Microsoft SC-200:Microsoft Security Operations Analyst(安全營運分析師) 是 Microsoft Security 認證路徑中的核心證照之一。此認證專注於企業資安監控、威脅偵測、事件調查、威脅追蹤(Threat Hunting)以及使用 Microsoft 安全工具(例如 Microsoft Sentinel、Defender XDR、Defender for Cloud)來進行事件回應。
一、SC-200 認證簡介
項目 資訊
考試代碼 SC-200
認證名稱 Microsoft Security Operations Analyst
認證等級 Associate(中階職等)
考試時間 約 120 分鐘
題型 單選、多選、拖曳、案例題(Case Study)
考試語言 英文、繁體中文、日文等
考試費用 83 USD
二、SC-200 考試內容範圍(Skills Measured)
以下為官方主題的完整、加長解說版,讓你更清楚需要準備的能力。
(1)使用 Microsoft Sentinel 偵測、調查與回應威脅(45–50%)
Microsoft Sentinel 是雲端原生 SIEM(Security Information and Event Management),也是 SC-200 的最大比重內容。
你需要理解:
1、 Sentinel 架構與部署
Data connectors(資料來源整合)
Log Analytics 工作區(Workspace)
Kusto Query Language(KQL)查詢語法
查詢性能調校、資料表架構
2、 建立偵測規則
Analytic rules(排程規則)
NRT(Near Real-Time)規則
UEBA(User & Entity Behavior Analytics)行為分析
Fusion AI-based detection
3、 威脅追蹤(Threat Hunting)
使用 KQL 查找惡意活動模式
利用 Hunting query 建立主動偵測
透過 Bookmark 保存調查紀錄
1、 事件調查(Investigation)
研究 Alerts、Incidents
分析使用者行為與端點資料
使用 Investigation Graph 追查事件流程
2、 自動化回應(SOAR)
建立 Playbooks(Logic Apps)
自動隔離主機、封鎖 IP、停用用戶帳號
(2)使用 Microsoft Defender XDR 偵測、調查與回應威脅(25–30%)
Defender XDR(舊稱 M365 Defender / Defender for Endpoint / Identity / Office 365)是跨平台威脅保護系統。
你需要掌握:
1、 統一威脅偵測
Endpoint 威脅事件分析
Identity 威脅(如 Pass-the-Ticket、暴力破解)
Email & Collaboration 攻擊(如釣魚、惡意檔案)
2、 端點防護能力(Defender for Endpoint)
EDR(Endpoint Detection & Response)
Attack Surface Reduction(ASR)
Endpoint alert 分析
3、 事件調查與跨平台分析
使用 XDR 的 Incident queue
追蹤攻擊生命周期(Kill Chain)
分析惡意檔案行為、網路流量、用戶活動
4、 自動化與補救(Auto-Remediation)
自動隔離設備
封鎖惡意應用
回復受感染的電子郵件
(3)使用 Microsoft Defender for Cloud 管理雲端安全態勢(20–25%)
此區域偏向 CSPM(Cloud Security Posture Management)及 workload protection。
你需要理解:
1、 雲端安全態勢管理
Secure Score
建立安全政策(Policy)
監控雲端資源設定
2、 雲端威脅防護(CWP)
虛擬機、容器、Storage、SQL Database 的威脅偵測
多雲支援(AWS、GCP)
3、 雲端基礎架構與安全事件分析
Log data 來源與分析技巧
與 Sentinel 整合
此範圍相對較小,但題目會要求你具備 Azure 基礎架構的資安策略知識。
三、SC-200 與其他 Microsoft Security 認證的關係
SC-200 是三大 Security Associate 認證之一:
認證 主要領域
SC-200 SOC / 威脅偵測 / SIEM / SOAR
SC-300 身份與存取管理(Entra ID)
SC-400 資訊保護、DLP、Purview
若想取得 SC-100 Expert,需先通過以下任一張:
SC-200
SC-300
SC-400
SC-200 也是最技術性、最「實戰型」的 Security 證照。
SC-200 考試準備建議
1. 精通 KQL(Kusto Query Language)
SC-200 幾乎每一道案例題都會需要 KQL 查詢能力。
建議:
熟悉 joins、where、summarize、parse、extend
練習 Sentinel Logs 中常見表格(如 SecurityEvent, DeviceInfo, IdentityLogonEvents)
2. 操作 Microsoft Sentinel 練習環境
可使用:
Microsoft Learn 沙盒
Azure 免費試用帳戶
3. 熟悉 Defender XDR 跨平台事件分析
建議練習:
EDR alert 分析
電子郵件釣魚樣本分析
身份異常行為偵測
4. 熟悉 Defender for Cloud 安全建議
重點:
Secure Score
Regulatory Compliance
Workload Protection
5. 多練習情境題(Case Study)
SC-200 有相當比例是企業情境模擬,需讀懂需求後再選擇最佳解決方案。具體可以藉助考證寶
SC-200考古題 進行練習。
SC-200 是一張技術含量高、實戰導向、對 SOC 與威脅偵測領域非常重要的資安認證。
它強調威脅偵測、事件調查、SOAR 自動化、雲端安全防護,是 Microsoft 安全生態系中非常核心的證照。安全性作業分析師的領域正在快速發展,不斷吸收人工智慧和機器學習的成果。未來,我們預期 SC-200 的考綱將持續演進,以納入微軟的最新創新,特別是 Microsoft Security Copilot 在協助安全調查和報告方面的應用。此外,隨著企業環境日益複雜,對跨雲(Multi-Cloud)威脅可視性和第三方安全工具整合到 Sentinel 中的要求將會提升。
