Microsoft Security Operations Analyst
225 практических вопросов
Последняя проверка: April 2026
Личные заметки и ссылки на ресурсы для вашего учебного пути
Фильтр по сертификации
Microsoft Security Operations Analyst (SC-200) — это экзамен для специалистов начального уровня, ориентированный на роли, который подтверждает практические навыки SOC-аналитиков, выявляющих угрозы, обрабатывающих оповещения и реагирующих на инциденты с использованием Microsoft Sentinel, Microsoft Defender XDR и Microsoft Defender for Cloud. Аудитория — это действующие SOC-аналитики и специалисты по реагированию на инциденты (не универсалы), и экзамен отражает это вопросами, основанными на сценариях, касающихся KQL-запросов, правил аналитики, автоматизированных плейбуков, сокращения поверхности атаки и кросс-продуктового расследования в отношении конечных точек, идентификации, электронной почты и облачных рабочих нагрузок. SC-200 является стандартным сертификатом Microsoft для аналитиков Tier 1–2 и все чаще указывается как предпочтительный или обязательный в объявлениях о вакансиях в корпоративных SOC.
Настройка Microsoft Sentinel (рабочие области, коннекторы данных, списки наблюдения, аналитика угроз) и Defender XDR (управление доступом на основе ролей, параметры оповещений и инцидентов, пользовательские обнаружения). Около 25% экзамена. Ожидайте конкретные вопросы о том, какой коннектор принимает какие данные и как Sentinel и Defender XDR интегрируются через единый портал.
Настройка обнаружений в Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps и Defender for Cloud. Пользовательские правила аналитики в Sentinel (по расписанию, NRT, Fusion, на основе ML). Около 20% экзамена — это область с наибольшим количеством вопросов по KQL.
Самая большая область (30%). Триггинг и расследование инцидентов с использованием Defender XDR и Sentinel, автоматизация с помощью плейбуков (Logic Apps), Microsoft Security Copilot для рабочих процессов SOC, а также полный жизненный цикл инцидента от корреляции оповещений до завершения и последующего анализа.
Поиск угроз с помощью KQL в схеме расширенного поиска, проактивный поиск с использованием встроенных запросов и закладок, сопоставление с MITRE ATT&CK и интеграция аналитики угроз. Около 25% экзамена.
Сервисы, с которыми вы столкнётесь на экзамене, и почему каждый из них важен.
Облачный SIEM и SOAR, построенный на Azure, который принимает телеметрию со всей инфраструктуры, ищет угрозы с помощью KQL и оркестрирует реагирование через правила автоматизации и плейбуки.
Почему он на экзамене: Домен 1 (Управление средой операций безопасности) опирается на Sentinel как на SIEM/SOAR — ожидайте вопросов по коннекторам данных, рабочим областям и центрам контента.
Единый комплекс защиты до и после нарушения, который коррелирует сигналы с конечных точек, удостоверений, электронной почты, облачных приложений и данных в единую очередь инцидентов и граф.
Почему он на экзамене: Домен 3 (Управление реагированием на инциденты) зависит от Defender XDR как поверхности для расследования инцидентов между рабочими нагрузками — объединение инцидентов, улики и поиск по графу.
Корпоративный EDR с сокращением поверхности атаки, антивирусом нового поколения, автоматизированным расследованием, оперативным реагированием и расширенным поиском угроз на Windows, macOS, Linux, iOS, Android.
Почему он на экзамене: Домен 4 (Управление угрозами безопасности) называет Defender for Endpoint как EDR-слой для обнаружения угроз на устройствах, изоляции и сбора криминалистических данных.
CNAPP, который предоставляет управление состоянием безопасности (CSPM) и защиту рабочих нагрузок (CWP) для Azure, AWS и GCP, выводя рекомендации и оповещения во время выполнения в Defender XDR.
Почему он на экзамене: Домен 2 (Настройка средств защиты и обнаружения) проверяет включение планов CWP и устранение проблем CSPM — Defender for Cloud является указанным средством контроля для оповещений о многооблачных рабочих нагрузках.
Защита почтовых ящиков Microsoft 365, Teams, SharePoint и OneDrive от фишинга, BEC и вредоносных вложений с помощью Safe Links, Safe Attachments и Attack Simulation Training.
Почему он на экзамене: Домен 2 + Домен 4 охватывают угрозы для электронной почты и совместной работы — Defender for Office 365 предоставляет запросы Threat Explorer и элементы управления политиками, которые аналитики SOC приоритизируют.
Обнаружение угроз в локальной Active Directory, выявляющее разведку, латеральное перемещение, злоупотребление Kerberos и захват домена по трафику контроллеров домена.
Почему он на экзамене: Домен 4 охватывает угрозы гибридной идентификации — Defender for Identity является указанным уровнем обнаружения, ориентированным на AD, передающим инциденты в Defender XDR.
Брокер безопасности облачного доступа (CASB), который обнаруживает теневые ИТ, применяет управление сеансами через обратный прокси-сервер и защищает санкционированные SaaS с помощью API-коннекторов и механизмов политик.
Почему он на экзамене: Домен 2 описывает сценарии угроз SaaS — Defender for Cloud Apps является указанным средством контроля для обнаружения теневых ИТ и управления доступом к приложениям через условный доступ.
Беззагентный мониторинг сети OT/IoT (ранее CyberX) плюс агенты для производителей устройств, которые обнаруживают аномальное поведение в промышленных и корпоративных сегментах IoT.
Почему он на экзамене: Домен 4 охватывает сценарии угроз OT/IoT — Defender for IoT является указанной платформой для обеспечения видимости по модели Purdue и обнаружений с учётом ICS.
Язык запросов только для чтения для Log Analytics, Sentinel и расширенного поиска Defender — синтаксис с использованием операторов-конвейеров над схематизированными таблицами событий для ad-hoc и запланированных расследований.
Почему он на экзамене: Каждый домен предполагает свободное владение KQL — расследование инцидентов в Домене 3 и поиск угроз в Домене 4 ожидают от кандидатов умения читать и составлять KQL-запросы.
Типы правил: запланированные, NRT, Microsoft, поведенческие ML и Fusion, которые превращают KQL-запросы и встроенные шаблоны в оповещения и инциденты внутри Sentinel.
Почему он на экзамене: Домен 2 явно проверяет типы правил аналитики, настройку серьёзности и логику группировки инцидентов при настройке обнаружений.
Рабочие процессы Logic Apps, запускаемые инцидентами, оповещениями или действиями аналитика — автоматизируют обогащение, создание заявок, отключение учётных записей и изоляцию хостов.
Почему он на экзамене: Домен 3 охватывает автоматизацию SOAR; плейбуки являются указанным решением для автоматизированного реагирования и согласований с участием человека, связанных с правилами автоматизации.
Настраиваемые панели мониторинга, построенные на Azure Monitor Workbooks, которые визуализируют данные Sentinel, покрытие MITRE и KPI аналитиков в одной или нескольких рабочих областях.
Почему он на экзамене: Домен 1 проверяет отчётность SOC и визуализацию покрытия MITRE — Workbooks предоставляют указанную поверхность телеметрии для отчётности аналитиков и руководителей.
Подготовленные справочные данные (VIP-пользователи, уволенные сотрудники, фиды IOC, уровни активов), объединённые в правила аналитики и запросы поиска угроз с помощью оператора KQL _GetWatchlist.
Почему он на экзамене: Домен 2 ссылается на списки наблюдения при определении области обнаружений для конкретных активов или исключении шума из базовых правил.
Портал аналитики угроз (ранее RiskIQ), который сопоставляет инфраструктуру злоумышленников, индикаторы и статьи с Defender XDR и Sentinel через коннекторы TI.
Почему он на экзамене: Домен 4 проверяет приём IOC и атрибуцию злоумышленников — Defender TI является указанным источником для курируемых фидов индикаторов и профилей угроз.
Непрерывно обнаруживает активы, доступные из Интернета (домены, хосты, сертификаты, блоки IP), которые можно отнести к организации, и выявляет внешне наблюдаемые риски.
Почему он на экзамене: Домен 4 охватывает сценарии внешней поверхности атаки — Defender EASM является указанным инструментом для обнаружения теневых активов за пределами управляемой инфраструктуры.
Оценка уязвимостей на основе рисков для инфраструктур Defender for Endpoint, включающая инвентаризацию CVE, оценку базового уровня безопасности, инвентаризацию программного обеспечения и рабочие процессы запросов на исправление.
Почему он на экзамене: Домен 4 описывает приоритизацию уязвимостей и отслеживание их устранения — Defender VM является указанной рабочей нагрузкой, интегрированной с Intune для создания заявок.
Облачный поставщик удостоверений, который аутентифицирует пользователей и рабочие нагрузки и выдаёт сигналы входа, аудита и защиты удостоверений, которые Sentinel и Defender XDR коррелируют во время инцидентов.
Почему он на экзамене: Определение области инцидентов в Домене 3 многократно опирается на сигналы пользователя, входа в систему и риска из Entra ID — аналитикам необходимо читать эти журналы и применять меры по сдерживанию, такие как сброс пароля / отзыв сеансов.
Конвейер телеметрии и рабочая область Log Analytics с поддержкой KQL, поверх которой работает Sentinel — правила сбора данных, настраиваемые журналы и политики хранения проходят через этот слой.
Почему он на экзамене: Домен 1 проверяет архитектуру рабочей области, приём журналов и резидентность данных — специфические для Sentinel настройки находятся поверх основ Azure Monitor / Log Analytics.
Плоскость управления между арендаторами, которая позволяет MSSP или центральному SOC управлять рабочими областями Sentinel, Defender for Cloud и ресурсами Azure в нескольких клиентских арендаторах с делегированным RBAC.
Почему он на экзамене: Домен 1 охватывает сценарии SOC с несколькими арендаторами — Lighthouse является указанной платформой для доступа к Sentinel между арендаторами в стиле MSSP.
Встроенный механизм соответствия нормативным требованиям внутри Defender for Cloud, который сопоставляет рекомендации с фреймворками (CIS, ISO 27001, NIST 800-53, PCI DSS) и отслеживает исправления с течением времени.
Почему он на экзамене: Домен 1 рассматривает состояние соответствия как ответственность менеджера SOC — Defender for Cloud Regulatory Compliance является указанной панелью мониторинга, к которой обращаются аналитики и руководители.
$85k–$120k–$165k USD годовая
Диапазон охватывает роли SOC-аналитиков, инженеров по обнаружению угроз и специалистов по Sentinel в США. Аналитики Tier 1 и рынки, не расположенные на побережье, имеют более низкие показатели; старшие инженеры по обнаружению угроз и охотники за угрозами в крупных предприятиях или MSSP — более высокие. Сам по себе SC-200 не влияет на цифры — более значимыми факторами являются продемонстрированное свободное владение KQL и предыдущий опыт реагирования на инциденты.
Источник: Бюро статистики труда США OEWS Май 2024 (15-1212 information security analysts, медиана ~$120k), levels.fyi 2025–2026 security-engineering and SOC roles, (ISC)² Cybersecurity Workforce Study 2024. Цифры приблизительны; фактическая компенсация зависит от роли, региона и опыта.
Microsoft Sentinel и Defender XDR используются в большинстве SOC среднего и крупного бизнеса, поскольку они естественно вписываются в существующую инфраструктуру Microsoft 365 и Azure, что сделало SC-200 одним из наиболее широко признанных сертификатов для SOC-аналитиков. Рекрутеры используют его как критерий отбора для аналитиков Tier 1 и Tier 2, инженеров по обнаружению угроз и специалистов по внедрению Sentinel, а MSSP часто указывают его как предпочтительное подтверждение квалификации для инженеров, управляющих Sentinel как управляемой услугой. Данные (ISC)² о кадровом составе показывают постоянный неудовлетворенный спрос на специалистов по операциям безопасности в период 2024–2026 годов, что делает обладателей SC-200 привлекательными даже на ранних этапах карьеры. Сочетание SC-200 с AZ-500 или SC-300 значительно усиливает резюме для старших SOC-ролей и ролей по обнаружению угроз, ориентированных на идентификацию.
Обязательных предварительных требований нет, но Microsoft позиционирует SC-200 как экзамен, ориентированный на роль, который предполагает опыт работы аналитиком по операциям безопасности — то есть реальное знакомство с обработкой оповещений, KQL-запросами и хотя бы одним из продуктов Microsoft Sentinel, Defender XDR или Defender for Cloud в рабочей среде. Кандидаты без опыта работы в SOC обычно терпят неудачу при первой попытке.
Рекомендуемый путь подготовки — сначала SC-900 (для освоения общей терминологии стека безопасности Microsoft), затем 3–6 месяцев практической работы в рабочей области Sentinel и портале Defender — даже личная лаборатория, построенная на учетной записи разработчика Microsoft 365 плюс бесплатная учетная запись Azure, достаточна для отработки настройки коннекторов, правил аналитики и KQL-поиска угроз. Microsoft Learn предлагает бесплатный учебный путь продолжительностью 18–25 часов со встроенными лабораторными работами, которые точно соответствуют сценариям экзамена; сочетание его с официальной практической оценкой и сторонним банком вопросов для распознавания KQL-шаблонов является наиболее эффективным способом.
SC-200 считается умеренно сложным по стандартам Microsoft для специалистов — сложнее, чем AZ-500 по специфике KQL, но проще, чем SC-100 по объему. Планируйте 60–100 часов обучения в течение 6–10 недель, если у вас есть некоторый опыт работы с SOC, или 100–150 часов, если вы начинаете с нуля. Экзамен длится 100–120 минут и содержит примерно 40–60 вопросов, включая форматы с множественным выбором, множественным ответом, перетаскиванием и тематическими исследованиями; проходной балл составляет 700/1000 по масштабированной модели Microsoft.
Два основных препятствия — это свободное владение KQL и широта продуктовой линейки. KQL-запросы появляются непосредственно на экзамене — вам нужно читать и анализировать запросы к схемам расширенного поиска Sentinel и Defender, а не просто распознавать ключевые слова. Широта продуктов вызывает сложности, потому что семейство Defender охватывает конечные точки, идентификацию, Office 365, облачные приложения и облачные рабочие нагрузки, каждая со своими нюансами портала и историей интеграции с Sentinel. Кандидаты, которые пропускают практические лабораторные работы и полагаются только на видеокурсы, часто сталкиваются с трудностями при решении тематических исследований.
Общая доступность с апреля 2021 года. Цели несколько раз обновлялись, чтобы отразить консолидацию Defender в Defender XDR, переименование Azure AD в Entra ID, добавление Microsoft Security Copilot и унифицированный интерфейс портала Defender + Sentinel. Сертификаты, основанные на ролях, истекают через год после сдачи экзамена; продление бесплатно через онлайн-оценку без прокторинга на Microsoft Learn.
SC-200 (Microsoft Security Operations Analyst) — это Associate-уровневый экзамен, экзамен средней сложности, требующий практического опыта и глубокого понимания лучших практик. Большинству кандидатов требуется 80–150 часов обучения, распределенных на 6–12 недель, для экзаменов уровня Associate. Большинство кандидатов, которые стабильно набирают баллы выше проходного порога на пробных экзаменах, сдают его с первой попытки.
Большинству кандидатов требуется 80–150 часов обучения, распределенных на 6–12 недель, для экзаменов уровня Associate. Время, необходимое для сдачи, сильно варьируется в зависимости от предыдущего опыта. Инженерам с практическим опытом работы с базовой технологией обычно требуется меньше времени; кандидатам, новым для платформы, следует ориентироваться на верхнюю границу этого диапазона.
SC-200 — это признанная квалификация в экосистеме Microsoft, которая подтверждает знания для работодателей, рекрутеров и клиентов. Стоит ли это затраченного времени и платы, зависит от вашей роли и целей — это чаще всего окупается для облачных инженеров, архитекторов и консультантов, которые ежедневно работают с Microsoft или хотят перейти на такие должности.
Проходной балл для SC-200 составляет 700 / 1000. Экзамен содержит 50 вопросов и длится 2 ч.
Стоимость экзамена SC-200 составляет $165 USD. Сборы устанавливаются Microsoft и могут варьироваться в зависимости от региона; всегда уточняйте текущую цену на официальной странице сертификации Microsoft перед бронированием.
Сертификации Microsoft, основанные на ролях, истекают через 1 год, но могут быть бесплатно продлены с помощью непроверяемого онлайн-оценки на Microsoft Learn, начиная за 6 месяцев до истечения срока действия.
Да. Вы можете сдать экзамен онлайн (с прокторингом через безопасный браузер провайдера, доступный 24/7 в большинстве регионов) или в очном центре тестирования Pearson VUE в рабочее время. Оба формата используют одни и те же вопросы, ограничение по времени и проходной балл.
CertLabPro предлагает 15 режимов обучения по банку практических вопросов для SC-200. Режим симуляции экзамена имитирует реальный экзамен: 50 вопросов за 2 ч, с тем же проходным порогом 700 / 1000. Режим просмотра позволяет статически читать каждый вопрос и ответ.