Última revisão: maio de 2026
Construa os serviços da AWS do exame SC-200 com Terraform puro — um bloco de cada vez, cada um vinculado a um domínio do exame. O mesmo código funciona no OpenTofu.
Ao final deste laboratório, você terá provisionado, com Terraform puro, o substrato de referência SOC SC-200 — um workspace do Log Analytics como plano de dados, o Microsoft Sentinel integrado a esse workspace, uma regra analítica agendada que aciona um incidente em um padrão KQL de exemplo e uma regra de automação que é executada toda vez que um incidente é criado. Este é o substrato sobre o qual cada fluxo de trabalho de caça + resposta do SC-200 é executado.
Cole os trechos de código em um único main.tf, execute terraform init e, em seguida, terraform apply passo a passo.
>= 1.5 ou OpenTofu >= 1.6.az login).destroy funciona corretamente via Terraform.O preço do Sentinel é o principal fator de custo:
Aproximadamente US$0/mês no volume do laboratório. O Sentinel se torna caro em escala — a integração de um equivalente multi-servidor do CloudTrail (conectores do Defender XDR, conectores M365) facilmente atinge US$10 mil/mês para uma organização real.
Abertura padrão do Azure.
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
}
}
provider "azurerm" {
features {}
}
locals {
tags = {
Project = "certlabpro-sc-200"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-200-rg"
location = "eastus"
tags = local.tags
}O Microsoft Sentinel é uma camada acima de um workspace do Log Analytics — ele não possui seu próprio plano de dados. O domínio Gerenciar um ambiente Microsoft Sentinel do SC-200 enfatiza essa dependência: cada recurso do Sentinel lê/grava do workspace, cada conector de dados deposita dados nele, cada regra analítica executa KQL contra ele.
Nós provisionamos o workspace com a SKU PerGB2018 + o recurso azurerm_sentinel_log_analytics_workspace_onboarding para anexar o Sentinel. Depois disso, você conectaria fontes de dados (Atividade do Azure, entradas do Microsoft Entra ID, conectores do Defender XDR) via portal — elas têm uma área de superfície pesada e são mais fáceis de configurar via GUI do que via Terraform.
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc200"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
workspace_id = azurerm_log_analytics_workspace.main.id
}Regras analíticas são como o Sentinel transforma eventos de log brutos em incidentes. O SC-200 testa o reconhecimento do tipo de regra: Agendada (baseada em KQL, a mais comum), Incidente Microsoft (encaminha alertas do Defender XDR), Anomalia (baseada em ML), Inteligência de ameaças (correspondência de TI).
Nós criamos uma regra agendada com uma consulta KQL stub (a cada 5 minutos, olhando para os últimos 5 minutos — o formato quase em tempo real do SC-200). A consulta aqui é um placeholder (SecurityEvent | take 1); em produção, o KQL é a lógica real da regra — testando logins de viagem impossível, padrões de ataque de "password spray", escalonamentos de privilégio incomuns, etc.
O campo tactics mapeia a regra para a estrutura MITRE ATT&CK — necessário para a integração do Defender XDR e para fluxos de trabalho de caça que pivotam por tática.
resource "azurerm_sentinel_alert_rule_scheduled" "stub" {
name = "certlabpro-sc-200-stub-rule"
log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
display_name = "Stub rule — lab demonstration"
description = "Sample scheduled analytic rule for the SC-200 lab. Replace KQL with a real hunting pattern."
severity = "Medium"
enabled = true
query = "SecurityEvent | take 1"
query_frequency = "PT5M" # run every 5 minutes
query_period = "PT5M" # look back 5 minutes
trigger_operator = "GreaterThan"
trigger_threshold = 0
tactics = ["InitialAccess"]
techniques = ["T1078"] # Valid Accounts (MITRE ATT&CK)
incident {
create_incident_enabled = true
grouping {
enabled = true
}
}
depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}Regras de automação são o primitivo Configurar seu ambiente Microsoft Sentinel para gerenciamento de incidentes do SC-200 — elas são acionadas quando um incidente é criado, atualizado ou fechado, e executam um conjunto de ações: atribuir o incidente a um usuário, alterar sua gravidade, adicionar tags ou invocar um playbook do Logic App.
Nós criamos uma regra que é executada toda vez que qualquer incidente é criado. A ação de exemplo apenas altera a gravidade para Alta e marca o incidente — em produção, você invocaria um playbook do Logic App aqui que publica no Teams, cria um ticket Jira, enriquece com inteligência de ameaças ou aciona um runbook de remediação. O SC-200 testa esse formato de automação acionada como o padrão SOC L1.
resource "azurerm_sentinel_automation_rule" "tag_and_escalate" {
name = "0e84e57b-8b8a-4c8b-a0a8-1d3f3e6f9a01" # GUID required
log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
display_name = "Tag-and-escalate every new incident"
order = 1
enabled = true
triggers_on = "Incidents"
triggers_when = "Created"
action_incident {
order = 1
severity = "High"
}
action_incident {
order = 2
labels = ["lab-auto-tagged"]
}
depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}terraform destroy derruba tudo. A integração do Sentinel se desvincula do workspace; o workspace permanece até ser destruído separadamente (o Terraform lida com ambos corretamente). As execuções de regras analíticas param imediatamente. Os playbooks do Logic App (não provisionados neste laboratório) precisariam ser destruídos separadamente se você os adicionou.
O SC-200 abrange mais superfícies de SecOps que este laboratório não pode incluir — Microsoft Defender para Endpoint (o EDR de endpoint), Defender para Identity (ameaças de AD on-prem), Defender para Office 365 (proteção de fluxo de e-mail), Defender para Cloud Apps (CASB), o portal unificado completo do Defender XDR, caça KQL em profundidade, conectores de dados do Microsoft Sentinel (Atividade do Azure, M365, AWS CloudTrail, GCP Audit, conectores de terceiros), Pastas de trabalho do Sentinel para dashboards, indicadores de Inteligência de Ameaças, Listas de Observação, Análise de Comportamento de Usuários e Entidades (UEBA), Notebooks para caça avançada e playbooks do Logic App para orquestração de resposta.
Nós nos limitamos ao workspace + Sentinel + regra agendada + regra de automação porque eles são o substrato sobre o qual cada padrão SC-200 se compõe. Os conectores de dados depositam dados no workspace; as regras analíticas consultam os dados; as regras de automação respondem aos incidentes; os playbooks (Logic Apps) estendem as regras de automação. Configure a base corretamente; adicione camadas por fonte de dados.
Para as superfícies acima, consulte as seções Navegar, Guia e Editorial desta página de certificação.