SC-200 против AZ-500: какой сертификат Microsoft по безопасности выбрать первым?
AZ-500 предназначен для облачных инженеров, настраивающих безопасность Azure. SC-200 — для SOC-аналитиков, работающих с Sentinel. Вот какой из них действительно подходит для вашей работы.
Если вам нужно выбрать один сертификат Microsoft по безопасности и вы не знаете, какой, вот краткая версия: AZ-500, если вы создаете и настраиваете ресурсы Azure; SC-200, если вы расследуете оповещения и ищете угрозы. Оба стоят $165, оба ориентированы на роли начального уровня (associate-level), и оба достаточно сложны. Они охватывают пересекающиеся области — управление идентификацией, сети, Sentinel — но повседневная работа, которой они соответствуют, действительно отличается, и выбор не того сертификата означает подготовку к чужой работе.
Я получаю этот вопрос достаточно часто, чтобы он заслуживал полноценного поста, а не однострочного ответа.
Что такое AZ-500
AZ-500 — Microsoft Certified: Azure Security Engineer Associate — проверяет вашу способность внедрять меры безопасности в Azure. Текущий план экзамена приблизительно делится на:
- Управление идентификацией и доступом (~25–30%): Entra ID, Conditional Access, PIM, управляемые удостоверения, настройка MFA.
- Защита сети (~20–25%): NSG, ASG, Azure Firewall, WAF на Front Door / App Gateway, приватные конечные точки, защита от DDoS.
- Защита вычислительных ресурсов, хранилищ, баз данных (~20–25%): Defender for Cloud, шифрование дисков, усиление защиты хранилищ, Key Vault, SQL TDE / Always Encrypted.
- Управление операциями безопасности (~25–30%): основы Sentinel, показатель безопасности Defender for Cloud, Azure Policy, дашборды соответствия нормативным требованиям.
Он обширен. Вопросы с множественным выбором кажутся практическими — тематические исследования в начале экзамена заставляют вас проработать гипотетическую среду компании. KQL минимален. Sentinel минимален. Центр тяжести — «настроить ресурсы Azure для обеспечения безопасности».
Что такое SC-200
SC-200 — Microsoft Certified: Security Operations Analyst Associate — проверяет вашу способность ежедневно эксплуатировать стек безопасности Microsoft. Текущий план экзамена:
- Смягчение угроз с использованием Microsoft Defender XDR (~25–30%): Defender for Endpoint, Office 365, Cloud Apps, Identity. Расследование, приоритизация, реагирование.
- Смягчение угроз с использованием Defender for Cloud (~15–20%): защита облачных рабочих нагрузок, оценка безопасности, соответствие нормативным требованиям с точки зрения аналитика.
- Смягчение угроз с использованием Microsoft Sentinel (~50–55%): коннекторы данных, правила аналитики, запросы для охоты за угрозами, рабочие книги, плейбуки, SOAR, KQL — интенсивное использование KQL.
Центр тяжести экзамена — Sentinel. Если вы не можете свободно писать или читать KQL ко дню экзамена, у вас возникнут трудности. Тематические исследования часто дают вам запрос и спрашивают, что он возвращает, или дают сценарий и спрашивают, какой оператор KQL вы бы использовали для его уточнения.
Соответствие ролям
Это та часть, которую никто четко не указывает на маркетинговой странице:
| Если ваша должность... | Сначала сдайте этот |
|---|---|
| Cloud Engineer / DevOps Engineer / Platform Engineer | AZ-500 |
| Security Engineer (ориентированный на конфигурацию) | AZ-500 |
| Azure Administrator, желающий специализироваться | AZ-500 |
| SOC Analyst / Аналитик Tier 1–2 | SC-200 |
| Threat Hunter / Detection Engineer | SC-200 |
| Incident Responder | SC-200 |
| IT-специалист широкого профиля / хочет оба в конечном итоге | Сначала AZ-500 |
| Смена карьеры в область безопасности | SC-200 (больше спроса на младших позициях) |
Причина, по которой AZ-500 является предпочтительным для большинства облачных ролей, заключается в том, что он охватывает больше областей, которые действительно необходимо знать человеку, не являющемуся чистым специалистом по безопасности. Если вы облачный инженер, который иногда сталкивается с вопросами безопасности, AZ-500 поможет вам лучше выполнять свою повседневную работу. SC-200 окупается только в том случае, если вы большую часть времени работаете с Sentinel.
Сложность: примерно одинаковая, но разная по форме
Оба экзамена содержат 40–60 вопросов, длятся 100 минут, имеют базовую стоимость $165 USD (с региональными ценами, снижающими ее до ~$80 на некоторых рынках). Оба предлагают бесплатное продление на 1 год с помощью онлайн-оценки из 30 вопросов. Оба используют тематические исследования, а также стандартные вопросы с множественным выбором / множественным ответом / перетаскиванием.
Чем они отличаются:
- AZ-500 шире, SC-200 глубже. AZ-500 требует немного знаний о многом — идентификации, сетях, вычислительных ресурсах, хранилищах, операциях. SC-200 требует много знаний конкретно о Sentinel и пакете Defender.
- KQL — это отличительная черта SC-200. AZ-500 просит вас читать KQL-запросы и понимать их вывод. SC-200 просит вас писать их, оптимизировать и отлаживать. Если вы никогда не использовали KQL, SC-200 вас удивит.
- AZ-500 содержит больше контента по идентификации. Conditional Access, PIM, External Identities, Identity Protection — первые 25–30% AZ-500 сильно ориентированы на идентификацию. SC-200 затрагивает идентификацию, но в основном через призму оповещений Defender for Identity.
Microsoft не публикует данные о проходных баллах, но, по слухам, оба экзамена имеют показатель успешности около 60–70% при первой попытке для подготовленных кандидатов. В секции KQL SC-200 большинство людей теряют баллы; в тематических исследованиях AZ-500 большинство людей теряют баллы.
Время на подготовку
| Опыт | AZ-500 | SC-200 |
|---|---|---|
| Опытный инженер по безопасности Azure | 40–60 ч | 50–80 ч |
| Инженер Azure широкого профиля | 80–100 ч | 100–130 ч |
| SOC-аналитик, стек Microsoft | 80–100 ч | 50–80 ч |
| Новичок в Azure | 150+ ч | 180+ ч |
SC-200 обычно требует немного больше времени, потому что для большинства кандидатов навык KQL приходится осваивать с нуля. Если вы уже свободно владеете KQL или другим языком запросов с похожим синтаксисом (Splunk SPL достаточно хорошо переносится), вычеркните 20–30 часов.
Официальные курсы Microsoft Learn для обоих экзаменов бесплатны и актуальны. На YouTube-канале Джона Сэвилла есть экспресс-видео по обоим. Конкретно для SC-200 «KQL from scratch» Рода Трента является основным бесплатным ресурсом для контента Sentinel. Для AZ-500 запуск бесплатной подписки Azure и самостоятельное изучение Conditional Access, PIM, Defender for Cloud и Key Vault является обязательным — на вопросы тематических исследований почти невозможно ответить без знакомства с порталом.
Сигнал к зарплате
Ни один из этих сертификатов не влияет на зарплату напрямую в чистом смысле A/B тестирования. Оба открывают двери для собеседований. По данным BLS OEWS на май 2024 года, средняя заработная плата аналитиков по информационной безопасности (15-1212) составляет около $124 тыс., 90-й процентиль — около $182 тыс. Роли в области безопасности в компаниях, использующих стек Microsoft, как правило, находятся в верхней половине этого диапазона.
Данные levels.fyi за 2025–2026 годы:
- Общая компенсация Security Engineer Microsoft L62 ~230 тыс. долл.
- Общая компенсация Security Specialist AWS L5 ~245 тыс. долл.
- Роли инженеров по безопасности среднего уровня вне компаний FAANG (Capital One, Stripe, Atlassian) обычно имеют базовую зарплату 170–220 тыс. долл.
Обладатели SC-200 в крупных предприятиях со зрелыми SOC (банки, здравоохранение, федеральные подрядчики) часто зарабатывают больше среднего показателя по зарплате, потому что круглосуточные роли SOC включают надбавки за сменный график. Обладатели AZ-500 тяготеют к стандартным диапазонам оплаты труда инженеров облачных систем.
Комбинация сертификатов, которая, как правило, оплачивается лучше всего в 2026 году, это AZ-500 + SC-200 + AZ-104 — она сигнализирует о том, что вы можете настраивать Azure, обеспечивать его безопасность и управлять реагированием. Получение всех трех занимает около 200 часов в течение 6–9 месяцев и позволяет вашему резюме пройти через фильтры большинства работодателей, использующих стек Microsoft.
Что бы я сделал
Если вы начинаете с бэкграунда облачного инженера или IT-специалиста широкого профиля, сдавайте AZ-500 первым. Он шире, он учит вас большему об Azure как платформе, и большинство вакансий, требующих навыков безопасности Microsoft, чаще просят именно AZ-500, чем SC-200.
Если вы начинаете с пути SOC или аналитика — вы уже выполняете запросы в какой-либо SIEM, ежедневно расследуете оповещения — сдавайте SC-200 первым. Контент AZ-500, ориентированный на конфигурацию, покажется вам ненужным обходом.
Если вы планируете получить оба сертификата в конечном итоге, порядок имеет меньшее значение, чем промежуток между ними. Не делайте перерыв более 6 месяцев; совпадение по основам идентификации и Sentinel вознаграждает последовательную подготовку.
Когда будете готовы к тренировке, просмотрите банк практических вопросов AZ-500 на CertLabPro, запустите пробный экзамен SC-200 или используйте оба. Формат тематических исследований Microsoft своеобразен, и распознавание образов в условиях ограниченного времени — это та часть, которая больше всего выигрывает от реалистичной отработки заданий.