通过

“考试 SC-200:Microsoft 安全运营分析师”学习指南

本文档的目的

本学习指南应帮助你了解考试的预期内容,并包含考试可能涵盖的主题摘要以及指向其他资源的链接。 本文档中的信息和材料可以帮助你在准备考试时集中精力学习。

有用链接 说明
如何获得认证 有些认证只需要通过一项考试,而另一些认证则需要通过多项考试。
认证续订 Microsoft 助理、专业和专家认证每年都会过期。 你可以通过 Microsoft Learn 上的免费在线评估进行续订
Microsoft Learn 个人资料 通过将认证个人资料连接到 Microsoft Learn,可以安排和续订考试以及共享和打印证书。
考分和成绩报告 需要 700 分或更高的分数才能通过。
考试沙盒 可以通过访问我们的考试沙盒来探索考试环境。
请求便利设施 如果你使用辅助设备、需要额外时间或需要修改考试体验的任何部分,你可以申请住宿。
进行免费的练习评估 通过练习题测试技能,帮助你为考试做准备。

考试更新

我们的考试会定期更新,以反映执行某一角色所需的技能。 我们提供了两个版本的技能测评目标,具体取决于你参加考试的时间。

我们始终首先更新考试的英语版本。 一些考试已本地化为其他语言,在英语版本更新后大约八周进行更新。 虽然 Microsoft 会尽一切努力更新本地化版本,但有时考试的本地化版本可能未按此计划进行更新。 其他可用语言列在“考试详细信息”网页的“安排考试”部分。 如果考试不以你的首选语言提供,你可以请求额外 30 分钟时间来完成考试。

注意

每项技能下面的项目符号旨在说明我们如何评估该技能。 考试中可能会涉及到相关的主题。

注意

大多数问题都涉及正式发布 (GA) 的功能。 如果经常使用预览功能,该考试可能会包含有关这些功能的问题。

截至 2025 年 4 月 21 日

受众概况

作为本次考试的考生,你是一名 Microsoft 安全运营分析师,需要通过以下方式降低组织风险:

  • 快速修正云和本地环境中的主动攻击。

  • 针对威胁防护做法提出改进建议。

  • 识别违反组织策略的行为。

作为安全运营分析师,你需要:

  • 执行会审。

  • 响应事件。

  • 使用风险管理来缓解风险。

  • 使用威胁情报搜寻威胁。

  • 使用 KQL 进行报告、检测和调查

还需要使用以下服务来监视、识别、调查和响应云和本地环境中的威胁:

  • Microsoft Defender XDR

  • 安全副驾驶员

  • Microsoft Sentinel

  • Microsoft Defender for Cloud 工作负载保护

  • 第三方安全解决方案

与业务和安全领导协作,为组织定义安全标准。 与数字企业中的其他角色合作来实现标准,增强组织的安全状况,提高安全意识。

作为考生,你应该熟悉:

  • Microsoft 365

  • Azure 云服务

  • Windows、Linux 和移动操作系统

技能概览

  • 管理安全操作环境 (20–25%)

  • 配置保护和检测 (15-20%)

  • 管理事件响应 (25–30%)

  • 管理安全威胁 (15–20%)

管理安全操作环境

配置 Microsoft Defender XDR 中的设置

  • 配置警报和漏洞通知规则

  • 配置 Microsoft Defender for Endpoint 高级功能

  • 配置终结点规则设置

  • 在 Microsoft Defender XDR 中管理自动调查和响应功能

  • 在 Microsoft Defender XDR 中配置自动攻击中断

管理资产和环境

  • 在 Microsoft Defender for Endpoint 中配置和管理设备组、权限和自动化级别

  • 在 Microsoft Defender for Endpoint 中识别非托管设备

  • 使用 Defender for Cloud 发现未受保护的资源

  • 使用 Microsoft Defender 漏洞管理识别和修正存在风险的设备

  • 通过在 Microsoft Defender XDR 中使用风险管理来缓解风险

设计和配置 Microsoft Sentinel 工作区

  • 计划 Microsoft Sentinel 工作区

  • 配置 Microsoft Sentinel 角色

  • 为 Microsoft Sentinel 配置指定 Azure RBAC 角色

  • 设计和配置 Microsoft Sentinel 数据存储,包括日志类型和日志保留

在 Microsoft Sentinel 中引入数据源

  • 确定要为 Microsoft Sentinel 引入的数据源

  • 实现和使用内容中心解决方案

  • 为 Azure 资源配置和使用 Microsoft 连接器,包括 Azure Policy 和诊断设置

  • 规划并配置 Syslog 和通用事件格式 (CEF) 事件集合

  • 使用数据收集规则(包括 Windows 事件转发 (WEF))规划和配置 Windows 安全事件的收集

  • 在工作区中创建自定义日志表,以存储引入的数据

  • 监视和优化数据引入

配置保护和检测

在 Microsoft Defender 安全技术中配置保护

  • 为 Microsoft Defender for Cloud Apps 配置策略

  • 为 Microsoft Defender for Office 365 配置策略

  • 为 Microsoft Defender for Endpoint 配置安全策略,包括攻击面减少 (ASR) 规则

  • 配置 Microsoft Defender for Cloud 中的云工作负载保护

在 Microsoft Defender XDR 中配置检测

  • 配置和管理自定义检测规则

  • 管理警报,包括优化、抑制和关联

  • 在 Microsoft Defender XDR 中配置欺骗规则

在 Microsoft Sentinel 中配置检测

  • 使用实体对数据进行分类和分析

  • 配置和管理分析规则

  • 使用 ASIM 分析程序查询 Microsoft Sentinel 数据

  • 实现行为分析

管理事件响应

在 Microsoft Defender 门户中响应警报和事件

  • 使用 Microsoft Defender for Office 365 调查和修正威胁

  • 调查和修正自动攻击中断识别的勒索软件和业务电子邮件泄露事件

  • 调查并修正 Microsoft Purview 数据丢失防护 (DLP) 策略标识的受损实体

  • 调查和修正 Microsoft Purview 内部风险策略识别的威胁

  • 调查和修正 Microsoft Defender for Cloud 工作负载保护识别的警报和事件

  • 调查和修正 Microsoft Defender for Cloud Apps 识别的安全风险

  • 调查和修正 Microsoft Entra ID 识别的已泄露的标识

  • 调查和修正来自 Microsoft Defender for Identity 的安全警报

响应 Microsoft Defender for Cloud 识别的警报和事件

  • 调查设备时间线

  • 在设备上执行操作,包括实时响应和收集调查包

  • 执行证据和实体调查

调查 Microsoft 365 活动

  • 使用统一审核日志调查威胁

  • 使用内容搜索调查威胁

  • 使用 Microsoft Graph 活动日志调查威胁

响应 Microsoft Sentinel 中的事件

  • 调查和修正 Microsoft Sentinel 中的事件

  • 创建和配置自动化规则

  • 创建和配置 Microsoft Sentinel playbook

  • 在本地资源上运行 playbook

实现和使用Microsoft安全 Copilot

  • 创建和使用提示本

  • 管理安全 Copilot 的源,包括插件和文件

  • 通过实现连接器集成安全 Copilot

  • 管理安全 Copilot 中的权限和角色

  • 监视安全 Copilot 容量和成本

  • 使用安全警察识别威胁和风险

  • 使用安全 Copilot 调查事件

管理安全威胁

使用 Microsoft Defender XDR 搜寻威胁

  • 使用 Kusto 查询语言 (KQL) 识别威胁

  • 在 Microsoft Defender 门户中解释威胁分析

  • 使用 KQL 创建自定义搜寻查询

使用 Microsoft Sentinel 搜寻威胁

  • 使用 MITRE ATT&CK 矩阵分析攻击途径覆盖范围

  • 管理和使用威胁指标

  • 创建和管理搜寻

  • 创建和监视搜寻查询

  • 使用搜寻书签进行数据调查

  • 检索和管理已存档的日志数据

  • 创建和管理搜索作业

创建和配置 Microsoft Sentinel 工作簿

  • 激活和自定义工作簿模板

  • 创建包含 KQL 的自定义工作簿

  • 配置可视化效果

学习资源

我们建议你在参加考试之前进行培训并获得实践经验。 我们提供自学选项和课堂培训,以及指向文档、社区网站和视频的链接。

学习资源 学习和文档链接
参加培训 从自定进度学习路径和模块中进行选择,或参加讲师引导式课程
查找文档 Microsoft 安全文档
Microsoft 365 Defender 文档
Microsoft Defender for Cloud 文档
Microsoft Sentinel 文档
提问 Microsoft 问答 | Microsoft Docs
获取社区支持 安全性、合规性和标识社区中心
关注 Microsoft Learn Microsoft Learn - Microsoft Tech Community
查找视频 备考区
浏览其他 Microsoft Learn 节目

更改日志

下表总结了当前版本和上一版本的测评技能更改。 功能组采用粗体字样,后跟每个组中的目标。 下表比较了上一版本和当前版本的考试测评技能,第三列描述了更改程度。

2025 年 4 月 21 日之前的技能领域 截至 2025 年 4 月 21 日,技能领域 更改
受众概况 次要
管理事件响应 管理事件响应 没有变化
实现和使用 Microsoft 安全 Copilot 实现和使用Microsoft安全 Copilot 次要