: Las preguntas del Dominio 1 sobre cómo responder a credenciales comprometidas e inicios de sesión riesgosos nombran a ID Protection como la fuente de señales nativa de Azure.
CSPM + CWPP nativo de la nube — Secure Score, paneles de cumplimiento normativo, recomendaciones y planes de Defender para servidores, almacenamiento, SQL, contenedores, App Service y DNS.
Por qué está en el examen: El Dominio 4 (Administrar operaciones de seguridad) nombra a Defender for Cloud como el panel único para la gestión de la postura y la protección de cargas de trabajo en todas las suscripciones.
SIEM y SOAR nativos de la nube — conectores de datos, reglas de análisis (impulsadas por KQL), análisis de comportamiento de entidades (UEBA), playbooks (Logic Apps) y triaje de incidentes.
Por qué está en el examen: El Dominio 4 evalúa Sentinel como el SIEM de AZ-500 — la configuración de conectores, la creación de reglas de análisis y la automatización de playbooks aparecen en casi todos los formularios del examen.
Portal XDR unificado que correlaciona señales de Defender for Endpoint, Identity, Office 365 y Cloud Apps en incidentes entre dominios e investigaciones automatizadas.
Por qué está en el examen: El Dominio 4 (Administrar operaciones de seguridad) distingue Defender XDR (correlación entre productos) de Sentinel (SIEM) — conocer el límite se evalúa repetidamente.
Firewall de estado gestionado de Capa-3/4/7 con filtrado FQDN, fuentes de inteligencia de amenazas, inspección TLS (Premium), IDPS y gestión centralizada de reglas a través de la Política de Firewall.
Por qué está en el examen: El Dominio 2 (Redes seguras) nombra a Azure Firewall como el plano de inspección de egreso/ingreso en topologías hub-spoke y Virtual WAN.
WAF de Capa-7 desplegado en Application Gateway o Front Door con conjuntos de reglas OWASP Core, reglas personalizadas, protección contra bots y modos de detección/prevención por política.
Por qué está en el examen: Las preguntas del Dominio 2 + Dominio 3 sobre la protección de endpoints web públicos contra inyección, scraping y DDoS de Capa 7 nombran a WAF como la defensa perimetral nativa de Azure.
EDR/EPP para Windows, macOS, Linux, iOS, Android — reducción de la superficie de ataque, investigación y remediación automatizadas, gestión de vulnerabilidades y búsqueda de amenazas.
Por qué está en el examen: El Dominio 3 (Seguridad de cómputo) y el Dominio 4 presentan MDE como la defensa a nivel de carga de trabajo que alimenta a Defender for Cloud y Defender XDR con señales de endpoint.
DDoS de plataforma siempre activa (gratuito) más SKU de Network y IP Protection que añaden telemetría de capa de aplicación, garantías de protección de costos y acceso SRT de respuesta rápida.
Por qué está en el examen: El Dominio 2 distingue el nivel gratuito siempre activo de la protección de red/IP de pago — un escenario recurrente en el examen sobre el endurecimiento de cargas de trabajo orientadas al público.
Jumpbox gestionado que intermedia RDP/SSH a VMs a través del portal o cliente nativo sin exponer IPs públicas ni abrir reglas de NSG de entrada.
Por qué está en el examen: Los escenarios de acceso seguro del Dominio 2 + Dominio 3 nombran a Bastion como la respuesta para la administración de VMs sin infraestructura de jumpbox o IPs públicas.
Acceso IP privado a PaaS de Azure (Storage, SQL, Key Vault, etc.) y servicios de socios a través de la red troncal de Microsoft, eliminando la exposición a internet pública.
Por qué está en el examen: Los Dominios 2 + Dominio 3 evalúan Private Endpoint como el patrón canónico para eliminar endpoints públicos de PaaS mientras se conserva la funcionalidad del servicio.
ACLs de estado de Capa-3/4 en el ámbito de subred o NIC con reglas de permitir/denegar ordenadas por prioridad, grupos de seguridad de aplicaciones (ASGs) y logs de flujo de NSG para análisis forense.
Por qué está en el examen: El Dominio 2 (Redes seguras) evalúa la precedencia de las reglas de NSG, la segmentación basada en ASG y la captura de logs de flujo para la auditoría de tráfico en casi todos los formularios.
Planes de protección a nivel de carga de trabajo en Defender for Cloud — Defender for Servers (integración de MDE), Storage (escaneo de malware), SQL (detección de vulnerabilidades + amenazas), Containers (runtime compatible con Kubernetes).
Por qué está en el examen: El Dominio 3 (Seguridad de cómputo, almacenamiento y bases de datos) se trata en gran medida de elegir el plan de Defender correcto por nivel de carga de trabajo y ajustar sus alertas.
Detección de amenazas en AD local — señales de pass-the-hash, pass-the-ticket, golden ticket, reconocimiento y movimiento lateral del tráfico del controlador de dominio.
Por qué está en el examen: Las preguntas del Dominio 1 + Dominio 4 sobre la detección de compromiso de identidad híbrida citan a Defender for Identity como el sensor de amenazas compatible con AD que alimenta a Defender XDR.
Etiquetas de sensibilidad, cifrado y políticas de prevención de pérdida de datos en Microsoft 365, Endpoint DLP y fuentes de datos de Azure — descubrimiento, clasificación y aplicación.
Por qué está en el examen: El Dominio 3 (Seguridad de cómputo, almacenamiento y bases de datos) nombra a Purview IP + DLP como la capa de clasificación de datos y protección en reposo/en movimiento para contenido sensible.
Registro gestionado con escaneo de imágenes de Defender for Containers, confianza de contenido, políticas de retención y geo-replicación para rutas de extracción multi-región.
Por qué está en el examen: Los escenarios de contenedores del Dominio 3 nombran a ACR con escaneo de Defender como la respuesta de cadena de suministro segura para la distribución de imágenes de Kubernetes/AKS.
Almacén gestionado para secretos, certificados y claves respaldadas por software o HSM con RBAC integrado con Entra, eliminación suave, protección de purga y flujos BYOK/HYOK.
Por qué está en el examen: El Dominio 3 (Seguridad de cómputo, almacenamiento y bases de datos) evalúa Key Vault para la custodia de claves de cifrado TDE de cuentas de almacenamiento/bases de datos y patrones de claves administradas por el cliente (CMK).
Gobernanza declarativa con efectos deny/audit/deployIfNotExists, paquetes de iniciativas (ej. CIS, ISO 27001, NIST 800-53) y Blueprints para líneas base de entornos.
Por qué está en el examen: El Dominio 4 (Administrar operaciones de seguridad) nombra a Azure Policy como el mecanismo de aplicación para líneas base de seguridad, requisitos de cifrado y etiquetado a escala.
Agente de seguridad de acceso a la nube (CASB) — descubrimiento de shadow IT, gestión de la postura de SaaS, controles de sesión a través de Conditional Access App Control e integración de protección de la información.
Por qué está en el examen: El Dominio 1 + Dominio 4 citan a Defender for Cloud Apps para la gobernanza del lado de SaaS — descubriendo aplicaciones no autorizadas y aplicando políticas de sesión en tiempo real en Microsoft 365 / SaaS conectado.
Telemetría unificada — logs de actividad, configuraciones de diagnóstico, métricas y workspaces de Log Analytics consultados a través de KQL; el sustrato al que ingieren Sentinel y Defender for Cloud.
Por qué está en el examen: El Dominio 4 (Administrar operaciones de seguridad) se apoya en Azure Monitor para el enrutamiento de configuraciones de diagnóstico a un workspace central y en consultas KQL que alimentan las reglas de análisis de Sentinel.
$110k–$150k–$205k USD anual
El rango cubre ingenieros de seguridad en la nube de nivel medio a senior con sede en EE. UU. donde se requiere dominio de Azure. Los ingenieros senior de seguridad en la nube en FAANG / fintech / industrias reguladas a menudo superan los $230k de compensación total. La certificación es una señal de selección; la experiencia en respuesta a incidentes de seguridad en producción impulsa el extremo superior.
Fuente: roles de ingeniero de seguridad en la nube / IAM de levels.fyi 2025, U.S. BLS OEWS May 2024 (15-1212 analistas de seguridad de la información), Glassdoor 2025. Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
AZ-500 es la certificación de seguridad de Azure más solicitada en descripciones de puestos (JDs) y uno de los exámenes de seguridad de Microsoft de mayor volumen en general. La demanda se ha acelerado entre 2024 y 2026 a medida que las empresas consolidan sus herramientas de seguridad en Microsoft Defender for Cloud y Microsoft Sentinel. Los reclutadores de servicios financieros, atención médica, contratistas gubernamentales y consultorías asociadas a Microsoft la consideran la prueba canónica de competencia en seguridad de Azure. Combina naturalmente con AZ-104 (la combinación más común para administradores orientados a la seguridad), con AZ-305 para arquitectos orientados a la seguridad, con AZ-700 para ingenieros de seguridad de redes, y con SC-200 (Security Operations Analyst) y SC-100 (Cybersecurity Architect) para completar el portafolio de seguridad de Microsoft.
No hay requisitos previos formales. Microsoft recomienda uno o dos años de experiencia en administración de Azure, además de conocimientos prácticos de los principios de identidad, redes y seguridad. AZ-104 es muy complementario —muchas preguntas de AZ-500 asumen un dominio de Microsoft Entra, RBAC y redes centrales a nivel de administrador de Azure. SC-900 es un punto de partida conceptual útil para candidatos nuevos en la seguridad de Microsoft, pero no es obligatorio.
La ruta oficial de Microsoft Learn cubre los cuatro dominios en aproximadamente 35–45 horas. El tiempo de laboratorio práctico es esencialmente requerido: una suscripción personal de Azure con una prueba de Microsoft Entra P2, Microsoft Defender for Cloud habilitado, y un pequeño espacio de trabajo de Sentinel permite a los candidatos practicar Acceso condicional, PIM, alertas de seguridad y consultas de búsqueda KQL. Muchos candidatos complementan con la evaluación práctica oficial más un curso de video de terceros.
AZ-500 se encuentra en el nivel Asociado y es ampliamente considerado de dificultad moderada a alta —comparable a AZ-204 en dificultad, más difícil que AZ-104 por un margen significativo dada la profundidad del contenido de Microsoft Entra y Sentinel. Planifique 80–120 horas de estudio durante 8–12 semanas con experiencia previa como administrador de Azure; sustancialmente más tiempo sin esa experiencia. El examen dura aproximadamente 120 minutos —más largo que la mayoría de los exámenes de asociado— con 40–60 preguntas en formatos de opción múltiple, respuesta múltiple, arrastrar y soltar, áreas interactivas y estudio de caso.
El obstáculo más común es la amplitud de las características avanzadas de Microsoft Entra —Acceso condicional, PIM, Protección de identidad, Gestión de derechos y Revisiones de acceso tienen cada una superficies de configuración distintas y el examen evalúa sutiles diferencias de escenario. Las consultas de búsqueda KQL de Microsoft Sentinel y la configuración de reglas de análisis también sorprenden con frecuencia a los candidatos cuya única experiencia en Azure es administrativa.
Actualización más reciente de las habilidades medidas. Se expandió la cobertura de CSPM de Microsoft Defender for Cloud, se agregó contenido de Microsoft Defender for Containers y DevOps, y se modernizó el marco de automatización de Sentinel. Microsoft actualiza AZ-500 aproximadamente cada 12–18 meses sin cambiar el código del examen.
Reestructurado en el diseño actual de cuatro dominios, reequilibrado hacia las operaciones de seguridad, se renombraron las referencias de Azure AD a Microsoft Entra ID y se integraron los conceptos unificados de Microsoft Defender XDR.
Lanzamiento GA inicial. El esquema original se centró en Azure AD, grupos de seguridad de red, Azure Security Center y Azure Sentinel (en vista previa en ese momento).
AZ-500 (Microsoft Azure Security Engineer Associate) es un examen de nivel Associate un examen de dificultad moderada que espera experiencia práctica y una sólida comprensión de las mejores prácticas. La mayoría de los candidatos necesitan entre 80 y 150 horas de estudio distribuidas en 6 a 12 semanas para los exámenes de nivel asociado. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 80 y 150 horas de estudio distribuidas en 6 a 12 semanas para los exámenes de nivel asociado. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
AZ-500 es una credencial reconocida en el ecosistema de Azure y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con Azure a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para AZ-500 es 700 / 1000. El examen contiene 50 preguntas y dura 2 h.
La tarifa del examen AZ-500 es de $165 USD. Las tarifas son establecidas por Azure y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de Azure antes de reservar.
Las certificaciones basadas en roles de Microsoft expiran después de 1 año, pero pueden renovarse de forma gratuita a través de una evaluación en línea sin supervisión en Microsoft Learn, a partir de 6 meses antes de la caducidad.
Sí. Puedes realizar el examen en línea (supervisado a través del navegador seguro del proveedor, disponible 24/7 en la mayoría de las regiones) o en un centro de examen presencial de Pearson VUE durante el horario comercial. Ambos formatos utilizan las mismas preguntas, límite de tiempo y puntuación de aprobación.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para AZ-500. El modo de simulación de examen reproduce el examen real: 50 preguntas en 2 h, con el mismo umbral de aprobación de 700 / 1000. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.