Microsoft Azure Security Engineer Associate
225 שאלות תרגול
נבדק לאחרונה: April 2026
הערות אישיות וקישורים למשאבים למסע הלמידה שלך
סנן לפי הסמכה
AZ-500 מאמת את המיומנויות היומיומיות של מהנדס אבטחת Azure: ניהול זהות וגישה באמצעות Microsoft Entra, אבטחת רשתות, חיזוק מחשוב / אחסון / מסדי נתונים, והפעלת פעולות אבטחה עם Microsoft Defender for Cloud ו-Microsoft Sentinel. קהל היעד הוא מהנדסי אבטחה פעילים ומנהלי Azure המתמחים באבטחה. הבחינה ממוקדת יישום — קרובה יותר לסגנון של AZ-104 מאשר לבחינות עיצוב ברמת מומחה — עם 40–60 שאלות ב-120 דקות, כולל שאלות גרירה ושחרור, אזור חם, מרובות תשובות, ולפחות מקרה מבחן אחד עם פריטים מבוססי תרחיש המתגמלים ניסיון מעשי בפורטל.
התחום הגדול ביותר ב-27%. Microsoft Entra ID (משתמשים, קבוצות, MFA, גישה מותנית, PIM, הגנת זהויות, B2B / B2C), יישומים ארגוניים, רישומי אפליקציות, RBAC, ותפקידים מותאמים אישית. צפו לתרחישי גישה מותנית רבים.
כ-23%. NSGs, ASGs, Azure Firewall, Web Application Firewall ב-Front Door / Application Gateway, הגנת DDoS, Private Endpoints / Private Link, Service Endpoints, ו-Bastion. דגש חזק על תרחישי זרימת תעבורה.
כ-22%. חיזוק VM, הצפנת דיסקים של Azure, Microsoft Defender for Servers, אבטחת מכולות (Containers), אבטחת חשבונות אחסון (חומות אש, SAS, הצפנה, אי-שינוי), Key Vault, ואבטחת Azure SQL (TDE, Always Encrypted, RLS).
כ-28%. Microsoft Defender for Cloud (CSPM, CWPP, תאימות רגולטורית), Microsoft Sentinel (מחברי נתונים, כללי ניתוח, חוברות עבודה, ציד KQL, אוטומציה), Azure Policy לאבטחה, והתראות אבטחה מובנות ותגובה לאירועים.
שירותים שתפגוש במבחן ומדוע כל אחד מהם חשוב.
ספריית זהויות מבוססת ענן עם משתמשים, קבוצות, רישומי אפליקציות, מדיניות גישה מותנית (Conditional Access), MFA ו-Privileged Identity Management (PIM) להעלאת הרשאות בזמן אמת.
מדוע הוא במבחן: דומיין 1 (ניהול זהות וגישה) בנוי סביב Entra ID — גישה מותנית, אכיפת MFA והפעלת PIM הם הנושאים הנבחנים ביותר בבחינה.
זיהוי איומי זהות מבוסס סיכונים — סיכוני כניסה, סיכוני משתמש ואותות נסיעה חריגים מזינים מדיניות גישה מותנית לאתגרים וחסימות אדפטיביים.
מדוע הוא במבחן: שאלות מדומיין 1 על תגובה לאישורים שנפרצו וכניסות מסוכנות מציינות את ID Protection כמקור האותות המקורי של Azure.
CSPM + CWPP מקורי בענן — Secure Score, לוחות מחוונים של תאימות רגולטורית, המלצות ותוכניות Defender לשרתים, אחסון, SQL, מכולות (containers), App Service ו-DNS.
מדוע הוא במבחן: דומיין 4 (ניהול פעולות אבטחה) מציין את Defender for Cloud כפנל הבקרה המאוחד לניהול תצורה והגנת עומסים על פני מנויים.
SIEM ו-SOAR מקוריים בענן — מחברי נתונים, כללי ניתוח (מבוססי KQL), ניתוח התנהגות ישויות (UEBA), פלייבוקים (Logic Apps) ומיון אירועים.
מדוע הוא במבחן: דומיין 4 בוחן את Sentinel כ-SIEM של AZ-500 — הגדרת מחברים, יצירת כללי ניתוח ואוטומציית פלייבוקים מופיעים כמעט בכל טופס בחינה.
פורטל XDR מאוחד המתאם אותות מ-Defender for Endpoint, Identity, Office 365 ו-Cloud Apps לאירועים בין-דומיינים ולחקירות אוטומטיות.
מדוע הוא במבחן: דומיין 4 (ניהול פעולות אבטחה) מבחין בין Defender XDR (קורלציית מוצרים מרובים) לבין Sentinel (SIEM) — הכרת הגבול נבחנת שוב ושוב.
חומת אש מנוהלת בעלת מצב (stateful) בשכבות 3/4/7 עם סינון FQDN, פידי מודיעין איומים, בדיקת TLS (Premium), IDPS וניהול כללים מרכזי באמצעות מדיניות חומת אש (Firewall Policy).
מדוע הוא במבחן: דומיין 2 (אבטחת רשת) מציין את Azure Firewall כמישור הבדיקה של תעבורת יציאה/כניסה בטופולוגיות hub-spoke ו-Virtual WAN.
WAF בשכבה 7 הפרוס על Application Gateway או Front Door עם OWASP Core Rule Sets, כללים מותאמים אישית, הגנה מפני בוטים ומצבי זיהוי/מניעה לפי מדיניות.
מדוע הוא במבחן: שאלות מדומיין 2 + דומיין 3 על הגנת נקודות קצה ציבוריות מ-injection, scraping ו-L7 DDoS מציינות את WAF כהגנת הקצה המקומית של Azure.
EDR/EPP עבור Windows, macOS, Linux, iOS, Android — הפחתת שטח תקיפה, חקירה ותיקון אוטומטיים, ניהול פגיעויות וציד איומים.
מדוע הוא במבחן: דומיין 3 (אבטחת מחשוב) ודומיין 4 מציגים את MDE כהגנה ברמת עומס העבודה המזינה את Defender for Cloud ו-Defender XDR באותות מנקודות קצה.
הגנת DDoS מובנית בפלטפורמה (חינם) בתוספת SKUs של Network ו-IP Protection המוסיפים טלמטריה ברמת האפליקציה, הבטחות להגנת עלויות וגישה מהירה ל-SRT.
מדוע הוא במבחן: דומיין 2 מבחין בין השכבה החינמית הזמינה תמיד לבין Network/IP Protection בתשלום — תרחיש בחינה חוזר על חיזוק אבטחת עומסי עבודה הפונים לציבור.
שירות jumpbox מנוהל המתווך גישת RDP/SSH למכונות וירטואליות דרך הפורטל או לקוח מקורי, ללא חשיפת כתובות IP ציבוריות או פתיחת כללי NSG נכנסים.
מדוע הוא במבחן: תרחישי גישה מאובטחת בדומיין 2 + דומיין 3 מציינים את Bastion כתשובה לניהול מכונות וירטואליות ללא תשתית jumpbox או כתובות IP ציבוריות.
גישת IP פרטית לשירותי Azure PaaS (אחסון, SQL, Key Vault וכו') ושירותי שותפים דרך תשתית Microsoft, המבטלת חשיפה לאינטרנט הציבורי.
מדוע הוא במבחן: דומיין 2 + דומיין 3 בוחנים את Private Endpoint כדפוס הקנוני להסרת נקודות קצה ציבוריות משירותי PaaS תוך שמירה על פונקציונליות השירות.
ACLs שמירת מצב (stateful) בשכבות 3/4 בהיקף רשת משנה או NIC עם כללי אישור/מניעה ממוינים לפי עדיפות, קבוצות אבטחת יישומים (ASGs) ולוגי זרימת NSG עבור חקירות פורנזיות.
מדוע הוא במבחן: דומיין 2 (אבטחת רשת) בוחן קדימות כללי NSG, פילוח מבוסס ASG ואיסוף לוגי זרימה לביקורת תעבורה כמעט בכל טופס.
תוכניות הגנה ברמת עומס עבודה ב-Defender for Cloud — Defender for Servers (שילוב MDE), Storage (סריקת תוכנות זדוניות), SQL (זיהוי פגיעויות + איומים), Containers (זמן ריצה מודע ל-Kubernetes).
מדוע הוא במבחן: דומיין 3 (אבטחת מחשוב, אחסון ומסדי נתונים) עוסק בעיקר בבחירת תוכנית Defender הנכונה עבור כל שכבת עומס עבודה וכיוונון ההתראות שלה.
זיהוי איומי AD מקומיים — אותות של pass-the-hash, pass-the-ticket, golden ticket, סיור ותנועה רוחבית מתעבורת בקר דומיין.
מדוע הוא במבחן: שאלות מדומיין 1 + דומיין 4 על זיהוי פשרה של זהות היברידית מציינות את Defender for Identity כחיישן האיומים המודע ל-AD המזין את Defender XDR.
תוויות רגישות, הצפנה ומדיניות מניעת אובדן נתונים (DLP) על פני Microsoft 365, Endpoint DLP ומקורות נתונים של Azure — גילוי, סיווג ואכיפה.
מדוע הוא במבחן: דומיין 3 (אבטחת מחשוב, אחסון ומסדי נתונים) מציין את Purview IP + DLP כשכבת סיווג הנתונים וההגנה במנוחה/בתנועה עבור תוכן רגיש.
רישום מנוהל עם סריקת תמונות של Defender for Containers, אמון תוכן, מדיניות שמירה ושכפול גיאוגרפי עבור נתיבי משיכה מרובי אזורים.
מדוע הוא במבחן: תרחישי מכולות (containers) בדומיין 3 מציינים את ACR עם סריקת Defender כתשובה לשרשרת אספקה מאובטחת עבור הפצת תמונות Kubernetes/AKS.
מאגר מנוהל לסודות, אישורים ומפתחות מגובים בתוכנה או ב-HSM עם RBAC משולב ב-Entra, מחיקה רכה, הגנת מחיקה קבועה (purge protection) ותהליכי BYOK/HYOK.
מדוע הוא במבחן: דומיין 3 (אבטחת מחשוב, אחסון ומסדי נתונים) בוחן את Key Vault למשמורת מפתחות הצפנת TDE של חשבונות אחסון / מסדי נתונים ודפוסי מפתח בניהול לקוח (CMK).
ממשל הצהרתי עם השפעות deny/audit/deployIfNotExists, חבילות יוזמות (לדוגמה CIS, ISO 27001, NIST 800-53) ו-Blueprints עבור קווי בסיס סביבתיים.
מדוע הוא במבחן: דומיין 4 (ניהול פעולות אבטחה) מציין את Azure Policy כמנגנון האכיפה עבור קווי בסיס אבטחתיים, דרישות הצפנה ותיוג בקנה מידה.
מתווך אבטחת גישה לענן (CASB) — גילוי shadow-IT, ניהול תצורת SaaS, בקרות הפעלה באמצעות Conditional Access App Control ושילוב הגנת מידע.
מדוע הוא במבחן: דומיין 1 + דומיין 4 מציינים את Defender for Cloud Apps לממשל בצד ה-SaaS — גילוי אפליקציות לא מאושרות ואכיפת מדיניות הפעלה בזמן אמת ב-Microsoft 365 / SaaS מחובר.
טלמטריה מאוחדת — לוגי פעילות, הגדרות אבחון, מדדים ומרחבי עבודה של Log Analytics הנשאילתים באמצעות KQL; התשתית שאליה Sentinel ו-Defender for Cloud קולטים נתונים.
מדוע הוא במבחן: דומיין 4 (ניהול פעולות אבטחה) נשען על Azure Monitor לניתוב הגדרות אבחון למרחב עבודה מרכזי ושאילתות KQL המזינות כללי ניתוח של Sentinel.
$110k–$150k–$205k USD שנתי
הטווח מכסה מהנדסי אבטחת ענן בדרג ביניים עד בכיר בארה"ב, הדורשים מיומנות ב-Azure. מהנדסי אבטחת ענן בכירים בחברות FAANG / פינטק / תעשיות מפוקחות מגיעים לעתים קרובות ל-230 אלף דולר בשכר כולל. ההסמכה היא סימן סינון; ניסיון בתגובה לאירועי אבטחה בסביבת ייצור מניע את הקצה העליון של הטווח.
מקור: levels.fyi 2025 תפקידי אבטחת ענן / מהנדסי IAM, U.S. BLS OEWS מאי 2024 (15-1212 אנליסטים לאבטחת מידע), Glassdoor 2025. הנתונים משוערים; התגמול בפועל תלוי בתפקיד, באזור ובניסיון.
AZ-500 היא ההסמכה לאבטחת Azure המבוקשת ביותר במשרות פתוחות ואחת מבחינות האבטחה של מיקרוסופט בעלות הנפח הגבוה ביותר באופן כללי. הדרישה הואצה לאורך השנים 2024–2026 ככל שארגונים מאחדים כלי אבטחה ל-Microsoft Defender for Cloud ו-Microsoft Sentinel. מגייסים בשירותים פיננסיים, שירותי בריאות, קבלני ממשלה, וחברות ייעוץ שותפות של מיקרוסופט מתייחסים אליה כהוכחה הקנונית ליכולת באבטחת Azure. היא משתלבת באופן טבעי עם AZ-104 (השילוב הנפוץ ביותר עבור מנהלי מערכת בעלי נטייה לאבטחה), עם AZ-305 עבור אדריכלים בעלי נטייה לאבטחה, עם AZ-700 עבור מהנדסי אבטחת רשת, ועם SC-200 (אנליסט תפעול אבטחה) ו-SC-100 (אדריכל אבטחת סייבר) כדי להשלים את פורטפוליו האבטחה של מיקרוסופט.
אין דרישות קדם רשמיות. מיקרוסופט ממליצה על שנה עד שנתיים של ניסיון בניהול Azure בתוספת ידע מעשי בעקרונות זהות, רשתות ואבטחה. AZ-104 משלים מאוד — שאלות רבות ב-AZ-500 מניחות בקיאות ברמת מנהל Azure ב-Microsoft Entra, RBAC ורשתות ליבה. SC-900 הוא כלי עזר מושגי שימושי עבור מועמדים חדשים לאבטחת מיקרוסופט, אך אינו נדרש.
המסלול הרשמי של Microsoft Learn מכסה את כל ארבעת התחומים בכ-35–45 שעות. זמן מעבדה מעשי נדרש באופן מהותי: מינוי Azure אישי עם ניסיון של Microsoft Entra P2, Microsoft Defender for Cloud מופעל, וסביבת עבודה קטנה של Sentinel מאפשרים למועמדים לתרגל גישה מותנית, PIM, התראות אבטחה ושאילתות ציד KQL. מועמדים רבים משלימים עם הערכת התרגול הרשמית בתוספת קורס וידאו של צד שלישי.
AZ-500 יושבת ברמת ה-Associate ונחשבת בדרך כלל למאתגרת בינונית עד גבוהה — דומה ל-AZ-204 בקושי, קשה יותר מ-AZ-104 בפער משמעותי בהינתן העומק של תוכן Microsoft Entra ו-Sentinel. תכננו 80–120 שעות לימוד במשך 8–12 שבועות עם ניסיון קודם בניהול Azure; זמן רב יותר משמעותית ללא רקע זה. הבחינה אורכת כ-120 דקות — יותר מרוב בחינות ה-Associate — עם 40–60 שאלות בפורמטים של בחירה מרובה, מרובת תשובות, גרירה ושחרור, אזור חם, ומקרה מבחן.
אבן הנגף הנפוצה ביותר היא רוחב התכונות המתקדמות של Microsoft Entra — גישה מותנית, PIM, הגנת זהויות, ניהול זכויות וסקירות גישה לכל אחת יש משטחי תצורה נפרדים והבחינה בודקת הבדלים עדינים בתרחישים. שאילתות ציד KQL של Microsoft Sentinel ותצורת כללי ניתוח מפתיעות גם הן לעיתים קרובות מועמדים שניסיון ה-Azure היחיד שלהם הוא ניהולי.
עדכון המיומנויות הנמדדות האחרון. כיסוי מורחב של CSPM ב-Microsoft Defender for Cloud, נוסף תוכן ל-Microsoft Defender for Containers ו-DevOps, מסגור אוטומציה של Sentinel עבר מודרניזציה. מיקרוסופט מרענשת את AZ-500 בערך כל 12–18 חודשים ללא שינוי קוד הבחינה.
אורגן מחדש למבנה הנוכחי בן ארבעה תחומים, אוזן מחדש לכיוון פעולות אבטחה, שמות אזכורי Azure AD שונו ל-Microsoft Entra ID, ושולבו מושגי Microsoft Defender XDR מאוחדים.
זמינות כללית ראשונית (GA). המתאר המקורי התמקד ב-Azure AD, קבוצות אבטחת רשת, Azure Security Center, ו-Azure Sentinel (בתצוגה מקדימה באותה עת).
AZ-500 (Microsoft Azure Security Engineer Associate) הוא מבחן ברמת Associate מבחן קשה במידה, המצפה לניסיון מעשי בתוספת הבנה מוצקה של שיטות עבודה מומלצות. רוב המועמדים זקוקים ל-80–150 שעות לימוד הפרוסות על פני 6–12 שבועות עבור מבחני רמת Associate. רוב המועמדים שמקבלים ציונים באופן עקבי מעל סף המעבר במבחני תרגול עוברים בניסיון הראשון.
רוב המועמדים זקוקים ל-80–150 שעות לימוד הפרוסות על פני 6–12 שבועות עבור מבחני רמת Associate. משך הזמן למעבר משתנה מאוד בהתאם לניסיון קודם. מהנדסים בעלי ניסיון מעשי בסביבת ייצור בטכנולוגיה הבסיסית זקוקים בדרך כלל לפחות זמן; מועמדים חדשים לפלטפורמה צריכים לתכנן את לימודיהם לכיוון הקצה העליון של טווח זה.
AZ-500 הוא אישור מוכר במערכת האקולוגית של Azure ומסמן ידע מאומת למעסיקים, מגייסים ולקוחות. האם זה שווה את הזמן והעמלה עבורך תלוי בתפקיד ובמטרות שלך – זה נוטה להשתלם ביותר עבור מהנדסי ענן, אדריכלים ויועצים שעובדים עם Azure על בסיס יומיומי או רוצים לעבור לתפקידים כאלה.
ציון המעבר עבור AZ-500 הוא 700 / 1000. המבחן מכיל 50 שאלות ונמשך 2 שע'.
עמלת מבחן ה-AZ-500 היא $165 USD. העמלות נקבעות על ידי Azure ועשויות להשתנות לפי אזור; תמיד אשרו את המחיר הנוכחי בדף ההסמכה הרשמי של Azure לפני ההזמנה.
הסמכות מבוססות תפקיד של Microsoft פגות תוקף לאחר שנה אך ניתן לחדשן בחינם באמצעות הערכה מקוונת ללא פיקוח ב-Microsoft Learn, החל מ-6 חודשים לפני התפוגה.
כן. ניתן לגשת למבחן באופן מקוון (בפיקוח דרך הדפדפן המאובטח של הספק, זמין 24/7 ברוב האזורים) או במרכז בחינה פיזי של Pearson VUE בשעות הפעילות. שני הפורמטים משתמשים באותן שאלות, מגבלת זמן וציון מעבר.
CertLabPro מספק 15 מצבי לימוד על פני בנק השאלות לתרגול עבור AZ-500. מצב סימולציית המבחן משקף את המבחן האמיתי: 50 שאלות ב-2 שע', עם אותו סף מעבר של 700 / 1000. מצב עיון מאפשר לך לקרוא כל שאלה ותשובה באופן סטטי.