Microsoft Azure Security Engineer Associate
225 практических вопросов
Последняя проверка: April 2026
Личные заметки и ссылки на ресурсы для вашего учебного пути
Фильтр по сертификации
AZ-500 подтверждает повседневные навыки инженера по безопасности Azure: управление идентификацией и доступом через Microsoft Entra, защиту сетей, усиление безопасности вычислений / хранилищ / баз данных, а также проведение операций безопасности с помощью Microsoft Defender for Cloud и Microsoft Sentinel. Целевая аудитория — действующие инженеры по безопасности и администраторы Azure, специализирующиеся на безопасности. Экзамен ориентирован на реализацию — по стилю ближе к AZ-104, чем к экспертным экзаменам по проектированию — содержит 40–60 вопросов за 120 минут, включая перетаскивание, выделение областей, множественный выбор и как минимум одно тематическое исследование с элементами, основанными на сценариях, что вознаграждает за практический опыт работы с порталом.
Крупнейшая область, 27%. Microsoft Entra ID (пользователи, группы, MFA, Conditional Access, PIM, Identity Protection, B2B / B2C), корпоративные приложения, регистрации приложений, RBAC и настраиваемые роли. Ожидайте множество сценариев Conditional Access.
Около 23%. NSG, ASG, Azure Firewall, Web Application Firewall на Front Door / Application Gateway, DDoS Protection, Private Endpoints / Private Link, Service Endpoints и Bastion. Большое внимание уделяется сценариям потока трафика.
Около 22%. Усиление безопасности ВМ, Azure Disk Encryption, Microsoft Defender for Servers, безопасность контейнеров, безопасность учетных записей хранения (брандмауэры, SAS, шифрование, неизменяемость), Key Vault и безопасность Azure SQL (TDE, Always Encrypted, RLS).
Около 28%. Microsoft Defender for Cloud (CSPM, CWPP, соответствие нормативным требованиям), Microsoft Sentinel (соединители данных, правила аналитики, рабочие книги, KQL-поиск угроз, автоматизация), Azure Policy для безопасности и встроенные оповещения безопасности и реагирование на инциденты.
Сервисы, с которыми вы столкнётесь на экзамене, и почему каждый из них важен.
Облачный каталог удостоверений с пользователями, группами, регистрациями приложений, политиками Conditional Access, MFA и Privileged Identity Management (PIM) для повышения привилегий точно в срок.
Почему он на экзамене: Домен 1 (Управление удостоверениями и доступом) построен вокруг Entra ID — Conditional Access, применение MFA и активация PIM являются наиболее часто проверяемыми темами на экзамене.
Обнаружение угроз идентификации на основе рисков — риски входа, риски пользователя и сигналы аномальных перемещений подаются в политики Conditional Access для адаптивных запросов и блокировок.
Почему он на экзамене: Вопросы Домена 1 о реагировании на скомпрометированные учётные данные и рискованные входы называют ID Protection как нативный для Azure источник сигналов.
Облачные CSPM + CWPP — Secure Score, панели мониторинга соответствия нормативным требованиям, рекомендации и планы Defender для серверов, хранилищ, SQL, контейнеров, App Service и DNS.
Почему он на экзамене: Домен 4 (Управление операциями безопасности) называет Defender for Cloud единой панелью управления для управления состоянием безопасности и защиты рабочих нагрузок во всех подписках.
Облачные SIEM и SOAR — коннекторы данных, правила аналитики (на основе KQL), аналитика поведения сущностей (UEBA), playbooks (Logic Apps) и приоритизация инцидентов.
Почему он на экзамене: Домен 4 проверяет Sentinel как SIEM в AZ-500 — настройка коннекторов, создание правил аналитики и автоматизация playbooks встречаются почти в каждой форме экзамена.
Единый портал XDR, коррелирующий сигналы от Defender for Endpoint, Identity, Office 365 и Cloud Apps в кросс-доменные инциденты и автоматизированные расследования.
Почему он на экзамене: Домен 4 (Управление операциями безопасности) различает Defender XDR (межпродуктовая корреляция) от Sentinel (SIEM) — знание этой границы неоднократно проверяется.
Управляемый stateful межсетевой экран уровней 3/4/7 с фильтрацией FQDN, потоками данных об угрозах, инспекцией TLS (Premium), IDPS и централизованным управлением правилами через Firewall Policy.
Почему он на экзамене: Домен 2 (Защита сетей) называет Azure Firewall плоскостью инспекции исходящего/входящего трафика в топологиях hub-spoke и Virtual WAN.
WAF уровня 7, развёрнутый на Application Gateway или Front Door с наборами основных правил OWASP, пользовательскими правилами, защитой от ботов и режимами обнаружения/предотвращения на основе политик.
Почему он на экзамене: Вопросы Домена 2 + Домена 3 о защите публичных веб-конечных точек от инъекций, скрапинга и DDoS уровня 7 называют WAF нативной пограничной защитой Azure.
EDR/EPP для Windows, macOS, Linux, iOS, Android — сокращение поверхности атаки, автоматизированное расследование и устранение, управление уязвимостями и охота за угрозами.
Почему он на экзамене: Домен 3 (Защита вычислений) и Домен 4 представляют MDE как защиту на уровне рабочей нагрузки, подающую сигналы конечных точек в Defender for Cloud и Defender XDR.
Постоянно активная платформенная DDoS-защита (бесплатная) плюс SKU Network и IP Protection, добавляющие телеметрию на уровне приложений, гарантии защиты от затрат и доступ к группе быстрого реагирования SRT.
Почему он на экзамене: Домен 2 различает бесплатный постоянно активный уровень от платной защиты Network/IP Protection — это повторяющийся экзаменационный сценарий по усилению безопасности публичных рабочих нагрузок.
Управляемый jumpbox, брокерирующий RDP/SSH к виртуальным машинам через портал или нативный клиент без раскрытия публичных IP-адресов или открытия входящих правил NSG.
Почему он на экзамене: Сценарии безопасного доступа в Домене 2 + Домене 3 называют Bastion решением для администрирования виртуальных машин без инфраструктуры jumpbox или публичных IP-адресов.
Доступ по частным IP-адресам к Azure PaaS (Storage, SQL, Key Vault и т. д.) и партнёрским сервисам через магистральную сеть Microsoft, устраняющий подверженность публичному интернету.
Почему он на экзамене: Домен 2 + Домен 3 проверяют Private Endpoint как канонический шаблон для удаления публичных конечных точек из PaaS, сохраняя при этом функциональность сервиса.
Stateful ACL уровней 3/4 на уровне подсети или сетевого интерфейса с правилами разрешения/запрета, упорядоченными по приоритету, группами безопасности приложений (ASG) и журналами потоков NSG для криминалистики.
Почему он на экзамене: Домен 2 (Защита сетей) проверяет приоритет правил NSG, сегментацию на основе ASG и сбор журналов потоков для аудита трафика почти в каждой форме.
Планы защиты на уровне рабочей нагрузки в Defender for Cloud — Defender for Servers (интеграция MDE), Storage (сканирование на вредоносное ПО), SQL (обнаружение уязвимостей + угроз), Containers (среда выполнения с поддержкой Kubernetes).
Почему он на экзамене: Домен 3 (Защита вычислений, хранилищ и баз данных) в значительной степени посвящён выбору правильного плана Defender для каждого уровня рабочей нагрузки и настройке его оповещений.
Обнаружение угроз в локальной AD — сигналы pass-the-hash, pass-the-ticket, golden ticket, разведки и латерального перемещения из трафика контроллера домена.
Почему он на экзамене: Вопросы Домена 1 + Домена 4 об обнаружении компрометации гибридных удостоверений называют Defender for Identity как сенсор угроз с поддержкой AD, подающий данные в Defender XDR.
Метки конфиденциальности, шифрование и политики предотвращения потери данных для Microsoft 365, Endpoint DLP и источников данных Azure — обнаружение, классификация и применение.
Почему он на экзамене: Домен 3 (Защита вычислений, хранилищ и баз данных) называет Purview IP + DLP слоем классификации данных и защиты в состоянии покоя/в движении для конфиденциального содержимого.
Управляемый реестр со сканированием образов Defender for Containers, доверием к содержимому, политиками хранения и георепликацией для путей извлечения в нескольких регионах.
Почему он на экзамене: Сценарии контейнеров Домена 3 называют ACR со сканированием Defender ответом для безопасной цепочки поставок для распространения образов Kubernetes/AKS.
Управляемое хранилище для секретов, сертификатов и ключей, поддерживаемых программным или аппаратным способом (HSM), с интегрированным с Entra RBAC, обратимым удалением, защитой от очистки и потоками BYOK/HYOK.
Почему он на экзамене: Домен 3 (Защита вычислений, хранилищ и баз данных) проверяет Key Vault для хранения ключей шифрования TDE учётных записей хранения / баз данных и шаблонов ключей, управляемых клиентом (CMK).
Декларативное управление с эффектами deny/audit/deployIfNotExists, пакетами инициатив (например, CIS, ISO 27001, NIST 800-53) и Blueprints для базовых конфигураций сред.
Почему он на экзамене: Домен 4 (Управление операциями безопасности) называет Azure Policy механизмом принудительного применения для базовых показателей безопасности, требований к шифрованию и тегирования в масштабе.
Брокер безопасности облачного доступа (CASB) — обнаружение теневого ИТ, управление состоянием безопасности SaaS, контроль сессий через Conditional Access App Control и интеграция защиты информации.
Почему он на экзамене: Домен 1 + Домен 4 ссылаются на Defender for Cloud Apps для управления безопасностью на стороне SaaS — обнаружение несанкционированных приложений и применение политик сессий в реальном времени для Microsoft 365 / подключённых SaaS.
Единая телеметрия — журналы активности, параметры диагностики, метрики и рабочие области Log Analytics, запрашиваемые через KQL; основа, в которую поступают данные Sentinel и Defender for Cloud.
Почему он на экзамене: Домен 4 (Управление операциями безопасности) опирается на Azure Monitor для маршрутизации диагностических настроек в централизованную рабочую область и KQL-запросов, которые подаются в правила аналитики Sentinel.
$110k–$150k–$205k USD годовая
Диапазон охватывает инженеров по облачной безопасности среднего и высшего звена в США, для которых требуется знание Azure. Старшие инженеры по облачной безопасности в компаниях FAANG / финтех / регулируемых отраслях часто получают общую компенсацию более 230 тыс. долларов. Сертификат является сигналом для отбора; опыт реагирования на инциденты безопасности в производственных условиях определяет верхний предел.
Источник: levels.fyi 2025 roles cloud security / IAM-engineer, U.S. BLS OEWS May 2024 (15-1212 information security analysts), Glassdoor 2025. Цифры приблизительны; фактическая компенсация зависит от роли, региона и опыта.
AZ-500 — самый востребованный сертификат по безопасности Azure в описаниях вакансий и один из самых популярных экзаменов Microsoft по безопасности в целом. Спрос ускорился в 2024–2026 годах, поскольку предприятия консолидируют средства безопасности на Microsoft Defender for Cloud и Microsoft Sentinel. Рекрутеры в финансовых услугах, здравоохранении, государственных подрядчиках и консалтинговых компаниях-партнерах Microsoft рассматривают его как каноническое подтверждение компетентности в области безопасности Azure. Он естественным образом сочетается с AZ-104 (наиболее распространенная пара для администраторов, ориентированных на безопасность), с AZ-305 для архитекторов, ориентированных на безопасность, с AZ-700 для инженеров по сетевой безопасности, а также с SC-200 (аналитик по операциям безопасности) и SC-100 (архитектор кибербезопасности) для завершения портфолио Microsoft по безопасности.
Формальных предварительных требований нет. Microsoft рекомендует от одного до двух лет опыта администрирования Azure, а также рабочие знания принципов идентификации, сетей и безопасности. AZ-104 очень дополняет — многие вопросы AZ-500 предполагают владение Microsoft Entra, RBAC и базовыми сетевыми технологиями на уровне администратора Azure. SC-900 является полезным концептуальным началом для кандидатов, незнакомых с безопасностью Microsoft, но не является обязательным.
Официальный путь Microsoft Learn охватывает все четыре области примерно за 35–45 часов. Практическое лабораторное время по сути требуется: личная подписка Azure с пробной версией Microsoft Entra P2, включенным Microsoft Defender for Cloud и небольшим рабочим пространством Sentinel позволяет кандидатам практиковаться в Conditional Access, PIM, оповещениях безопасности и KQL-запросах для поиска угроз. Многие кандидаты дополняют обучение официальной практической оценкой и сторонним видеокурсом.
AZ-500 относится к уровню Associate и повсеместно считается умеренно или высоко сложным — сопоставимым по сложности с AZ-204, заметно сложнее, чем AZ-104, учитывая глубину контента Microsoft Entra и Sentinel. Планируйте 80–120 часов обучения в течение 8–12 недель при наличии предыдущего опыта администрирования Azure; значительно дольше без такого опыта. Экзамен длится около 120 минут — дольше большинства экзаменов уровня Associate — с 40–60 вопросами в форматах множественного выбора, множественного ответа, перетаскивания, выделения области и тематического исследования.
Наиболее распространенным препятствием является широта расширенных функций Microsoft Entra — Conditional Access, PIM, Identity Protection, Entitlement Management и Access Reviews имеют свои отдельные интерфейсы конфигурации, и экзамен проверяет тонкие различия сценариев. KQL-запросы для поиска угроз в Microsoft Sentinel и конфигурация правил аналитики также часто удивляют кандидатов, чей единственный опыт работы с Azure является административным.
Последнее обновление измеряемых навыков. Расширен охват CSPM в Microsoft Defender for Cloud, добавлен контент Microsoft Defender for Containers и DevOps, модернизирована концепция автоматизации Sentinel. Microsoft обновляет AZ-500 примерно каждые 12–18 месяцев, не меняя код экзамена.
Реструктурирован в текущую четырехдоменную компоновку, переориентирован на операции безопасности, ссылки на Azure AD переименованы в Microsoft Entra ID и интегрированы унифицированные концепции Microsoft Defender XDR.
Первоначальный GA-релиз. Оригинальный план был сосредоточен на Azure AD, группах сетевой безопасности, Azure Security Center и Azure Sentinel (в то время — предварительная версия).
AZ-500 (Microsoft Azure Security Engineer Associate) — это Associate-уровневый экзамен, экзамен средней сложности, требующий практического опыта и глубокого понимания лучших практик. Большинству кандидатов требуется 80–150 часов обучения, распределенных на 6–12 недель, для экзаменов уровня Associate. Большинство кандидатов, которые стабильно набирают баллы выше проходного порога на пробных экзаменах, сдают его с первой попытки.
Большинству кандидатов требуется 80–150 часов обучения, распределенных на 6–12 недель, для экзаменов уровня Associate. Время, необходимое для сдачи, сильно варьируется в зависимости от предыдущего опыта. Инженерам с практическим опытом работы с базовой технологией обычно требуется меньше времени; кандидатам, новым для платформы, следует ориентироваться на верхнюю границу этого диапазона.
AZ-500 — это признанная квалификация в экосистеме Azure, которая подтверждает знания для работодателей, рекрутеров и клиентов. Стоит ли это затраченного времени и платы, зависит от вашей роли и целей — это чаще всего окупается для облачных инженеров, архитекторов и консультантов, которые ежедневно работают с Azure или хотят перейти на такие должности.
Проходной балл для AZ-500 составляет 700 / 1000. Экзамен содержит 50 вопросов и длится 2 ч.
Стоимость экзамена AZ-500 составляет $165 USD. Сборы устанавливаются Azure и могут варьироваться в зависимости от региона; всегда уточняйте текущую цену на официальной странице сертификации Azure перед бронированием.
Сертификации Microsoft, основанные на ролях, истекают через 1 год, но могут быть бесплатно продлены с помощью непроверяемого онлайн-оценки на Microsoft Learn, начиная за 6 месяцев до истечения срока действия.
Да. Вы можете сдать экзамен онлайн (с прокторингом через безопасный браузер провайдера, доступный 24/7 в большинстве регионов) или в очном центре тестирования Pearson VUE в рабочее время. Оба формата используют одни и те же вопросы, ограничение по времени и проходной балл.
CertLabPro предлагает 15 режимов обучения по банку практических вопросов для AZ-500. Режим симуляции экзамена имитирует реальный экзамен: 50 вопросов за 2 ч, с тем же проходным порогом 700 / 1000. Режим просмотра позволяет статически читать каждый вопрос и ответ.