Microsoft Security Operations Analyst
225 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
L'examen Microsoft Security Operations Analyst (SC-200) est un examen basé sur les rôles de niveau associé qui valide les compétences pratiques des analystes SOC qui traquent les menaces, trient les alertes et répondent aux incidents à l'aide de Microsoft Sentinel, Microsoft Defender XDR et Microsoft Defender for Cloud. Le public cible est constitué d'analystes SOC et de répondants aux incidents en activité — et non de généralistes — et l'examen en témoigne avec des questions axées sur des scénarios concernant les requêtes KQL, les règles d'analyse, les playbooks d'automatisation, la réduction de la surface d'attaque et l'investigation multi-produits sur les points de terminaison, l'identité, le courrier électronique et les charges de travail cloud. Le SC-200 est la certification standard de la pile Microsoft pour les analystes de niveau 1 à 2 et est de plus en plus souvent cité comme préféré ou requis dans les offres d'emploi SOC en entreprise.
Configuration de Microsoft Sentinel (espaces de travail, connecteurs de données, listes de surveillance, renseignements sur les menaces) et de Defender XDR (accès basé sur les rôles, paramètres d'alerte et d'incident, détections personnalisées). Environ 25 % de l'examen. Attendez-vous à des détails sur quel connecteur ingère quelles données et comment Sentinel et Defender XDR s'intègrent via le portail unifié.
Réglage des détections dans Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps et Defender for Cloud. Règles d'analyse personnalisées dans Sentinel (planifiées, NRT, Fusion, basées sur le ML). Environ 20 % de l'examen — le domaine le plus axé sur KQL.
Le plus grand domaine (30 %). Tri et investigation sur Defender XDR et Sentinel, automatisation avec des playbooks (Logic Apps), Microsoft Security Copilot pour les workflows SOC, et le cycle de vie complet des incidents, de la corrélation des alertes à la clôture et à l'examen post-incident.
Chasse aux menaces avec KQL sur le schéma de chasse avancée, chasses proactives à l'aide de requêtes et de favoris intégrés, mappage MITRE ATT&CK et intégration des renseignements sur les menaces. Environ 25 % de l'examen.
Les services que vous rencontrerez à l'examen et pourquoi chacun compte.
SIEM et SOAR natifs du cloud, bâtis sur Azure, qui ingèrent la télémétrie de tout le patrimoine, traquent les menaces avec KQL et orchestrent la réponse via des règles d'automatisation et des playbooks.
Pourquoi il est à l'examen : Le Domaine 1 (Gérer un environnement d'opérations de sécurité) s'appuie sur Sentinel en tant que SIEM/SOAR — attendez-vous à des questions sur les connecteurs de données, les espaces de travail et les hubs de contenu.
Suite de défense unifiée avant et après la violation, qui corrèle les signaux des terminaux, identités, e-mails, applications cloud et données dans une file d'attente d'incidents et un graphique uniques.
Pourquoi il est à l'examen : Le Domaine 3 (Gérer la réponse aux incidents) repose sur Defender XDR comme surface d'investigation des incidents inter-charges de travail — fusion d'incidents, preuves et chasse graphique.
EDR d'entreprise avec réduction de la surface d'attaque, antimalware de nouvelle génération, investigation automatisée, réponse en direct et chasse avancée sur Windows, macOS, Linux, iOS, Android.
Pourquoi il est à l'examen : Le Domaine 4 (Gérer les menaces de sécurité) désigne Defender for Endpoint comme la couche EDR pour la détection des menaces résidentes sur les appareils, l'isolation et la collecte forensique.
CNAPP qui offre la gestion de la posture de sécurité (CSPM) et la protection des charges de travail (CWP) sur Azure, AWS et GCP, remontant les recommandations et les alertes d'exécution dans Defender XDR.
Pourquoi il est à l'examen : Le Domaine 2 (Configurer les protections et les détections) teste l'activation des plans CWP et la remédiation CSPM — Defender for Cloud est le contrôle désigné pour les alertes de charges de travail multicloud.
Protection des boîtes aux lettres Microsoft 365, Teams, SharePoint et OneDrive contre le phishing, le BEC et les pièces jointes malveillantes via Safe Links, Safe Attachments et Attack Simulation Training.
Pourquoi il est à l'examen : Le Domaine 2 et le Domaine 4 couvrent les menaces liées aux e-mails/collaborations — Defender for Office 365 fournit les requêtes de Threat Explorer et les contrôles de politique que les analystes SOC trient.
Détection des menaces Active Directory sur site qui révèle la reconnaissance, le mouvement latéral, l'abus Kerberos et la domination de domaine à partir du trafic des contrôleurs de domaine.
Pourquoi il est à l'examen : Le Domaine 4 couvre les menaces d'identité hybride — Defender for Identity est la couche de détection axée sur AD désignée pour alimenter les incidents dans Defender XDR.
Courtier en sécurité d'accès au cloud (CASB) qui découvre l'IT fantôme, applique des contrôles de session via un proxy inverse et protège les SaaS sanctionnés avec des connecteurs API et des moteurs de politique.
Pourquoi il est à l'examen : Le Domaine 2 encadre les scénarios de menaces SaaS — Defender for Cloud Apps est le contrôle désigné pour la découverte d'IT fantôme et le contrôle d'application d'accès conditionnel.
Surveillance réseau OT/IoT sans agent (anciennement CyberX) plus des agents de constructeurs d'appareils qui détectent les comportements anormaux sur les segments IoT industriels et d'entreprise.
Pourquoi il est à l'examen : Le Domaine 4 couvre les scénarios de menaces OT/IoT — Defender for IoT est la plateforme désignée pour la visibilité du modèle Purdue et les détections conscientes des ICS.
Langage de requête en lecture seule pour Log Analytics, Sentinel et la chasse avancée de Defender — syntaxe pipe-and-filter sur des tables d'événements schématisées pour l'investigation ad hoc et planifiée.
Pourquoi il est à l'examen : Chaque domaine suppose une maîtrise de KQL — l'investigation d'incidents du Domaine 3 et la chasse aux menaces du Domaine 4 attendent des candidats qu'ils lisent et rédigent des requêtes KQL.
Types de règles planifiées, NRT, Microsoft, comportementales ML et Fusion qui transforment les requêtes KQL et les modèles intégrés en alertes et incidents dans Sentinel.
Pourquoi il est à l'examen : Le Domaine 2 teste explicitement les types de règles analytiques, le réglage de la gravité et la logique de regroupement d'incidents lors de la configuration des détections.
Workflows Logic Apps déclenchés par des incidents, des alertes ou des actions d'analyste — automatisent l'enrichissement, la création de tickets, la désactivation de comptes et le confinement d'hôtes.
Pourquoi il est à l'examen : Le Domaine 3 couvre l'automatisation SOAR ; les Playbooks sont la réponse désignée pour la réponse automatisée et les approbations avec intervention humaine liées aux règles d'automatisation.
Tableaux de bord personnalisables basés sur les Workbooks d'Azure Monitor qui visualisent les données Sentinel, la couverture MITRE et les KPI des analystes sur un ou plusieurs espaces de travail.
Pourquoi il est à l'examen : Le Domaine 1 teste le reporting SOC et la visualisation de la couverture MITRE — les Workbooks fournissent la surface de télémétrie désignée pour les rapports d'analystes et de responsables.
Données de référence organisées (utilisateurs VIP, employés licenciés, flux d'IOC, niveaux d'actifs) jointes aux règles analytiques et aux requêtes de chasse via l'opérateur KQL _GetWatchlist.
Pourquoi il est à l'examen : Le Domaine 2 cite les Watchlists lors de la délimitation des détections à des actifs spécifiques ou de l'exclusion du bruit des règles de base.
Portail de renseignement sur les menaces (anciennement RiskIQ) qui mappe l'infrastructure, les indicateurs et les articles des adversaires dans Defender XDR et Sentinel via des connecteurs TI.
Pourquoi il est à l'examen : Le Domaine 4 teste l'ingestion d'IOC et l'attribution d'adversaires — Defender TI est la source désignée pour les flux d'indicateurs organisés et les profils d'acteurs de menaces.
Découvre en continu les actifs exposés à Internet (domaines, hôtes, certificats, blocs IP) attribuables à l'organisation et met en évidence les risques observables de l'extérieur.
Pourquoi il est à l'examen : Le Domaine 4 couvre les scénarios de surface d'attaque externe — Defender EASM est l'outil désigné pour la découverte d'actifs fantômes au-delà du patrimoine géré.
Évaluation des vulnérabilités basée sur les risques pour les patrimoines Defender for Endpoint, avec inventaire des CVE, notation de référence de sécurité, inventaire logiciel et workflows de demande de remédiation.
Pourquoi il est à l'examen : Le Domaine 4 encadre la priorisation des vulnérabilités et le suivi de la remédiation — Defender VM est la charge de travail désignée intégrée à Intune pour la billetterie.
Fournisseur d'identité cloud qui authentifie les utilisateurs et les charges de travail et émet les signaux de connexion, d'audit et de protection d'identité que Sentinel et Defender XDR corrèlent lors des incidents.
Pourquoi il est à l'examen : La portée des incidents du Domaine 3 pivote à plusieurs reprises sur les signaux d'utilisateur, de connexion et de risque d'Entra ID — les analystes doivent lire ces journaux et appliquer des actions de confinement comme la réinitialisation de mot de passe / la révocation de sessions.
Pipeline de télémétrie et espace de travail Log Analytics basé sur KQL sur lequel Sentinel s'exécute — les règles de collecte de données, les journaux personnalisés et les politiques de rétention passent tous par cette couche.
Pourquoi il est à l'examen : Le Domaine 1 teste l'architecture de l'espace de travail, l'ingestion des journaux et la résidence des données — les paramètres spécifiques à Sentinel se situent au-dessus des fondamentaux d'Azure Monitor / Log Analytics.
Plan de gestion inter-locataires qui permet à un MSSP ou à un SOC central de gérer les espaces de travail Sentinel, Defender for Cloud et les ressources Azure sur plusieurs locataires clients avec un RBAC délégué.
Pourquoi il est à l'examen : Le Domaine 1 couvre les scénarios SOC multi-locataires — Lighthouse est la plateforme désignée pour l'accès Sentinel inter-locataires de type MSSP.
Moteur de posture de conformité intégré à Defender for Cloud qui mappe les recommandations aux frameworks (CIS, ISO 27001, NIST 800-53, PCI DSS) et suit la remédiation au fil du temps.
Pourquoi il est à l'examen : Le Domaine 1 présente la posture de conformité comme une responsabilité du responsable SOC — Defender for Cloud Regulatory Compliance est le tableau de bord désigné que les analystes et les responsables consultent.
$85k–$120k–$165k USD annuel
Cette fourchette couvre les rôles d'analyste SOC, d'ingénieur en détection et les postes axés sur Sentinel basés aux États-Unis. Les analystes de niveau 1 et les marchés non côtiers ont tendance à se situer dans la fourchette basse ; les ingénieurs en détection seniors et les chasseurs de menaces dans les grandes entreprises ou les MSSP ont tendance à se situer dans la fourchette haute. Le SC-200 seul n'a pas d'impact significatif sur ces chiffres — la maîtrise démontrée de KQL et une expérience préalable en réponse aux incidents sont les principaux facteurs.
Source : Données de l'U.S. BLS OEWS May 2024 (15-1212 information security analysts, median ~$120k), rôles d'ingénierie de sécurité et SOC levels.fyi 2025–2026, (ISC)² Cybersecurity Workforce Study 2024. Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
Microsoft Sentinel et Defender XDR sont déployés dans une grande partie des SOC de taille moyenne et d'entreprise car ils s'intègrent naturellement à une empreinte Microsoft 365 et Azure existante, ce qui a fait du SC-200 l'une des certifications d'analyste SOC les plus largement reconnues. Les recruteurs l'utilisent comme signal de sélection pour les rôles d'analyste de niveau 1 et 2, d'ingénieur en détection et d'implémentation de Sentinel, et les MSSP le listent fréquemment comme une certification préférée pour les ingénieurs gérant Sentinel en tant que service géré. Les données sur la main-d'œuvre d'(ISC)² montrent une demande non satisfaite persistante pour les talents en opérations de sécurité de 2024 à 2026, ce qui rend les détenteurs du SC-200 attractifs même en début de carrière. Associer le SC-200 à AZ-500 ou SC-300 renforce considérablement le CV pour les rôles SOC seniors et les rôles de détection axés sur l'identité.
Il n'y a pas de prérequis imposés, mais Microsoft positionne le SC-200 comme un examen basé sur les rôles qui suppose une expérience professionnelle en tant qu'analyste des opérations de sécurité — c'est-à-dire une exposition réelle au triage des alertes, aux requêtes KQL, et à au moins l'un de Microsoft Sentinel, Defender XDR ou Defender for Cloud dans un tenant de production. Les candidats sans expérience SOC échouent régulièrement à la première tentative.
Le parcours de préparation recommandé est d'abord le SC-900 (pour un vocabulaire partagé sur la pile de sécurité Microsoft), puis 3 à 6 mois de pratique dans un espace de travail Sentinel et le portail Defender — même un laboratoire personnel construit sur un tenant de développeur Microsoft 365 plus un compte Azure gratuit est suffisant pour pratiquer la configuration des connecteurs, les règles d'analyse et la chasse KQL. Microsoft Learn propose un parcours d'apprentissage gratuit de 18 à 25 heures avec des laboratoires intégrés qui reflètent fidèlement les scénarios d'examen ; l'associer à l'évaluation pratique officielle et à une banque de questions tierce pour la reconnaissance des modèles KQL est la voie la plus efficace.
Le SC-200 est modéré selon les standards associés de Microsoft — plus difficile qu'AZ-500 en spécificité KQL, plus facile que SC-100 en portée. Prévoyez 60 à 100 heures d'étude sur 6 à 10 semaines si vous avez une certaine exposition au SOC, ou 100 à 150 heures si vous partez de zéro. L'examen dure 100 à 120 minutes et comprend environ 40 à 60 questions, y compris des formats à choix multiples, à réponses multiples, glisser-déposer et des études de cas ; le score de réussite est de 700/1000 sur le modèle pondéré de Microsoft.
Les deux obstacles majeurs sont la maîtrise de KQL et l'étendue des produits. Les requêtes KQL apparaissent directement à l'examen — vous devez lire et raisonner sur les requêtes par rapport aux schémas de chasse avancée de Sentinel et Defender, pas seulement reconnaître des mots-clés. L'étendue des produits est un défi car la famille Defender couvre les points de terminaison, l'identité, Office 365, les applications cloud et les charges de travail cloud, chacun avec ses propres nuances de portail et son histoire d'intégration avec Sentinel. Les candidats qui sautent les laboratoires pratiques et se fient uniquement aux cours vidéo ont tendance à se heurter à un mur sur les études de cas.
Disponibilité générale en avril 2021. Les objectifs ont été mis à jour plusieurs fois pour refléter la consolidation de Defender en Defender XDR, le renommage d'Azure AD en Entra ID, l'ajout de Microsoft Security Copilot et l'expérience de portail unifiée Defender + Sentinel. Les certifications basées sur les rôles expirent un an après avoir été obtenues ; le renouvellement est gratuit via une évaluation en ligne non supervisée sur Microsoft Learn.
SC-200 (Microsoft Security Operations Analyst) est un examen de niveau Associate un examen de difficulté modérée exigeant une expérience pratique concrète ainsi qu'une solide compréhension des meilleures pratiques. La plupart des candidats ont besoin de 80 à 150 heures d'étude réparties sur 6 à 12 semaines pour les examens de niveau associé. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 80 à 150 heures d'étude réparties sur 6 à 12 semaines pour les examens de niveau associé. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
SC-200 est une certification reconnue dans l'écosystème Microsoft et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec Microsoft ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le SC-200 est de 700 / 1000. L'examen contient 50 questions et dure 2 h.
Les frais d'examen SC-200 sont de $165 USD. Les frais sont fixés par Microsoft et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de Microsoft avant de réserver.
Les certifications Microsoft basées sur les rôles expirent après 1 an mais peuvent être renouvelées gratuitement via une évaluation en ligne non supervisée sur Microsoft Learn, à partir de 6 mois avant l'expiration.
Oui. Vous pouvez passer l'examen en ligne (supervisé via le navigateur sécurisé du fournisseur, disponible 24h/24 et 7j/7 dans la plupart des régions) ou dans un centre de test Pearson VUE en personne pendant les heures ouvrables. Les deux formats utilisent les mêmes questions, la même limite de temps et le même score de réussite.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le SC-200. Le mode de simulation d'examen reproduit l'examen réel : 50 questions en 2 h, avec le même seuil de réussite de 700 / 1000. Le mode navigation vous permet de lire chaque Q&A de manière statique.