SC-200 vs AZ-500:微软安全认证哪个先考?
AZ-500 适用于配置 Azure 安全的云工程师。SC-200 适用于 Sentinel 内的 SOC 分析师。本文将指导你选择最适合你工作岗位的认证。
如果你必须选择一个微软安全认证但不知道选哪个,简单来说就是:如果你构建和配置 Azure 资源,考 AZ-500;如果你调查警报和追踪威胁,考 SC-200。两者都售价 165 美元,都是基于角色的助理级别认证,且都相当有难度。它们涵盖的内容有所重叠——身份、网络、Sentinel——但它们对应的日常工作实际上是不同的,选择错误的认证意味着你在为别人的工作而学习。
我经常收到这个问题,所以值得写一篇完整的文章,而不仅仅是一句话的回复。
什么是 AZ-500
AZ-500 — Microsoft 认证:Azure 安全工程师助理认证 — 旨在测试你实施 Azure 安全控制的能力。目前的考试大纲大致分为:
- 管理身份和访问 (~25–30%):Entra ID、Conditional Access、PIM、托管标识、MFA 配置。
- 保护网络 (~20–25%):NSG、ASG、Azure Firewall、Front Door / App Gateway 上的 WAF、私有端点、DDoS 防护。
- 保护计算、存储、数据库 (~20–25%):Defender for Cloud、磁盘加密、存储强化、Key Vault、SQL TDE / Always Encrypted。
- 管理安全运营 (~25–30%):Sentinel 基础知识、Defender for Cloud 安全分数、Azure Policy、法规遵从性仪表板。
它涵盖范围广泛。多选题感觉很注重实践——考试开始时的案例研究会让你在一个假设的公司环境中进行操作。KQL 知识要求不深。Sentinel 知识要求不深。重点是“配置 Azure 资源以确保安全”。
什么是 SC-200
SC-200 — Microsoft 认证:安全运营分析师助理认证 — 旨在测试你日常操作微软安全堆栈的能力。目前的考试大纲:
- 使用 Microsoft Defender XDR 缓解威胁 (~25–30%):Defender for Endpoint、Office 365、Cloud Apps、Identity。调查、分类、响应。
- 使用 Defender for Cloud 缓解威胁 (~15–20%):云工作负载保护、安全分数、从分析师角度理解法规遵从性。
- 使用 Microsoft Sentinel 缓解威胁 (~50–55%):数据连接器、分析规则、搜寻查询、工作簿、剧本、SOAR、KQL——KQL 占比很高。
考试的重点是 Sentinel。如果到考试那天你不能流利地编写或阅读 KQL,你就会很吃力。案例研究通常会给你一个查询,问它返回什么,或者给你一个场景,问你会使用哪个 KQL 运算符来优化它。
角色对应
这是营销页面上没有人明确说明的部分:
| 如果你的职位是... | 优先考虑这个 |
|---|---|
| 云工程师 / DevOps 工程师 / 平台工程师 | AZ-500 |
| 安全工程师(侧重配置) | AZ-500 |
| 希望专业化的 Azure 管理员 | AZ-500 |
| SOC 分析师 / 一级至二级分析师 | SC-200 |
| 威胁追踪者 / 检测工程师 | SC-200 |
| 事件响应者 | SC-200 |
| 通用型 IT / 最终两者都想要 | AZ-500 优先 |
| 转行进入安全领域 | SC-200(初级岗位需求更多) |
AZ-500 对大多数云岗位来说是首选的原因是,它涵盖了非纯安全人员实际需要了解的更多知识。如果你是一名偶尔处理安全问题的云工程师,AZ-500 会让你在日常工作中表现得更好。SC-200 只有在你大部分时间都坐在 Sentinel 面前时才会有所回报。
难度:大致相当,形态不同
两种考试都是 40-60 道题,100 分钟,标价 165 美元(部分市场有区域定价,降至约 80 美元)。两者都可以通过 30 道题的在线评估免费续期一年。两者都使用案例研究以及标准的多项选择题 / 多选 / 拖放题型。
它们的不同之处在于:
- AZ-500 更广,SC-200 更深。 AZ-500 要求你对很多方面(身份、网络、计算、存储、运营)有所了解。SC-200 则要求你对 Sentinel 和 Defender 套件有深入的了解。
- KQL 是 SC-200 的独特之处。 AZ-500 要求你阅读 KQL 查询并理解输出。SC-200 则要求你编写、优化和调试它们。如果你从未使用过 KQL,SC-200 会让你感到意外。
- AZ-500 包含更多身份内容。 Conditional Access、PIM、External Identities、Identity Protection——AZ-500 的前 25–30% 内容侧重于身份。SC-200 涉及身份,但主要是通过 Defender for Identity 警报的视角。
微软没有公布通过率,但据经验而言,准备充分的考生首次尝试通过率都在 60-70% 左右。SC-200 的 KQL 部分是大多数人失分的地方;AZ-500 的案例研究是大多数人失分的地方。
准备时间
| 背景 | AZ-500 | SC-200 |
|---|---|---|
| 经验丰富的 Azure 安全工程师 | 40–60 小时 | 50–80 小时 |
| 通用型 Azure 工程师 | 80–100 小时 | 100–130 小时 |
| SOC 分析师,微软堆栈 | 80–100 小时 | 50–80 小时 |
| Azure 新手 | 150+ 小时 | 180+ 小时 |
SC-200 倾向于花费更长的时间,因为大多数考生需要从头开始培养 KQL 技能。如果你已经熟练掌握 KQL 或其他具有类似语法的查询语言(Splunk SPL 迁移得相当好),可以减少 20–30 小时。
微软学习 (Microsoft Learn) 上提供的两种考试官方学习路径是免费且最新的。John Savill 的 YouTube 频道有两者的速成视频。对于 SC-200,Rod Trent 的“KQL from scratch”是 Sentinel 内容的权威免费资源。对于 AZ-500,自己开一个免费的 Azure 订阅,亲自动手操作 Conditional Access、PIM、Defender for Cloud 和 Key Vault 是必不可少的——如果没有门户级别的熟悉度,案例研究问题几乎不可能回答。
薪资信号
没有任何一个认证能直接显著地提升薪资。两者都能为面试提供机会。根据 BLS OEWS 2024 年 5 月的数据,信息安全分析师 (15-1212) 的中位数工资约为 12.4 万美元,第 90 百分位约为 18.2 万美元。微软生态系统中的安全职位通常集中在该范围的上限。
levels.fyi 2025–2026 年数据:
- Microsoft L62 安全工程师总薪酬约为 23 万美元。
- AWS L5 安全专家总薪酬约为 24.5 万美元。
- 中端非 FAANG 安全工程师职位(Capital One、Stripe、Atlassian)基本工资通常在 17 万至 22 万美元之间。
在拥有成熟 SOC 的大型企业(银行、医疗保健、联邦承包商)中,SC-200 持有者通常会超出薪资中位数,因为 24/7 SOC 岗位包含轮班津贴。AZ-500 持有者则更倾向于标准的云工程薪资范围。
2026 年最受青睐的认证组合是 AZ-500 + SC-200 + AZ-104——它表明你能够配置 Azure、保护 Azure 并操作响应。完成这三个认证大约需要 200 小时,耗时 6–9 个月,这将使你的简历在大多数使用微软堆栈的雇主那里通过筛选。
我的建议
如果你从云工程或通用 IT 背景起步,请优先选择 AZ-500。它的范围更广,能让你更多地了解 Azure 作为一个平台,而且大多数需要微软安全技能的职位更常明确要求 AZ-500 而非 SC-200。
如果你从 SOC 或分析师方向起步——你已经在使用某个 SIEM 运行查询,每天调查警报——请优先选择 SC-200。AZ-500 侧重配置的内容可能会让你觉得是一条暂时不需要的弯路。
如果你最终目标是获得这两个认证,那么考取的顺序不如两者之间的时间间隔重要。不要让它们间隔超过 6 个月;身份和 Sentinel 基础知识的重叠内容会让你连续准备时受益。
当你准备好练习时,浏览 CertLabPro 上的 AZ-500 练习题库,开始 SC-200 限时模拟考试,或者两者都用。微软的案例研究题型独特,在时间压力下进行模式识别是受益于真实题目练习最多的部分。