Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zweck dieses Dokuments
Dieser Kursleitfaden soll Ihnen helfen zu verstehen, was Sie bei der Prüfung erwartet. Er enthält eine Zusammenfassung der Themen, die in der Prüfung behandelt werden könnten, sowie Links zu zusätzlichen Ressourcen. Mit den in diesem Dokument enthaltenen Informationen und Materialien können Sie sich gezielt auf die Prüfung vorbereiten.
| Nützliche Links | BESCHREIBUNG |
|---|---|
| So erwerben Sie das Zertifikat | Einige Zertifizierungen erfordern nur das Bestehen einer Prüfung, während für andere mehrere Prüfungen erforderlich sind. |
| Zertifizierungsverlängerung | Die Associate-, Expert- und Specialty-Zertifizierungen von Microsoft sind nur ein Jahr lang gültig. Sie können Sie verlängern, indem Sie in Microsoft Learn erfolgreich eine kostenlose Onlinebewertung absolvieren. |
| Ihr Microsoft Learn Profil | Wenn Sie Ihr Zertifizierungsprofil mit Microsoft Learn verknüpfen, können Sie Examen planen und verlängern sowie Zertifikate freigeben und drucken. |
| Prüfungsbewertung und Score-Berichte | Zum Bestehen ist eine Mindestpunktzahl von 700 erforderlich. |
| Prüfung Sandbox | Sie können die Examensumgebung über unsere Examenssandbox erkunden. |
| Anfragen zu Unterkünften | Wenn Sie Hilfsmittel benutzen, zusätzliche Zeit benötigen oder einen Teil des Prüfungsprozesses abändern müssen, können Sie eine Anpassung anfordern. |
| Kostenlose Trainingsbewertung | Stellen Sie Ihr Wissen mit Übungsfragen auf die Probe, um sich auf das Examen vorzubereiten. |
Aktualisierungen der Prüfung
Unsere Prüfungen werden regelmäßig aktualisiert, um Fertigkeiten abzufragen, die zum Ausführen einer Rolle erforderlich sind. Je nachdem, wann Sie die Prüfung ablegen, haben wir zwei Versionen der Qualifikationsbewertungsziele hinzugefügt.
Wir aktualisieren immer zuerst die englische Sprachversion der Prüfung. Einige Prüfungen werden in andere Sprachen übersetzt. Diese werden dann ungefähr acht Wochen nach der Aktualisierung der englischen Version eingestellt. Microsoft unternimmt zwar große Anstrengungen, um die lokalisierten Versionen gemäß Ankündigung zu aktualisieren, aber es kann vorkommen, dass die Aktualisierung der lokalisierten Versionen eines Examens nicht nach diesem Zeitplan erfolgen kann. Weitere verfügbare Sprachen sind im Abschnitt Prüfung planen der Webseite mit den Details zur Prüfung aufgeführt. Wenn die Prüfung nicht in Ihrer bevorzugten Sprache verfügbar ist, können Sie eine zusätzliche Zeit von 30 Minuten anfordern, um sie abzuschließen.
Hinweis
Die Aufzählungspunkte die den bewerteten Fertigkeiten folgen, sollen veranschaulichen, wie wir die jeweilige Fähigkeit bewerten. In der Prüfung können verwandte Themen behandelt werden.
Hinweis
Die meisten Fragen umfassen Features der allgemeinen Verfügbarkeit (GA). Die Prüfung kann Fragen zu Previewfunktionen enthalten, wenn diese Funktionen häufig verwendet werden.
Gemessene Fähigkeiten vom 16. April 2026
Zielgruppenprofil
Als Kandidat für diese Prüfung sind Sie ein Sicherheitsbetriebsanalyst, der das Organisationsrisiko reduziert, indem Sie Triage durchführen, auf Vorfälle reagieren, Bedrohungen suchen und technische Erkennungen durchführen.
Als Sicherheitsanalyst überwachen, identifizieren, untersuchen und reagieren Sie auf Bedrohungen in Multi-Cloud- und lokalen Umgebungen mithilfe von Microsoft Defender XDR, Microsoft Sentinel, Microsoft Entra ID, Microsoft Purview und Microsoft Defender für Cloud-Workload-Schutz. Sie führen die Suche mithilfe von KQL und Sentinel Graph durch und automatisieren Antworten auf Bedrohungen.
Sie arbeiten mit der Geschäftsführung und Führungskräften im Sicherheitsbereich zusammen, um Sicherheitsstandards für die Organisation zu definieren. Sie arbeiten mit Personen in anderen Rollen im digitalen Unternehmen zusammen, um die Standards zu implementieren, den Sicherheitsstatus einer Organisation zu verbessern und das Sicherheitsbewusstsein zu erhöhen.
Als Kandidat*in sollten Sie mit Folgendem vertraut sein:
Microsoft-Sicherheits-, Compliance- und Identitätslösungen
Microsoft 365
Azure Cloud Services
KI-Agenten und Copiloten
Windows-, Linux- und mobile Betriebssysteme.
Qualifikationen auf einen Blick
Verwalten einer Sicherheitsbetriebsumgebung (40–45%)
Reagieren auf Sicherheitsvorfälle (35–40%)
Durchführen der Bedrohungssuche (20–25 %)
Verwalten einer Sicherheitsbetriebsumgebung (40–45%)
Konfigurieren der Automatisierung für Microsoft Defender XDR und Microsoft Sentinel
Konfigurieren von E-Mail-Benachrichtigungen in Microsoft Defender XDR, einschließlich Vorfällen, Aktionen und Bedrohungsanalysen
Konfigurieren von Warnungsbenachrichtigungen in Microsoft Defender XDR, einschließlich Optimierung, Unterdrückung und Korrelation
Konfigurieren erweiterter Funktionen von Microsoft Defender for Endpoint
Einstellungen für Regeln in Microsoft Defender für Endpoint konfigurieren
Konfigurieren benutzerdefinierter Datensammlung in Microsoft Defender für Endpunkte
Konfigurieren von Sicherheitsrichtlinien für Microsoft Defender für Endpunkt, einschließlich ASR-Regeln (Attack Surface Reduction)
Verwalten automatisierter Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR
Konfigurieren automatischer Angriffsunterbrechungen in Microsoft Defender XDR
Konfigurieren und Verwalten von Gerätegruppen, Berechtigungen und Automatisierungsstufen in Microsoft Defender for Endpoint
Erstellen und Konfigurieren von Automatisierungsregeln in Microsoft Sentinel
Erstellen und Konfigurieren Microsoft Sentinel-Playbooks
Konfigurieren des Microsoft Sentinel SIEM und der Plattform
Microsoft Sentinel-Rollen angeben
Verwalten der Datenaufbewahrung für XDR- und Microsoft Sentinel-Tabellen, einschließlich Analytics, Data Lake und XDR-Tiers
Erstellen und Konfigurieren von Microsoft Sentinel-Workbooks
Optimieren der Microsoft Sentinel-Plattform, einschließlich SOC-Optimierungsempfehlungen
Daten in die Microsoft Sentinel SIEM-Plattform aufnehmen
Wählen Sie Datenanschlüsse basierend auf den Anforderungen der Datenquellen aus, einschließlich Windows-Logs und Sicherheitsereignissen
Konfigurieren Sie die Sammlung von Windows-Sicherheitsereignissen mithilfe von AMA, einschließlich Regeln für die Datensammlung.
Planen und Konfigurieren der Sammlung von Windows-Sicherheitsereignissen mithilfe von Windows Event Forwarding (WEF)
Planen und Konfigurieren von Syslog über AMA- und Common Event Format (CEF) über AMA-Connectors
Konfigurieren der Sammlung von Azure-Aktivitäten mithilfe von Azure-Richtlinien- und Ressourcendiagnoseeinstellungen
Erfassung von Bedrohungsindikatoren in Microsoft Sentinel
Erstellen von benutzerdefinierten Protokolltabellen im Arbeitsbereich zum Speichern erfasster Daten
Konfigurieren von Erkennungen
Erstellen von benutzerdefinierten Erkennungsrichtlinien mithilfe von "Advanced Hunting" in Microsoft Defender XDR
Verwalten von benutzerdefinierten Erkennungsregeln in Microsoft Defender XDR
Konfiguriere und verwalte Analytics-Regeln in Microsoft Sentinel SIEM, einschließlich geplanter, echtzeitnaher (NRT), Bedrohungsaufklärung und maschinellen Lernens
Analysieren der Angriffsvektorabdeckung mithilfe der MITRE ATT&CK-Matrix
Konfigurieren von Anomalien in Microsoft Sentinel
Reagieren auf Sicherheitsvorfälle (35–40%)
Reagieren auf Warnungen und Vorfälle in Microsoft Defender XDR
Untersuchen und Beheben von Bedrohungen mithilfe von Microsoft Defender für Office 365, einschließlich automatischer Angriffsunterbrechungen
Untersuchen und Beheben von Bedrohungen oder kompromittierten Entitäten, die von Microsoft Purview identifiziert werden
Untersuchen und Beheben von Warnungen und Incidents, die vom Microsoft Defender for Cloud-Workloadschutz identifiziert wurden
Untersuchen und Beseitigen von Sicherheitsrisiken, die von Microsoft Defender for Cloud-Apps identifiziert wurden
Untersuchen und Beheben kompromittierter Identitäten, die von Microsoft Entra ID identifiziert wurden
Untersuchen und Beseitigen von Sicherheitswarnungen von Microsoft Defender for Identity
Untersuchen und Beheben von Warnungen und Vorfällen, die von Microsoft Sentinel identifiziert werden
Untersuchen Sie Vorfälle mithilfe agentenbasierter KI, einschließlich des eingebetteten Copilot for Security
Untersuchen Sie komplexe Angriffe, z. B. mehrstufige, multidomänenbasierte und laterale Bewegungen.
Verwalten von Sicherheitsvorfällen mithilfe der Fallverwaltung
Reagieren auf Warnungen und Vorfälle in Microsoft Defender für Endpunkt
Untersuchen von Gerätezeitachsen
Ausführen von Aktionen auf dem Gerät, einschließlich Liveantwort und Sammeln von Untersuchungspaketen
Durchführung von Beweis- und Entitätsuntersuchungen
Untersuchen und Beheben von Vorfällen, die durch automatische Angriffsunterbrechungen identifiziert werden
Untersuchen von Microsoft 365-Aktivitäten zur Identifizierung von Bedrohungen
Untersuchen von Bedrohungen mithilfe der Überwachung von Microsoft Purview
Untersuchen von Bedrohungen mithilfe der Inhaltssuche in Microsoft Purview
Untersuchen von Bedrohungen mithilfe von Microsoft Graph-Aktivitätsprotokollen
Bedrohungssuche durchführen (20–25%)
Erkennen von Bedrohungen mithilfe von Microsoft Defender XDR
Identifizieren der geeigneten Tabelle, die in einer KQL-Abfrage verwendet werden soll
Identifizieren von Bedrohungen mithilfe von Kusto-Abfragesprache (KQL)
Erstellen von Advanced Hunting Abfragen
Interpretieren von Bedrohungsanalysen in Microsoft Defender XDR
Erstellen von Jagd-Diagrammen, einschließlich Explosionsradius
Analysieren von Beziehungen zwischen Entitäten mithilfe von Sentinel Graph
Erkennen von Bedrohungen mithilfe der Microsoft Sentinel-Plattform
Erstellen und Überwachen von Huntingabfragen
Erstellen und Verwalten von KQL-Aufträgen in Data Lake
Erstellen und Verwalten von Zusammenfassungsregeltabellen für Abfragen
Suchen nach Bedrohungen mithilfe von Notizbüchern, einschließlich der Verbindung mit dem Sentinel MCP-Server
Lernressourcen
Es wird empfohlen, dass Sie vor dem Ablegen der Prüfung üben und praktische Erfahrungen sammeln. Wir bieten Optionen für Selbststudium und Präsenzschulung sowie Links zu Dokumentationen, Community-Websites und Videos.
| Lernressourcen | Links zu Lern- und Dokumentationsressourcen |
|---|---|
| Bereiten Sie sich vor | Wählen Sie aus den Lernpfaden und Modulen zum Selbststudium oder nehmen Sie an einem von einem Ausbilder geleiteten Kurs teil |
| Zugehörige Dokumentation |
Microsoft-Dokumentation zur Sicherheit Microsoft 365 Defender-Dokumentation Dokumentation zu Microsoft Defender for Cloud Dokumentation zu Microsoft Sentinel |
| Frage stellen | Microsoft Q & A | Microsoft Dokumente |
| Communitysupport anfordern | Community-Hub für Sicherheit, Compliance und Identität |
| Folgen von Microsoft Learn | Microsoft Learn – Microsoft Tech Community |
| Video finden |
Prüfungsbereitschaftszone Durchsuchen Sie andere Microsoft Learn-Veranstaltungen |
Änderungsprotokoll
In der folgenden Tabelle sind die Änderungen an den bewerteten Qualifikationen zwischen der aktuellen und der vorherigen Version zusammengefasst. Die funktionalen Gruppen sind fett formatiert. Danach folgen die Ziele innerhalb jeder Gruppe. In der Tabelle werden die vorherige und die aktuelle Version der bewerteten Qualifikationen im Examen verglichen. In der dritten Spalte wird der Umfang der Änderungen beschrieben.
| Qualifikationsbereich vor dem 16. April 2026 | Qualifikationsbereich ab dem 16. April 2026 | Ändern |
|---|---|---|
| Zielgruppenprofil | Zielgruppenprofil | Schwer |
| Verwalten einer Sicherheitsbetriebsumgebung | Verwalten einer Sicherheitsbetriebsumgebung | Prozentsatz der Prüfung erhöht |
| Konfigurieren von Einstellungen in Microsoft Defender XDR | Konfigurieren der Automatisierung für Microsoft Defender XDR und Microsoft Sentinel | Schwer |
| Verwalten von Ressourcen und Umgebungen | Gelöscht | |
| Entwerfen und Konfigurieren eines Microsoft Sentinel-Arbeitsbereichs | Konfigurieren des Microsoft Sentinel SIEM und der Plattform | Schwer |
| Erfassen von Datenquellen in Microsoft Sentinel | Daten in die Microsoft Sentinel-SIEM-Plattform importieren | Schwer |
| Konfigurieren von Erkennungen | Hinzugefügt | |
| Konfigurieren von Schutzmaßnahmen und Erkennungen | Gelöscht | |
| Konfigurieren von Schutzmaßnahmen in Microsoft Defender-Sicherheitstechnologien | Gelöscht | |
| Konfigurieren der Erkennung in Microsoft Defender XDR | Entfernt | |
| Konfigurieren von Erkennungen in Microsoft Sentinel | Gelöscht | |
| Verwalten von Reaktionen auf Incidents | Reagieren auf Sicherheitsvorfälle | Prozentsatz der Prüfung erhöht |
| Reagieren auf Warnungen und Incidents im Microsoft Defender-Portal | Reagieren auf Warnungen und Vorfälle in Microsoft Defender XDR | Schwer |
| Reagieren auf Warnungen und Incidents, die von Microsoft Defender for Endpoint identifiziert wurden | Reagieren auf Warnungen und Vorfälle in Microsoft Defender für Endpunkt | Geringfügig |
| Untersuchen von Microsoft 365-Aktivitäten | Untersuchen von Microsoft 365-Aktivitäten zur Identifizierung von Bedrohungen | Geringfügig |
| Reagieren auf Incidents in Microsoft Sentinel | Gelöscht | |
| Implementieren und Verwenden von Microsoft Security Copilot | Gelöscht | |
| Verwalten von Sicherheitsbedrohungen | Threat Hunting durchführen | Prozentsatz der Prüfung erhöht |
| Hunting nach Bedrohungen mithilfe von Microsoft Defender XDR | Erkennen von Bedrohungen mithilfe von Microsoft Defender XDR | Schwer |
| Suchen nach Bedrohungen mithilfe von Microsoft Sentinel | Erkennen von Bedrohungen mithilfe der Microsoft Sentinel-Plattform | Schwer |
| Erstellen und Konfigurieren von Microsoft Sentinel-Workbooks | Entfernt |