Überblick
Dieser Kurs verbindet zwei inhaltlich aufeinander aufbauende Microsoft-Zertifizierungsprogramme: MS-900, den Einstieg in die Microsoft 365-Welt, und SC-200, den Nachweis für Security Operations Analysts. MS-900 vermittelt das konzeptuelle Fundament von Microsoft 365 — Cloud-Dienste, Sicherheit, Compliance, Datenschutz und Lizenzierungsmodelle. SC-200 geht erheblich tiefer und behandelt die operative IT-Sicherheitsarbeit: Bedrohungserkennung, Incident Response und Security Information & Event Management (SIEM) mit Microsoft Sentinel sowie erweiterten Schutzlösungen aus der Microsoft Defender-Familie. Wer in Security-Operations-Center-Tätigkeiten einsteigen oder aus einem allgemeinen IT-Hintergrund in die spezialisierte Sicherheitsrolle wechseln möchte, erhält durch diese Kombination einen strukturierten Weg von der Grundlagenorientierung bis zur zertifizierten Fachkompetenz.
Kursinhalte & Lernziele
Modul 1 — MS-900: Microsoft 365 Cloud-Grundlagen Das erste Modul schafft das konzeptuelle Fundament für alle nachfolgenden Sicherheitsinhalte. Teilnehmende verstehen, wie Microsoft 365 als Cloud-Plattform organisiert ist, welche Dienste darin enthalten sind und warum Sicherheit und Compliance zentrale Bestandteile der Plattform sind.
- Microsoft 365-Dienste im Überblick: Exchange Online, Teams, SharePoint, OneDrive, Intune
- Vergleich SaaS / PaaS / IaaS und die Positionierung von Microsoft 365 als SaaS-Lösung
- Azure Active Directory (Microsoft Entra ID): Identitätsmanagement, Conditional Access, MFA
- Grundzüge des Microsoft 365 Security & Compliance Centers
- Microsoft 365 Defender (heute Microsoft Defender XDR): Überblick über die integrierte Sicherheitsplattform
- Lizenzierungsmodelle: Microsoft 365 Business, Enterprise (E1/E3/E5), Unterschiede im Sicherheitsumfang
Modul 2 — SC-200: Bedrohungsanalyse mit Microsoft Defender Das zweite Modul widmet sich der operativen Arbeit eines Security Operations Analysts. Kernwerkzeug ist die Microsoft Defender-Produktfamilie, die Schutzfunktionen für Endpoints, Identitäten, E-Mail und Cloud-Workloads unter einem Dach vereint.
- Microsoft Defender for Endpoint: Onboarding von Geräten, Alarmkonfiguration, Gerätehärtung
- Microsoft Defender for Identity: Erkennung von Lateral Movement, Pass-the-Hash, Kerberoasting
- Microsoft Defender for Office 365: Schutz vor Phishing, Malware, BEC-Angriffen
- Microsoft Defender for Cloud Apps: Shadow IT erkennen, unsichere OAuth-Apps sperren
- Korrelation von Alerts über Microsoft Defender XDR: Incidents zusammenführen, priorisieren
- Investigation und Remediation: Geräte isolieren, Nutzer sperren, Artefakte analysieren
Modul 3 — SC-200: Microsoft Sentinel als SIEM/SOAR-Plattform Microsoft Sentinel ist das zentrale SIEM-Werkzeug, das Sicherheitsereignisse aus dem gesamten Unternehmensumfeld aggregiert, korreliert und automatisiert verarbeitet. Dieses Modul führt in die Architektur, Konfiguration und tägliche Nutzung von Sentinel ein.
- Workspace-Architektur: Log Analytics, Datenquellen, Kostenkontrolle
- Data Connectors: Anbindung von Microsoft-Quellen und Drittanbieter-Systemen
- Analytics Rules: Scheduled, Near-Real-Time und Machine-Learning-basierte Erkennungsregeln
- Workbooks und Dashboards: Visualisierung von Sicherheitsereignissen
- Playbooks mit Azure Logic Apps: automatisierte Reaktion auf Incidents (SOAR)
- Threat Intelligence in Sentinel: TAXII-Feeds, Indicator of Compromise (IoC), Hunting
Praxismodul — Incident-Response-Szenarien und KQL-Analysen Die konkreten Angriffs- und Analyseübungen verbinden alle Kursteile zu einem vollständigen Bild der SOC-Arbeit.
- KQL-Grundlagen: Tabellen, Filter, Join, summarize, extend
- Abfragen in SecurityEvent, SigninLogs, DeviceEvents, EmailEvents
- Alert-Tuning: False-Positive-Rate senken, Schwellenwerte anpassen
- Phishing-Incident von A bis Z: Erkennung in Defender for Office 365, Eskalation in Sentinel, Eindämmung
- Ransomware-Verdachtsfall: Endpoint-Telemetrie auswerten, Isolation durchführen, Timeline rekonstruieren
- Identitätsbasierter Angriff: Impossible Travel-Alarm, Account Compromise, Credential Harvesting erkennen
- Hunting-Query erstellen und als Bookmark speichern
- Sentinel-Playbook aufsetzen: automatische Teams-Benachrichtigung bei kritischem Incident
- Benutzerdefiniertes Workbook für SOC-Dashboard erstellen
- Datenbehaltungsregeln und Kostenoptimierung im Log Analytics Workspace
- Cloud-App-Risiko in Defender for Cloud Apps identifizieren und sperren
- Incident-Dokumentation und Nachbetrachtung (Post-Incident Review) im Sentinel-Kontext
Das MS-900-Fundament stellt sicher, dass alle Teilnehmenden — unabhängig vom Vorwissen — die Plattformbasis verstehen, auf der die Sicherheitsarbeit stattfindet. Für diejenigen, die bereits MS-900-Kenntnisse mitbringen, dient das erste Modul als strukturierter Auffrischungsdurchgang, bevor die anspruchsvolleren SC-200-Inhalte beginnen.
Lernziele:
- Verständnis der Microsoft 365-Dienste und ihrer Positionierung im Vergleich zu klassischer On-Premises-Infrastruktur
- Kenntnisse zur Cloud-Konzepten und zur Azure-Grundstruktur als Unterbau von Microsoft 365
- Überblick über Microsoft 365-Sicherheits-, Compliance- und Datenschutzfunktionen auf Fundamentals-Ebene
- Verständnis der Lizenzierungsmodelle und der Kostenstruktur von Microsoft 365
- Fähigkeit zur Erkennung und Analyse von Sicherheitsbedrohungen in Microsoft-Umgebungen mit Microsoft Defender for Endpoint
- Einsatz von Microsoft Sentinel als SIEM/SOAR-Plattform: Log-Ingestion, Analytics Rules, Incidents
- Nutzung von Kusto Query Language (KQL) für gezielte Abfragen in Log-Analytics-Workspaces
- Analyse und Reaktion auf Endpoint-, Identitäts-, Cloud- und E-Mail-Bedrohungen mit der Defender-Produktfamilie
- Verständnis von Threat Intelligence und deren Einbindung in Security Operations
- Konfiguration und Verwaltung von Security Incidents und Warnmeldungen in Sentinel
- Automatisierung von Incident-Response-Workflows mit Playbooks (Logic Apps)
- Vorbereitung auf die offiziellen Prüfungen MS-900 und SC-200 bei einem Microsoft-akkreditierten Testcenter
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an Personen, die in der IT-Sicherheitsarbeit tätig sein oder tätig werden möchten, und die sowohl eine Plattform-Grundlagenorientierung als auch einen prüfungsorientierten Einstieg in Security Operations benötigen.
- IT-Administrator:innen, die ihre Rolle um Security-Operations-Tätigkeiten erweitern möchten
- Quereinsteiger:innen aus der IT mit Interesse an Cybersecurity und operativer Bedrohungsabwehr
- SOC-Analyst:innen (Level 1/2), die ihre Kenntnisse auf das Microsoft-Sicherheits-Stack ausrichten wollen
- System- und Netzwerkadministrator:innen, die Microsoft-Umgebungen absichern
- IT-Fachkräfte, die das SC-200-Zertifikat als Qualifikationsnachweis für eine Spezialistenstelle anstreben
Grundlegende IT-Kenntnisse sind empfehlenswert, insbesondere Verständnis von Netzwerken, Betriebssystemen und Cloud-Grundkonzepten. Für den SC-200-Teil profitieren Teilnehmende erheblich von praktischer Erfahrung im IT-Betrieb oder in der IT-Administration. Kenntnisse im Umgang mit Microsoft 365-Diensten erleichtern den Einstieg in den MS-900-Teil. Vorkenntnisse in Cybersecurity sind nützlich, aber keine formale Bedingung für die Teilnahme.
Ablauf & Abschluss
Der Unterricht kombiniert Live-Lehreinheiten im virtuellen Klassenzimmer mit geführten Hands-on-Übungen in Microsoft-Testumgebungen. Dozenten vermitteln Konzepte in Theorieblöcken, die unmittelbar durch praktische Konfigurationsaufgaben in Microsoft 365 Defender, Sentinel und Azure vertieft werden. Für Präsenzteilnehmende sind PC-Arbeitsplätze mit Zwei-Monitor-Ausstattung verfügbar; Homeoffice-Teilnahme ist ebenfalls möglich. Fallstudien zu realen Angriffsszenarien verankern den Stoff praxisnah. Die tägliche Lernstruktur folgt einem Theorie-Übung-Reflexions-Rhythmus, der auf den Prüfungsanforderungen beider Zertifizierungen aufbaut.
Der Kurs läuft in Vollzeit. Die Gesamtdauer ist modulabhängig und wird individuell geplant. Da MS-900 und SC-200 sehr unterschiedliche Tiefen haben — MS-900 als Überblickszertifizierung, SC-200 als Associate-Level-Prüfung mit umfangreichem technischem Stoff — ist ausreichend Zeit für den SC-200-Anteil einzuplanen. Das virtuelle Format erlaubt Teilnahme ohne lokale Bindung.
Beide Microsoft-Zertifizierungen werden durch Bestehen der jeweiligen Prüfungen bei einem akkreditierten Testcenter (Pearson VUE) erworben: „Microsoft Certified: Microsoft 365 Fundamentals" (MS-900) und „Microsoft Certified: Security Operations Analyst Associate" (SC-200). Der Kurs bereitet gezielt auf beide Prüfungen vor. Der Bildungsträger stellt zusätzlich eine Teilnahmebescheinigung aus. SC-200 gehört zur Associate-Level-Kategorie und muss alle zwei Jahre durch eine Renewal-Assessment auf dem Microsoft Learn-Portal aktuell gehalten werden.
Nutzen & Perspektiven
Die Verbindung von Plattformgrundlagen und operativer Sicherheitskompetenz macht Absolventen zu vielseitigen Fachkräften. Während MS-900 die strategische Einordnung von Microsoft 365 in die IT-Landschaft ermöglicht, schafft SC-200 den Nachweis konkreter, täglicher SOC-Fähigkeiten — genau das, wonach viele Arbeitgeber in Stellenausschreibungen suchen. Die Kombination beider Zertifikate signalisiert, dass Kandidaten nicht nur theoretisch orientiert sind, sondern aktiv in Sicherheitsvorfällen mitarbeiten können. Für Unternehmen, die Microsoft 365 E3 oder E5 einsetzen, ist SC-200-qualifiziertes Personal besonders wertvoll: Microsoft Sentinel und Defender XDR sind in diesen Lizenzen bereits enthalten — das Know-how, diese Werkzeuge effektiv zu nutzen, ist oft der einzige Engpass zwischen vorhandenem Tool und tatsächlicher Schutzwirkung. Absolventen können diesen Engpass unmittelbar schließen. Langfristig öffnet SC-200 den Weg zu weiteren Microsoft-Sicherheitszertifizierungen wie SC-100 (Cybersecurity Architect Expert) oder SC-300 (Identity and Access Administrator), die zusammen ein vollständiges Sicherheitsprofil auf Expert-Niveau ergeben. Wer früh in diese Laufbahn einsteigt, baut ein Portfolio auf, das in der wachsenden Nachfrage nach Cloud-Sicherheitsexpertise zunehmend an Wert gewinnt.
Häufig gestellte Fragen (FAQ)
Kann ich MS-900 und SC-200 gleichzeitig oder nacheinander ablegen?
Beide Prüfungen werden separat bei einem Microsoft-akkreditierten Testcenter (Pearson VUE) abgelegt. Üblich ist, MS-900 zuerst zu absolvieren, da es als Orientierungsgrundlage dient. SC-200 folgt danach, wenn der Kursinhalt zum Associate-Level aufgebaut wurde.
Was ist KQL und warum ist es für SC-200 wichtig?
Kusto Query Language (KQL) ist die Abfragesprache von Azure Log Analytics und damit auch von Microsoft Sentinel. Für SC-200 ist KQL zentral: Wer Sicherheitsvorfälle untersucht, erstellt Abfragen in Sentinel-Tabellen, um Bedrohungen zu erkennen, zu korrelieren und zu dokumentieren.
Wie lange ist das SC-200-Zertifikat gültig?
SC-200 ist ein Microsoft Associate-Level-Zertifikat und muss alle zwei Jahre durch ein kostenloses Renewal-Assessment auf der Microsoft Learn-Plattform verlängert werden. Nach bestandenem Assessment bleibt das Zertifikat für weitere zwei Jahre gültig.
Was unterscheidet diesen Kurs von einem reinen SC-200-Kurs?
Die Ergänzung um MS-900 schafft eine Plattformgrundlage, die besonders für Quereinsteiger:innen ohne tiefen Microsoft-365-Hintergrund wertvoll ist. Das Fundamentals-Modul sorgt dafür, dass alle Teilnehmenden die gleiche konzeptuelle Basis haben, bevor die technisch anspruchsvolleren SC-200-Inhalte beginnen.
Welche Microsoft-Zertifizierungen bauen sinnvoll auf SC-200 auf?
SC-200 kann mit SC-300 (Identity and Access Administrator) und SC-400 (Information Protection Administrator) kombiniert werden. Wer das Expert-Level anstrebt, kann mit SC-100 (Cybersecurity Architect) weiterarbeiten, für den mehrere Associate-Zertifizierungen als Vorbereitung empfohlen werden.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Administrator2.683 Stellen
- Microsoft 365 Administrator45 Stellen
- Betriebswirt/Betriebswirtin (Fachschule) für Informationsverarbeitung/Bachelor Professional in Wirtschaft21 Stellen
- Security Operations Analyst16 Stellen
- Chief-Information-Security-Officer11 Stellen
- Industriemeister/Industriemeisterin Fachrichtung Flugzeugbau/Luftfahrttechnik/Bachelor Professional in Luftfahrttechnik5 Stellen