SC-200 מול AZ-500: איזו הסמכת אבטחה של מיקרוסופט קודם?
AZ-500 מיועדת למהנדסי ענן המגדירים אבטחה ב-Azure. SC-200 מיועדת לאנליסטים ב-SOC החיים בתוך Sentinel. הנה איזו מהן מתאימה בפועל לתפקיד שלך.
אם עליכם לבחור הסמכת אבטחה אחת של מיקרוסופט ואינכם יודעים איזו, הנה הגרסה הקצרה: AZ-500 אם אתם בונים ומגדירים משאבי Azure, ו-SC-200 אם אתם חוקרים התראות ומחפשים איומים. שתיהן עולות 165$, שתיהן ברמת Associate מבוססת תפקיד, ושתיהן קשות למדי. הן מכסות שטחים חופפים – זהות, רשתות, Sentinel – אך העבודה היומיומית שהן מתאימות לה שונה באמת, ובחירה שגויה פירושה ללמוד לתפקיד של מישהו אחר.
אני מקבל את השאלה הזו מספיק פעמים כדי שיהיה כדאי להקדיש לה פוסט מלא ולא שורה אחת.
מהי AZ-500
AZ-500 — Microsoft Certified: Azure Security Engineer Associate — בוחנת את יכולתך ליישם בקרות אבטחה ברחבי Azure. התוכנית הנוכחית מתחלקת בערך כך:
- ניהול זהות וגישה (~25–30%): Entra ID, Conditional Access, PIM, זהויות מנוהלות, הגדרת MFA.
- אבטחת רשתות (~20–25%): NSGs, ASGs, Azure Firewall, WAF ב-Front Door / App Gateway, נקודות קצה פרטיות, הגנת DDoS.
- אבטחת מחשוב, אחסון, מסדי נתונים (~20–25%): Defender for Cloud, הצפנת דיסקים, הקשחת אחסון, Key Vault, SQL TDE / Always Encrypted.
- ניהול פעולות אבטחה (~25–30%): יסודות Sentinel, ציון אבטחה של Defender for Cloud, Azure Policy, לוחות מחוונים של תאימות רגולטורית.
היא רחבה. השאלות מרגישות מעשיות עבור בחירה מרובה — מקרי מבחן בתחילת הבחינה מאלצים אותך לעבוד דרך סביבת חברה היפותטית. KQL קל. Sentinel קל. מרכז הכובד הוא "הגדרת משאבי Azure כדי שיהיו מאובטחים".
מהי SC-200
SC-200 — Microsoft Certified: Security Operations Analyst Associate — בוחנת את יכולתך להפעיל ערימת אבטחה של מיקרוסופט ביום-יום. תוכנית לימודים נוכחית:
- הפחתת איומים באמצעות Microsoft Defender XDR (~25–30%): Defender for Endpoint, Office 365, Cloud Apps, Identity. חקירה, תעדוף, תגובה.
- הפחתת איומים באמצעות Defender for Cloud (~15–20%): הגנת עומסי עבודה בענן, ציון אבטחה, תאימות רגולטורית מנקודת מבט של אנליסט.
- הפחתת איומים באמצעות Microsoft Sentinel (~50–55%): מחברי נתונים, כללי ניתוח, שאילתות ציד, חוברות עבודה, פלייבוקים, SOAR, KQL — KQL כבד.
מרכז הכובד של הבחינה הוא Sentinel. אם אינך יכול לכתוב או לקרוא KQL באופן שוטף עד יום הבחינה, תתקשה. מקרי המבחן לעיתים קרובות מגישים לך שאילתה ושואלים מה היא מחזירה, או מגישים לך תרחיש ושואלים באיזה אופרטור KQL היית משתמש כדי לחדד אותו.
מיפוי התפקידים
זה החלק שאף אחד לא מציג בבירור בדף השיווק:
| אם התפקיד שלך הוא... | בחר בזה קודם |
|---|---|
| Cloud Engineer / DevOps Engineer / Platform Engineer | AZ-500 |
| Security Engineer (בעל מיקוד בהגדרות) | AZ-500 |
| Azure Administrator שרוצה להתמחות | AZ-500 |
| SOC Analyst / Tier 1–2 Analyst | SC-200 |
| Threat Hunter / Detection Engineer | SC-200 |
| Incident Responder | SC-200 |
| Generalist IT / רוצה את שניהם בסופו של דבר | AZ-500 קודם |
| מחליף קריירה לאבטחה | SC-200 (ביקוש גבוה יותר ברמת ג'וניור) |
הסיבה ש-AZ-500 מתאימה יותר קודם לרוב תפקידי הענן היא שהיא מכסה שטח רחב יותר שאדם שאינו מתמחה באבטחה טהורה צריך לדעת בפועל. אם אתה מהנדס ענן שלעיתים עונה על שאלות אבטחה, AZ-500 תשפר אותך בעבודתך היומיומית. SC-200 משתלמת רק אם אתה יושב מול Sentinel רוב הימים.
קושי: שווה בערך, בעל צורות שונות
שתי הבחינות מכילות 40–60 שאלות, אורכן 100 דקות, ומחירן הוא 165 דולר ארה"ב במחיר מחירון (עם תמחור אזורי המוריד את המחיר לכ-80 דולר בחלק מהשווקים). לשתי הבחינות יש חידוש חינם לשנה באמצעות הערכה מקוונת של 30 שאלות. שתיהן משתמשות במקרי מבחן בנוסף לשאלות בחירה מרובה / בחירה מרובה / גרירה ושחרור סטנדרטיות.
במה הן שונות:
AZ-500 רחבה יותר, SC-200 עמוקה יותר. AZ-500 מבקשת ממך לדעת מעט על הרבה — זהות, רשתות, מחשוב, אחסון, תפעול. SC-200 מבקשת ממך לדעת הרבה על Sentinel וחבילת Defender באופן ספציפי.
KQL הוא המבדיל ב-SC-200. AZ-500 מבקשת ממך לקרוא שאילתות KQL ולהבין פלטים. SC-200 מבקשת ממך לכתוב אותן, לייעל אותן, לנפות בהן באגים. אם מעולם לא השתמשת ב-KQL, SC-200 תפתיע אותך.
ל-AZ-500 יש יותר תוכן זהות. Conditional Access, PIM, External Identities, Identity Protection — ה-25–30% הראשונים של AZ-500 עמוסים בזהות. SC-200 נוגעת בזהות אך בעיקר דרך עדשת התראות Defender for Identity.
שיעורי המעבר אינם מפורסמים על ידי מיקרוסופט, אך באופן אנקדוטלי שניהם נעים בטווח של 60–70% בניסיון הראשון למועמדים מוכנים. חלק ה-KQL של SC-200 הוא המקום שבו רוב האנשים מאבדים נקודות; מקרי המבחן של AZ-500 הם המקום שבו רוב האנשים מאבדים נקודות.
זמן הכנה
| רקע | AZ-500 | SC-200 |
|---|---|---|
| מהנדס אבטחה מנוסה ב-Azure | 40–60 שעות | 50–80 שעות |
| מהנדס Azure כללי | 80–100 שעות | 100–130 שעות |
| אנליסט SOC, ערימת מיקרוסופט | 80–100 שעות | 50–80 שעות |
| חדש ב-Azure | 150+ שעות | 180+ שעות |
SC-200 נוטה להיות מעט ארוכה יותר מכיוון ש'שריר' ה-KQL צריך להיבנות מאפס עבור רוב המועמדים. אם אתה כבר שוטף ב-KQL או בשפת שאילתות אחרת עם תחביר דומה (Splunk SPL עובר בצורה סבירה), הפחת 20–30 שעות.
המסלולים הרשמיים של Microsoft Learn לשתי הבחינות חינמיים ועדכניים. ערוץ היוטיוב של ג'ון סאביל (John Savill) מכיל סרטוני הכנה מרוכזים לשניהם. עבור SC-200 באופן ספציפי, "KQL from scratch" מאת רוד טרנט (Rod Trent) הוא המשאב החינמי הקנוני לתוכן Sentinel. עבור AZ-500, הפעלת מנוי Azure חינמי ולחיצה דרך Conditional Access, PIM, Defender for Cloud, ו-Key Vault בעצמך היא בלתי ניתנת למיקוח — כמעט בלתי אפשרי לענות על שאלות מקרה מבחן ללא היכרות ברמת הפורטל.
איתות שכר
אף אחת מההסמכות לא מניעה שכר ישירות במובן נקי של A/B. שתיהן פותחות דלתות לראיונות. לפי BLS OEWS מאי 2024, השכר החציוני של אנליסטים לאבטחת מידע (15-1212) הוא סביב 124 אלף דולר, והאחוזון ה-90 הוא סביב 182 אלף דולר. תפקידי אבטחה בחנויות מיקרוסופט מתקבצים בחצי העליון של הטווח הזה.
נתוני levels.fyi 2025–2026:
- מהנדס אבטחה במיקרוסופט (L62) שכר כולל ~$230k.
- מומחה אבטחה ב-AWS (L5) שכר כולל ~$245k.
- תפקידי מהנדס אבטחה בדרג ביניים מחוץ ל-FAANG (Capital One, Stripe, Atlassian) בדרך כלל $170k–$220k שכר בסיס.
מחזיקי SC-200 בארגונים גדולים עם SOCs מבוגרים (בנקים, שירותי בריאות, קבלנים פדרליים) מרוויחים לעיתים קרובות יותר מהשכר החציוני מכיוון שתפקידי SOC הפועלים 24/7 כוללים תוספות משמרות. מחזיקי AZ-500 נוטים לרצועות שכר סטנדרטיות של הנדסת ענן.
שילוב ההסמכות שנוטה לשלם הכי טוב בשנת 2026 הוא AZ-500 + SC-200 + AZ-104 — הוא מסמן שאתה יכול להגדיר את Azure, לאבטח אותה, ולהפעיל את התגובה. ביצוע כל השלוש אורך כ-200 שעות על פני 6–9 חודשים ומעביר את קורות החיים שלך דרך מסננים ברוב המעסיקים המשתמשים בערימת מיקרוסופט.
מה הייתי עושה
אם אתה מתחיל מרקע של הנדסת ענן או IT כללי, קח את AZ-500 קודם. היא רחבה יותר, היא מלמדת אותך יותר על Azure כפלטפורמה, ורוב המשרות שדורשות כישורי אבטחה של מיקרוסופט מבקשות את AZ-500 בשמה לעיתים קרובות יותר מאשר את SC-200.
אם אתה מתחיל ממסלול SOC או אנליסט — אתה כבר מריץ שאילתות ב-SIEM כלשהו, אתה חוקר התראות מדי יום — קח את SC-200 קודם. התוכן עתיר התצורה של AZ-500 ירגיש כמו עקיפה שאינך צריך עדיין.
אם אתה מתכוון לגשת לשניהם בסופו של דבר, הסדר חשוב פחות מהפער ביניהם. אל תפריד ביניהם ביותר מ-6 חודשים; החפיפה בנושאי זהות ויסודות Sentinel מתגמלת הכנה עוקבת.
כשתהיה מוכן לתרגל, עיין במאגר התרגול של AZ-500 ב-CertLabPro, התחל מבחן מתוזמן של SC-200, או השתמש בשניהם. פורמט מקרי המבחן של מיקרוסופט ייחודי וזיהוי דפוסים תחת לחץ זמן הוא החלק שמפיק את מירב התועלת מתרגול פריטים ריאליסטיים.