Учебное руководство по экзамену SC-200: Майкрософт Security Operations Analyst

  • Статья

Цель этого документа

Благодаря этому пособию вы узнаете, чего ожидать на экзамене, а также изучите темы, которые могут встретиться в вопросах, и ссылки на соответствующие ресурсы. Информация и материалы в этом документе должны помочь вам сосредоточиться на учебе при подготовке к экзамену.

Полезные ссылки Description
Обзор навыков, измеряемых по состоянию на 25 августа 2023 г. В этом списке перечислены навыки, которые оцениваются ПОСЛЕ наступления указанной даты. Изучите его, если планируете сдавать экзамен после этой даты.
Просмотр навыков, измеряемых до 25 августа 2023 г. Изучите этот список навыков, если планируете сдавать экзамен до наступления указанной даты.
Журнал изменений Если вы хотите ознакомиться с изменениями, которые вступят в силу в указанную дату, можно непосредственно открыть журнал изменений.
Получение сертификации Некоторые сертификации требуют сдачи только одного экзамена, а другие — нескольких.
Продление сертификации Срок действия сертификаций Майкрософт для специалистов, специализаций и экспертов истекает через год. Вы можете продлить их, пройдя бесплатную аттестацию в Интернете на портале Microsoft Learn.
Ваш профиль Microsoft Learn Подключите профиль сертификации к Learn, чтобы планировать экзамены и продлевать их срок действия, а также делиться сертификатами и печатать их.
Передача оценки Для прохождения экзамена требуется получить оценку не меньше 700.
Песочница экзамена Вы можете изучить среду экзамена, открыв песочницу экзамена.
Запрос проживания Если вы используете вспомогательные устройства, вам требуется дополнительное время или вам необходимо изменить процесс сдачи любой части экзамена, вы можете запросить размещение.
Ознакомьтесь с бесплатной оценкой практики Проверьте свои навыки с помощью практических вопросов, которые помогут вам подготовиться к экзамену.

Обновления в экзамене

Наши экзамены периодически обновляются, чтобы отразить навыки, необходимые для выполнения роли. Здесь описываются обе версии целей по оцениваемым навыкам в зависимости от даты сдачи экзамена.

Версия экзамена на английском языке всегда обновляется в первую очередь. Некоторые экзамены переведены на другие языки, и их обновление может занять приблизительно восемь недель после обновления англоязычной версии. Хотя корпорация Майкрософт предпринимает все усилия по обновлению локализованных версий, как отмечалось, может возникнуть время, когда локализованные версии экзамена не обновляются в этом расписании. Другие доступные языки перечислены в разделе Расписание экзамена на веб-странице Сведения об экзамене. Если экзамен недоступен на необходимом языке, вы можете запросить дополнительные 30 минут на его прохождение.

Примечание.

Пункты под каждым измеряемым навыком предназначены для того, чтобы показать, как мы оцениваем навык. В экзамены также могут быть рассмотрены связанные темы.

Примечание.

Большинство вопросов охватывают общедоступные функции (GA). Экзамен может содержать вопросы о функциях предварительной версии, если эти функции часто используются.

Навыки, измеряемые по состоянию на 25 августа 2023 г.

Профиль аудитории

Аналитики по операциям безопасности Майкрософт снижают организационный риск, быстро устраняя активные атаки в среде, консультируя по улучшению практик защиты от угроз и ссылаясь на нарушения политик организации соответствующим заинтересованным лицам. Они выполняют триз, реагирование на инциденты, управление уязвимостями, охоту на угрозы и анализ аналитики кибер-угроз.

Аналитики операций безопасности Майкрософт отслеживают, выявляют, исследуют и реагируют на угрозы в многооблачных средах с помощью Microsoft Sentinel, Microsoft Defender для облака, Microsoft 365 Defender и сторонних решений для обеспечения безопасности. Аналитики по операциям безопасности Майкрософт сотрудничают с заинтересованными лицами, архитекторами, администраторами удостоверений, администраторами Azure и администраторами конечных точек для защиты ИТ-систем для организации.

Кандидаты должны быть знакомы с операционными системами Microsoft 365, облачными службами Azure и Windows и Linux.

  • Устранение угроз с помощью Microsoft 365 Defender (25–30%)

  • Устранение угроз с помощью Defender для облака (15–20%)

  • Устранение угроз с помощью Microsoft Sentinel (50–55%)

Устранение угроз с помощью Microsoft 365 Defender (25–30%)

Устранение угроз в среде Microsoft 365 с помощью Microsoft 365 Defender

  • Изучение, реагирование и устранение угроз в Microsoft Teams, SharePoint Online и OneDrive

  • Исследование, реагирование и устранение угроз для электронной почты с помощью Microsoft Defender для Office 365

  • Изучение и реагирование на оповещения, созданные политиками защиты от потери данных (DLP)

  • Изучение и реагирование на оповещения, созданные политиками предварительного риска

  • Обнаружение приложений и управление ими с помощью Microsoft Defender for Cloud Apps

  • Определение, исследование и устранение рисков безопасности с помощью приложений Defender для облака

Борьба с угрозами для конечных точек с помощью Microsoft Defender для конечной точки

  • Управление хранением данных, уведомлениями и расширенными функциями

  • Рекомендация по сокращению поверхности атак (ASR) для устройств

  • Реагирование на инциденты и оповещения

  • Настройка групп устройств и управление ими

  • Определение устройств, подверженных риску, с помощью Управление уязвимостями Microsoft Defender

  • Управление индикаторами угроз для конечных точек

  • Определение неуправляемых устройств с помощью обнаружения устройств

Устранение угроз, связанных с идентификацией

  • Устранение рисков безопасности, связанных с событиями Microsoft Azure Active Directory (Azure AD), частью Microsoft Entra

  • Устранение рисков безопасности, связанных с событиями защиты идентификации Azure AD

  • Устранение рисков безопасности, связанных с службами домен Active Directory (AD DS) с помощью Microsoft Defender для удостоверений

Управление расширенным обнаружением и реагированием (XDR) в Microsoft 365 Defender

  • Управление инцидентами и автоматизированными расследованиями на портале Microsoft 365 Defender

  • Управление действиями и отправками на портале Microsoft 365 Defender

  • Определение угроз с помощью язык запросов Kusto (KQL)

  • Определение и устранение рисков безопасности с помощью оценки безопасности Майкрософт

  • Анализ аналитики угроз на портале Microsoft 365 Defender

  • Настройка пользовательских обнаружений и оповещений и управление ими

Изучение угроз с помощью функций аудита в Microsoft 365 Defender и Microsoft Purview

  • Выполнение охоты на угрозы с помощью единого журнала аудита

  • Выполнение охоты на угрозы с помощью поиска контента

Устранение угроз с помощью Defender для облака (15–20%)

Реализация и обслуживание управления безопасностью в облаке

  • Назначение политик соответствия нормативным требованиям и управление ими, включая microsoft cloud security benchmark (MCSB)

  • Улучшение оценки безопасности Defender для облака путем применения рекомендуемых исправлений

  • Настройка планов и агентов для Серверов Microsoft Defender

  • Настройка Microsoft Defender для DevOps и управление ими

Настройка параметров среды в Defender для облака

  • Планирование и настройка параметров Defender для облака, включая выбор целевых подписок и рабочих областей

  • Настройка ролей Defender для облака

  • Оценка и рекомендация защиты облачных рабочих нагрузок

  • Включение планов Microsoft Defender для Defender для облака

  • Настройка автоматического подключения ресурсов Azure

  • Подключение вычислительных ресурсов с помощью Azure Arc

  • Подключение многооблачных ресурсов с помощью параметров среды

Реагирование на оповещения и инциденты в Defender для облака

  • Настройка уведомлений по электронной почте

  • Создание правил подавления оповещений и управление ими

  • Проектирование и настройка автоматизации рабочих процессов в Defender для облака

  • Исправление оповещений и инцидентов с помощью рекомендаций Defender для облака

  • Управление оповещениями системы безопасности и инцидентами

  • Анализ отчетов Defender для облака аналитики угроз

Устранение угроз с помощью Microsoft Sentinel (50–55%)

Проектирование и настройка рабочей области Microsoft Sentinel

  • Планирование рабочей области Microsoft Sentinel

  • Настройка ролей Microsoft Sentinel

  • Проектирование и настройка хранилища данных Microsoft Sentinel, включая типы журналов и хранение журналов

Планирование и реализация использования соединителей данных для приема данных из источников в Microsoft Sentinel

  • Определение источников данных для Microsoft Sentinel

  • Настройка и использование соединителей Microsoft Sentinel для ресурсов Azure, включая Политика Azure и параметры диагностики

  • Настройка соединителей Microsoft Sentinel для Microsoft 365 Defender и Defender для облака

  • Проектирование и настройка коллекций событий Syslog и Common Event Format (CEF)

  • Проектирование и настройка коллекций событий безопасности Windows

  • Настройка соединителей аналитики угроз

  • Создание пользовательских таблиц журналов в рабочей области для хранения приема данных

Управление правилами аналитики Microsoft Sentinel

  • Настройка правила Fusion

  • Настройка правил аналитики безопасности Майкрософт

  • Настройка встроенных правил запланированного запроса

  • Настройка настраиваемых правил запланированного запроса

  • Настройка правил аналитики почти в режиме реального времени (NRT)

  • Управление правилами аналитики из концентратора содержимого

  • Управление списками отслеживания и их использование

  • Управление индикаторами угроз и их использование

Выполнение классификации и нормализации данных

  • Классификация и анализ данных с помощью сущностей

  • Запрос данных Microsoft Sentinel с помощью средств анализа расширенной информационной модели безопасности (ASIM)

  • Разработка средств синтаксического анализа ASIM и управление ими

Настройка автоматического ответа оркестрации безопасности (SOAR) в Microsoft Sentinel

  • Создание и настройка правил автоматизации

  • Создание и настройка сборников схем Microsoft Sentinel

  • Настройка правил аналитики для активации правил автоматизации

  • Активация сборников схем из оповещений и инцидентов

Управление инцидентами в Microsoft Sentinel

  • Настройка создания инцидентов

  • Рассмотрение инцидентов в Microsoft Sentinel

  • Исследование инцидентов в Microsoft Sentinel

  • Реагирование на инциденты в Microsoft Sentinel

  • Исследование инцидентов, касающихся нескольких рабочих областей

Использование книг Microsoft Sentinel для анализа и интерпретации данных

  • Активация и настройка шаблонов книг Microsoft Sentinel

  • Создание настраиваемых книг

  • Настройка расширенных визуализаций

Поиск угроз с помощью Microsoft Sentinel

  • Анализ охвата вектора атак с помощью MITRE ATT&CK в Microsoft Sentinel

  • Настройка запросов охоты на коллекцию содержимого

  • Создание пользовательских запросов на охоту

  • Использование закладок для охоты с целью исследования данных

  • Мониторинг запросов на охоту с помощью Livestream

  • Получение архивных данных журнала и управление ими

  • Создание заданий поиска и управление ими

Управление угрозами с помощью аналитики поведения сущностей

  • Настройка параметров поведения сущностей

  • Изучение угроз с помощью страниц сущностей

  • Настройка правил аналитики обнаружения аномалий

Учебные ресурсы

Перед сдачей экзамена рекомендуется пройти обучение и получить практический опыт. Мы предлагаем варианты для самостоятельного обучения и обучения в классе, а также ссылки на документацию, сайты сообщества и видео.

Учебные ресурсы Ссылки на обучение и документацию
Получение обучения Выберите схему или модуль для обучения в произвольном темпе или пройдите курс под руководством инструктора
Ищите документацию Документация по безопасности Майкрософт
Документация по Microsoft 365 Defender
документация по Microsoft Defender для облака
Документация по Microsoft Sentinel
Задать вопрос Microsoft Q&A | Документация Майкрософт
Получите поддержку сообщества Безопасность, соответствие требованиям и удостоверения: центр сообщества
Подписаться на Microsoft Learn Microsoft Learn — Microsoft Tech Community
Найти видео Зона готовности к экзаменам
Просмотрите другие выпуски Microsoft Learn

Журнал изменений

Структура таблицы: группы тем (также называемые функциональными группами) выделены полужирным шрифтом, после чего указаны цели для каждой группы. В таблице сравниваются две версии оцениваемых на экзамене навыков, а в третьем столбце описываются масштабы изменений.

Область навыка до 25 августа 2023 г. Область навыка по состоянию на 25 августа 2023 г. Изменения
Профиль аудитории Без изменений
Устранение угроз с помощью Microsoft 365 Defender Устранение угроз с помощью Microsoft 365 Defender Без изменений
Устранение угроз в среде Microsoft 365 с помощью Microsoft 365 Defender Устранение угроз в среде Microsoft 365 с помощью Microsoft 365 Defender Незначительный
Борьба с угрозами для конечных точек с помощью Microsoft Defender для конечной точки Борьба с угрозами для конечных точек с помощью Microsoft Defender для конечной точки Без изменений
Устранение угроз, связанных с идентификацией Устранение угроз, связанных с идентификацией Без изменений
Управление расширенным обнаружением и реагированием (XDR) в Microsoft 365 Defender Управление расширенным обнаружением и реагированием (XDR) в Microsoft 365 Defender Незначительный
Изучение угроз с помощью функций аудита в Microsoft 365 Defender и Microsoft Purview Изучение угроз с помощью функций аудита в Microsoft 365 Defender и Microsoft Purview Незначительный
Устранение угроз с помощью Defender для облака Устранение угроз с помощью Defender для облака Без изменений
Реализация и обслуживание управления безопасностью в облаке Реализация и обслуживание управления безопасностью в облаке Незначительный
Настройка параметров среды в Defender для облака Настройка параметров среды в Defender для облака Незначительный
Реагирование на оповещения и инциденты в Defender для облака Реагирование на оповещения и инциденты в Defender для облака Без изменений
Устранение угроз с помощью Microsoft Sentinel Устранение угроз с помощью Microsoft Sentinel Без изменений
Проектирование и настройка рабочей области Microsoft Sentinel Проектирование и настройка рабочей области Microsoft Sentinel Без изменений
Планирование и реализация использования соединителей данных для приема данных из источников в Microsoft Sentinel Планирование и реализация использования соединителей данных для приема данных из источников в Microsoft Sentinel Без изменений
Управление правилами аналитики Microsoft Sentinel Управление правилами аналитики Microsoft Sentinel Незначительный
Выполнение классификации и нормализации данных Выполнение классификации и нормализации данных Без изменений
Настройка автоматического ответа оркестрации безопасности (SOAR) в Microsoft Sentinel Настройка автоматического ответа оркестрации безопасности (SOAR) в Microsoft Sentinel Незначительный
Управление инцидентами в Microsoft Sentinel Управление инцидентами в Microsoft Sentinel Незначительный
Использование книг Microsoft Sentinel для анализа и интерпретации данных Использование книг Microsoft Sentinel для анализа и интерпретации данных Без изменений
Поиск угроз с помощью Microsoft Sentinel Поиск угроз с помощью Microsoft Sentinel Без изменений
Управление угрозами с помощью аналитики поведения сущностей Управление угрозами с помощью аналитики поведения сущностей Без изменений

Навыки, измеряемые до 25 августа 2023 г.

Профиль аудитории

Аналитики по операциям безопасности Майкрософт снижают организационный риск, быстро устраняя активные атаки в среде, консультируя по улучшению практик защиты от угроз и ссылаясь на нарушения политик организации соответствующим заинтересованным лицам. Они выполняют триз, реагирование на инциденты, управление уязвимостями, охоту на угрозы и анализ аналитики кибер-угроз.

Аналитики операций безопасности Майкрософт отслеживают, выявляют, исследуют и реагируют на угрозы в многооблачных средах с помощью Microsoft Sentinel, Microsoft Defender для облака, Microsoft 365 Defender и сторонних решений для обеспечения безопасности. Аналитики по операциям безопасности Майкрософт сотрудничают с заинтересованными лицами, архитекторами, администраторами удостоверений, администраторами Azure и администраторами конечных точек для защиты ИТ-систем для организации.

Кандидаты должны быть знакомы с операционными системами Microsoft 365, облачными службами Azure и Windows и Linux.

  • Устранение угроз с помощью Microsoft 365 Defender (25–30%)

  • Устранение угроз с помощью Defender для облака (15–20%)

  • Устранение угроз с помощью Microsoft Sentinel (50–55%)

Устранение угроз с помощью Microsoft 365 Defender (25–30%)

Устранение угроз в среде Microsoft 365 с помощью Microsoft 365 Defender

  • Изучение, реагирование и устранение угроз в Microsoft Teams, SharePoint Online и OneDrive

  • Исследование, реагирование и устранение угроз для электронной почты с помощью Microsoft Defender для Office 365

  • Изучение и реагирование на оповещения, созданные из политик защиты от потери данных (DLP)

  • Изучение оповещений, созданных политиками в отношении внутренних рисков, и реагирование на них

  • Обнаружение приложений и управление ими с помощью Microsoft Defender for Cloud Apps

  • Определение, исследование и устранение рисков безопасности с помощью приложений Defender для облака

Борьба с угрозами для конечных точек с помощью Microsoft Defender для конечной точки

  • Управление хранением данных, уведомлениями и расширенными функциями

  • Рекомендация по сокращению поверхности атак (ASR) для устройств

  • Реагирование на инциденты и оповещения

  • Настройка групп устройств и управление ими

  • Определение устройств, подверженных риску, с помощью Управление уязвимостями Microsoft Defender

  • Управление индикаторами угроз для конечных точек

  • Определение неуправляемых устройств с помощью обнаружения устройств

Устранение угроз, связанных с идентификацией

  • Устранение рисков безопасности, связанных с событиями Microsoft Azure Active Directory (Azure AD), частью Microsoft Entra

  • Устранение рисков безопасности, связанных с событиями защиты идентификации Azure AD

  • Устранение рисков безопасности, связанных с службами домен Active Directory (AD DS) с помощью Microsoft Defender для удостоверений

Управление расширенным обнаружением и реагированием (XDR) в Microsoft 365 Defender

  • Управление инцидентами и автоматизированными расследованиями на портале Microsoft 365 Defender

  • Управление действиями и отправками на портале Microsoft 365 Defender

  • Определение угроз с помощью KQL

  • Определение и устранение рисков безопасности с помощью оценки безопасности Майкрософт

  • Анализ аналитики угроз на портале Microsoft 365 Defender

  • Настройка пользовательских обнаружений и оповещений и управление ими

Изучение угроз с помощью функций аудита в Microsoft 365 Defender и Microsoft Purview

  • Выполнение охоты на угрозы с помощью UnifiedAuditLog

  • Выполнение охоты на угрозы с помощью поиска контента

Устранение угроз с помощью Defender для облака (15–20%)

Реализация и обслуживание управления безопасностью в облаке

  • Назначение политик соответствия нормативным требованиям и управление ими, включая microsoft cloud security benchmark (MCSB)

  • Улучшение оценки безопасности Defender для облака путем исправления рекомендаций

  • Настройка планов и агентов для Серверов Microsoft Defender

  • Настройка Microsoft Defender для DevOps и управление ими

Настройка параметров среды в Defender для облака

  • Планирование и настройка параметров Defender для облака, включая выбор целевых подписок и рабочих областей

  • Настройка ролей Defender для облака

  • Оценка и рекомендация защиты облачных рабочих нагрузок

  • Включение планов Microsoft Defender для Defender для облака

  • Настройка автоматического подключения для ресурсов Azure

  • Подключение вычислительных ресурсов с помощью Azure Arc

  • Подключение многооблачных ресурсов с помощью параметров среды

Реагирование на оповещения и инциденты в Defender для облака

  • Настройка уведомлений по электронной почте

  • Создание правил подавления оповещений и управление ими

  • Проектирование и настройка автоматизации рабочих процессов в Defender для облака

  • Исправление оповещений и инцидентов с помощью рекомендаций Defender для облака

  • Управление оповещениями системы безопасности и инцидентами

  • Анализ отчетов Defender для облака аналитики угроз

Устранение угроз с помощью Microsoft Sentinel (50–55%)

Проектирование и настройка рабочей области Microsoft Sentinel

  • Планирование рабочей области Microsoft Sentinel

  • Настройка ролей Microsoft Sentinel

  • Проектирование и настройка хранилища данных Microsoft Sentinel, включая типы журналов и хранение журналов

Планирование и реализация использования соединителей данных для приема данных из источников в Microsoft Sentinel

  • Определение источников данных для Microsoft Sentinel

  • Настройка и использование соединителей Microsoft Sentinel для ресурсов Azure, включая Политика Azure и параметры диагностики

  • Настройка соединителей Microsoft Sentinel для Microsoft 365 Defender и Defender для облака

  • Проектирование и настройка коллекций событий Syslog и Common Event Format (CEF)

  • Проектирование и настройка коллекций событий безопасности Windows

  • Настройка соединителей аналитики угроз

  • Создание пользовательских таблиц журналов в рабочей области для хранения приема данных

Управление правилами аналитики Microsoft Sentinel

  • Настройка правила Fusion

  • Настройка правил аналитики безопасности Майкрософт

  • Настройка встроенных правил запланированного запроса

  • Настройка настраиваемых правил запланированного запроса

  • Настройка правил запросов почти в режиме реального времени (NRT)

  • Управление правилами аналитики из концентратора содержимого

  • Управление списками отслеживания и их использование

  • Управление индикаторами угроз и их использование

Выполнение классификации и нормализации данных

  • Классификация и анализ данных с помощью сущностей

  • Запрос данных Microsoft Sentinel с помощью средств анализа расширенной информационной модели безопасности (ASIM)

  • Разработка средств синтаксического анализа ASIM и управление ими

Настройка автоматического ответа оркестрации безопасности (SOAR) в Microsoft Sentinel

  • Создание и настройка правил автоматизации

  • Создание и настройка сборников схем Microsoft Sentinel

  • Настройка правил аналитики для активации правил автоматизации

  • Активация сборников схем вручную из оповещений и инцидентов

Управление инцидентами в Microsoft Sentinel

  • Создать инцидент

  • Рассмотрение инцидентов в Microsoft Sentinel

  • Исследование инцидентов в Microsoft Sentinel

  • Реагирование на инциденты в Microsoft Sentinel

  • Исследование инцидентов, касающихся нескольких рабочих областей

Использование книг Microsoft Sentinel для анализа и интерпретации данных

  • Активация и настройка шаблонов книг Microsoft Sentinel

  • Создание настраиваемых книг

  • Настройка расширенных визуализаций

Поиск угроз с помощью Microsoft Sentinel

  • Анализ охвата вектора атак с помощью MITRE ATT&CK в Microsoft Sentinel

  • Настройка запросов охоты на коллекцию содержимого

  • Создание пользовательских запросов на охоту

  • Использование закладок для охоты с целью исследования данных

  • Мониторинг запросов на охоту с помощью Livestream

  • Получение архивных данных журнала и управление ими

  • Создание заданий поиска и управление ими

Управление угрозами с помощью аналитики поведения сущностей

  • Настройка параметров поведения сущностей

  • Изучение угроз с помощью страниц сущностей

  • Настройка правил аналитики обнаружения аномалий