다음을 통해 공유


시험 SC-200: Microsoft 보안 운영 분석가에 대한 연구 가이드

이 문서의 목적

이 학습 가이드는 시험에서 예상되는 내용을 이해하는 데 도움이 되며 시험에서 다룰 수 있는 주제에 대한 요약과 추가 리소스에 대한 링크를 포함합니다. 이 문서의 정보와 자료는 시험을 준비하면서 공부에 집중하는 데 도움이 될 것입니다.

유용한 링크 설명
2024년 7월 24일 현재 측정된 기술 검토 이 목록은 제공된 날짜 이후에 측정된 기술을 나타냅니다. 해당 날짜 이후에 시험에 응시할 계획이라면 이 목록을 연구해 보세요.
2024년 7월 24일 이전에 측정된 기술 검토 제공된 날짜 이전에 시험을 치르는 경우 이 기술 목록을 연구합니다.
변경 로그 제공된 날짜에 변경 내용을 보려면 변경 로그로 직접 이동하면 됩니다.
인증을 획득하는 방법 일부 인증은 하나의 시험에만 합격하면 되는 반면, 다른 인증은 여러 시험에 합격해야 합니다.
인증 갱신 Microsoft 준 전문가, 전문가 및 전문 분야 인증은 매년 만료됩니다. Microsoft Learn에서 무료 온라인 평가에 합격하면 인증을 갱신할 수 있습니다.
Microsoft Learn 프로필 인증 프로필을 Microsoft Learn에 연결하면 시험을 예약 및 갱신하고 인증서를 공유하고 인쇄할 수 있습니다.
시험 채점 및 점수 보고서 합격하기 위해서는 700점 이상의 점수가 필요합니다.
시험 샌드박스 시험 샌드박스를 방문하여 시험 환경을 살펴볼 수 있습니다.
편의 시설 요청 보조 디바이스를 사용하거나, 추가 시간이 필요하거나, 시험 환경의 일부를 수정해야 하는 경우 편의 시설을 요청할 수 있습니다.
무료 실습 평가 받기 시험 준비를 도와주는 실습 질문으로 기술을 테스트하세요.

시험 업데이트

우리의 시험은 역할을 수행하는 데 필요한 기술을 반영하기 위해 주기적으로 업데이트됩니다. 시험 응시 시기에 따라 두 가지 버전의 기술 측정 목표가 포함되어 있습니다.

항상 영어 버전의 시험을 먼저 업데이트합니다. 일부 시험은 다른 언어로 지역화되며 영어 버전이 업데이트된 후 약 8주 후에 업데이트됩니다. Microsoft는 앞에서 설명한 대로 현지화된 버전을 업데이트하기 위해 모든 노력을 기울이고 있지만 시험의 현지화된 버전이 이 일정에 따라 업데이트되지 않는 경우가 있을 수 있습니다. 사용 가능한 다른 언어는 시험 세부 정보 웹 페이지의 시험 일정 섹션에 나열됩니다. 원하는 언어로 시험을 볼 수 없는 경우 시험을 완료하는 데 30분을 추가로 요청할 수 있습니다.

참고

측정된 각 기술 다음에 나오는 글머리 기호는 해당 기술을 평가하는 방법을 설명하기 위한 것입니다. 관련 항목은 시험에서 다룰 수 있습니다.

참고

대부분의 질문은 GA(일반 공급)인 기능을 다룹니다. 이러한 기능이 일반적으로 사용되는 경우 시험에 미리 보기 기능에 대한 질문이 포함될 수 있습니다.

2024년 7월 24일 현재 측정된 기술

잠재 고객 프로파일

이 시험의 응시자는 다음을 통해 조직의 위험을 줄이는 Microsoft 보안 운영 분석가입니다.

  • 클라우드 및 온-프레미스 환경에서 활성 공격을 신속하게 수정합니다.

  • 위협 방지 사례 개선에 대해 조언합니다.

  • 조직 정책 위반 식별

보안 운영 분석가는 다음을 수행합니다.

  • 심사를 수행합니다.

  • 인시던트에 대응합니다.

  • 취약성을 관리합니다.

  • 위협을 헌팅합니다.

  • 로그를 평가합니다.

  • 위협 인텔리전스를 분석합니다.

또한 다음을 사용하여 클라우드 및 온-프레미스 환경에서 위협을 모니터링, 식별, 조사 및 대응합니다.

  • Microsoft Sentinel

  • Microsoft Defender for Cloud

  • Microsoft Defender XDR

  • 타사 보안 솔루션

이 역할에서는 보고, 검색 및 조사에 KQL(Kusto 쿼리 언어)을 사용합니다. 비즈니스 이해 관계자, 설계자, 클라우드 관리자, 엔드포인트 관리자, ID 관리자, 규정 준수 관리자 및 보안 엔지니어와 협력하여 디지털 엔터프라이즈를 보호합니다.

응시자는 다음 사항을 잘 알고 있어야 합니다.

  • Microsoft 365

  • Azure 클라우드 서비스

  • Windows 및 Linux 운영 체제

기술 한눈에 보기

  • 보안 운영 환경 관리(20~25%)

  • 보호 및 검색 구성(15~20%)

  • 인시던트 대응 관리(35~40%)

  • 위협 헌팅 수행(15~20%)

보안 운영 환경 관리(20~25%)

Microsoft Defender XDR에서 설정 구성

  • Defender XDR에서 Sentinel 작업 영역으로의 연결 구성

  • 경고 및 취약성 알림 규칙 구성

  • 엔드포인트용 Microsoft Defender 고급 기능 구성

  • 표시기 및 웹 콘텐츠 필터링을 포함하여 엔드포인트 규칙 설정 구성

  • Microsoft Defender XDR에서 자동화된 조사 및 응답 기능 관리

  • Microsoft Defender XDR에서 자동 공격 중단 구성

자산 및 환경 관리

  • 엔드포인트용 Microsoft Defender에서 디바이스 그룹, 사용 권한, 자동화 수준 구성 및 관리

  • 엔드포인트용 Microsoft Defender에서 관리되지 않는 디바이스 식별 및 수정

  • Azure Arc를 사용하여 리소스 관리

  • 다중 클라우드 관리를 사용하여 클라우드용 Microsoft Defender에 환경 연결

  • 클라우드용 Defender를 사용하여 보호되지 않는 리소스 검색 및 수정

  • Microsoft Defender 취약성 관리를 사용하여 위험에 처한 디바이스 식별 및 수정

Microsoft Sentinel 작업 영역 디자인 및 구성

  • Microsoft Sentinel 작업 영역 계획

  • Microsoft Sentinel 역할 구성

  • Microsoft Sentinel 구성에 대한 Azure RBAC 역할 지정

  • 로그 유형 및 로그 보존을 포함하여 Microsoft Sentinel 데이터 스토리지 디자인 및 구성

  • 작업 영역 관리자 및 Azure Lighthouse를 사용하여 여러 작업 영역 관리

Microsoft Sentinel에서 데이터 원본 수집

  • Microsoft Sentinel에 대해 수집할 데이터 원본 식별

  • 콘텐츠 허브 솔루션 구현 및 사용

  • Azure Policy 및 진단 설정을 포함하여 Azure 리소스에 대한 Microsoft 커넥터 구성 및 사용

  • Microsoft Sentinel과 Microsoft Defender XDR 간의 양방향 동기화 구성

  • Syslog 및 CEF(Common Event Format) 이벤트 컬렉션 계획 및 구성

  • WEF(Windows 이벤트 전달)를 비롯한 데이터 수집 규칙을 사용하여 Windows 보안 이벤트 수집 계획 및 구성

  • 플랫폼, TAXII, 업로드 표시기 API 및 MISP를 비롯한 위협 인텔리전스 커넥터 구성

  • 작업 영역에서 수집된 데이터를 저장할 사용자 지정 로그 테이블 만들기

보호 및 검색 구성(15~20%)

Microsoft Defender 보안 기술에서 보호 구성

  • 클라우드용 Microsoft Defender 앱에 대한 정책 구성

  • Office 365용 Microsoft Defender에 대한 정책 구성

  • ASR(공격 표면 감소) 규칙을 포함하여 엔드포인트용 Microsoft Defender에 대한 보안 정책 구성

  • 클라우드용 Microsoft Defender의 클라우드 워크로드 보호 구성

Microsoft Defender XDR에서 검색 구성

  • 사용자 지정 검색 구성 및 관리

  • 경고 튜닝 구성

  • Microsoft Defender XDR에서 기만 규칙 구성

Microsoft Sentinel에서 검색 구성

  • 엔터티를 사용하여 데이터 분류 및 분석

  • KQL을 포함하여 예약된 쿼리 규칙 구성

  • KQL을 포함하여 NRT(근 실시간) 쿼리 규칙 구성

  • 콘텐츠 허브에서 분석 규칙 관리

  • 이상 탐지 분석 규칙 구성

  • Fusion 규칙 구성

  • ASIM 파서를 사용하여 Microsoft Sentinel 데이터 쿼리

  • 위협 지표 관리 및 사용

인시던트 대응 관리(35~40%)

Microsoft Defender XDR의 경고 및 인시던트에 대응

  • Microsoft Teams, SharePoint Online 및 OneDrive에 대한 위협 조사 및 수정

  • Office 365용 Microsoft Defender를 사용하여 전자 메일의 위협 조사 및 수정

  • 자동 공격 중단으로 식별된 랜섬웨어 및 비즈니스 이메일 손상 인시던트 조사 및 수정

  • Microsoft Purview DLP(데이터 손실 방지) 정책으로 식별된 손상된 엔터티 조사 및 수정

  • Microsoft Purview 내부 위험 정책으로 식별된 위협 조사 및 수정

  • 클라우드용 Microsoft Defender에서 식별된 경고와 인시던트 조사 및 수정

  • 클라우드용 Microsoft Defender 앱에서 식별된 보안 위협 조사 및 수정

  • Microsoft Entra ID의 손상된 ID 조사 및 수정

  • Microsoft Defender for Identity의 보안 경고 조사 및 수정

  • Microsoft Defender 포털에서 작업 및 제출 관리

엔드포인트용 Microsoft Defender에서 식별된 경고 및 인시던트에 대응

  • 손상된 디바이스의 타임라인 조사

  • 라이브 응답 및 조사 패키지 수집을 포함하여 디바이스에서 작업 수행

  • 증거 및 엔터티 조사 수행

다른 Microsoft 도구를 사용하여 조사 강화

  • 통합 감사 로그를 사용하여 위협 조사

  • 콘텐츠 검색을 사용하여 위협 조사

  • Microsoft Graph 활동 로그를 사용하여 위협 헌팅 수행

Microsoft Sentinel에서 인시던트 관리

  • Microsoft Sentinel에서 인시던트 심사

  • Microsoft Sentinel에서 인시던트 조사

  • Microsoft Sentinel에서 인시던트에 대응

Microsoft Sentinel에서 SOAR(보안 오케스트레이션, 자동화 및 응답) 구성

  • 자동화 규칙 만들기 및 구성

  • Microsoft Sentinel 플레이북 만들기 및 구성

  • 자동화를 트리거하도록 분석 규칙 구성

  • 경고 및 인시던트에서 수동으로 플레이북 트리거

  • 온-프레미스 리소스에서 플레이북 실행

위협 헌팅 수행(15~20%)

KQL을 사용하여 위협 헌팅

  • KQL(Kusto 쿼리 언어)을 사용하여 위협 식별

  • Microsoft Defender 포털에서 위협 분석 해석

  • KQL을 사용하여 사용자 지정 헌팅 쿼리 만들기

Microsoft Sentinel을 사용하여 위협 헌팅

  • Microsoft Sentinel에서 MITRE ATT&CK를 사용하여 공격 벡터 검사 분석

  • 콘텐츠 갤러리 헌팅 쿼리 사용자 지정

  • 데이터 조사를 위해 헌팅 책갈피 사용

  • Livestream을 사용하여 헌팅 쿼리 모니터링

  • 보관된 로그 데이터 검색 및 관리

  • 검색 작업 만들기 및 관리

통합 문서를 사용하여 데이터 분석 및 해석

  • Microsoft Sentinel 통합 문서 템플릿 활성화 및 사용자 지정

  • KQL을 포함하는 사용자 지정 통합 문서 만들기

  • 시각화 구성

학습 리소스

시험에 응시하기 전에 학습하고 실습 경험을 얻는 것이 좋습니다. Microsoft는 설명서, 커뮤니티 사이트, 비디오에 대한 링크뿐만 아니라 자체 연구 옵션 및 교실 학습을 제공합니다.

학습 리소스 학습 및 설명서 링크
학습 자기 주도적 학습 경로 및 모듈 중 선택 또는 강사 주도 과정 수강
설명서 찾기 Microsoft 보안 설명서
Microsoft 365 Defender 설명서
Microsoft Defender for Cloud 설명서
Microsoft Sentinel 설명서
질문하기 Microsoft Q&A | Microsoft Docs
커뮤니티 지원 받기 보안, 규정 준수, ID 커뮤니티 허브
Microsoft Learn 팔로우 Microsoft Learn - Microsoft Tech Community
비디오 찾기 시험 준비 영역
다른 Microsoft Learn 쇼 찾아보기

로그 변경

테이블 이해의 핵심: 토픽 그룹(기능 그룹이라고도 함)은 굵은 서체로 되어 있고 그 뒤에 각 그룹 내의 목표가 표시됩니다. 이 표는 측정된 두 버전의 시험 기술을 비교한 것이며 세 번째 열은 변경 범위를 설명합니다.

2024년 7월 24일 이전의 기술 영역 2024년 7월 24일 현재 기술 영역 변경
대상 그룹 프로필 변경 내용 없음
보안 운영 환경 관리 보안 운영 환경 관리 변경 없음
Microsoft Defender XDR에서 설정 구성 Microsoft Defender XDR에서 설정 구성 변경 없음
자산 및 환경 관리 자산 및 환경 관리
Microsoft Sentinel 작업 영역 디자인 및 구성 Microsoft Sentinel 작업 영역 디자인 및 구성
Microsoft Sentinel에서 데이터 원본 수집 Microsoft Sentinel에서 데이터 원본 수집 변경 없음
보호 및 검색 구성 보호 및 검색 구성 변경 없음
Microsoft Defender 보안 기술에서 보호 구성 Microsoft Defender 보안 기술에서 보호 구성
Microsoft Defender XDR에서 검색 구성 Microsoft Defender XDR에서 검색 구성 변경 없음
Microsoft Sentinel에서 검색 구성 Microsoft Sentinel에서 검색 구성 변경 없음
인시던트 대응 관리 인시던트 대응 관리 변경 없음
Microsoft Defender XDR의 경고 및 인시던트에 대응 Microsoft Defender XDR의 경고 및 인시던트에 대응
엔드포인트용 Microsoft Defender에서 식별된 경고 및 인시던트에 대응 엔드포인트용 Microsoft Defender에서 식별된 경고 및 인시던트에 대응 변경 없음
다른 Microsoft 도구를 사용하여 조사 강화 다른 Microsoft 도구를 사용하여 조사 강화 변경 없음
Microsoft Sentinel에서 인시던트 관리 Microsoft Sentinel에서 인시던트 관리 변경 없음
Microsoft Sentinel에서 SOAR(보안 오케스트레이션, 자동화 및 응답) 구성 Microsoft Sentinel에서 SOAR(보안 오케스트레이션, 자동화 및 응답) 구성
위협 헌팅 수행 위협 헌팅 수행 변경 없음
KQL을 사용하여 위협 헌팅 KQL을 사용하여 위협 헌팅 변경 없음
Microsoft Sentinel을 사용하여 위협 헌팅 Microsoft Sentinel을 사용하여 위협 헌팅
통합 문서를 사용하여 데이터 분석 및 해석 통합 문서를 사용하여 데이터 분석 및 해석 변경 없음

2024년 7월 24일 이전에 측정된 기술

잠재 고객 프로파일

이 시험의 응시자는 다음을 통해 조직의 위험을 줄이는 Microsoft 보안 운영 분석가입니다.

  • 클라우드 및 온-프레미스 환경에서 활성 공격을 신속하게 수정합니다.

  • 위협 방지 사례 개선에 대해 조언합니다.

  • 조직 정책 위반 식별

보안 운영 분석가는 다음을 수행합니다.

  • 심사를 수행합니다.

  • 인시던트에 대응합니다.

  • 취약성을 관리합니다.

  • 위협을 헌팅합니다.

  • 로그를 평가합니다.

  • 위협 인텔리전스를 분석합니다.

또한 다음을 사용하여 클라우드 및 온-프레미스 환경에서 위협을 모니터링, 식별, 조사 및 대응합니다.

  • Microsoft Sentinel

  • Microsoft Defender for Cloud

  • Microsoft Defender XDR

  • 타사 보안 솔루션

이 역할에서는 보고, 검색 및 조사에 KQL(Kusto 쿼리 언어)을 사용합니다. 비즈니스 이해 관계자, 설계자, 클라우드 관리자, 엔드포인트 관리자, ID 관리자, 규정 준수 관리자 및 보안 엔지니어와 협력하여 디지털 엔터프라이즈를 보호합니다.

응시자는 다음 사항을 잘 알고 있어야 합니다.

  • Microsoft 365

  • Azure 클라우드 서비스

  • Windows 및 Linux 운영 체제

기술 한눈에 보기

  • 보안 운영 환경 관리(25~30%)

  • 보호 및 검색 구성(15~20%)

  • 인시던트 대응 관리(35~40%)

  • 위협 헌팅 수행(15~20%)

보안 운영 환경 관리(25~30%)

Microsoft Defender XDR에서 설정 구성

  • Defender XDR에서 Sentinel 작업 영역으로의 연결 구성

  • 경고 및 취약성 알림 규칙 구성

  • 엔드포인트용 Microsoft Defender 고급 기능 구성

  • 표시기 및 웹 콘텐츠 필터링을 포함하여 엔드포인트 규칙 설정 구성

  • Microsoft Defender XDR에서 자동화된 조사 및 응답 기능 관리

  • Microsoft Defender XDR에서 자동 공격 중단 구성

자산 및 환경 관리

  • 엔드포인트용 Microsoft Defender에서 디바이스 그룹, 사용 권한, 자동화 수준 구성 및 관리

  • 엔드포인트용 Microsoft Defender에서 관리되지 않는 디바이스 식별 및 수정

  • Azure Arc를 사용하여 리소스 관리

  • 클라우드용 Microsoft Defender에 환경 연결(다중 클라우드 계정 관리 사용)

  • 클라우드용 Defender를 사용하여 보호되지 않는 리소스 검색 및 수정

  • Microsoft Defender 취약성 관리를 사용하여 위험에 처한 디바이스 식별 및 수정

Microsoft Sentinel 작업 영역 디자인 및 구성

  • Microsoft Sentinel 작업 영역 계획

  • Microsoft Sentinel 역할 구성

  • Microsoft Sentinel 구성에 대한 Azure RBAC 역할 지정

  • 로그 유형 및 로그 보존을 포함하여 Microsoft Sentinel 데이터 스토리지 디자인 및 구성

  • 작업 영역 관리자 및 Azure Lighthouse를 사용하여 여러 작업 영역 관리

Microsoft Sentinel에서 데이터 원본 수집

Microsoft Sentinel에 대해 수집할 데이터 원본 식별

  • 콘텐츠 허브 솔루션 구현 및 사용

    Azure Policy 및 진단 설정을 포함하여 Azure 리소스에 대한 Microsoft 커넥터 구성 및 사용

    Microsoft Sentinel과 Microsoft Defender XDR 간의 양방향 동기화 구성

  • Syslog 및 CEF(Common Event Format) 이벤트 컬렉션 계획 및 구성

  • WEF(Windows 이벤트 전달)를 비롯한 데이터 수집 규칙을 사용하여 Windows 보안 이벤트 수집 계획 및 구성

  • 플랫폼, TAXII, 업로드 표시기 API 및 MISP를 비롯한 위협 인텔리전스 커넥터 구성

  • 작업 영역에서 수집된 데이터를 저장할 사용자 지정 로그 테이블 만들기

보호 및 검색 구성(15~20%)

Microsoft Defender 보안 기술에서 보호 구성

  • 클라우드용 Microsoft Defender 앱에 대한 정책 구성

  • Office용 Microsoft Defender에 대한 정책 구성

  • ASR(공격 표면 감소) 규칙을 포함하여 엔드포인트용 Microsoft Defender에 대한 보안 정책 구성

  • 클라우드용 Microsoft Defender의 클라우드 워크로드 보호 구성

Microsoft Defender XDR에서 검색 구성

  • 사용자 지정 검색 구성 및 관리

  • 경고 튜닝 구성

  • Microsoft Defender XDR에서 기만 규칙 구성

Microsoft Sentinel에서 검색 구성

  • 엔터티를 사용하여 데이터 분류 및 분석

  • KQL을 포함하여 예약된 쿼리 규칙 구성

  • KQL을 포함하여 NRT(근 실시간) 쿼리 규칙 구성

  • 콘텐츠 허브에서 분석 규칙 관리

  • 이상 탐지 분석 규칙 구성

  • Fusion 규칙 구성

  • ASIM 파서를 사용하여 Microsoft Sentinel 데이터 쿼리

  • 위협 지표 관리 및 사용

인시던트 대응 관리(35~40%)

Microsoft Defender XDR의 경고 및 인시던트에 대응

  • Microsoft Teams, SharePoint Online 및 OneDrive에 대한 위협 조사 및 수정

  • Office용 Microsoft Defender를 사용하여 전자 메일의 위협 조사 및 수정

  • 자동 공격 중단으로 식별된 랜섬웨어 및 비즈니스 이메일 손상 인시던트 조사 및 수정

  • Microsoft Purview DLP(데이터 손실 방지) 정책으로 식별된 손상된 엔터티 조사 및 수정

  • Microsoft Purview 내부 위험 정책으로 식별된 위협 조사 및 수정

  • 클라우드용 Microsoft Defender에서 식별된 경고와 인시던트 조사 및 수정

  • 클라우드용 Microsoft Defender 앱에서 식별된 보안 위협 조사 및 수정

  • Microsoft Entra ID의 손상된 ID 조사 및 수정

  • Microsoft Defender for Identity의 보안 경고 조사 및 수정

  • Microsoft Defender 포털에서 작업 및 제출 관리

엔드포인트용 Microsoft Defender에서 식별된 경고 및 인시던트에 대응

  • 손상된 디바이스의 타임라인 조사

  • 라이브 응답 및 조사 패키지 수집을 포함하여 디바이스에서 작업 수행

  • 증거 및 엔터티 조사 수행

다른 Microsoft 도구를 사용하여 조사 강화

  • 통합 감사 로그를 사용하여 위협 조사

  • 콘텐츠 검색을 사용하여 위협 조사

  • Microsoft Graph 활동 로그를 사용하여 위협 헌팅 수행

Microsoft Sentinel에서 인시던트 관리

  • Microsoft Sentinel에서 인시던트 심사

  • Microsoft Sentinel에서 인시던트 조사

  • Microsoft Sentinel에서 인시던트에 대응

Microsoft Sentinel에서 SOAR(보안 오케스트레이션, 자동화 및 응답) 구성

  • 자동화 규칙 만들기 및 구성

  • Microsoft Sentinel 플레이북 만들기 및 구성

  • 자동화를 트리거하도록 분석 규칙 구성

  • 경고 및 인시던트에서 수동으로 플레이북 트리거

  • 온-프레미스 리소스에서 플레이북 실행

위협 헌팅 수행(15~20%)

KQL을 사용하여 위협 헌팅

  • KQL(Kusto 쿼리 언어)을 사용하여 위협 식별

  • Microsoft Defender 포털에서 위협 분석 해석

  • KQL을 사용하여 사용자 지정 헌팅 쿼리 만들기

Microsoft Sentinel을 사용하여 위협 헌팅

  • Microsoft Sentinel에서 MITRE ATT&CK를 사용하여 공격 벡터 검사 분석

  • 콘텐츠 갤러리 헌팅 쿼리 사용자 지정

  • 데이터 조사를 위해 헌팅 책갈피 사용

  • Livestream을 사용하여 헌팅 쿼리 모니터링

  • 보관된 로그 데이터 검색 및 관리

  • 검색 작업 만들기 및 관리

통합 문서를 사용하여 데이터 분석 및 해석

  • Microsoft Sentinel 통합 문서 템플릿 활성화 및 사용자 지정

  • KQL을 포함하는 사용자 지정 통합 문서 만들기

  • 시각화 구성