Microsoft Security Operations Analyst
225 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
Microsoft Security Operations Analyst (SC-200) é um exame baseado em função de nível associado que valida habilidades práticas para analistas de SOC que caçam ameaças, classificam alertas e respondem a incidentes usando Microsoft Sentinel, Microsoft Defender XDR e Microsoft Defender for Cloud. O público-alvo são analistas de SOC e respondedores a incidentes em atividade — não generalistas — e o exame reflete isso com perguntas ricas em cenários sobre consultas KQL, regras de análise, playbooks de automação, redução da superfície de ataque e investigação entre produtos em endpoint, identidade, e-mail e cargas de trabalho em nuvem. O SC-200 é a credencial padrão da pilha Microsoft para analistas de Nível 1–2 e é cada vez mais listado como preferencial ou obrigatório em anúncios de emprego de SOC empresarial.
Configuração do Microsoft Sentinel (workspaces, conectores de dados, watchlists, inteligência de ameaças) e do Defender XDR (acesso baseado em função, configurações de alerta e incidente, detecções personalizadas). Cerca de 25% do exame. Espere especificidades sobre qual conector ingere quais dados e como o Sentinel e o Defender XDR se integram via portal unificado.
Ajuste de detecções no Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps e Defender for Cloud. Regras de análise personalizadas no Sentinel (agendadas, NRT, Fusion, baseadas em ML). Cerca de 20% do exame — o domínio mais fortemente focado em KQL.
Maior domínio (30%). Classificação e investigação em Defender XDR e Sentinel, automação com playbooks (Logic Apps), Microsoft Security Copilot para fluxos de trabalho de SOC, e o ciclo de vida de incidentes de ponta a ponta, desde a correlação de alertas até o fechamento e revisão pós-incidente.
Caça a ameaças com KQL através do esquema de caça avançada, caças proativas usando consultas e marcadores integrados, mapeamento MITRE ATT&CK e integração de inteligência de ameaças. Cerca de 25% do exame.
Serviços que você encontrará no exame e por que cada um importa.
SIEM e SOAR nativos da nuvem construídos no Azure que ingerem telemetria em todo o patrimônio, caçam ameaças com KQL e orquestram a resposta via regras de automação e playbooks.
Por que está no exame: O Domínio 1 (Gerenciar um ambiente de operações de segurança) foca no Sentinel como SIEM/SOAR — espere perguntas sobre conectores de dados, workspaces e hubs de conteúdo.
Suite unificada de defesa pré e pós-violação que correlaciona sinais em endpoints, identidades, e-mail, aplicativos na nuvem e dados em uma única fila de incidentes e grafo.
Por que está no exame: O Domínio 3 (Gerenciar resposta a incidentes) depende do Defender XDR como superfície de investigação de incidentes entre cargas de trabalho — fusão de incidentes, evidências e caça no grafo.
EDR empresarial com redução da superfície de ataque, antimalware de próxima geração, investigação automatizada, resposta em tempo real e caça avançada em Windows, macOS, Linux, iOS, Android.
Por que está no exame: O Domínio 4 (Gerenciar ameaças de segurança) nomeia o Defender for Endpoint como a camada EDR para detecção de ameaças residentes em dispositivos, isolamento e coleta forense.
CNAPP que fornece gerenciamento da postura de segurança (CSPM) e proteção de carga de trabalho (CWP) em Azure, AWS e GCP, exibindo recomendações e alertas de tempo de execução no Defender XDR.
Por que está no exame: O Domínio 2 (Configurar proteções e detecções) testa a habilitação do plano CWP e a remediação do CSPM — o Defender for Cloud é o controle nomeado para alertas de cargas de trabalho multinuvem.
Proteção para caixas de correio do Microsoft 365, Teams, SharePoint e OneDrive contra phishing, BEC e anexos maliciosos via Safe Links, Safe Attachments e Attack Simulation Training.
Por que está no exame: O Domínio 2 + Domínio 4 cobrem ameaças de e-mail/colaboração — o Defender for Office 365 fornece as consultas do Threat Explorer e os controles de política que os analistas SOC triam.
Detecção de ameaças no Active Directory local que revela reconhecimento, movimento lateral, abuso de Kerberos e domínio de controle de domínio a partir do tráfego do controlador de domínio.
Por que está no exame: O Domínio 4 cobre ameaças de identidade híbrida — o Defender for Identity é a camada de detecção focada no AD nomeada que alimenta incidentes no Defender XDR.
CASB (Cloud Access Security Broker) que descobre shadow IT, aplica controles de sessão via proxy reverso e protege SaaS sancionados com conectores API e mecanismos de política.
Por que está no exame: O Domínio 2 enquadra cenários de ameaças SaaS — o Defender for Cloud Apps é o controle nomeado para descoberta de shadow IT e Controle de Aplicativos de Acesso Condicional.
Monitoramento de rede OT/IoT sem agente (anteriormente CyberX) mais agentes de construtores de dispositivos que detectam comportamento anômalo em segmentos industriais e IoT empresariais.
Por que está no exame: O Domínio 4 cobre cenários de ameaças OT/IoT — o Defender for IoT é a plataforma nomeada para visibilidade do modelo Purdue e detecções ICS-aware.
Linguagem de consulta somente leitura para Log Analytics, Sentinel e caça avançada do Defender — sintaxe pipe-and-filter sobre tabelas de eventos esquematizadas para investigação ad-hoc e agendada.
Por que está no exame: Todo domínio pressupõe fluência em KQL — a investigação de incidentes do Domínio 3 e a caça a ameaças do Domínio 4 esperam que os candidatos leiam e criem consultas KQL.
Tipos de regras agendadas, NRT, Microsoft, comportamentais de ML e Fusion que transformam consultas KQL e modelos integrados em alertas e incidentes dentro do Sentinel.
Por que está no exame: O Domínio 2 testa explicitamente os tipos de regras de análise, ajuste de severidade e lógica de agrupamento de incidentes ao configurar detecções.
Fluxos de trabalho do Logic Apps acionados por incidentes, alertas ou ações de analistas — automatizam enriquecimento, criação de tickets, desativação de contas e contenção de hosts.
Por que está no exame: O Domínio 3 aborda a automação SOAR; os Playbooks são a resposta nomeada para resposta automatizada e aprovações human-in-the-loop vinculadas a regras de automação.
Dashboards personalizáveis construídos sobre Azure Monitor Workbooks que visualizam dados do Sentinel, cobertura MITRE e KPIs de analistas em um ou muitos workspaces.
Por que está no exame: O Domínio 1 testa relatórios SOC e visualização de cobertura MITRE — os Workbooks fornecem a superfície de telemetria nomeada para relatórios de analistas e líderes.
Dados de referência curados (usuários VIP, funcionários demitidos, feeds de IOC, camadas de ativos) unidos a regras de análise e consultas de caça via o operador KQL _GetWatchlist.
Por que está no exame: O Domínio 2 cita Watchlists ao restringir detecções a ativos específicos ou excluir ruído de regras de base.
Portal de inteligência de ameaças (anteriormente RiskIQ) que mapeia infraestrutura adversária, indicadores e artigos para o Defender XDR e Sentinel via conectores TI.
Por que está no exame: O Domínio 4 testa a ingestão de IOCs e a atribuição de adversários — o Defender TI é a fonte nomeada para feeds de indicadores curados e perfis de atores de ameaças.
Descobre continuamente ativos expostos à internet (domínios, hosts, certificados, blocos de IP) atribuíveis à organização e exibe riscos observáveis externamente.
Por que está no exame: O Domínio 4 cobre cenários de superfície de ataque externa — o Defender EASM é a ferramenta nomeada para descoberta de ativos sombra além do patrimônio gerenciado.
Avaliação de vulnerabilidades baseada em risco para patrimônios do Defender for Endpoint, com inventário de CVE, pontuação de linha de base de segurança, inventário de software e fluxos de trabalho de solicitação de remediação.
Por que está no exame: O Domínio 4 enquadra a priorização de vulnerabilidades e o rastreamento de remediação — o Defender VM é a carga de trabalho nomeada integrada ao Intune para emissão de tickets.
Provedor de identidade em nuvem que autentica usuários e cargas de trabalho e emite os sinais de entrada, auditoria e proteção de identidade que o Sentinel e o Defender XDR correlacionam durante incidentes.
Por que está no exame: O escopo do incidente do Domínio 3 pivota repetidamente em sinais de usuário, entrada e risco do Entra ID — os analistas precisam ler esses logs e aplicar ações de contenção como redefinição de senha / revogação de sessões.
Pipeline de telemetria e workspace Log Analytics com suporte KQL sobre o qual o Sentinel é executado — regras de coleta de dados, logs personalizados e políticas de retenção fluem por esta camada.
Por que está no exame: O Domínio 1 testa a arquitetura do workspace, ingestão de logs e residência de dados — configurações específicas do Sentinel ficam sobre os fundamentos do Azure Monitor / Log Analytics.
Plano de gerenciamento entre locatários que permite a um MSSP ou SOC central gerenciar workspaces do Sentinel, Defender for Cloud e recursos do Azure entre locatários de clientes com RBAC delegado.
Por que está no exame: O Domínio 1 cobre cenários SOC multi-locatário — o Lighthouse é a plataforma nomeada para acesso ao Sentinel entre locatários no estilo MSSP.
Mecanismo de postura de conformidade integrado dentro do Defender for Cloud que mapeia recomendações para frameworks (CIS, ISO 27001, NIST 800-53, PCI DSS) e rastreia a remediação ao longo do tempo.
Por que está no exame: O Domínio 1 apresenta a postura de conformidade como uma responsabilidade do gerente SOC — o Defender for Cloud Regulatory Compliance é o dashboard nomeado que analistas e líderes consultam.
$85k–$120k–$165k USD anual
A faixa abrange funções de analista de SOC, engenharia de detecção e funções focadas em Sentinel baseadas nos EUA. Analistas de Nível 1 e mercados não-costeiros tendem a salários mais baixos; engenheiros de detecção seniores e caçadores de ameaças em grandes empresas ou MSSPs tendem a salários mais altos. O SC-200 por si só não altera o número — a fluência demonstrada em KQL e a experiência prévia em resposta a incidentes são os maiores impulsionadores.
Fonte: U.S. BLS OEWS Maio 2024 (15-1212 analistas de segurança da informação, mediana ~$120k), níveis.fyi 2025–2026 funções de engenharia de segurança e SOC, (ISC)² Cybersecurity Workforce Study 2024. Os valores são aproximados; a compensação real depende da função, região e experiência.
O Microsoft Sentinel e o Defender XDR são implantados em uma grande parcela de SOCs de médio e grande porte porque se encaixam naturalmente em uma pegada existente do Microsoft 365 e Azure, e isso tornou o SC-200 uma das certificações de analista de SOC mais amplamente reconhecidas. Recrutadores a usam como um sinal de triagem para funções de analista de Nível 1 e Nível 2, engenharia de detecção e implementação do Sentinel, e os MSSPs frequentemente a listam como uma credencial preferencial para engenheiros que executam o Sentinel como um serviço gerenciado. Os dados da força de trabalho do (ISC)² mostram uma demanda persistente não preenchida por talentos em operações de segurança até 2024–2026, o que mantém os detentores do SC-200 atraentes mesmo no início da carreira. Combinar o SC-200 com AZ-500 ou SC-300 torna o currículo visivelmente mais forte para funções de SOC sênior e detecção focada em identidade.
Não há pré-requisitos obrigatórios, mas a Microsoft posiciona o SC-200 como um exame baseado em função que presume experiência de trabalho como analista de operações de segurança — significando exposição real à triagem de alertas, consultas KQL e pelo menos um dos Microsoft Sentinel, Defender XDR ou Defender for Cloud em um tenant de produção. Candidatos sem experiência em SOC geralmente falham na primeira tentativa.
O caminho de preparação recomendado é o SC-900 primeiro (para vocabulário compartilhado em toda a pilha de segurança da Microsoft), seguido de 3 a 6 meses de prática em um workspace do Sentinel e no portal do Defender — mesmo um laboratório pessoal construído em um tenant de desenvolvedor do Microsoft 365 mais uma conta gratuita do Azure é suficiente para praticar a configuração de conectores, regras de análise e caça com KQL. O Microsoft Learn oferece um caminho de aprendizado gratuito de 18 a 25 horas com laboratórios incorporados que espelham de perto os cenários do exame; combiná-lo com a avaliação prática oficial e um banco de questões de terceiros para reconhecimento de padrões KQL é a rota mais eficiente.
O SC-200 é moderado pelos padrões de associado da Microsoft — mais difícil que o AZ-500 em especificidade de KQL, mais fácil que o SC-100 em escopo. Planeje 60–100 horas de estudo ao longo de 6–10 semanas se você tiver alguma exposição a SOC, ou 100–150 horas se estiver começando do zero. O exame dura 100–120 minutos com aproximadamente 40–60 questões, incluindo formatos de múltipla escolha, múltipla resposta, arrastar e soltar e estudo de caso; a pontuação de aprovação é 700/1000 no modelo escalonado da Microsoft.
Os dois obstáculos são a fluência em KQL e a amplitude do produto. Consultas KQL aparecem diretamente no exame — você precisa ler e raciocinar sobre consultas contra os esquemas de caça avançada do Sentinel e Defender, não apenas reconhecer palavras-chave. A amplitude do produto é um desafio porque a família Defender abrange endpoint, identidade, Office 365, aplicativos em nuvem e cargas de trabalho em nuvem, cada um com suas próprias nuances de portal e história de integração com o Sentinel. Candidatos que pulam os laboratórios práticos e dependem apenas de cursos em vídeo tendem a encontrar dificuldades nos estudos de caso.
Disponibilidade geral em abril de 2021. Os objetivos foram atualizados várias vezes para refletir a consolidação do Defender no Defender XDR, a renomeação do Azure AD para Entra ID, a adição do Microsoft Security Copilot e a experiência unificada do portal Defender + Sentinel. As credenciais baseadas em função expiram um ano após a aprovação; a renovação é gratuita através de uma avaliação online não supervisionada no Microsoft Learn.
SC-200 (Microsoft Security Operations Analyst) é um exame de nível Associate um exame de dificuldade moderada que exige experiência prática e um sólido entendimento das melhores práticas. A maioria dos candidatos precisa de 80 a 150 horas de estudo distribuídas em 6 a 12 semanas para exames de nível associado. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 80 a 150 horas de estudo distribuídas em 6 a 12 semanas para exames de nível associado. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
SC-200 é uma credencial reconhecida no ecossistema Microsoft e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com Microsoft diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para SC-200 é 700 / 1000. O exame contém 50 questões e dura 2 h.
A taxa do exame SC-200 é $165 USD. As taxas são definidas por Microsoft e podem variar por região; sempre confirme o preço atual na página oficial de certificação Microsoft antes de agendar.
As certificações Microsoft baseadas em função expiram após 1 ano, mas podem ser renovadas gratuitamente por meio de uma avaliação online não supervisionada no Microsoft Learn, a partir de 6 meses antes do vencimento.
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para SC-200. O modo de simulação de exame espelha o exame real: 50 questões em 2 h, com o mesmo limite de aprovação de 700 / 1000. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.