Microsoft Security Operations Analyst
225 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
Microsoft Security Operations Analyst (SC-200) es un examen basado en roles de nivel asociado que valida habilidades prácticas para analistas de SOC que cazan amenazas, clasifican alertas y responden a incidentes utilizando Microsoft Sentinel, Microsoft Defender XDR y Microsoft Defender for Cloud. La audiencia son analistas de SOC e interventores de incidentes en activo —no generalistas— y el examen lo refleja con preguntas muy centradas en escenarios sobre consultas KQL, reglas de análisis, manuales de automatización, reducción de la superficie de ataque e investigación entre productos a través de cargas de trabajo de punto final, identidad, correo electrónico y la nube. SC-200 es la credencial estándar del stack de Microsoft para analistas de Nivel 1-2 y se enumera cada vez más como preferida o requerida en las ofertas de empleo de SOC empresariales.
Configuración de Microsoft Sentinel (espacios de trabajo, conectores de datos, listas de seguimiento, inteligencia de amenazas) y Defender XDR (acceso basado en roles, configuración de alertas e incidentes, detecciones personalizadas). Aproximadamente el 25% del examen. Espere detalles específicos sobre qué conector ingiere qué datos y cómo Sentinel y Defender XDR se integran a través del portal unificado.
Ajuste de detecciones en Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps y Defender for Cloud. Reglas de análisis personalizadas en Sentinel (programadas, NRT, Fusion, basadas en ML). Alrededor del 20% del examen, el dominio con mayor carga de KQL.
El dominio más grande (30%). Clasificación e investigación a través de Defender XDR y Sentinel, automatización con manuales (Logic Apps), Microsoft Security Copilot para flujos de trabajo de SOC y el ciclo de vida completo del incidente, desde la correlación de alertas hasta el cierre y la revisión posterior al incidente.
Caza de amenazas con KQL a través del esquema de caza avanzada, cazas proactivas utilizando consultas y marcadores integrados, mapeo MITRE ATT&CK e integración de inteligencia de amenazas. Aproximadamente el 25% del examen.
Servicios que encontrarás en el examen y por qué cada uno importa.
SIEM y SOAR nativo de la nube construido sobre Azure que ingiere telemetría de todo el patrimonio, busca amenazas con KQL y orquesta la respuesta mediante reglas de automatización y playbooks.
Por qué está en el examen: El Dominio 1 (Administrar un entorno de operaciones de seguridad) se basa en Sentinel como SIEM/SOAR; espere preguntas sobre conectores de datos, workspaces y centros de contenido.
Suite de defensa unificada pre y post-brecha que correlaciona señales entre endpoints, identidades, correo electrónico, aplicaciones en la nube y datos en una única cola y grafo de incidentes.
Por qué está en el examen: El Dominio 3 (Gestionar la respuesta a incidentes) se basa en Defender XDR como la superficie de investigación de incidentes entre cargas de trabajo, incluyendo la fusión de incidentes, la evidencia y la búsqueda en el grafo.
EDR empresarial con reducción de la superficie de ataque, antimalware de próxima generación, investigación automatizada, respuesta en vivo y búsqueda avanzada en Windows, macOS, Linux, iOS, Android.
Por qué está en el examen: El Dominio 4 (Gestionar amenazas de seguridad) nombra a Defender for Endpoint como la capa EDR para la detección de amenazas residentes en dispositivos, el aislamiento y la recopilación forense.
CNAPP que proporciona gestión de la postura de seguridad (CSPM) y protección de cargas de trabajo (CWP) en Azure, AWS y GCP, mostrando recomendaciones y alertas en tiempo de ejecución en Defender XDR.
Por qué está en el examen: El Dominio 2 (Configurar protecciones y detecciones) prueba la habilitación del plan CWP y la remediación de CSPM; Defender for Cloud es el control nombrado para las alertas de cargas de trabajo multinube.
Protección para buzones de correo de Microsoft 365, Teams, SharePoint y OneDrive contra phishing, BEC y archivos adjuntos maliciosos a través de Safe Links, Safe Attachments y Attack Simulation Training.
Por qué está en el examen: El Dominio 2 + Dominio 4 cubren las amenazas de correo electrónico/colaboración; Defender for Office 365 proporciona las consultas de Threat Explorer y los controles de políticas que los analistas SOC clasifican.
Detección de amenazas en Active Directory local que revela reconocimiento, movimiento lateral, abuso de Kerberos y dominio de la infraestructura a partir del tráfico del controlador de dominio.
Por qué está en el examen: El Dominio 4 cubre las amenazas de identidad híbrida; Defender for Identity es la capa de detección nombrada y centrada en AD que alimenta incidentes a Defender XDR.
Corredor de seguridad de acceso a la nube (CASB) que descubre shadow IT, aplica controles de sesión a través de proxy inverso y protege el SaaS sancionado con conectores API y motores de políticas.
Por qué está en el examen: El Dominio 2 enmarca escenarios de amenazas SaaS; Defender for Cloud Apps es el control nombrado para el descubrimiento de shadow IT y el Control de aplicaciones de acceso condicional.
Supervisión de red OT/IoT sin agente (anteriormente CyberX) más agentes de fabricantes de dispositivos que detectan comportamientos anómalos en segmentos IoT industriales y empresariales.
Por qué está en el examen: El Dominio 4 cubre escenarios de amenazas OT/IoT; Defender for IoT es la plataforma nombrada para la visibilidad del modelo Purdue y las detecciones conscientes de ICS.
Lenguaje de consulta de solo lectura para Log Analytics, Sentinel y Defender advanced hunting; sintaxis de pipe-and-filter sobre tablas de eventos esquematizadas para investigación ad-hoc y programada.
Por qué está en el examen: Cada dominio asume fluidez en KQL; la investigación de incidentes del Dominio 3 y la búsqueda de amenazas del Dominio 4 esperan que los candidatos lean y elaboren consultas KQL.
Tipos de reglas programadas, NRT, de Microsoft, de comportamiento de ML y Fusion que convierten consultas KQL y plantillas integradas en alertas e incidentes dentro de Sentinel.
Por qué está en el examen: El Dominio 2 prueba explícitamente los tipos de reglas de análisis, el ajuste de la gravedad y la lógica de agrupación de incidentes al configurar las detecciones.
Flujos de trabajo de Logic Apps desencadenados por incidentes, alertas o acciones de analistas, que automatizan el enriquecimiento, la creación de tickets, la deshabilitación de cuentas y la contención de hosts.
Por qué está en el examen: El Dominio 3 cubre la automatización SOAR; los Playbooks son la respuesta nombrada para la respuesta automatizada y las aprobaciones con intervención humana vinculadas a las reglas de automatización.
Paneles personalizables construidos sobre Azure Monitor Workbooks que visualizan datos de Sentinel, cobertura MITRE y KPI de analistas en uno o muchos workspaces.
Por qué está en el examen: El Dominio 1 prueba los informes del SOC y la visualización de la cobertura MITRE; los Workbooks proporcionan la superficie de telemetría nombrada para los informes a nivel de analista y líder.
Datos de referencia seleccionados (usuarios VIP, empleados despedidos, feeds de IOC, niveles de activos) unidos en reglas de análisis y consultas de hunting a través del operador KQL _GetWatchlist.
Por qué está en el examen: El Dominio 2 cita las Watchlists al acotar las detecciones a activos específicos o excluir el ruido de las reglas base.
Portal de inteligencia de amenazas (anteriormente RiskIQ) que mapea la infraestructura, los indicadores y los artículos de los adversarios en Defender XDR y Sentinel a través de conectores de TI.
Por qué está en el examen: El Dominio 4 prueba la ingesta de IOC y la atribución de adversarios; Defender TI es la fuente nombrada para los feeds de indicadores curados y los perfiles de actores de amenazas.
Descubre continuamente activos expuestos a internet (dominios, hosts, certificados, bloques IP) atribuibles a la organización y muestra riesgos observables externamente.
Por qué está en el examen: El Dominio 4 cubre escenarios de superficie de ataque externa; Defender EASM es la herramienta nombrada para el descubrimiento de activos en la sombra más allá del patrimonio gestionado.
Evaluación de vulnerabilidades basada en riesgos para los entornos de Defender for Endpoint, con inventario de CVE, puntuación de línea base de seguridad, inventario de software y flujos de trabajo de solicitud de remediación.
Por qué está en el examen: El Dominio 4 enmarca la priorización de vulnerabilidades y el seguimiento de la remediación; Defender VM es la carga de trabajo nombrada integrada con Intune para la gestión de tickets.
Proveedor de identidad en la nube que autentica usuarios y cargas de trabajo y emite las señales de inicio de sesión, auditoría y protección de identidad que Sentinel y Defender XDR correlacionan durante los incidentes.
Por qué está en el examen: El alcance de los incidentes del Dominio 3 pivota repetidamente en las señales de usuario, inicio de sesión y riesgo de Entra ID; los analistas necesitan leer esos logs y aplicar acciones de contención como el restablecimiento de contraseña o la revocación de sesiones.
Pipeline de telemetría y workspace de Log Analytics respaldado por KQL sobre el cual se ejecuta Sentinel; las reglas de recopilación de datos, los logs personalizados y las políticas de retención fluyen a través de esta capa.
Por qué está en el examen: El Dominio 1 evalúa la arquitectura del workspace, la ingesta de logs y la residencia de datos; los ajustes específicos de Sentinel se basan en los fundamentos de Azure Monitor / Log Analytics.
Plano de gestión entre tenants que permite a un MSSP o SOC central gestionar workspaces de Sentinel, Defender for Cloud y recursos de Azure en tenants de clientes con RBAC delegado.
Por qué está en el examen: El Dominio 1 cubre escenarios de SOC multi-tenant; Lighthouse es la plataforma nombrada para el acceso a Sentinel entre tenants al estilo MSSP.
Motor de postura de cumplimiento incorporado en Defender for Cloud que mapea recomendaciones a frameworks (CIS, ISO 27001, NIST 800-53, PCI DSS) y rastrea la remediación a lo largo del tiempo.
Por qué está en el examen: El Dominio 1 muestra la postura de cumplimiento como una responsabilidad del gerente de SOC; Defender for Cloud Regulatory Compliance es el panel nombrado que los analistas y líderes consultan.
$85k–$120k–$165k USD anual
El rango cubre roles de analista de SOC, ingeniería de detección y roles centrados en Sentinel en EE. UU. Los analistas de Nivel 1 y los mercados no costeros tienden a ser más bajos; los ingenieros de detección sénior y los cazadores de amenazas en grandes empresas o MSSP tienden a ser más altos. SC-200 por sí solo no mueve la cifra; la fluidez demostrada en KQL y la experiencia previa en respuesta a incidentes son los mayores impulsores.
Fuente: BLS OEWS de EE. UU. mayo de 2024 (15-1212 analistas de seguridad de la información, mediana ~$120k), datos de levels.fyi 2025–2026 sobre roles de ingeniería de seguridad y SOC, Estudio de la Fuerza Laboral de Ciberseguridad (ISC)² 2024. Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
Microsoft Sentinel y Defender XDR se implementan en una gran parte de los SOC de medianas y grandes empresas porque encajan naturalmente sobre una huella existente de Microsoft 365 y Azure, y eso ha convertido a SC-200 en una de las certificaciones de analista de SOC más reconocidas. Los reclutadores la utilizan como señal de selección para roles de analista de Nivel 1 y Nivel 2, ingeniería de detección e implementación de Sentinel, y los MSSP la enumeran con frecuencia como credencial preferida para ingenieros que administran Sentinel como un servicio gestionado. Los datos de la fuerza laboral de (ISC)² muestran una demanda persistente no satisfecha de talento en operaciones de seguridad hasta 2024–2026, lo que mantiene atractivos a los titulares de SC-200 incluso al inicio de su carrera. Combinar SC-200 con AZ-500 o SC-300 hace que el currículum sea notablemente más sólido para roles sénior de detección centrados en SOC e identidad.
No hay requisitos previos obligatorios, pero Microsoft posiciona SC-200 como un examen basado en roles que asume experiencia laboral como analista de operaciones de seguridad, lo que significa una exposición real a la clasificación de alertas, consultas KQL y al menos uno de Microsoft Sentinel, Defender XDR o Defender for Cloud en un inquilino de producción. Los candidatos sin experiencia en SOC suelen fallar en el primer intento.
La ruta de preparación recomendada es SC-900 primero (para un vocabulario compartido en todo el stack de seguridad de Microsoft), luego de 3 a 6 meses de tiempo práctico en un espacio de trabajo de Sentinel y el portal de Defender; incluso un laboratorio personal construido sobre un inquilino de desarrollador de Microsoft 365 más una cuenta gratuita de Azure es suficiente para practicar la configuración de conectores, las reglas de análisis y la caza con KQL. Microsoft Learn proporciona una ruta de aprendizaje gratuita de 18 a 25 horas con laboratorios integrados que reflejan fielmente los escenarios del examen; combinarla con la evaluación práctica oficial y un banco de preguntas de terceros para el reconocimiento de patrones KQL es la ruta más eficiente.
SC-200 es moderado según los estándares de asociado de Microsoft: más difícil que AZ-500 en especificidad de KQL, más fácil que SC-100 en alcance. Planifique entre 60 y 100 horas de estudio durante 6 a 10 semanas si tiene alguna exposición a SOC, o entre 100 y 150 horas si empieza desde cero. El examen dura entre 100 y 120 minutos con aproximadamente 40 a 60 preguntas, incluidos formatos de opción múltiple, respuesta múltiple, arrastrar y soltar y estudio de caso; la puntuación de aprobación es 700/1000 en el modelo escalado de Microsoft.
Los dos obstáculos son la fluidez en KQL y la amplitud del producto. Las consultas KQL aparecen directamente en el examen; debe leer y razonar sobre consultas contra los esquemas de caza avanzada de Sentinel y Defender, no solo reconocer palabras clave. La amplitud del producto es un problema porque la familia Defender abarca puntos finales, identidad, Office 365, aplicaciones en la nube y cargas de trabajo en la nube, cada uno con sus propios matices de portal y su historia de integración con Sentinel. Los candidatos que omiten los laboratorios prácticos y confían solo en cursos de video tienden a encontrarse con un muro en los estudios de caso.
Disponibilidad general en abril de 2021. Los objetivos se han actualizado varias veces para reflejar la consolidación de Defender en Defender XDR, el cambio de nombre de Azure AD a Entra ID, la adición de Microsoft Security Copilot y la experiencia unificada del portal de Defender + Sentinel. Las credenciales basadas en roles caducan un año después de aprobar; la renovación es gratuita a través de una evaluación en línea sin supervisión en Microsoft Learn.
SC-200 (Microsoft Security Operations Analyst) es un examen de nivel Associate un examen de dificultad moderada que espera experiencia práctica y una sólida comprensión de las mejores prácticas. La mayoría de los candidatos necesitan entre 80 y 150 horas de estudio distribuidas en 6 a 12 semanas para los exámenes de nivel asociado. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 80 y 150 horas de estudio distribuidas en 6 a 12 semanas para los exámenes de nivel asociado. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
SC-200 es una credencial reconocida en el ecosistema de Microsoft y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con Microsoft a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para SC-200 es 700 / 1000. El examen contiene 50 preguntas y dura 2 h.
La tarifa del examen SC-200 es de $165 USD. Las tarifas son establecidas por Microsoft y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de Microsoft antes de reservar.
Las certificaciones basadas en roles de Microsoft expiran después de 1 año, pero pueden renovarse de forma gratuita a través de una evaluación en línea sin supervisión en Microsoft Learn, a partir de 6 meses antes de la caducidad.
Sí. Puedes realizar el examen en línea (supervisado a través del navegador seguro del proveedor, disponible 24/7 en la mayoría de las regiones) o en un centro de examen presencial de Pearson VUE durante el horario comercial. Ambos formatos utilizan las mismas preguntas, límite de tiempo y puntuación de aprobación.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para SC-200. El modo de simulación de examen reproduce el examen real: 50 preguntas en 2 h, con el mismo umbral de aprobación de 700 / 1000. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.