Microsoft Security Operations Analyst
225 שאלות תרגול
נבדק לאחרונה: April 2026
הערות אישיות וקישורים למשאבים למסע הלמידה שלך
סנן לפי הסמכה
Microsoft Security Operations Analyst (SC-200) היא בחינה מבוססת תפקיד ברמת Associate המאמתת מיומנויות מעשיות עבור אנליסטי SOC המאתרים איומים, מתעדפים התראות ומגיבים לאירועים באמצעות Microsoft Sentinel, Microsoft Defender XDR ו-Microsoft Defender for Cloud. קהל היעד הוא אנליסטי SOC ומגיבי אירועים פעילים – לא כלליים – והבחינה משקפת זאת עם שאלות מרובות תרחישים בנושאי שאילתות KQL, כללי ניתוח, ספרי אוטומציה, הפחתת שטח תקיפה, וחקירת מוצרים מרובים על פני נקודות קצה, זהות, דוא"ל ועומסי עבודה בענן. SC-200 הוא אישור ה-Microsoft-stack הסטנדרטי עבור אנליסטים ברמות 1–2 ונכלל יותר ויותר כדרישה מועדפת או חובה במודעות דרושים של מרכזי SOC ארגוניים.
הגדרת Microsoft Sentinel (סביבות עבודה, מחברי נתונים, רשימות מעקב, מודיעין איומים) ו-Defender XDR (גישה מבוססת תפקידים, הגדרות התראה ואירוע, זיהויים מותאמים אישית). כ-25% מהבחינה. צפו לפרטים ספציפיים לגבי איזה מחבר קולט אילו נתונים וכיצד Sentinel ו-Defender XDR משתלבים באמצעות הפורטל המאוחד.
כוונון זיהויים ב-Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps ו-Defender for Cloud. כללי ניתוח מותאמים אישית ב-Sentinel (מתוזמנים, NRT, Fusion, מבוססי ML). כ-20% מהבחינה — התחום המכיל את רוב שאילתות KQL.
התחום הגדול ביותר (30%). תעדוף וחקירה על פני Defender XDR ו-Sentinel, אוטומציה באמצעות ספרי אוטומציה (Logic Apps), Microsoft Security Copilot עבור זרימות עבודה של SOC, ומחזור חיי האירוע מקצה לקצה מקורלציית התראות ועד לסגירה וסקירה לאחר האירוע.
איתור איומים באמצעות KQL על פני סכמת הציד המתקדם, ציד יזום באמצעות שאילתות וסימניות מובנות, מיפוי MITRE ATT&CK ושילוב מודיעין איומים. כ-25% מהבחינה.
שירותים שתפגוש במבחן ומדוע כל אחד מהם חשוב.
SIEM ו-SOAR מבוססי ענן הבנויים על Azure שקולטים טלמטריה מכלל הנכסים, צדים איומים באמצעות KQL, ומתזמרים תגובה דרך כללי אוטומציה ו-Playbooks.
מדוע הוא במבחן: דומיין 1 (ניהול סביבת פעולות אבטחה) מתבסס על Sentinel כ-SIEM/SOAR — צפו לשאלות על data-connector, סביבת עבודה ו-content-hub.
חבילת הגנה מאוחדת לפני ואחרי פריצה שמתאמת אותות מנקודות קצה, זהויות, דוא"ל, יישומי ענן ונתונים לתור אירועים וגרף יחיד.
מדוע הוא במבחן: דומיין 3 (ניהול תגובה לאירועים) נסמך על Defender XDR כמשטח חקירת האירועים חוצה העומסים — מיזוג אירועים, ראיות וציד בגרף.
EDR ארגוני עם צמצום שטח תקיפה, אנטי-תוכנות זדוניות מהדור הבא, חקירה אוטומטית, תגובה בזמן אמת וציד מתקדם על פני Windows, macOS, Linux, iOS, Android.
מדוע הוא במבחן: דומיין 4 (ניהול איומי אבטחה) מציין את Defender for Endpoint כשכבת ה-EDR לזיהוי איומים על מכשירים, בידוד ואיסוף ראיות פורנזיות.
CNAPP המספק ניהול מצב אבטחה (CSPM) והגנת עומסי עבודה (CWP) על פני Azure, AWS ו-GCP, המציג המלצות והתראות בזמן ריצה לתוך Defender XDR.
מדוע הוא במבחן: דומיין 2 (הגדרת הגנות וזיהויים) בוחן הפעלת תוכניות CWP ותיקון CSPM — Defender for Cloud הוא הבקרה המצוינת עבור התראות עומסי עבודה מרובי עננים.
הגנה על תיבות דואר של Microsoft 365, Teams, SharePoint ו-OneDrive מפני פישינג, BEC וקבצים מצורפים זדוניים באמצעות Safe Links, Safe Attachments ו-Attack Simulation Training.
מדוע הוא במבחן: דומיין 2 + דומיין 4 מכסים איומי דוא"ל/שיתוף פעולה — Defender for Office 365 מספק את שאילתות Threat Explorer ובקרות המדיניות שאנליסטים ב-SOC מתחקרים.
זיהוי איומים ב-Active Directory מקומי המציג פעולות סיור, תנועה רוחבית, ניצול Kerberos ושליטה על דומיינים מתעבורת בקרי דומיין.
מדוע הוא במבחן: דומיין 4 מכסה איומי זהות היברידית — Defender for Identity היא שכבת הזיהוי הממוקדת ב-AD המצוינת המזינה אירועים לתוך Defender XDR.
סוכן אבטחת גישת ענן (CASB) המגלה Shadow IT, מיישם בקרות סשן באמצעות reverse proxy, ומגן על SaaS מאושר עם מחברי API ומנועי מדיניות.
מדוע הוא במבחן: דומיין 2 ממסגר תרחישי איומי SaaS — Defender for Cloud Apps היא הבקרה המצוינת לגילוי Shadow IT ובקרת יישומים בגישה מותנית.
ניטור רשת OT/IoT ללא סוכן (לשעבר CyberX) בתוספת סוכני יצרני מכשירים המזהים התנהגות חריגה על פלחי IoT תעשייתיים וארגוניים.
מדוע הוא במבחן: דומיין 4 מכסה תרחישי איומי OT/IoT — Defender for IoT היא הפלטפורמה המצוינת לנראות מודל Purdue וזיהויים מודעי ICS.
שפת שאילתות לקריאה בלבד עבור Log Analytics, Sentinel וציד מתקדם של Defender — תחביר pipe-and-filter מעל טבלאות אירועים מסכומות לחקירה ad-hoc ומתוזמנת.
מדוע הוא במבחן: כל דומיין מניח בקיאות ב-KQL — חקירת אירועים בדומיין 3 וציד איומים בדומיין 4 מצפים ממועמדים לקרוא ולחבר שאילתות KQL.
סוגי כללים מתוזמנים, NRT, מיקרוסופט, התנהגותיים של ML ו-Fusion שהופכים שאילתות KQL ותבניות מובנות להתראות ואירועים בתוך Sentinel.
מדוע הוא במבחן: דומיין 2 בוחן במפורש סוגי כללי ניתוח, כוונון רמת חומרה ולוגיקת קיבוץ אירועים בעת קביעת תצורה של זיהויים.
תהליכי עבודה של Logic Apps המופעלים על ידי אירועים, התראות או פעולות אנליסטים — המאפשרים אוטומציה של העשרה, יצירת כרטיסים, השבתת חשבונות והכלה של מארחים.
מדוע הוא במבחן: דומיין 3 מכסה אוטומציית SOAR; Playbooks הם התשובה המצוינת לתגובה אוטומטית ואישורים של אדם בלולאה הקשורים לכללי אוטומציה.
לוחות מחוונים הניתנים להתאמה אישית הבנויים על Azure Monitor Workbooks המציגים נתוני Sentinel, כיסוי MITRE ומדדי KPI של אנליסטים על פני סביבת עבודה אחת או רבות.
מדוע הוא במבחן: דומיין 1 בוחן דיווח SOC והצגת כיסוי MITRE — Workbooks מספקים את משטח הטלמטריה המצוין לדיווח ברמת אנליסט ומנהל.
נתוני ייחוס מנוהלים (משתמשי VIP, עובדים שפוטרו, IOC feeds, רמות נכסים) המצורפים לכללי ניתוח ושאילתות ציד באמצעות אופרטור ה-KQL `_GetWatchlist`.
מדוע הוא במבחן: דומיין 2 מציין Watchlists בעת הגדרת היקף זיהויים לנכסים ספציפיים או החרגת רעש מכללי בסיס.
פורטל מודיעין איומים (לשעבר RiskIQ) שממפה תשתית יריבים, אינדיקטורים ומאמרים לתוך Defender XDR ו-Sentinel באמצעות מחברי TI.
מדוע הוא במבחן: דומיין 4 בוחן קליטת IOC וייחוס יריבים — Defender TI הוא המקור המצוין עבור הזנות אינדיקטורים מנוהלות ופרופילי גורמי איום.
מגלה באופן רציף נכסים חשופים לאינטרנט (דומיינים, מארחים, תעודות, IP blocks) הניתנים לייחוס לארגון ומציג סיכונים הניתנים לצפייה חיצונית.
מדוע הוא במבחן: דומיין 4 מכסה תרחישי שטח תקיפה חיצוני — Defender EASM הוא הכלי המצוין לגילוי נכסי צל מעבר לנכסים המנוהלים.
הערכת פגיעות מבוססת סיכונים עבור נכסי Defender for Endpoint, עם מלאי CVE, ניקוד בסיס אבטחה, מלאי תוכנה ותהליכי עבודה של בקשות תיקון.
מדוע הוא במבחן: דומיין 4 ממסגר תעדוף פגיעות ומעקב אחר תיקונים — Defender VM הוא עומס העבודה המצוין המשולב עם Intune לטיפול בפניות.
ספק זהויות בענן המאמת משתמשים ועומסי עבודה ופולט את אותות הכניסה, הביקורת והגנת הזהות ש-Sentinel ו-Defender XDR מתאמים במהלך אירועים.
מדוע הוא במבחן: הגדרת היקף אירועים בדומיין 3 מתמקדת שוב ושוב באותות משתמשים, כניסה וסיכון מ-Entra ID — אנליסטים צריכים לקרוא את הלוגים הללו וליישם פעולות הכלה כמו איפוס סיסמה / ביטול סשנים.
צינור טלמטריה וסביבת עבודה של Log Analytics מבוססת KQL ש-Sentinel פועל עליה — כללי איסוף נתונים, לוגים מותאמים אישית ומדיניות שמירה כולם זורמים דרך שכבה זו.
מדוע הוא במבחן: דומיין 1 בוחן ארכיטקטורת סביבת עבודה, קליטת לוגים ועמידות נתונים — הגדרות ספציפיות ל-Sentinel יושבות מעל יסודות Azure Monitor / Log Analytics.
מישור ניהול חוצה דיירים שמאפשר ל-MSSP או ל-SOC מרכזי לנהל סביבות עבודה של Sentinel, Defender for Cloud ומשאבי Azure על פני דיירי לקוחות עם RBAC מואצל.
מדוע הוא במבחן: דומיין 1 מכסה תרחישי SOC מרובי דיירים — Lighthouse היא הפלטפורמה המצוינת לגישת Sentinel חוצת דיירים בסגנון MSSP.
מנוע מצב תאימות מובנה בתוך Defender for Cloud שממפה המלצות למסגרות (CIS, ISO 27001, NIST 800-53, PCI DSS) ועוקב אחר תיקונים לאורך זמן.
מדוע הוא במבחן: דומיין 1 מציג מצב תאימות כאחריות מנהל SOC — Defender for Cloud Regulatory Compliance הוא לוח המחוונים המצוין שאנליסטים ומנהלים מתייחסים אליו.
$85k–$120k–$165k USD שנתי
הטווח מכסה תפקידי אנליסט SOC, הנדסת זיהוי ותפקידים ממוקדי Sentinel בארה"ב. אנליסטים ברמה 1 ושווקים שאינם בחוף נוטים לשכר נמוך יותר; מהנדסי זיהוי בכירים וציידי איומים בארגונים גדולים או MSSP נוטים לשכר גבוה יותר. SC-200 לבדו אינו משנה את המספר – שליטה מוכחת ב-KQL וניסיון קודם בתגובה לאירועים הם המניעים העיקריים.
מקור: U.S. BLS OEWS May 2024 (15-1212 אנליסטים לאבטחת מידע, חציון ~120 אלף דולר), levels.fyi 2025–2026 תפקידי הנדסת אבטחה ו-SOC, (ISC)² מחקר כוח העבודה של אבטחת סייבר 2024. הנתונים משוערים; התגמול בפועל תלוי בתפקיד, באזור ובניסיון.
Microsoft Sentinel ו-Defender XDR פרוסים בחלק ניכר ממרכזי SOC של חברות בינוניות וארגונים גדולים, מכיוון שהם משתלבים באופן טבעי על גבי תשתית קיימת של Microsoft 365 ו-Azure, ועובדה זו הפכה את SC-200 לאחד מהאישורים המוכרים ביותר לאנליסט SOC. מגייסים משתמשים בו כאות סינון לתפקידי אנליסטים ברמה 1 ו-2, הנדסת זיהוי, ויישום Sentinel, ו-MSSPs מרבים לציין אותו כאישור מועדף עבור מהנדסים המפעילים את Sentinel כשירות מנוהל. נתוני כוח העבודה של (ISC)² מראים דרישה בלתי מסופקת קבועה לכישרונות בתחום אבטחת התפעול עד 2024–2026, מה ששומר על אטרקטיביות בעלי SC-200 גם בתחילת דרכם המקצועית. שילוב SC-200 עם AZ-500 או SC-300 מחזק משמעותית את קורות החיים לתפקידי SOC בכירים ולתפקידי זיהוי ממוקדי זהות.
אין דרישות קדם מחייבות, אך מיקרוסופט ממצבת את SC-200 כבחינה מבוססת תפקיד המניחה ניסיון עבודה כאנליסט אבטחת תפעול — כלומר, חשיפה אמיתית לתעדוף התראות, שאילתות KQL, ולפחות לאחד מבין Microsoft Sentinel, Defender XDR, או Defender for Cloud בסביבת ייצור. מועמדים ללא ניסיון SOC נכשלים באופן שיטתי בניסיון הראשון.
נתיב ההכנה המומלץ הוא SC-900 תחילה (להשגת אוצר מילים משותף על פני ערימת האבטחה של מיקרוסופט), ולאחר מכן 3–6 חודשים של עבודה מעשית בסביבת עבודה של Sentinel ובפורטל Defender — אפילו מעבדת אישית הבנויה על דייר מפתחים של Microsoft 365 בתוספת חשבון Azure חי מספיקה לתרגול הגדרת מחברים, כללי ניתוח וציד KQL. Microsoft Learn מספק נתיב למידה חינם של 18–25 שעות עם מעבדות משולבות המשקפות מקרוב תרחישי בחינה; שילובו עם הערכת התרגול הרשמית ובנק שאלות של צד שלישי לזיהוי תבניות KQL הוא המסלול היעיל ביותר.
SC-200 נחשב בינוני לפי סטנדרטי ה-Associate של מיקרוסופט — קשה יותר מ-AZ-500 במומחיות KQL, קל יותר מ-SC-100 בהיקף. תכננו 60–100 שעות לימוד על פני 6–10 שבועות אם יש לכם חשיפה כלשהי ל-SOC, או 100–150 שעות אם אתם מתחילים מאפס. הבחינה אורכת 100–120 דקות עם כ-40–60 שאלות, כולל פורמטים של בחירה מרובה, תגובה מרובה, גרירה ושחרור, ומקרי בוחן; ציון עובר הוא 700/1000 במודל המדורג של מיקרוסופט.
שני המכשולים העיקריים הם שליטה ב-KQL ורוחב המוצרים. שאילתות KQL מופיעות ישירות בבחינה — עליכם לקרוא ולהבין שאילתות מול סכמות הציד המתקדם של Sentinel ו-Defender, לא רק לזהות מילות מפתח. רוחב המוצרים מאתגר מכיוון שמשפחת Defender משתרעת על פני נקודות קצה, זהות, Office 365, יישומי ענן ועומסי עבודה בענן, כל אחד עם ניואנסים פורטליים משלו וסיפור אינטגרציה עם Sentinel. מועמדים שמדלגים על מעבדות מעשיות ונסמכים רק על קורסי וידאו נוטים להיתקל בקשיים במקרי הבוחן.
זמינות כללית באפריל 2021. היעדים עודכנו מספר פעמים כדי לשקף את איחוד Defender לתוך Defender XDR, שינוי השם מ-Azure AD ל-Entra ID, הוספת Microsoft Security Copilot, וחוויית הפורטל המאוחדת של Defender + Sentinel. אישורים מבוססי תפקיד פגים שנה לאחר המעבר; החידוש הוא בחינם באמצעות הערכה מקוונת ללא פיקוח ב-Microsoft Learn.
SC-200 (Microsoft Security Operations Analyst) הוא מבחן ברמת Associate מבחן קשה במידה, המצפה לניסיון מעשי בתוספת הבנה מוצקה של שיטות עבודה מומלצות. רוב המועמדים זקוקים ל-80–150 שעות לימוד הפרוסות על פני 6–12 שבועות עבור מבחני רמת Associate. רוב המועמדים שמקבלים ציונים באופן עקבי מעל סף המעבר במבחני תרגול עוברים בניסיון הראשון.
רוב המועמדים זקוקים ל-80–150 שעות לימוד הפרוסות על פני 6–12 שבועות עבור מבחני רמת Associate. משך הזמן למעבר משתנה מאוד בהתאם לניסיון קודם. מהנדסים בעלי ניסיון מעשי בסביבת ייצור בטכנולוגיה הבסיסית זקוקים בדרך כלל לפחות זמן; מועמדים חדשים לפלטפורמה צריכים לתכנן את לימודיהם לכיוון הקצה העליון של טווח זה.
SC-200 הוא אישור מוכר במערכת האקולוגית של Microsoft ומסמן ידע מאומת למעסיקים, מגייסים ולקוחות. האם זה שווה את הזמן והעמלה עבורך תלוי בתפקיד ובמטרות שלך – זה נוטה להשתלם ביותר עבור מהנדסי ענן, אדריכלים ויועצים שעובדים עם Microsoft על בסיס יומיומי או רוצים לעבור לתפקידים כאלה.
ציון המעבר עבור SC-200 הוא 700 / 1000. המבחן מכיל 50 שאלות ונמשך 2 שע'.
עמלת מבחן ה-SC-200 היא $165 USD. העמלות נקבעות על ידי Microsoft ועשויות להשתנות לפי אזור; תמיד אשרו את המחיר הנוכחי בדף ההסמכה הרשמי של Microsoft לפני ההזמנה.
הסמכות מבוססות תפקיד של Microsoft פגות תוקף לאחר שנה אך ניתן לחדשן בחינם באמצעות הערכה מקוונת ללא פיקוח ב-Microsoft Learn, החל מ-6 חודשים לפני התפוגה.
כן. ניתן לגשת למבחן באופן מקוון (בפיקוח דרך הדפדפן המאובטח של הספק, זמין 24/7 ברוב האזורים) או במרכז בחינה פיזי של Pearson VUE בשעות הפעילות. שני הפורמטים משתמשים באותן שאלות, מגבלת זמן וציון מעבר.
CertLabPro מספק 15 מצבי לימוד על פני בנק השאלות לתרגול עבור SC-200. מצב סימולציית המבחן משקף את המבחן האמיתי: 50 שאלות ב-2 שע', עם אותו סף מעבר של 700 / 1000. מצב עיון מאפשר לך לקרוא כל שאלה ותשובה באופן סטטי.