測驗 SC-200:Microsoft 安全性作業分析師的學習指南
本文件的目的
此學習指南應可協助您理解測驗的內容範圍,並會包含測驗可能涵蓋的主題摘要,以及其他資源的連結。 本文件中的資訊和教材應可協助您專心準備此測驗。
| 實用的連結 | 描述 |
|---|---|
| 檢閱自 2023 年 11 月 3 日起評量的技能 | 此清單代表在所提供日期「之後」所會評測的技能。 若您計劃在該日期「之後」參加測驗,請詳閱此清單。 |
| 檢閱 2023 年 11 月 3 日之前評量的技能 | 若您計劃在指定日期「之前」參加測驗,請詳閱此清單。 |
| 變更記錄 | 若您想了解會在指定日期進行的變更,可以直接前往變更記錄檔。 |
| 獲取認證的方式 | 部分認證僅需通過一個測驗,而其他認證則需通過多個測驗。 |
| 認證更新 | Microsoft Associate、Expert 與 Specialty 認證每年都會到期。 您可以透過通過 Microsoft Learn 的免費線上評量來進行更新。 |
| 您的 Microsoft Learn 設定檔 | 將認證設定檔連線至 Learn 可讓您安排和更新測驗,並可分享和列印認證。 |
| 及格分數 | 700 分或以上才能通過。 |
| 測驗沙箱 | 您可以瀏覽我們的測驗沙箱,以探索測驗環境。 |
| 要求無障礙設施 | 如果您使用輔具、需要額外的時間,或需要修改測驗體驗的任何部分,您都可以要求便利設施。 |
| 參加免費的練習評量 | 利用練習問題測試技能,以協助您準備測驗。 |
測驗更新
我們會定期更新測驗,以反映執行角色所需的技能。 取決於您參加測驗的時間,我們已包括兩種版本的技能評測目標。
我們一律會先更新英文版的測驗。 部分測驗會翻譯成其他語言,而且那些語言版本會在英文版更新後約八週進行更新。 雖然 Microsoft 竭盡一切所能更新當地語系化版本,但有時候測驗的當地語系化版本可能會未在此排程上進行更新。 其他可用的語言會列在 [測驗詳細資訊] 網頁的 [安排測驗時間] 區段中。 如果測驗未提供您慣用語言的版本,您可以多要求 30 分鐘來完成測驗。
注意
每種評量技能下的項目,旨在說明評估該技能的方式。 測驗會涵蓋相關主題。
注意
大部分的問題都會涵蓋正式發行 (GA) 的功能。 測驗可能包含常用預覽版功能的問題。
自 2023 年 11 月 3 日起評量的技能
對象個人檔案
身為 Microsoft 安全性作業分析師,您可以透過下列方式降低組織風險:
快速補救環境中的主動式攻擊。
建議改進威脅防護的做法。
將違反組織原則的行為移交給適當的專案關係人。
您執行:
分級。
事件回應。
威脅與弱點管理。
威脅搜捕。
網路威脅情報分析。
身為 Microsoft 安全性作業分析師,您使用下列項目來監視、識別、調查及回應多重雲端環境中的威脅:
Microsoft Sentinel
適用於雲端的 Microsoft Defender
Microsoft 365 Defender
第三方安全性解決方案
在此角色中,您與商務專案關係人、架構師、身分識別管理員、Azure 系統管理員和端點管理員合作,以保護組織的 IT 系統。
身為應試者,您應該要熟悉:
Microsoft 365
Azure 雲端服務
Windows 和 Linux 作業系統
技能一目了然
使用 Microsoft 365 Defender 緩解威脅 (25–30%)
使用適用於雲端的 Defender 緩解威脅 (15–20%)
使用 Microsoft Sentinel 緩解威脅 (50–55%)
使用 Microsoft 365 Defender 緩解威脅 (25–30%)
使用 Microsoft 365 Defender 緩解有礙 Microsoft 365 環境的威脅
調查、回應及補救有礙 Microsoft Teams、SharePoint Online 和 OneDrive 的威脅
使用適用於 Office 365 的 Microsoft Defender 調查、回應及補救對電子郵件的威脅
調查及回應資料外洩防護 (DLP) 原則所產生的警示
調查及回應內部風險原則所產生的警示
使用適用於雲端的 Microsoft Defender 應用程式來探索及管理應用程式
使用 Defender for Cloud Apps 識別、調查及補救安全性風險
使用適用於端點的 Microsoft Defender 緩解端點威脅
管理資料保留、警示通知和進階功能
建議裝置使用受攻擊面縮小 (ASR) 功能
回應事件和警示
設定及管理裝置群組
使用 Microsoft Defender 弱點管理識別有風險的裝置
管理端點威脅指標
使用裝置探索識別非受控裝置
緩解身分識別威脅
降低與 Microsoft Entra ID 事件相關的安全性風險
降低與 Microsoft Entra ID Protection 事件相關的安全性風險
使用適用於身分識別的 Microsoft Defender 緩解 Active Directory Domain Services (AD DS) 的相關安全性風險
管理 Microsoft 365 Defender 中的延伸偵測及回應 (XDR)
管理 Microsoft 365 Defender 入口網站中的事件和自動化調查
管理 Microsoft 365 Defender 入口網站中的動作和提交
使用 Kusto 查詢語言 (KQL) 識別威脅
使用 Microsoft 安全分數識別及補救安全性風險
分析 Microsoft 365 Defender 入口網站中的威脅分析
設定及管理自訂偵測和警示
在 Microsoft 365 Defender 和 Microsoft Purview 中使用稽核功能來調查威脅
使用整合的稽核記錄來執行威脅搜捕
使用內容搜尋執行威脅搜捕
使用適用於雲端的 Defender 緩解威脅 (15–20%)
實作及維護雲端安全性態勢管理
指派及管理法規合規性原則,包括 Microsoft 雲端安全性基準 (MCSB)
套用建議的補救來改善適用於雲端的 Microsoft Defender 安全分數
設定適用於伺服器的 Microsoft Defender 的方案與代理程式
設定及管理適用於 DevOps 的 Microsoft Defender
設定和管理 Microsoft Defender 外部受攻擊面管理 (EASM)
設定適用於雲端的 Microsoft Defender 中的環境設定
規劃及設定適用於雲端的 Microsoft Defender 設定,包括選取目標訂閱和工作區
設定適用於雲端的 Microsoft Defender 角色
評估與建議雲端工作負載保護
啟用適用於雲端的 Microsoft Defender 方案
設定 Azure 資源自動化上線
使用 Azure Arc 連接計算資源
使用環境設定連接多雲端資源
回應適用於雲端的 Microsoft Defender 中的警示和事件
設定電子郵件通知
建立與管理警示歸併規則
設計與設定適用於雲端的 Microsoft Defender 工作流程自動化
使用適用於雲端的 Microsoft Defender 建議來補救警示和事件
管理安全性警示和事件
分析適用於雲端的 Microsoft Defender 威脅情報報告
使用 Microsoft Sentinel 緩解威脅 (50–55%)
設計與設定 Microsoft Sentinel 工作區
規劃 Microsoft Sentinel 工作區
設定 Microsoft Sentinel 角色
設計及設定 Microsoft Sentinel 資料儲存體,包括記錄類型和記錄保留
規劃及實作利用資料連接器擷取 Microsoft Sentinel 的資料來源
識別要擷取的 Microsoft Sentinel 資料來源
設定及使用適用於 Azure 資源的 Microsoft Sentinel 連接器,包括 Azure 原則和診斷設定
為 Microsoft 365 Defender 和適用於雲端的 Defender 設定 Microsoft Sentinel 連接器
設計及設定 Syslog 和常見事件格式 (CEF) 事件集合
設計及設定 Windows 安全性事件集合
設定威脅情報連接器
在工作區中建立自訂記錄資料表以儲存擷取的資料
管理 Microsoft Sentinel 分析規則
設定融合規則
設定 Microsoft 安全性分析規則
設定內建的排程查詢規則
設定自訂的排程查詢規則
設定近乎即時 (NRT) 分析規則
從內容中樞管理分析規則
管理及使用關注清單
管理及使用威脅指標
執行資料分類和正規化
使用實體來分類及分析資料
使用進階安全性資訊模型 (ASIM) 剖析器查詢 Microsoft Sentinel 資料
開發與管理 ASIM 剖析器
設定 Microsoft Sentinel 的安全性協調流程自動化回應 (SOAR)
建立及設定自動化規則
建立與設定 Microsoft Sentinel 劇本
設定分析規則以觸發自動化規則
從警示和事件觸發劇本
管理 Microsoft Sentinel 事件
設定事件產生
分級 Microsoft Sentinel 事件
調查 Microsoft Sentinel 事件
回應 Microsoft Sentinel 事件
調查多工作區事件
使用 Microsoft Sentinel 活頁簿分析及解譯資料
啟用與自訂 Microsoft Sentinel 活頁簿範本
建立自訂活頁簿
設定進階視覺效果
使用 Microsoft Sentinel 搜捕威脅
在 Microsoft Sentinel 中使用 MITRE ATT&CK 分析攻擊向量涵蓋範圍
自訂內容資源庫搜捕查詢
建立自訂搜捕查詢
使用搜捕書籤調查資料
使用即時串流監視搜捕查詢
擷取及管理封存的記錄資料
建立及管理搜尋作業
使用使用者和實體行為分析來管理威脅
設定使用者和實體行為分析設定
使用實體頁面調查威脅
設定異常偵測分析規則
學習資源
建議您在參加測驗之前,先進行訓練並取得實作經驗。 我們提供了自學選項和課堂訓練,以及文件、社群網站和影片的連結。
| 學習資源 | 學習和文件的連結 |
|---|---|
| 接受訓練 | 從自學型學習路徑與課程模組中選擇,或參加導學型課程 |
| 尋找文件 | Microsoft 安全性文件 Microsoft 365 Defender 文件 適用於雲端的 Microsoft Defender 文件 Microsoft Sentinel 文件 |
| 詢問問題 | Microsoft Q&A | Microsoft Docs |
| 取得社群支援 | 安全性、合規性與身分識別社群中樞 |
| 追蹤 Microsoft Learn | Microsoft Learn - Microsoft Tech Community (英文) |
| 尋找影片 | 測驗整備區域 瀏覽其他 Microsoft Learn 節目 |
變更記錄檔
資料表理解要點:主題群組 (也稱為功能群組) 的字體為粗體,其後為每個群組的目標。 這份資料表會比較評測技能的兩種版本,而資料表中的第三個資料行則會描述變更範圍。
| 2023 年 11 月 3 日之前評量的技能領域 | 自 2023 年 11 月 3 日起評量的技能領域 | 變更 |
|---|---|---|
| 對象個人檔案 | 沒有變化 | |
| 使用 Microsoft 365 Defender 緩解威脅 | 使用 Microsoft 365 Defender 緩解威脅 | 沒有變化 |
| 使用 Microsoft 365 Defender 緩解有礙 Microsoft 365 環境的威脅 | 使用 Microsoft 365 Defender 緩解有礙 Microsoft 365 環境的威脅 | 沒有變化 |
| 使用適用於端點的 Microsoft Defender 緩解端點威脅 | 使用適用於端點的 Microsoft Defender 緩解端點威脅 | 沒有變化 |
| 緩解身分識別威脅 | 緩解身分識別威脅 | Minor |
| 管理 Microsoft 365 Defender 中的延伸偵測及回應 (XDR) | 管理 Microsoft 365 Defender 中的延伸偵測及回應 (XDR) | 沒有變化 |
| 在 Microsoft 365 Defender 和 Microsoft Purview 中使用稽核功能來調查威脅 | 在 Microsoft 365 Defender 和 Microsoft Purview 中使用稽核功能來調查威脅 | 沒有變化 |
| 使用適用於雲端的 Defender 緩解威脅 | 使用適用於雲端的 Defender 緩解威脅 | 沒有變化 |
| 實作及維護雲端安全性態勢管理 | 實作及維護雲端安全性態勢管理 | Minor |
| 在適用於雲端的 Defender 中設定環境設定 | 設定適用於雲端的 Microsoft Defender 中的環境設定 | Minor |
| 回應適用於雲端的 Defender 警示和事件 | 回應適用於雲端的 Microsoft Defender 中的警示和事件 | Minor |
| 使用 Microsoft Sentinel 緩解威脅 | 使用 Microsoft Sentinel 緩解威脅 | 沒有變化 |
| 設計與設定 Microsoft Sentinel 工作區 | 設計與設定 Microsoft Sentinel 工作區 | 沒有變化 |
| 規劃及實作利用資料連接器擷取 Microsoft Sentinel 的資料來源 | 規劃及實作利用資料連接器擷取 Microsoft Sentinel 的資料來源 | 沒有變化 |
| 管理 Microsoft Sentinel 分析規則 | 管理 Microsoft Sentinel 分析規則 | 沒有變化 |
| 執行資料分類和正規化 | 執行資料分類和正規化 | 沒有變化 |
| 設定 Microsoft Sentinel 的安全性協調流程自動化回應 (SOAR) | 設定 Microsoft Sentinel 的安全性協調流程自動化回應 (SOAR) | 沒有變化 |
| 管理 Microsoft Sentinel 事件 | 管理 Microsoft Sentinel 事件 | 沒有變化 |
| 使用 Microsoft Sentinel 活頁簿分析及解譯資料 | 使用 Microsoft Sentinel 活頁簿分析及解譯資料 | 沒有變化 |
| 使用 Microsoft Sentinel 搜捕威脅 | 使用 Microsoft Sentinel 搜捕威脅 | 沒有變化 |
| 使用實體行為分析來管理威脅 | 使用使用者和實體行為分析來管理威脅 | Minor |
2023 年 11 月 3 日之前評量的技能
對象個人檔案
Microsoft 安全性作業分析師會透過快速補救環境中的主動攻擊、針對威脅防護做法的改進提出建議,以及對適當的利害關係人指出組織原則的違規,以降低組織風險。 他們會執行分級、事件回應、弱點管理、威脅搜捕,以及網路威脅情報分析。
Microsoft 安全性作業分析師會使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender、Microsoft 365 Defender 和協力廠商安全性解決方案來監視、識別、調查及回應多雲端環境中的威脅。 Microsoft 安全性作業分析師會與商務利害關係人、架構師、身分識別管理員、Azure 系統管理員和端點管理員合作,以保護組織的 IT 系統。
應試者應該熟悉 Microsoft 365、Azure 雲端服務以及 Windows 和 Linux 作業系統。
技能一目了然
使用 Microsoft 365 Defender 緩解威脅 (25–30%)
使用適用於雲端的 Defender 緩解威脅 (15–20%)
使用 Microsoft Sentinel 緩解威脅 (50–55%)
使用 Microsoft 365 Defender 緩解威脅 (25–30%)
使用 Microsoft 365 Defender 緩解有礙 Microsoft 365 環境的威脅
調查、回應及補救有礙 Microsoft Teams、SharePoint Online 和 OneDrive 的威脅
使用適用於 Office 365 的 Microsoft Defender 調查、回應及補救對電子郵件的威脅
調查及回應資料外洩防護 (DLP) 原則所產生的警示
調查及回應內部風險原則所產生的警示
使用適用於雲端的 Microsoft Defender 應用程式來探索及管理應用程式
使用 Defender for Cloud Apps 識別、調查及補救安全性風險
使用適用於端點的 Microsoft Defender 緩解端點威脅
管理資料保留、警示通知和進階功能
建議裝置使用受攻擊面縮小 (ASR) 功能
回應事件和警示
設定及管理裝置群組
使用 Microsoft Defender 弱點管理識別有風險的裝置
管理端點威脅指標
使用裝置探索識別非受控裝置
緩解身分識別威脅
降低與 Microsoft Entra ID 事件相關的安全性風險
降低與 Microsoft Entra ID Protection 事件相關的安全性風險
使用適用於身分識別的 Microsoft Defender 緩解 Active Directory Domain Services (AD DS) 的相關安全性風險
管理 Microsoft 365 Defender 中的延伸偵測及回應 (XDR)
管理 Microsoft 365 Defender 入口網站中的事件和自動化調查
管理 Microsoft 365 Defender 入口網站中的動作和提交
使用 Kusto 查詢語言 (KQL) 識別威脅
使用 Microsoft 安全分數識別及補救安全性風險
分析 Microsoft 365 Defender 入口網站中的威脅分析
設定及管理自訂偵測和警示
在 Microsoft 365 Defender 和 Microsoft Purview 中使用稽核功能來調查威脅
使用整合的稽核記錄來執行威脅搜捕
使用內容搜尋執行威脅搜捕
使用適用於雲端的 Defender 緩解威脅 (15–20%)
實作及維護雲端安全性態勢管理
指派及管理法規合規性原則,包括 Microsoft 雲端安全性基準 (MCSB)
套用建議的補救來改善適用於雲端的 Defender 安全分數
設定適用於伺服器的 Microsoft Defender 的方案與代理程式
設定及管理適用於 DevOps 的 Microsoft Defender
在適用於雲端的 Defender 中設定環境設定
規劃及設定適用於雲端的 Defender 設定,包括選取目標訂閱和工作區
設定適用於雲端的 Defender 角色
評估與建議雲端工作負載保護
啟用適用於雲端的 Microsoft Defender 方案
設定 Azure 資源自動化上線
使用 Azure Arc 連接計算資源
使用環境設定連接多雲端資源
回應適用於雲端的 Defender 警示和事件
設定電子郵件通知
建立與管理警示歸併規則
設計與設定適用於雲端的 Defender 工作流程自動化
使用適用於雲端的 Defender 建議來補救警示和事件
管理安全性警示和事件
適用於雲端的 Defender 威脅情報報告
使用 Microsoft Sentinel 緩解威脅 (50–55%)
設計與設定 Microsoft Sentinel 工作區
規劃 Microsoft Sentinel 工作區
設定 Microsoft Sentinel 角色
設計及設定 Microsoft Sentinel 資料儲存體,包括記錄類型和記錄保留
規劃及實作利用資料連接器擷取 Microsoft Sentinel 的資料來源
識別要擷取的 Microsoft Sentinel 資料來源
設定及使用適用於 Azure 資源的 Microsoft Sentinel 連接器,包括 Azure 原則和診斷設定
為 Microsoft 365 Defender 和適用於雲端的 Defender 設定 Microsoft Sentinel 連接器
設計及設定 Syslog 和常見事件格式 (CEF) 事件集合
設計及設定 Windows 安全性事件集合
設定威脅情報連接器
在工作區中建立自訂記錄資料表以儲存擷取的資料
管理 Microsoft Sentinel 分析規則
設定融合規則
設定 Microsoft 安全性分析規則
設定內建的排程查詢規則
設定自訂的排程查詢規則
設定近乎即時 (NRT) 分析規則
從內容中樞管理分析規則
管理及使用關注清單
管理及使用威脅指標
執行資料分類和正規化
使用實體來分類及分析資料
使用進階安全性資訊模型 (ASIM) 剖析器查詢 Microsoft Sentinel 資料
開發與管理 ASIM 剖析器
設定 Microsoft Sentinel 的安全性協調流程自動化回應 (SOAR)
建立及設定自動化規則
建立與設定 Microsoft Sentinel 劇本
設定分析規則以觸發自動化規則
從警示和事件觸發劇本
管理 Microsoft Sentinel 事件
設定事件產生
分級 Microsoft Sentinel 事件
調查 Microsoft Sentinel 事件
回應 Microsoft Sentinel 事件
調查多工作區事件
使用 Microsoft Sentinel 活頁簿分析及解譯資料
啟用與自訂 Microsoft Sentinel 活頁簿範本
建立自訂活頁簿
設定進階視覺效果
使用 Microsoft Sentinel 搜捕威脅
在 Microsoft Sentinel 中使用 MITRE ATT&CK 分析攻擊向量涵蓋範圍
自訂內容資源庫搜捕查詢
建立自訂搜捕查詢
使用搜捕書籤調查資料
使用即時串流監視搜捕查詢
擷取及管理封存的記錄資料
建立及管理搜尋作業
使用實體行為分析來管理威脅
設定實體行為設定
使用實體頁面調查威脅
設定異常偵測分析規則