Laboratorio práctico — SC-200 Microsoft Security Operations Analyst

Última revisión: mayo de 2026

Crea los servicios de AWS del examen SC-200 con Terraform puro: bloque a bloque, cada uno vinculado a un dominio del examen. El mismo código funciona en OpenTofu.

Descripción general

Al final de este laboratorio, habrá aprovisionado, con Terraform simple, el sustrato de referencia SOC SC-200: un espacio de trabajo de Log Analytics como plano de datos, Microsoft Sentinel integrado en ese espacio de trabajo, una regla analítica programada que activa un incidente en un patrón KQL de ejemplo y una regla de automatización que se ejecuta cada vez que se crea un incidente. Este es el sustrato sobre el que se ejecutan todos los flujos de trabajo de caza + respuesta del SC-200.

Pegue los fragmentos en un único main.tf, ejecute terraform init, luego terraform apply paso a paso.

Requisitos previos

Terraform >= 1.5 o OpenTofu >= 1.6.
Una suscripción de Azure con permisos para crear recursos de Log Analytics, Sentinel y Logic Apps.
Azure CLI autenticado (az login).
La incorporación de Sentinel es unidireccional para el espacio de trabajo: una vez que un espacio de trabajo de Log Analytics tiene Sentinel habilitado, puede deshabilitar Sentinel, pero el plano de datos del espacio de trabajo aún existe. Para la limpieza del laboratorio, el comando destroy funciona correctamente a través de Terraform.

Nota sobre el costo

El precio de Sentinel es el principal factor de costo:

Microsoft Sentinel: pago por GB ingerido. Los primeros 5 GB/mes en el espacio de trabajo son gratuitos (bajo el nivel gratuito de Log Analytics), pero Sentinel añade +$2/GB adicional. El volumen del laboratorio es de kilobytes.
Espacio de trabajo de Log Analytics: 5 GB/mes gratuitos; ~$2.30/GB después.
Logic App (nivel Consumo): pago por acción; el uso del laboratorio son fracciones de un centavo.
Reglas analíticas de Sentinel: gratuitas; las ejecuciones de reglas no se facturan.

~$0/mes con el volumen del laboratorio. Sentinel se vuelve caro a escala: la incorporación de un equivalente de CloudTrail de varios servidores (conectores de Defender XDR, conectores de M365) puede alcanzar fácilmente los $10K/mes para una organización real.

Pasos

1.Proveedor, grupo de recursos, nomenclatura

Apertura estándar de Azure.

terraform {
  required_version = ">= 1.5"

  required_providers {
    azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
  }
}

provider "azurerm" {
  features {}
}

locals {
  tags = {
    Project   = "certlabpro-sc-200"
    ManagedBy = "terraform"
  }
}

resource "azurerm_resource_group" "main" {
  name     = "certlabpro-sc-200-rg"
  location = "eastus"
  tags     = local.tags
}

2.Configurar el espacio de trabajo de Log Analytics + incorporar Sentinel
Aprovisiona:
- Azure Monitor
- Microsoft Sentinel
Microsoft Sentinel es una capa sobre un espacio de trabajo de Log Analytics, no tiene su propio plano de datos. El dominio Administrar un entorno de Microsoft Sentinel del SC-200 enfatiza esta dependencia: cada característica de Sentinel lee/escribe desde el espacio de trabajo, cada conector de datos almacena datos en él, cada regla analítica ejecuta KQL contra él.

Aprovisionamos el espacio de trabajo en SKU PerGB2018 + el recurso azurerm_sentinel_log_analytics_workspace_onboarding para adjuntar Sentinel. Después de esto, conectaría las fuentes de datos (Azure Activity, inicios de sesión de Microsoft Entra ID, conectores de Defender XDR) a través del portal; son de gran superficie y más fáciles a través de la GUI que con Terraform.
```
resource "azurerm_log_analytics_workspace" "main" {
  name                = "log-sc200"
  resource_group_name = azurerm_resource_group.main.name
  location            = azurerm_resource_group.main.location
  sku                 = "PerGB2018"
  retention_in_days   = 30

  tags = local.tags
}

resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
  workspace_id = azurerm_log_analytics_workspace.main.id
}
```
3.Crear una regla analítica programada que se activa mediante un patrón KQL
Aprovisiona:
- Microsoft Sentinel
Las reglas analíticas son cómo Sentinel convierte los eventos de registro brutos en incidentes. El SC-200 evalúa el reconocimiento del tipo de regla: Programada (basada en KQL, la más común), Incidente de Microsoft (reenvía alertas de Defender XDR), Anomalía (basada en ML), Inteligencia de amenazas (coincidencia de TI).

Creamos una regla programada con una consulta KQL de marcador de posición (cada 5 minutos, buscando hacia atrás 5 minutos, la forma casi en tiempo real del SC-200). La consulta aquí es un marcador de posición (SecurityEvent | take 1); en producción, el KQL es la lógica real de la regla: probar inicios de sesión de viaje imposible, patrones de pulverización de contraseñas, escaladas de privilegios inusuales, etc.

El campo tactics mapea la regla al marco MITRE ATT&CK, necesario para la integración con Defender XDR y para los flujos de trabajo de caza que se centran en las tácticas.
```
resource "azurerm_sentinel_alert_rule_scheduled" "stub" {
  name                       = "certlabpro-sc-200-stub-rule"
  log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
  display_name               = "Stub rule — lab demonstration"
  description                = "Sample scheduled analytic rule for the SC-200 lab. Replace KQL with a real hunting pattern."
  severity                   = "Medium"
  enabled                    = true

  query                      = "SecurityEvent | take 1"
  query_frequency            = "PT5M" # run every 5 minutes
  query_period               = "PT5M" # look back 5 minutes

  trigger_operator           = "GreaterThan"
  trigger_threshold          = 0

  tactics    = ["InitialAccess"]
  techniques = ["T1078"] # Valid Accounts (MITRE ATT&CK)

  incident {
    create_incident_enabled = true

    grouping {
      enabled = true
    }
  }

  depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}
```
4.Conectar una regla de automatización para la respuesta a incidentes
Aprovisiona:
- Microsoft Sentinel
Las reglas de automatización son la primitiva del SC-200 para Configurar su entorno de Microsoft Sentinel para la gestión de incidentes: se activan cuando se crea, actualiza o cierra un incidente, y ejecutan un conjunto de acciones: asignar el incidente a un usuario, cambiar su gravedad, añadir etiquetas o invocar un playbook de Logic App.

Creamos una regla que se ejecuta cada vez que se crea cualquier incidente. La acción de ejemplo simplemente cambia la gravedad a Alta y etiqueta el incidente; en producción, invocaría un playbook de Logic App aquí que publica en Teams, crea un ticket de Jira, enriquece con inteligencia de amenazas o activa un runbook de remediación. El SC-200 evalúa esta forma de automatización activada como el patrón estándar de SOC de Nivel 1.
```
resource "azurerm_sentinel_automation_rule" "tag_and_escalate" {
  name                       = "0e84e57b-8b8a-4c8b-a0a8-1d3f3e6f9a01" # GUID required
  log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
  display_name               = "Tag-and-escalate every new incident"
  order                      = 1
  enabled                    = true

  triggers_on  = "Incidents"
  triggers_when = "Created"

  action_incident {
    order    = 1
    severity = "High"
  }

  action_incident {
    order  = 2
    labels = ["lab-auto-tagged"]
  }

  depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}
```

Limpieza

terraform destroy elimina todo. La incorporación de Sentinel se desvincula del espacio de trabajo; el espacio de trabajo permanece hasta que se destruye por separado (Terraform maneja ambos correctamente). Las ejecuciones de reglas analíticas se detienen inmediatamente. Los playbooks de Logic App (no aprovisionados en este laboratorio) tendrían que destruirse por separado si los hubiera añadido.

Lo que no cubre este laboratorio

El SC-200 cubre más superficies de SecOps que no caben en este laboratorio: Microsoft Defender para Endpoint (el EDR de punto final), Defender para Identity (amenazas de AD locales), Defender para Office 365 (protección del flujo de correo), Defender para Cloud Apps (CASB), el portal unificado completo de Defender XDR, la caza KQL en profundidad, los conectores de datos de Microsoft Sentinel (Azure Activity, M365, AWS CloudTrail, GCP Audit, conectores de terceros), los libros de trabajo de Sentinel para paneles, los indicadores de inteligencia de amenazas, las listas de observación, el análisis de comportamiento de usuarios y entidades (UEBA), los cuadernos para caza avanzada y los playbooks de Logic App para la orquestación de respuestas.

Nos centramos en el espacio de trabajo + Sentinel + regla programada + regla de automatización porque son el sustrato sobre el que se compone cada patrón del SC-200. Los conectores de datos envían datos al espacio de trabajo; las reglas analíticas consultan los datos; las reglas de automatización responden a los incidentes; los playbooks (Logic Apps) amplían las reglas de automatización. Establezca la base correctamente; luego añada capas por fuente de datos.

Para las superficies anteriores, consulte las secciones Buscar, Manual y Editorial de esta página de certificación.

← Volver al centro de SC-200

Descripción general

Pegue los fragmentos en un único main.tf, ejecute terraform init, luego terraform apply paso a paso.

Requisitos previos

Terraform >= 1.5 o OpenTofu >= 1.6.
Una suscripción de Azure con permisos para crear recursos de Log Analytics, Sentinel y Logic Apps.
Azure CLI autenticado (az login).
La incorporación de Sentinel es unidireccional para el espacio de trabajo: una vez que un espacio de trabajo de Log Analytics tiene Sentinel habilitado, puede deshabilitar Sentinel, pero el plano de datos del espacio de trabajo aún existe. Para la limpieza del laboratorio, el comando destroy funciona correctamente a través de Terraform.

Nota sobre el costo

El precio de Sentinel es el principal factor de costo:

Microsoft Sentinel: pago por GB ingerido. Los primeros 5 GB/mes en el espacio de trabajo son gratuitos (bajo el nivel gratuito de Log Analytics), pero Sentinel añade +$2/GB adicional. El volumen del laboratorio es de kilobytes.
Espacio de trabajo de Log Analytics: 5 GB/mes gratuitos; ~$2.30/GB después.
Logic App (nivel Consumo): pago por acción; el uso del laboratorio son fracciones de un centavo.
Reglas analíticas de Sentinel: gratuitas; las ejecuciones de reglas no se facturan.

Pasos

1.Proveedor, grupo de recursos, nomenclatura

Apertura estándar de Azure.

terraform {
  required_version = ">= 1.5"

  required_providers {
    azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
  }
}

provider "azurerm" {
  features {}
}

locals {
  tags = {
    Project   = "certlabpro-sc-200"
    ManagedBy = "terraform"
  }
}

resource "azurerm_resource_group" "main" {
  name     = "certlabpro-sc-200-rg"
  location = "eastus"
  tags     = local.tags
}

2.Configurar el espacio de trabajo de Log Analytics + incorporar Sentinel

Aprovisiona:

Azure Monitor
Microsoft Sentinel

Microsoft Sentinel es una capa sobre un espacio de trabajo de Log Analytics, no tiene su propio plano de datos. El dominio Administrar un entorno de Microsoft Sentinel del SC-200 enfatiza esta dependencia: cada característica de Sentinel lee/escribe desde el espacio de trabajo, cada conector de datos almacena datos en él, cada regla analítica ejecuta KQL contra él.

Aprovisionamos el espacio de trabajo en SKU PerGB2018 + el recurso azurerm_sentinel_log_analytics_workspace_onboarding para adjuntar Sentinel. Después de esto, conectaría las fuentes de datos (Azure Activity, inicios de sesión de Microsoft Entra ID, conectores de Defender XDR) a través del portal; son de gran superficie y más fáciles a través de la GUI que con Terraform.

resource "azurerm_log_analytics_workspace" "main" {
  name                = "log-sc200"
  resource_group_name = azurerm_resource_group.main.name
  location            = azurerm_resource_group.main.location
  sku                 = "PerGB2018"
  retention_in_days   = 30

  tags = local.tags
}

resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
  workspace_id = azurerm_log_analytics_workspace.main.id
}

3.Crear una regla analítica programada que se activa mediante un patrón KQL

Aprovisiona:

Microsoft Sentinel

Las reglas analíticas son cómo Sentinel convierte los eventos de registro brutos en incidentes. El SC-200 evalúa el reconocimiento del tipo de regla: Programada (basada en KQL, la más común), Incidente de Microsoft (reenvía alertas de Defender XDR), Anomalía (basada en ML), Inteligencia de amenazas (coincidencia de TI).

Creamos una regla programada con una consulta KQL de marcador de posición (cada 5 minutos, buscando hacia atrás 5 minutos, la forma casi en tiempo real del SC-200). La consulta aquí es un marcador de posición (SecurityEvent | take 1); en producción, el KQL es la lógica real de la regla: probar inicios de sesión de viaje imposible, patrones de pulverización de contraseñas, escaladas de privilegios inusuales, etc.

El campo tactics mapea la regla al marco MITRE ATT&CK, necesario para la integración con Defender XDR y para los flujos de trabajo de caza que se centran en las tácticas.

resource "azurerm_sentinel_alert_rule_scheduled" "stub" {
  name                       = "certlabpro-sc-200-stub-rule"
  log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
  display_name               = "Stub rule — lab demonstration"
  description                = "Sample scheduled analytic rule for the SC-200 lab. Replace KQL with a real hunting pattern."
  severity                   = "Medium"
  enabled                    = true

  query                      = "SecurityEvent | take 1"
  query_frequency            = "PT5M" # run every 5 minutes
  query_period               = "PT5M" # look back 5 minutes

  trigger_operator           = "GreaterThan"
  trigger_threshold          = 0

  tactics    = ["InitialAccess"]
  techniques = ["T1078"] # Valid Accounts (MITRE ATT&CK)

  incident {
    create_incident_enabled = true

    grouping {
      enabled = true
    }
  }

  depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}

4.Conectar una regla de automatización para la respuesta a incidentes

Aprovisiona:

Microsoft Sentinel

Las reglas de automatización son la primitiva del SC-200 para Configurar su entorno de Microsoft Sentinel para la gestión de incidentes: se activan cuando se crea, actualiza o cierra un incidente, y ejecutan un conjunto de acciones: asignar el incidente a un usuario, cambiar su gravedad, añadir etiquetas o invocar un playbook de Logic App.

Creamos una regla que se ejecuta cada vez que se crea cualquier incidente. La acción de ejemplo simplemente cambia la gravedad a Alta y etiqueta el incidente; en producción, invocaría un playbook de Logic App aquí que publica en Teams, crea un ticket de Jira, enriquece con inteligencia de amenazas o activa un runbook de remediación. El SC-200 evalúa esta forma de automatización activada como el patrón estándar de SOC de Nivel 1.

resource "azurerm_sentinel_automation_rule" "tag_and_escalate" {
  name                       = "0e84e57b-8b8a-4c8b-a0a8-1d3f3e6f9a01" # GUID required
  log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
  display_name               = "Tag-and-escalate every new incident"
  order                      = 1
  enabled                    = true

  triggers_on  = "Incidents"
  triggers_when = "Created"

  action_incident {
    order    = 1
    severity = "High"
  }

  action_incident {
    order  = 2
    labels = ["lab-auto-tagged"]
  }

  depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}

Limpieza

Lo que no cubre este laboratorio

Para las superficies anteriores, consulte las secciones Buscar, Manual y Editorial de esta página de certificación.

Laboratorio práctico — SC-200 Microsoft Security Operations Analyst

Descripción general

Requisitos previos

💰Nota sobre el costo

Pasos

Limpieza

Lo que no cubre este laboratorio

Laboratorio práctico — SC-200 Microsoft Security Operations Analyst

Descripción general

Requisitos previos

💰Nota sobre el costo

Pasos

Limpieza

Lo que no cubre este laboratorio

Nota sobre el costo

Nota sobre el costo