Microsoft Azure Security Engineer Associate
225 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
AZ-500 valida as habilidades diárias de um engenheiro de segurança Azure: gerenciar identidade e acesso através do Microsoft Entra, proteger redes, fortalecer computação / armazenamento / bancos de dados e executar operações de segurança com Microsoft Defender for Cloud e Microsoft Sentinel. O público-alvo são engenheiros de segurança e administradores Azure em atividade, especializados em segurança. O exame é focado na implementação — mais próximo do estilo do AZ-104 do que dos exames de design de nível especialista — com 40–60 questões em 120 minutos, incluindo arrastar e soltar, área interativa, múltipla escolha e pelo menos um estudo de caso com itens baseados em cenário que recompensam a experiência prática no portal.
O maior domínio, com 27%. Microsoft Entra ID (usuários, grupos, MFA, Acesso Condicional, PIM, Proteção de Identidade, B2B / B2C), aplicativos empresariais, registros de aplicativos, RBAC e funções personalizadas. Espere muitos cenários de Acesso Condicional.
Cerca de 23%. NSGs, ASGs, Azure Firewall, Web Application Firewall em Front Door / Application Gateway, Proteção contra DDoS, Private Endpoints / Private Link, Service Endpoints e Bastion. Grande foco em cenários de fluxo de tráfego.
Cerca de 22%. Fortalecimento de VMs, Azure Disk Encryption, Microsoft Defender for Servers, segurança de contêineres, segurança de contas de armazenamento (firewalls, SAS, criptografia, imutabilidade), Key Vault e segurança do Azure SQL (TDE, Always Encrypted, RLS).
Cerca de 28%. Microsoft Defender for Cloud (CSPM, CWPP, conformidade regulatória), Microsoft Sentinel (conectores de dados, regras de análise, pastas de trabalho, KQL hunting, automação), Azure Policy para segurança e alertas de segurança e resposta a incidentes integrados.
Serviços que você encontrará no exame e por que cada um importa.
Diretório de identidade na nuvem com usuários, grupos, registros de aplicativos, políticas de Acesso Condicional, MFA e Privileged Identity Management (PIM) para elevação just-in-time.
Por que está no exame: O Domínio 1 (Gerenciar Identidade e Acesso) é construído em torno do Entra ID — Acesso Condicional, imposição de MFA e ativação de PIM são os tópicos mais testados no exame.
Detecção de ameaças de identidade baseada em risco — risco de entrada, risco de usuário e sinais de viagem atípica alimentam políticas de Acesso Condicional para desafios e bloqueios adaptativos.
Por que está no exame: As questões do Domínio 1 sobre como responder a credenciais comprometidas e entradas arriscadas nomeiam o ID Protection como a fonte de sinal nativa do Azure.
CSPM + CWPP nativos da nuvem — Secure Score, painéis de conformidade regulatória, recomendações e planos do Defender para servidores, armazenamento, SQL, contêineres, App Service e DNS.
Por que está no exame: O Domínio 4 (Gerenciar Operações de Segurança) nomeia o Defender for Cloud como o painel único para gerenciamento de postura e proteção de cargas de trabalho em várias assinaturas.
SIEM e SOAR nativos da nuvem — conectores de dados, regras de análise (baseadas em KQL), análise de comportamento de entidades (UEBA), playbooks (Logic Apps) e triagem de incidentes.
Por que está no exame: O Domínio 4 testa o Sentinel como o SIEM do AZ-500 — configuração de conectores, autoria de regras de análise e automação de playbooks aparecem em quase todas as formas de exame.
Portal XDR unificado que correlaciona sinais do Defender for Endpoint, Identity, Office 365 e Cloud Apps em incidentes de domínio cruzado e investigações automatizadas.
Por que está no exame: O Domínio 4 (Gerenciar Operações de Segurança) distingue o Defender XDR (correlação entre produtos) do Sentinel (SIEM) — conhecer o limite é testado repetidamente.
Firewall gerenciado com estado de Camada-3/4/7 com filtragem FQDN, feeds de inteligência de ameaças, inspeção TLS (Premium), IDPS e gerenciamento centralizado de regras via Política de Firewall.
Por que está no exame: O Domínio 2 (Proteger Redes) nomeia o Azure Firewall como o plano de inspeção de egresso/ingresso em topologias hub-spoke e Virtual WAN.
WAF de Camada-7 implantado no Application Gateway ou Front Door com OWASP Core Rule Sets, regras personalizadas, proteção contra bots e modos de detecção/prevenção por política.
Por que está no exame: Questões do Domínio 2 + Domínio 3 sobre a proteção de endpoints web públicos contra injeção, scraping e DDoS L7 nomeiam o WAF como a defesa de borda nativa do Azure.
EDR/EPP para Windows, macOS, Linux, iOS, Android — redução da superfície de ataque, investigação e remediação automatizadas, gerenciamento de vulnerabilidades e caça a ameaças.
Por que está no exame: O Domínio 3 (Proteger Computação) e o Domínio 4 apresentam o MDE como a defesa no nível da carga de trabalho que alimenta o Defender for Cloud e o Defender XDR com sinais de endpoint.
Proteção DDoS de plataforma sempre ativa (gratuita) mais SKUs de Proteção de Rede e IP que adicionam telemetria de camada de aplicação, garantias de proteção de custos e acesso SRT de resposta rápida.
Por que está no exame: O Domínio 2 distingue o nível gratuito sempre ativo da Proteção de Rede/IP paga — um cenário de exame recorrente sobre o fortalecimento de cargas de trabalho voltadas para o público.
Jumpbox gerenciado que intermedia RDP/SSH para VMs via portal ou cliente nativo sem expor IPs públicos ou abrir regras de NSG de entrada.
Por que está no exame: Cenários de acesso seguro do Domínio 2 + Domínio 3 nomeiam o Bastion como a resposta para a administração de VMs sem infraestrutura de jumpbox ou IPs públicos.
Acesso por IP privado a PaaS do Azure (Storage, SQL, Key Vault, etc.) e serviços parceiros sobre o backbone da Microsoft, eliminando a exposição à internet pública.
Por que está no exame: O Domínio 2 + Domínio 3 testam o Private Endpoint como o padrão canônico para remover endpoints públicos de PaaS, preservando a funcionalidade do serviço.
ACLs com estado de Camada-3/4 no escopo da sub-rede ou NIC com regras de permitir/negar ordenadas por prioridade, application security groups (ASGs) e logs de fluxo de NSG para forense.
Por que está no exame: O Domínio 2 (Proteger Redes) testa a precedência de regras de NSG, a segmentação baseada em ASG e a captura de logs de fluxo para auditoria de tráfego em quase todas as formas.
Planos de proteção de nível de carga de trabalho no Defender for Cloud — Defender for Servers (integração MDE), Storage (verificação de malware), SQL (detecção de vulnerabilidades + ameaças), Containers (runtime compatível com Kubernetes).
Por que está no exame: O Domínio 3 (Proteger Computação, Armazenamento e Bancos de Dados) trata em grande parte de escolher o plano Defender correto por nível de carga de trabalho e ajustar seus alertas.
Detecção de ameaças do AD local — sinais de pass-the-hash, pass-the-ticket, golden ticket, reconhecimento e movimento lateral a partir do tráfego do controlador de domínio.
Por que está no exame: Questões do Domínio 1 + Domínio 4 sobre a detecção de comprometimento de identidade híbrida citam o Defender for Identity como o sensor de ameaças ciente do AD que alimenta o Defender XDR.
Rótulos de sensibilidade, criptografia e políticas de prevenção de perda de dados em Microsoft 365, Endpoint DLP e fontes de dados do Azure — descoberta, classificação e imposição.
Por que está no exame: O Domínio 3 (Proteger Computação, Armazenamento e Bancos de Dados) nomeia o Purview IP + DLP como a camada de classificação de dados e proteção em repouso/em trânsito para conteúdo sensível.
Registro gerenciado com varredura de imagem do Defender for Containers, confiança de conteúdo, políticas de retenção e geo-replicação para caminhos de pull multi-região.
Por que está no exame: Cenários de contêiner do Domínio 3 nomeiam o ACR com varredura do Defender como a resposta de cadeia de suprimentos segura para distribuição de imagens Kubernetes/AKS.
Repositório gerenciado para segredos, certificados e chaves baseadas em software ou HSM com RBAC integrado ao Entra, soft-delete, proteção contra purga e fluxos BYOK/HYOK.
Por que está no exame: O Domínio 3 (Proteger Computação, Armazenamento e Bancos de Dados) testa o Key Vault para a custódia de chaves de criptografia TDE de contas de armazenamento/bancos de dados e padrões de chaves gerenciadas pelo cliente (CMK).
Governança declarativa com efeitos deny/audit/deployIfNotExists, pacotes de Iniciativas (ex: CIS, ISO 27001, NIST 800-53) e Blueprints para linhas de base de ambiente.
Por que está no exame: O Domínio 4 (Gerenciar Operações de Segurança) nomeia o Azure Policy como o mecanismo de aplicação para linhas de base de segurança, requisitos de criptografia e marcação em escala.
Cloud Access Security Broker (CASB) — descoberta de shadow IT, gerenciamento de postura SaaS, controles de sessão via Conditional Access App Control e integração de proteção de informações.
Por que está no exame: O Domínio 1 + Domínio 4 citam o Defender for Cloud Apps para governança no lado SaaS — descoberta de aplicativos não sancionados e imposição de políticas de sessão em tempo real em Microsoft 365 / SaaS conectado.
Telemetria unificada — logs de atividade, configurações de diagnóstico, métricas e workspaces do Log Analytics consultados via KQL; o substrato para onde o Sentinel e o Defender for Cloud ingerem dados.
Por que está no exame: O Domínio 4 (Gerenciar Operações de Segurança) utiliza o Azure Monitor para o roteamento de configurações de diagnóstico para um workspace central e consultas KQL que alimentam as regras de análise do Sentinel.
$110k–$150k–$205k USD anual
A faixa cobre engenheiros de segurança em nuvem de nível médio a sênior baseados nos EUA, onde a proficiência em Azure é exigida. Engenheiros de segurança em nuvem sênior em empresas FAANG / fintech / indústrias regulamentadas geralmente superam $230k de compensação total. A certificação é um sinal de triagem; a experiência em resposta a incidentes de segurança em produção impulsiona o limite superior.
Fonte: levels.fyi 2025 cloud security / IAM-engineer roles, U.S. BLS OEWS May 2024 (15-1212 information security analysts), Glassdoor 2025. Os valores são aproximados; a compensação real depende da função, região e experiência.
AZ-500 é a certificação de segurança Azure mais solicitada em descrições de cargo e um dos exames de segurança Microsoft de maior volume no geral. A demanda acelerou ao longo de 2024–2026 à medida que as empresas consolidam as ferramentas de segurança no Microsoft Defender for Cloud e no Microsoft Sentinel. Recrutadores de serviços financeiros, saúde, contratantes governamentais e consultorias parceiras da Microsoft a tratam como a prova canônica de competência em segurança Azure. Ela combina naturalmente com o AZ-104 (emparelhamento mais comum para administradores com foco em segurança), com o AZ-305 para arquitetos com foco em segurança, com o AZ-700 para engenheiros de segurança de rede e com o SC-200 (Security Operations Analyst) e o SC-100 (Cybersecurity Architect) para completar o portfólio de segurança da Microsoft.
Não há pré-requisitos formais. A Microsoft recomenda um a dois anos de experiência em administração Azure, além de conhecimento prático de identidade, redes e princípios de segurança. O AZ-104 é altamente complementar — muitas perguntas do AZ-500 pressupõem fluência em nível de administrador Azure com Microsoft Entra, RBAC e redes essenciais. O SC-900 é uma rampa conceitual útil para candidatos novos em segurança da Microsoft, mas não é obrigatório.
O caminho oficial do Microsoft Learn cobre todos os quatro domínios em aproximadamente 35–45 horas. O tempo de laboratório prático é essencialmente obrigatório: uma assinatura pessoal do Azure com teste do Microsoft Entra P2, Microsoft Defender for Cloud ativado e um pequeno workspace do Sentinel permite que os candidatos pratiquem Acesso Condicional, PIM, alertas de segurança e consultas de KQL hunting. Muitos candidatos complementam com a avaliação prática oficial, além de um curso em vídeo de terceiros.
O AZ-500 está no nível Associate e é amplamente considerado de desafio moderado a alto — comparável ao AZ-204 em dificuldade, mais difícil que o AZ-104 por uma margem significativa dada a profundidade do conteúdo do Microsoft Entra e do Sentinel. Planeje 80–120 horas de estudo ao longo de 8–12 semanas com experiência prévia em administração Azure; substancialmente mais longo sem essa bagagem. O exame dura cerca de 120 minutos — mais longo que a maioria dos exames de associado — com 40–60 questões em formatos de múltipla escolha, múltipla resposta, arrastar e soltar, área interativa e estudo de caso.
O obstáculo mais comum é a amplitude dos recursos avançados do Microsoft Entra — Acesso Condicional, PIM, Proteção de Identidade, Gerenciamento de Direitos e Análises de Acesso, cada um com superfícies de configuração distintas, e o exame testa diferenças sutis de cenário. Consultas de KQL hunting do Microsoft Sentinel e a configuração de regras de análise também frequentemente surpreendem candidatos cuja única experiência no Azure é administrativa.
Atualização mais recente das habilidades medidas. Cobertura expandida de CSPM do Microsoft Defender for Cloud, adição de conteúdo do Microsoft Defender for Containers e DevOps, modernização da estrutura de automação do Sentinel. A Microsoft atualiza o AZ-500 aproximadamente a cada 12–18 meses sem alterar o código do exame.
Reestruturado para o layout atual de quatro domínios, reequilibrado para operações de segurança, referências do Azure AD renomeadas para Microsoft Entra ID e conceitos unificados do Microsoft Defender XDR integrados.
Lançamento GA inicial. O esboço original focava em Azure AD, grupos de segurança de rede, Azure Security Center e Azure Sentinel (visualização na época).
AZ-500 (Microsoft Azure Security Engineer Associate) é um exame de nível Associate um exame de dificuldade moderada que exige experiência prática e um sólido entendimento das melhores práticas. A maioria dos candidatos precisa de 80 a 150 horas de estudo distribuídas em 6 a 12 semanas para exames de nível associado. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 80 a 150 horas de estudo distribuídas em 6 a 12 semanas para exames de nível associado. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
AZ-500 é uma credencial reconhecida no ecossistema Azure e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com Azure diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para AZ-500 é 700 / 1000. O exame contém 50 questões e dura 2 h.
A taxa do exame AZ-500 é $165 USD. As taxas são definidas por Azure e podem variar por região; sempre confirme o preço atual na página oficial de certificação Azure antes de agendar.
As certificações Microsoft baseadas em função expiram após 1 ano, mas podem ser renovadas gratuitamente por meio de uma avaliação online não supervisionada no Microsoft Learn, a partir de 6 meses antes do vencimento.
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para AZ-500. O modo de simulação de exame espelha o exame real: 50 questões em 2 h, com o mesmo limite de aprovação de 700 / 1000. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.