SC-200 vs AZ-500: qual certificação de segurança Microsoft primeiro?
A AZ-500 é para engenheiros de cloud que configuram a segurança do Azure. A SC-200 é para analistas SOC que vivem dentro do Sentinel. Veja qual delas se encaixa realmente no seu trabalho.
Se você precisa escolher uma certificação de segurança Microsoft e não sabe qual, aqui está a versão resumida: AZ-500 se você constrói e configura recursos do Azure, SC-200 se você investiga alertas e caça ameaças. Ambas custam US$ 165, ambas são baseadas em função de nível associado, ambas são razoavelmente difíceis. Elas cobrem áreas sobrepostas — identidade, rede, Sentinel — mas o trabalho diário ao qual se aplicam é genuinamente diferente, e escolher a errada significa estudar para o trabalho de outra pessoa.
Recebo esta pergunta com frequência suficiente para que valha a pena um post completo em vez de uma resposta de uma linha.
O que é a AZ-500
A AZ-500 — Microsoft Certified: Azure Security Engineer Associate — testa sua capacidade de implementar controles de segurança em todo o Azure. O blueprint atual se divide aproximadamente em:
- Gerenciar identidade e acesso (~25–30%): Entra ID, Acesso Condicional, PIM, identidades gerenciadas, configuração de MFA.
- Proteger redes (~20–25%): NSGs, ASGs, Azure Firewall, WAF no Front Door / App Gateway, private endpoints, proteção contra DDoS.
- Proteger computação, armazenamento, bancos de dados (~20–25%): Defender for Cloud, criptografia de disco, hardening de armazenamento, Key Vault, SQL TDE / Always Encrypted.
- Gerenciar operações de segurança (~25–30%): Noções básicas do Sentinel, pontuação de segurança do Defender for Cloud, Azure Policy, painéis de conformidade regulatória.
É abrangente. As perguntas parecem práticas para múltipla escolha — estudos de caso no início do exame forçam você a trabalhar em um ambiente hipotético de uma empresa. KQL é leve. Sentinel é leve. O centro de gravidade é "configurar recursos do Azure para serem seguros".
O que é a SC-200
A SC-200 — Microsoft Certified: Security Operations Analyst Associate — testa sua capacidade de operar uma pilha de segurança Microsoft no dia a dia. Blueprint atual:
- Mitigar ameaças usando o Microsoft Defender XDR (~25–30%): Defender for Endpoint, Office 365, Cloud Apps, Identity. Investigação, triagem, resposta.
- Mitigar ameaças usando o Defender for Cloud (~15–20%): proteção de cargas de trabalho na nuvem, pontuação de segurança, conformidade regulatória sob a ótica de um analista.
- Mitigar ameaças usando o Microsoft Sentinel (~50–55%): conectores de dados, regras de análise, hunting queries, workbooks, playbooks, SOAR, KQL — KQL pesado.
O centro de gravidade do exame é o Sentinel. Se você não conseguir escrever ou ler KQL fluentemente até o dia do exame, terá dificuldades. Os estudos de caso frequentemente apresentam uma query e perguntam o que ela retorna, ou apresentam um cenário e perguntam qual operador KQL você usaria para refiná-lo.
O mapeamento de funções
Esta é a parte que ninguém coloca claramente na página de marketing:
| Se o seu cargo é... | Faça este primeiro |
|---|---|
| Cloud Engineer / DevOps Engineer / Platform Engineer | AZ-500 |
| Security Engineer (focado em configuração) | AZ-500 |
| Administrador Azure que busca especialização | AZ-500 |
| SOC Analyst / Analista Nível 1–2 | SC-200 |
| Threat Hunter / Detection Engineer | SC-200 |
| Incident Responder | SC-200 |
| TI Generalista / quer ambos eventualmente | AZ-500 primeiro |
| Profissional em transição de carreira para segurança | SC-200 (mais demanda em nível júnior) |
A razão pela qual a AZ-500 é prioridade para a maioria das funções de cloud é que ela cobre mais terreno que uma pessoa não puramente de segurança realmente precisa saber. Se você é um engenheiro de cloud que ocasionalmente lida com questões de segurança, a AZ-500 o torna melhor em seu trabalho diário. A SC-200 só compensa se você estiver na frente do Sentinel na maioria dos dias.
Dificuldade: aproximadamente igual, com formatos diferentes
Ambos os exames têm 40–60 questões, 100 minutos, preço de tabela de US$ 165 (com preços regionais caindo para cerca de US$ 80 em alguns mercados). Ambos têm renovação gratuita de 1 ano via uma avaliação online de 30 questões. Ambos utilizam estudos de caso, além de múltipla escolha / multi-seleção / arrastar e soltar padrão.
Onde eles diferem:
- A AZ-500 é mais ampla, a SC-200 é mais profunda. A AZ-500 pede que você saiba um pouco sobre muito — identidade, rede, computação, armazenamento, operações. A SC-200 pede que você saiba muito sobre o Sentinel e a suíte Defender especificamente.
- KQL é o diferencial da SC-200. A AZ-500 pede que você leia queries KQL e entenda os resultados. A SC-200 pede que você as escreva, otimize e depure. Se você nunca usou KQL, a SC-200 irá surpreendê-lo.
- A AZ-500 tem mais conteúdo de identidade. Acesso Condicional, PIM, Identidades Externas, Proteção de Identidade — os primeiros 25–30% da AZ-500 são pesados em identidade. A SC-200 aborda identidade, mas principalmente através da lente dos alertas do Defender for Identity.
As taxas de aprovação não são publicadas pela Microsoft, mas, anedoticamente, ambas ficam na faixa de 60–70% na primeira tentativa para candidatos preparados. A seção KQL da SC-200 é onde a maioria das pessoas perde pontos; os estudos de caso da AZ-500 são onde a maioria das pessoas perde pontos.
Tempo de preparação
| Histórico | AZ-500 | SC-200 |
|---|---|---|
| Engenheiro de segurança com experiência em Azure | 40–60 horas | 50–80 horas |
| Engenheiro Azure generalista | 80–100 horas | 100–130 horas |
| Analista SOC, pilha Microsoft | 80–100 horas | 50–80 horas |
| Novo no Azure | 150+ horas | 180+ horas |
A SC-200 tende a ser um pouco mais longa porque a "musculatura" de KQL precisa ser construída do zero para a maioria dos candidatos. Se você já é fluente em KQL ou outra linguagem de consulta com sintaxe semelhante (Splunk SPL se transfere razoavelmente bem), tire 20–30 horas.
Os caminhos oficiais do Microsoft Learn para ambos os exames são gratuitos e atuais. O canal de John Savill no YouTube tem vídeos de revisão para ambos. Para a SC-200 especificamente, "KQL from scratch" de Rod Trent é o recurso gratuito canônico para o conteúdo do Sentinel. Para a AZ-500, criar uma assinatura gratuita do Azure e clicar em Acesso Condicional, PIM, Defender for Cloud e Key Vault por conta própria é inegociável — as perguntas dos estudos de caso são quase impossíveis de responder sem familiaridade com o nível do portal.
Sinal de salário
Nenhuma das certificações move os salários diretamente em um sentido A/B limpo. Ambas abrem portas para entrevistas. De acordo com o BLS OEWS de maio de 2024, o salário médio dos Analistas de Segurança da Informação (15-1212) é de cerca de US$ 124 mil, e o percentil 90 é de cerca de US$ 182 mil. Funções de segurança em empresas que usam produtos Microsoft geralmente se agrupam na metade superior dessa faixa.
Dados de levels.fyi 2025–2026:
- Engenheiro de Segurança L62 da Microsoft, remuneração total de ~$230k.
- Especialista em Segurança L5 da AWS, remuneração total de ~$245k.
- Funções de engenheiro de segurança de nível médio fora da FAANG (Capital One, Stripe, Atlassian) tipicamente com salário base de $170k–$220k.
Profissionais com SC-200 em grandes empresas com SOCs maduros (bancos, saúde, contratados federais) frequentemente ganham mais do que a mediana salarial porque as funções de SOC 24 horas por dia, 7 dias por semana, incluem diferenciais de turno. Profissionais com AZ-500 tendem a se enquadrar nas faixas salariais padrão de engenharia de cloud.
A combinação de certificações que tende a pagar melhor em 2026 é AZ-500 + SC-200 + AZ-104 — ela sinaliza que você pode configurar o Azure, protegê-lo e operar a resposta. Fazer todas as três leva cerca de 200 horas ao longo de 6–9 meses e faz seu currículo passar pelos filtros na maioria dos empregadores que usam a pilha Microsoft.
O que eu faria
Se você está começando com um background em engenharia de cloud ou TI generalista, faça a AZ-500 primeiro. É mais abrangente, ensina mais sobre o Azure como plataforma, e a maioria dos trabalhos que exigem habilidades de segurança Microsoft pedem a AZ-500 pelo nome com mais frequência do que a SC-200.
Se você está começando em uma trilha de SOC ou analista — você já está executando queries em algum SIEM, você investiga alertas diariamente — faça a SC-200 primeiro. O conteúdo focado em configuração da AZ-500 parecerá um desvio que você ainda não precisa.
Se você pretende fazer ambas eventualmente, a ordem importa menos do que o intervalo entre elas. Não as separe por mais de 6 meses; a sobreposição em noções básicas de identidade e Sentinel recompensa a preparação consecutiva.
Quando estiver pronto para praticar, navegue pelo banco de questões da AZ-500 no CertLabPro, comece um exame cronometrado da SC-200, ou use ambos. O formato de estudo de caso da Microsoft é distintivo e o reconhecimento de padrões sob pressão de tempo é a parte que mais se beneficia de uma prática realista.