Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zweck dieses Dokuments
Dieser Kursleitfaden soll Ihnen helfen zu verstehen, was Sie bei der Prüfung erwartet. Er enthält eine Zusammenfassung der Themen, die in der Prüfung behandelt werden könnten, sowie Links zu zusätzlichen Ressourcen. Mit den in diesem Dokument enthaltenen Informationen und Materialien können Sie sich gezielt auf die Prüfung vorbereiten.
| Nützliche Links | BESCHREIBUNG |
|---|---|
| So erwerben Sie das Zertifikat | Einige Zertifizierungen erfordern nur das Bestehen einer Prüfung, während für andere mehrere Prüfungen erforderlich sind. |
| Zertifizierungsverlängerung | Die Associate-, Expert- und Specialty-Zertifizierungen von Microsoft sind nur ein Jahr lang gültig. Sie können Sie verlängern, indem Sie in Microsoft Learn erfolgreich eine kostenlose Onlinebewertung absolvieren. |
| Ihr Microsoft Learn Profil | Wenn Sie Ihr Zertifizierungsprofil mit Microsoft Learn verknüpfen, können Sie Examen planen und verlängern sowie Zertifikate freigeben und drucken. |
| Prüfungsbewertung und Score-Berichte | Zum Bestehen ist eine Mindestpunktzahl von 700 erforderlich. |
| Prüfung Sandbox | Sie können die Examensumgebung über unsere Examenssandbox erkunden. |
| Anfragen zu Unterkünften | Wenn Sie Hilfsmittel benutzen, zusätzliche Zeit benötigen oder einen Teil des Prüfungsprozesses abändern müssen, können Sie eine Anpassung anfordern. |
| Kostenlose Trainingsbewertung | Stellen Sie Ihr Wissen mit Übungsfragen auf die Probe, um sich auf das Examen vorzubereiten. |
Aktualisierungen der Prüfung
Unsere Prüfungen werden regelmäßig aktualisiert, um Fertigkeiten abzufragen, die zum Ausführen einer Rolle erforderlich sind. Je nachdem, wann Sie die Prüfung ablegen, haben wir zwei Versionen der Qualifikationsbewertungsziele hinzugefügt.
Wir aktualisieren immer zuerst die englische Sprachversion der Prüfung. Einige Prüfungen werden in andere Sprachen übersetzt. Diese werden dann ungefähr acht Wochen nach der Aktualisierung der englischen Version eingestellt. Microsoft unternimmt zwar große Anstrengungen, um die lokalisierten Versionen gemäß Ankündigung zu aktualisieren, aber es kann vorkommen, dass die Aktualisierung der lokalisierten Versionen eines Examens nicht nach diesem Zeitplan erfolgen kann. Weitere verfügbare Sprachen sind im Abschnitt Prüfung planen der Webseite mit den Details zur Prüfung aufgeführt. Wenn die Prüfung nicht in Ihrer bevorzugten Sprache verfügbar ist, können Sie eine zusätzliche Zeit von 30 Minuten anfordern, um sie abzuschließen.
Hinweis
Die Aufzählungspunkte die den bewerteten Fertigkeiten folgen, sollen veranschaulichen, wie wir die jeweilige Fähigkeit bewerten. In der Prüfung können verwandte Themen behandelt werden.
Hinweis
Die meisten Fragen umfassen Features der allgemeinen Verfügbarkeit (GA). Die Prüfung kann Fragen zu Previewfunktionen enthalten, wenn diese Funktionen häufig verwendet werden.
Ab dem 22. Januar 2026 gemessene Fähigkeiten
Zielgruppenprofil
Als Kandidat:in für dieses Examen sind Sie Microsoft Security Operations-Analyst:in und reduzieren das Organisationsrisiko folgendermaßen:
Schnelle Behebung aktiver Angriffe in Cloud- und lokalen Umgebungen
Beratung zu Verbesserungen der Bedrohungsschutzpraktiken
Identifizieren von Verstößen gegen Organisationsrichtlinien
Als Security Operations-Analysefachkraft haben Sie folgende Aufgaben:
Führen Sie eine Triage aus.
Reagieren auf Incidents
Minimieren von Risiken mit Exposure Management
Hunting nach Bedrohungen mithilfe von Threat Intelligence
Verwenden von KQL für Berichte, Erkennung und Untersuchungen
Außerdem überwachen Sie Cloud- und lokale Umgebungen, identifizieren und untersuchen Bedrohungen und reagieren darauf. Dazu verwenden Sie:
Microsoft Defender XDR
Security Copilot
Microsoft Sentinel
Workloadschutz mit Microsoft Defender für Cloud
Sicherheitslösungen von Drittanbietern
Sie arbeiten mit der Geschäftsführung und Führungskräften im Sicherheitsbereich zusammen, um Sicherheitsstandards für die Organisation zu definieren. Sie arbeiten mit Personen in anderen Rollen im digitalen Unternehmen zusammen, um die Standards zu implementieren, den Sicherheitsstatus einer Organisation zu verbessern und das Sicherheitsbewusstsein zu erhöhen.
Als Kandidat*in sollten Sie mit Folgendem vertraut sein:
Microsoft 365
Azure Cloud Services
Windows, Linux und mobile Betriebssysteme
Qualifikationen auf einen Blick
Verwalten einer Security Operations-Umgebung (20–25 %)
Konfigurieren von Schutzmaßnahmen und Erkennungen (15–20 %)
Verwalten von Reaktionen auf Incidents (25–30 %)
Verwalten von Sicherheitsbedrohungen (15–20 %)
Verwalten einer Security Operations-Umgebung (20–25 %)
Konfigurieren von Einstellungen in Microsoft Defender XDR
Konfigurieren von Regeln für Warnungen und Benachrichtigungen zu Sicherheitsrisiken
Konfigurieren erweiterter Funktionen von Microsoft Defender for Endpoint
Konfigurieren von Endpunktregeleinstellungen
Verwalten automatisierter Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR
Konfigurieren automatischer Angriffsunterbrechungen in Microsoft Defender XDR
Verwalten von Ressourcen und Umgebungen
Konfigurieren und Verwalten von Gerätegruppen, Berechtigungen und Automatisierungsstufen in Microsoft Defender for Endpoint
Identifizieren von nicht verwalteten Geräten in Microsoft Defender for Endpoint
Entdecken von ungeschützten Ressourcen mithilfe von Defender for Cloud
Identifizieren und Schützen von gefährdeten Geräten mithilfe der Microsoft Defender-Sicherheitsrisikoverwaltung
Verringern des Risikos mithilfe von Exposure Management in Microsoft Defender XDR
Entwerfen und Konfigurieren eines Microsoft Sentinel-Arbeitsbereichs
Planen eines Microsoft Sentinel-Arbeitsbereichs
Konfigurieren von Rollen in Microsoft Sentinel
Angeben von Azure RBAC-Rollen für die Microsoft Sentinel-Konfiguration
Entwerfen und Konfigurieren von Microsoft Sentinel-Datenspeichern, einschließlich Protokolltypen und Protokollaufbewahrung
Erfassen von Datenquellen in Microsoft Sentinel
Identifizieren von Datenquellen, die für Microsoft Sentinel erfasst werden sollen
Implementieren und Verwenden von Inhaltshublösungen
Konfigurieren und Verwenden von Microsoft-Connectors für Azure-Ressourcen
Planen und Konfigurieren von Syslog- und CEF-Ereignissammlungen (Common Event Format)
Planen und Konfigurieren von Ereignissammlungen für die Windows-Sicherheit mithilfe von Datensammlungsregeln, einschließlich der Windows-Ereignisweiterleitung (Windows Event Forwarding, WEF)
Erstellen von benutzerdefinierten Protokolltabellen im Arbeitsbereich zum Speichern erfasster Daten
Überwachen und Optimieren der Datenerfassung
Konfigurieren von Schutzmaßnahmen und Erkennungen (15–20 %)
Konfigurieren von Schutzmaßnahmen in Microsoft Defender-Sicherheitstechnologien
Konfigurieren von Richtlinien für Microsoft Defender for Cloud-Apps
Konfigurieren von Richtlinien für Microsoft Defender for Office 365
Konfigurieren von Sicherheitsrichtlinien für Microsoft Defender für Endpunkt, einschließlich ASR-Regeln (Attack Surface Reduction)
Konfigurieren des Cloud-Workloadschutzes mithilfe von Microsoft Defender for Cloud
Konfigurieren der Erkennung in Microsoft Defender XDR
Konfigurieren und Verwalten benutzerdefinierter Erkennungsregeln
Verwalten von Warnungen, einschließlich Optimierung, Unterdrückung und Korrelation
Konfigurieren von Täuschungsregeln in Microsoft Defender XDR
Konfigurieren von Erkennungen in Microsoft Sentinel
Klassifizieren und Analysieren von Daten mithilfe von Entitäten
Konfigurieren und Verwalten von Analyseregeln
Abfragen von Microsoft Sentinel-Daten mithilfe von ASIM-Parsern
Implementieren von Verhaltensanalysen
Verwalten von Reaktionen auf Incidents (25–30 %)
Reagieren auf Warnungen und Incidents im Microsoft Defender-Portal
Untersuchen und Beheben von Bedrohungen mithilfe von Microsoft Defender for Office 365
Untersuchen und Beseitigen von Ransomware-Incidents und Kompromittierungsvorfällen bei geschäftlichen E-Mails, die durch automatische Angriffsunterbrechungen identifiziert wurden
Untersuchen und Beheben von kompromittierten Entitäten, die von den Data Loss Prevention-Richtlinien von Microsoft Purview identifiziert wurden
Untersuchen und Beseitigen von Bedrohungen, die von Microsoft Purview-Richtlinien für Insider-Risiken identifiziert wurden
Untersuchen und Beheben von Warnungen und Incidents, die vom Microsoft Defender for Cloud-Workloadschutz identifiziert wurden
Untersuchen und Beseitigen von Sicherheitsrisiken, die von Microsoft Defender for Cloud-Apps identifiziert wurden
Untersuchen und Beheben kompromittierter Identitäten, die von Microsoft Entra ID identifiziert wurden
Untersuchen und Beseitigen von Sicherheitswarnungen von Microsoft Defender for Identity
Reagieren auf Warnungen und Incidents, die von Microsoft Defender for Endpoint identifiziert wurden
Untersuchen von Gerätezeitachsen
Ausführen von Aktionen auf dem Gerät, einschließlich Liveantwort und Sammeln von Untersuchungspaketen
Durchführung von Beweis- und Entitätsuntersuchungen
Untersuchen von Microsoft 365-Aktivitäten
Untersuchen von Bedrohungen mithilfe des einheitlichen Überwachungsprotokolls
Untersuchen von Bedrohungen mithilfe der Inhaltssuche
Untersuchen von Bedrohungen mithilfe von Microsoft Graph-Aktivitätsprotokollen
Reagieren auf Incidents in Microsoft Sentinel
Untersuchen und Beheben von Incidents in Microsoft Sentinel
Erstellen und Konfigurieren von Automatisierungsregeln
Erstellen und Konfigurieren Microsoft Sentinel-Playbooks
Ausführen von Playbooks auf lokalen Ressourcen
Implementieren und Verwenden von Microsoft Security Copilot
Erstellen und Verwenden von Promptbooks
Verwalten von Quellen für Security Copilot, einschließlich Plug-Ins und Dateien
Integrieren von Security Copilot durch Implementieren von Connectors
Verwalten von Berechtigungen und Rollen in Security Copilot
Überwachen von Kapazität und Kosten von Security Copilot
Identifizieren von Bedrohungen und Risiken mithilfe von Security Copilot
Untersuchen von Incidents mithilfe von Security Copilot
Verwalten von Sicherheitsbedrohungen (15–20 %)
Hunting nach Bedrohungen mithilfe von Microsoft Defender XDR
Identifizieren von Bedrohungen mithilfe von Kusto-Abfragesprache (KQL)
Interpretieren der Bedrohungsanalyse im Microsoft Defender-Portal
Erstellen von benutzerdefinierten Suchabfragen mithilfe von KQL
Suchen nach Bedrohungen mithilfe von Microsoft Sentinel
Analysieren der Angriffsvektorabdeckung mithilfe der MITRE ATT&CK-Matrix
Verwalten und Verwenden von Bedrohungsindikatoren
Erstellen und Verwalten von Huntings
Erstellen und Überwachen von Huntingabfragen
Verwenden von Hunting-Textmarken für Datenuntersuchungen
Abrufen und Verwalten archivierter Protokolldaten
Erstellen und Verwalten von Suchaufträgen
Erstellen und Konfigurieren von Microsoft Sentinel-Workbooks
Aktivieren und Anpassen von Workbookvorlagen
Erstellen von benutzerdefinierten Arbeitsmappen, die KQL enthalten
Konfigurieren von Visualisierungen
Lernressourcen
Es wird empfohlen, dass Sie vor dem Ablegen der Prüfung üben und praktische Erfahrungen sammeln. Wir bieten Optionen für Selbststudium und Präsenzschulung sowie Links zu Dokumentationen, Community-Websites und Videos.
| Lernressourcen | Links zu Lern- und Dokumentationsressourcen |
|---|---|
| Bereiten Sie sich vor | Wählen Sie aus den Lernpfaden und Modulen zum Selbststudium oder nehmen Sie an einem von einem Ausbilder geleiteten Kurs teil |
| Zugehörige Dokumentation |
Microsoft-Dokumentation zur Sicherheit Microsoft 365 Defender-Dokumentation Dokumentation zu Microsoft Defender for Cloud Dokumentation zu Microsoft Sentinel |
| Frage stellen | Microsoft Q & A | Microsoft Dokumente |
| Communitysupport anfordern | Community-Hub für Sicherheit, Compliance und Identität |
| Folgen von Microsoft Learn | Microsoft Learn - Microsoft Tech Community |
| Video finden |
Prüfungsbereitschaftszone Durchsuchen Sie andere Microsoft Learn-Veranstaltungen |
Änderungsprotokoll
In der folgenden Tabelle sind die Änderungen an den bewerteten Qualifikationen zwischen der aktuellen und der vorherigen Version zusammengefasst. Die funktionalen Gruppen sind fett formatiert. Danach folgen die Ziele innerhalb jeder Gruppe. In der Tabelle werden die vorherige und die aktuelle Version der bewerteten Qualifikationen im Examen verglichen. In der dritten Spalte wird der Umfang der Änderungen beschrieben.
| Qualifikationsbereich vor dem 22. Januar 2026 | Qualifikationsbereich ab dem 22. Januar 2026 | Ändern |
|---|---|---|
| Verwalten einer Sicherheitsbetriebsumgebung | Verwalten einer Sicherheitsbetriebsumgebung | Keine Änderung |
| Erfassen von Datenquellen in Microsoft Sentinel | Erfassen von Datenquellen in Microsoft Sentinel | Geringfügig |
| Konfigurieren von Schutzmaßnahmen und Erkennungen | Konfigurieren von Schutzmaßnahmen und Erkennungen | Keine Änderung |
| Konfigurieren von Schutzmaßnahmen in Microsoft Defender-Sicherheitstechnologien | Konfigurieren von Schutzmaßnahmen in Microsoft Defender-Sicherheitstechnologien | Geringfügig |