Лабораторная работа — SC-200 Microsoft Security Operations Analyst

Последняя проверка: май 2026 г.

Разверните сервисы AWS для экзамена SC-200 с помощью чистого Terraform: пошаговое руководство с привязкой каждого блока к разделам экзамена. Код также совместим с OpenTofu.

Обзор

К концу этой лабораторной работы вы подготовите с помощью чистого Terraform эталонную основу SOC для SC-200 — рабочую область Log Analytics в качестве плоскости данных, Microsoft Sentinel, подключенный к этой рабочей области, запланированное аналитическое правило, которое инициирует инцидент по образцу KQL, и правило автоматизации, которое запускается при каждом создании инцидента. Это основа, на которой работают все рабочие процессы SC-200 по поиску угроз и реагированию.

Вставьте фрагменты кода в один файл main.tf, запустите terraform init, а затем terraform apply шаг за шагом.

Предварительные требования

Terraform >= 1.5 или OpenTofu >= 1.6.
Подписка Azure с разрешениями на создание ресурсов Log Analytics, Sentinel и Logic Apps.
Аутентификация через Azure CLI (az login).
Подключение Sentinel является односторонним для рабочей области — после включения Sentinel в рабочей области Log Analytics вы можете отключить Sentinel, но плоскость данных рабочей области останется. Для очистки лабораторной работы destroy через Terraform работает корректно.

Примечание о стоимости

Стоимость Sentinel — основная статья расходов:

Microsoft Sentinel: оплата за каждый ingested ГБ. Первые 5 ГБ/месяц в рабочей области бесплатны (в рамках бесплатного уровня Log Analytics), но Sentinel добавляет +$2/ГБ сверх этого. Объем лабораторной работы измеряется в килобайтах.
Рабочая область Log Analytics: 5 ГБ/месяц бесплатно; ~$2.30/ГБ далее.
Logic App (уровень потребления): оплата за действие; использование в лабораторной работе составляет доли цента.
Аналитические правила Sentinel: бесплатно; выполнение правил не тарифицируется.

При объеме лабораторной работы стоимость составляет ~$0/месяц. Sentinel становится дорогим при масштабировании — подключение эквивалента CloudTrail для нескольких серверов (коннекторы Defender XDR, коннекторы M365) легко достигает $10K/месяц для реальной организации.

Шаги

1.Провайдер, группа ресурсов, именование

Стандартное начало для Azure.

terraform {
  required_version = ">= 1.5"

  required_providers {
    azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
  }
}

provider "azurerm" {
  features {}
}

locals {
  tags = {
    Project   = "certlabpro-sc-200"
    ManagedBy = "terraform"
  }
}

resource "azurerm_resource_group" "main" {
  name     = "certlabpro-sc-200-rg"
  location = "eastus"
  tags     = local.tags
}

2.Развертывание рабочей области Log Analytics + подключение Sentinel
Создаваемые ресурсы:
- Azure Monitor
- Microsoft Sentinel
Microsoft Sentinel — это уровень поверх рабочей области Log Analytics; у него нет собственной плоскости данных. Домен SC-200 «Управление средой Microsoft Sentinel» подчеркивает эту зависимость: каждая функция Sentinel читает/записывает данные из рабочей области, каждый коннектор данных помещает данные в нее, каждое аналитическое правило запускает KQL-запросы против нее.

Мы развертываем рабочую область с SKU PerGB2018 + ресурс azurerm_sentinel_log_analytics_workspace_onboarding для подключения Sentinel. После этого вы могли бы подключить источники данных (Azure Activity, входы Microsoft Entra ID, коннекторы Defender XDR) через портал — они сложны по поверхности и проще настраиваются через графический интерфейс, чем через Terraform.
```
resource "azurerm_log_analytics_workspace" "main" {
  name                = "log-sc200"
  resource_group_name = azurerm_resource_group.main.name
  location            = azurerm_resource_group.main.location
  sku                 = "PerGB2018"
  retention_in_days   = 30

  tags = local.tags
}

resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
  workspace_id = azurerm_log_analytics_workspace.main.id
}
```
3.Создание запланированного аналитического правила, которое срабатывает по KQL-шаблону
Создаваемые ресурсы:
- Microsoft Sentinel
Аналитические правила — это способ, которым Sentinel преобразует необработанные события журнала в инциденты. SC-200 проверяет распознавание типов правил: Запланированные (на основе KQL, наиболее распространенные), Инциденты Microsoft (пересылают оповещения Defender XDR), Аномалии (на основе машинного обучения), Угрозы (совпадения с данными об угрозах).

Мы создаем запланированное правило с заглушкой KQL-запроса (каждые 5 минут, с просмотром за 5 минут — форма почти в реальном времени SC-200). Запрос здесь является заполнителем (SecurityEvent | take 1); в производстве KQL — это фактическая логика правила — проверка входов из невозможных мест, шаблонов распыления паролей, необычных повышений привилегий и т.д.

Поле tactics сопоставляет правило с фреймворком MITRE ATT&CK — это необходимо для интеграции Defender XDR и для рабочих процессов поиска угроз, которые меняют фокус по тактике.
```
resource "azurerm_sentinel_alert_rule_scheduled" "stub" {
  name                       = "certlabpro-sc-200-stub-rule"
  log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
  display_name               = "Stub rule — lab demonstration"
  description                = "Sample scheduled analytic rule for the SC-200 lab. Replace KQL with a real hunting pattern."
  severity                   = "Medium"
  enabled                    = true

  query                      = "SecurityEvent | take 1"
  query_frequency            = "PT5M" # run every 5 minutes
  query_period               = "PT5M" # look back 5 minutes

  trigger_operator           = "GreaterThan"
  trigger_threshold          = 0

  tactics    = ["InitialAccess"]
  techniques = ["T1078"] # Valid Accounts (MITRE ATT&CK)

  incident {
    create_incident_enabled = true

    grouping {
      enabled = true
    }
  }

  depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}
```
4.Настройка правила автоматизации для реагирования на инциденты
Создаваемые ресурсы:
- Microsoft Sentinel
Правила автоматизации — это примитив SC-200 «Настройка среды Microsoft Sentinel для управления инцидентами»; они срабатывают при создании, обновлении или закрытии инцидента и выполняют набор действий: назначают инцидент пользователю, изменяют его серьезность, добавляют теги или вызывают playbook Logic App.

Мы создаем правило, которое запускается при каждом создании любого инцидента. Пример действия просто изменяет серьезность на «Высокую» и добавляет теги к инциденту — в производственной среде вы бы здесь вызвали playbook Logic App, который отправляет сообщения в Teams, создает тикет Jira, обогащает данные об угрозах или запускает runbook для устранения проблемы. SC-200 тестирует эту форму триггерной автоматизации как стандартный шаблон SOC уровня L1.
```
resource "azurerm_sentinel_automation_rule" "tag_and_escalate" {
  name                       = "0e84e57b-8b8a-4c8b-a0a8-1d3f3e6f9a01" # GUID required
  log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
  display_name               = "Tag-and-escalate every new incident"
  order                      = 1
  enabled                    = true

  triggers_on  = "Incidents"
  triggers_when = "Created"

  action_incident {
    order    = 1
    severity = "High"
  }

  action_incident {
    order  = 2
    labels = ["lab-auto-tagged"]
  }

  depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}
```

Очистка ресурсов

terraform destroy удаляет все. Подключение Sentinel отключается от рабочей области; рабочая область остается до тех пор, пока не будет уничтожена отдельно (Terraform корректно обрабатывает оба случая). Выполнение аналитических правил немедленно прекращается. Playbook Logic App (не предусмотренные в этой лабораторной работе) потребовалось бы уничтожить отдельно, если бы вы их добавили.

Что не входит в этот лабораторный практикум

SC-200 охватывает больше аспектов SecOps, которые не могут быть рассмотрены в этой лабораторной работе — Microsoft Defender for Endpoint (EDR конечных точек), Defender for Identity (угрозы локального AD), Defender for Office 365 (защита почтового трафика), Defender for Cloud Apps (CASB), полный унифицированный портал Defender XDR, глубокий поиск угроз с помощью KQL, коннекторы данных Microsoft Sentinel (Azure Activity, M365, AWS CloudTrail, GCP Audit, сторонние коннекторы), рабочие книги Sentinel для дашбордов, индикаторы угроз, списки наблюдения, аналитика поведения пользователей и сущностей (UEBA), записные книжки для расширенного поиска угроз и playbook Logic App для оркестрации реагирования.

Мы придерживаемся рабочей области + Sentinel + запланированного правила + правила автоматизации, потому что они составляют основу, на которой строятся все шаблоны SC-200. Коннекторы данных помещают данные в рабочую область; аналитические правила запрашивают данные; правила автоматизации реагируют на инциденты; playbook (Logic Apps) расширяют правила автоматизации. Освойте основу; затем добавляйте слои для каждого источника данных.

Для вышеуказанных аспектов см. разделы Просмотр, Справочник и Editorial на этой странице сертификации.

← Назад к панели SC-200

Лабораторная работа — SC-200 Microsoft Security Operations Analyst

Последняя проверка: май 2026 г.

Обзор

Вставьте фрагменты кода в один файл main.tf, запустите terraform init, а затем terraform apply шаг за шагом.

Предварительные требования

Terraform >= 1.5 или OpenTofu >= 1.6.
Подписка Azure с разрешениями на создание ресурсов Log Analytics, Sentinel и Logic Apps.
Аутентификация через Azure CLI (az login).
Подключение Sentinel является односторонним для рабочей области — после включения Sentinel в рабочей области Log Analytics вы можете отключить Sentinel, но плоскость данных рабочей области останется. Для очистки лабораторной работы destroy через Terraform работает корректно.

Примечание о стоимости

Стоимость Sentinel — основная статья расходов:

Microsoft Sentinel: оплата за каждый ingested ГБ. Первые 5 ГБ/месяц в рабочей области бесплатны (в рамках бесплатного уровня Log Analytics), но Sentinel добавляет +$2/ГБ сверх этого. Объем лабораторной работы измеряется в килобайтах.
Рабочая область Log Analytics: 5 ГБ/месяц бесплатно; ~$2.30/ГБ далее.
Logic App (уровень потребления): оплата за действие; использование в лабораторной работе составляет доли цента.
Аналитические правила Sentinel: бесплатно; выполнение правил не тарифицируется.

Шаги

1.Провайдер, группа ресурсов, именование

Стандартное начало для Azure.

terraform {
  required_version = ">= 1.5"

  required_providers {
    azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
  }
}

provider "azurerm" {
  features {}
}

locals {
  tags = {
    Project   = "certlabpro-sc-200"
    ManagedBy = "terraform"
  }
}

resource "azurerm_resource_group" "main" {
  name     = "certlabpro-sc-200-rg"
  location = "eastus"
  tags     = local.tags
}

2.Развертывание рабочей области Log Analytics + подключение Sentinel

Создаваемые ресурсы:

Azure Monitor
Microsoft Sentinel

Microsoft Sentinel — это уровень поверх рабочей области Log Analytics; у него нет собственной плоскости данных. Домен SC-200 «Управление средой Microsoft Sentinel» подчеркивает эту зависимость: каждая функция Sentinel читает/записывает данные из рабочей области, каждый коннектор данных помещает данные в нее, каждое аналитическое правило запускает KQL-запросы против нее.

Мы развертываем рабочую область с SKU PerGB2018 + ресурс azurerm_sentinel_log_analytics_workspace_onboarding для подключения Sentinel. После этого вы могли бы подключить источники данных (Azure Activity, входы Microsoft Entra ID, коннекторы Defender XDR) через портал — они сложны по поверхности и проще настраиваются через графический интерфейс, чем через Terraform.

resource "azurerm_log_analytics_workspace" "main" {
  name                = "log-sc200"
  resource_group_name = azurerm_resource_group.main.name
  location            = azurerm_resource_group.main.location
  sku                 = "PerGB2018"
  retention_in_days   = 30

  tags = local.tags
}

resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
  workspace_id = azurerm_log_analytics_workspace.main.id
}

3.Создание запланированного аналитического правила, которое срабатывает по KQL-шаблону

Создаваемые ресурсы:

Microsoft Sentinel

Аналитические правила — это способ, которым Sentinel преобразует необработанные события журнала в инциденты. SC-200 проверяет распознавание типов правил: Запланированные (на основе KQL, наиболее распространенные), Инциденты Microsoft (пересылают оповещения Defender XDR), Аномалии (на основе машинного обучения), Угрозы (совпадения с данными об угрозах).

Мы создаем запланированное правило с заглушкой KQL-запроса (каждые 5 минут, с просмотром за 5 минут — форма почти в реальном времени SC-200). Запрос здесь является заполнителем (SecurityEvent | take 1); в производстве KQL — это фактическая логика правила — проверка входов из невозможных мест, шаблонов распыления паролей, необычных повышений привилегий и т.д.

Поле tactics сопоставляет правило с фреймворком MITRE ATT&CK — это необходимо для интеграции Defender XDR и для рабочих процессов поиска угроз, которые меняют фокус по тактике.

resource "azurerm_sentinel_alert_rule_scheduled" "stub" {
  name                       = "certlabpro-sc-200-stub-rule"
  log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
  display_name               = "Stub rule — lab demonstration"
  description                = "Sample scheduled analytic rule for the SC-200 lab. Replace KQL with a real hunting pattern."
  severity                   = "Medium"
  enabled                    = true

  query                      = "SecurityEvent | take 1"
  query_frequency            = "PT5M" # run every 5 minutes
  query_period               = "PT5M" # look back 5 minutes

  trigger_operator           = "GreaterThan"
  trigger_threshold          = 0

  tactics    = ["InitialAccess"]
  techniques = ["T1078"] # Valid Accounts (MITRE ATT&CK)

  incident {
    create_incident_enabled = true

    grouping {
      enabled = true
    }
  }

  depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}

4.Настройка правила автоматизации для реагирования на инциденты

Создаваемые ресурсы:

Microsoft Sentinel

Правила автоматизации — это примитив SC-200 «Настройка среды Microsoft Sentinel для управления инцидентами»; они срабатывают при создании, обновлении или закрытии инцидента и выполняют набор действий: назначают инцидент пользователю, изменяют его серьезность, добавляют теги или вызывают playbook Logic App.

Мы создаем правило, которое запускается при каждом создании любого инцидента. Пример действия просто изменяет серьезность на «Высокую» и добавляет теги к инциденту — в производственной среде вы бы здесь вызвали playbook Logic App, который отправляет сообщения в Teams, создает тикет Jira, обогащает данные об угрозах или запускает runbook для устранения проблемы. SC-200 тестирует эту форму триггерной автоматизации как стандартный шаблон SOC уровня L1.

resource "azurerm_sentinel_automation_rule" "tag_and_escalate" {
  name                       = "0e84e57b-8b8a-4c8b-a0a8-1d3f3e6f9a01" # GUID required
  log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
  display_name               = "Tag-and-escalate every new incident"
  order                      = 1
  enabled                    = true

  triggers_on  = "Incidents"
  triggers_when = "Created"

  action_incident {
    order    = 1
    severity = "High"
  }

  action_incident {
    order  = 2
    labels = ["lab-auto-tagged"]
  }

  depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
}

Очистка ресурсов

Что не входит в этот лабораторный практикум

Для вышеуказанных аспектов см. разделы Просмотр, Справочник и Editorial на этой странице сертификации.

Лабораторная работа — SC-200 Microsoft Security Operations Analyst

Обзор

Предварительные требования

💰Примечание о стоимости

Шаги

Очистка ресурсов

Что не входит в этот лабораторный практикум

Лабораторная работа — SC-200 Microsoft Security Operations Analyst

Обзор

Предварительные требования

💰Примечание о стоимости

Шаги

Очистка ресурсов

Что не входит в этот лабораторный практикум

Примечание о стоимости

Примечание о стоимости