Überblick
Diese Weiterbildung verbindet den Zertifizierungspfad für den Modern Desktop Administrator Associate (MD-100, Windows Client) mit dem Security Operations Analyst (SC-200). Die Kombination ist inhaltlich besonders stimmig: Wer Windows-Clients administriert, muss heute auch verstehen, wie Bedrohungen erkannt, analysiert und abgewehrt werden. MD-100 war Teil des ursprünglichen Modern-Desktop-Administrator-Pfads, den Microsoft inzwischen durch MD-102 modernisiert hat; die Windows-Sicherheitskenntnisse sind jedoch weiterhin praxisrelevant. SC-200 adressiert den Security-Operations-Analysten, der mit Microsoft Defender, Microsoft Sentinel und verwandten Sicherheitslösungen arbeitet und im Security-Operations-Center (SOC) für Bedrohungserkennung und -reaktion zuständig ist. Diese Kombination richtet sich an Fachleute, die IT-Administration und Cybersicherheit in einem Profil vereinen möchten.
Kursinhalte & Lernziele
Modul 1 — Windows-Client administrieren und sichern (MD-100-Kern) Den Ausgangspunkt bildet die technische Einrichtung und laufende Verwaltung von Windows 10 und Windows 11 in einer Unternehmensumgebung. In diesem Block werden alle prüfungsrelevanten MD-100-Themen der Client-Administration erarbeitet: von der Erstinstallation über Netzwerkkonfiguration bis hin zu Gruppenrichtlinien und Benutzerverwaltung. Der Sicherheitsaspekt wird von Beginn an mitgedacht — nicht als separates Thema, sondern als integraler Bestandteil jeder Konfigurationsentscheidung.
- Windows 10/11 installieren: Clean Install, In-Place Upgrade und Imaging
- TCP/IP, DNS, DHCP und Netzwerkprofile auf dem Client konfigurieren
- WLAN-Profile, VPN und Proxy einrichten und verwalten
- Active Directory: Domänenbeitritt, Organisationseinheiten und Gruppenrichtlinien
- Benutzerkonten, lokale Gruppen und NTFS-Berechtigungen konfigurieren
- Windows Update for Business und automatisches Patch-Management
Modul 2 — Endpunkt-Sicherheit auf Windows-Client-Ebene (MD-100/SC-200-Schnittstelle) Dieser Block schlägt die Brücke zwischen Desktop-Administration und Sicherheitsoperationen. Windows-Sicherheitsfeatures wie Microsoft Defender Antivirus, die Windows-Firewall und BitLocker werden nicht nur konfiguriert, sondern auch aus der SOC-Perspektive betrachtet: Welche Telemetriedaten erzeugen sie? Wie fließen sie in übergeordnete Sicherheitslösungen ein? Dieser systemische Blick auf die Client-Sicherheit ist eine Kernkompetenz für Security-Operations-Analysten mit Desktop-Hintergrund.
- Microsoft Defender Antivirus: Konfiguration, Ausschlüsse und Bereinigung
- Windows Defender Firewall mit erweiterter Sicherheit: Regeln und Profile
- BitLocker und BitLocker To Go: Verschlüsselung und Key-Management
- Sicherheitsbaselines über Gruppenrichtlinien und Intune ausrollen
- Windows-Ereignisprotokoll als Telemetriequelle für SIEM verstehen
- Microsoft Defender for Endpoint: Onboarding von Windows-Clients
Modul 3 — Microsoft Defender for Endpoint und M365 Defender (SC-200-Kern) SC-200 fokussiert auf die operative Sicherheitsarbeit mit Microsoft-Sicherheitslösungen. Microsoft Defender for Endpoint ist die Kernplattform für den Schutz von Endgeräten: Echtzeiterkennung, automatische Untersuchung und Reaktion (AIR) sowie Bedrohungsjagd auf der Basis von Endpunkt-Telemetrie. Microsoft 365 Defender aggregiert Signale aus verschiedenen Defender-Produkten — für Endpunkte, Identitäten, Office-365-Apps und Cloud-Apps — in einem zentralen Incident-Management-Portal.
- Defender for Endpoint konfigurieren: Sensoren, Erkennungsregeln und Warnungsrichtlinien
- Incidents und Alerts in Microsoft 365 Defender verwalten und priorisieren
- Automatische Untersuchung und Bereinigung (AIR) im Defender-Portal
- Threat and Vulnerability Management (TVM): Schwachstellen identifizieren und priorisieren
- Advanced Threat Hunting mit KQL im Defender-Portal
- Integration von Defender for Identity und Defender for Office 365
Modul 4 — Microsoft Sentinel: SIEM und SOAR (SC-200-Kern) Microsoft Sentinel ist die Cloud-native SIEM- und SOAR-Plattform, die Log-Daten aus verschiedensten Quellen aggregiert und mit KI-gestützten Analysemethoden auswertet. Für den SC-200 müssen Sie Sentinel konfigurieren, Datenconnectors einrichten, Analyseregeln erstellen und Playbooks für die automatisierte Reaktion auf Sicherheitsvorfälle entwickeln. KQL ist dabei das zentrale Werkzeug für Abfragen, Erkennungsregeln und Threat Hunting.
- Microsoft Sentinel einrichten: Workspace, Preise und Datenconnectors
- Analyseregeln erstellen: Scheduled Rules, Fusion und ML-basierte Regeln
- Incidents in Sentinel verwalten: Untersuchung, Zuweisung und Eskalation
- KQL-Abfragen für Log-Analyse und Anomalieerkennung formulieren
- Playbooks mit Azure Logic Apps für automatisierte Reaktionen entwickeln
- Threat Intelligence: TAXII-Feeds und Indikatoren in Sentinel integrieren
Praxisblock — SOC-Szenarien mit Windows-Hintergrund Die Verbindung von Desktop-Administration und Security Operations wird in praxisnahen Übungsszenarien erprobt. Sie bearbeiten Aufgaben, die sowohl Windows-Konfigurationskenntnisse als auch SOC-Analysefähigkeiten erfordern — wie sie in modernen IT-Sicherheitsteams alltäglich sind.
- Vollständiges Onboarding eines Windows-11-Clients in Microsoft Defender for Endpoint
- Konfiguration einer Erkennungsregel in Defender for Endpoint für PowerShell-Missbrauch
- Analyse eines simulierten Malware-Incidents im Microsoft 365 Defender Incident-Portal
- Threat Hunting mit KQL: Suche nach verdächtigen Anmeldemuster im Defender-Log
- Microsoft Sentinel: Einrichten eines Windows-Security-Event-Connectors und erste Analyseregeln
- Erstellung eines Sentinel-Playbooks zur automatischen Blockierung eines kompromittierten Benutzerkontos
- BitLocker-Rollout per Gruppenrichtlinie mit anschließender Key-Verifizierung im Active Directory
- Analyse von Windows Defender Firewall-Logs zur Erkennung verdächtiger Netzwerkverbindungen
- Bewertung der Sicherheitslage eines fiktiven Windows-Clients in Microsoft Defender for Cloud
- Kombiniertes Szenario: Kompromittierter Endpunkt — Erkennung, Isolierung und Wiederherstellung
- KQL-Abfrage für die Suche nach lateraler Bewegung in einem Active-Directory-Umfeld
- Abschlussaufgabe: Incident-Response-Plan für einen fiktiven Windows-Endpoint-Angriff
Lernziele:
- Windows-Clients in Unternehmensumgebungen sicher zu installieren und zu administrieren
- Gruppenrichtlinien, BitLocker und Windows-Defender-Funktionen gezielt einzusetzen
- Sicherheitsbaselines auf Windows-Clients auszurollen und zu überwachen
- Bedrohungen in Microsoft Defender for Endpoint zu erkennen und zu untersuchen
- Incidents in Microsoft 365 Defender zu verwalten und zu priorisieren
- Microsoft Sentinel als SIEM/SOAR-Plattform für Log-Analyse und Alarmierung zu nutzen
- KQL-Abfragen (Kusto Query Language) für die Bedrohungssuche (Threat Hunting) zu formulieren
- Playbooks in Microsoft Sentinel zur automatisierten Reaktion auf Sicherheitsvorfälle einzusetzen
- Bedrohungsintelligenz (Threat Intelligence) in Sentinel zu integrieren und anzuwenden
- Sicherheitslage (Security Posture) in Microsoft Defender for Cloud zu bewerten
- Netzwerkverkehr und Endpunkt-Telemetrie auf Anomalien zu analysieren
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an Personen, die den Übergang von der reinen Desktop-Administration in die Sicherheitsarbeit vollziehen oder von Beginn an beide Bereiche parallel aufbauen möchten.
- IT-Administratoren mit Windows-Hintergrund, die in Richtung Security Operations wechseln wollen
- Junior-SOC-Analysten, die ihre Endpoint-Kenntnisse durch strukturierte Windows-Administration ergänzen möchten
- Systemadministratoren, die in kleineren Unternehmen sowohl Desktop-Administration als auch Security-Monitoring verantworten
- IT-Fachkräfte, die einen strukturierten Einstieg in Microsoft-Defender- und Sentinel-Lösungen suchen
- Personen mit Interesse an Cybersicherheit, die mit einem soliden Windows-Fundament starten möchten
Grundlegende IT-Kenntnisse und erste Erfahrungen mit Windows-Systemen werden erwartet. Für den SC-200-Teil sind Grundkenntnisse in Netzwerken und Windows-Sicherheitskonzepten hilfreich. Kenntnisse in Azure oder Microsoft 365 sind von Vorteil, aber nicht zwingend. Die Teilnahme erfordert eine stabile Internetverbindung sowie Mikrofon und Kamera für den Live-Online-Unterricht.
Ablauf & Abschluss
Der Kurs findet als Live-Online-Unterricht im virtuellen Klassenzimmer statt, bei dem Demos in Microsoft 365 Defender, Sentinel und Windows-Lab-Umgebungen eine zentrale Rolle spielen. Sicherheitsszenarien werden nicht nur theoretisch erläutert, sondern direkt in Übungsumgebungen nachgespielt — von der Malware-Simulation bis zur Log-Analyse in Sentinel. Theoriephasen und praktische Übungen wechseln in einem Rhythmus, der das Vollzeitformat gut ausnutzt.
Die Weiterbildung wird im Vollzeitformat durchgeführt und dauert mehr als einen Monat bis zu drei Monaten. Die genaue Dauer hängt von der individuellen Modulzusammenstellung ab.
Sie erhalten eine Teilnahmebescheinigung des Bildungsanbieters. Der Kurs bereitet auf die Microsoft-Prüfungen MD-100 (Windows Client) und SC-200 (Microsoft Security Operations Analyst) vor, die separat bei einem autorisierten Prüfungszentrum abgelegt werden. MD-100 ist inzwischen durch MD-102 als aktuelle Desktop-Zertifizierung ersetzt worden; SC-200 ist eine eigenständige, aktuelle Zertifizierung im Bereich Security Operations.
Nutzen & Perspektiven
Die Verbindung von Windows-Client-Wissen und Security-Operations-Kompetenz ist auf dem Arbeitsmarkt besonders gefragt. Sicherheitsvorfälle beginnen häufig auf dem Endgerät — ein Security-Operations-Analyst, der versteht, wie Windows intern funktioniert, wie Gruppenrichtlinien die Sicherheitskonfiguration steuern und wie Defender for Endpoint in die Unternehmensstruktur eingebettet ist, kann Bedrohungen schneller und präziser einordnen als jemand, dem dieser technische Hintergrund fehlt. SC-200 ist aktuell eine der gefragtesten Microsoft-Sicherheitszertifizierungen: Microsoft Sentinel und Defender for Endpoint sind in vielen Unternehmen die Standard-Werkzeuge für SOC-Teams. Die im Kurs erarbeiteten KQL-Kenntnisse sind nicht nur für Prüfungen relevant, sondern ein täglich eingesetztes Handwerkzeug für Threat Hunting und Log-Analyse. Wer KQL beherrscht, kann in Sentinel und Defender deutlich effizienter arbeiten als ohne dieses Wissen. Für Berufseinsteiger in die IT-Sicherheit bietet dieser Kurs einen strukturierten Pfad: zuerst solide Windows-Administration, dann der nahtlose Übergang in die Sicherheitsoperationen. Das ist ein realistischer und praxiserprobter Karriereweg — viele erfahrene SOC-Analysten haben mit genau dieser Kombination aus Desktop-Kenntnissen und Sicherheitswerkzeugen begonnen.
Häufig gestellte Fragen (FAQ)
Was macht der Security Operations Analyst laut SC-200?
Der SC-200-zertifizierte Security Operations Analyst erkennt, untersucht und reagiert auf Bedrohungen mithilfe von Microsoft Defender for Endpoint, Microsoft 365 Defender und Microsoft Sentinel. Kernaufgaben sind Incident Management, KQL-basiertes Threat Hunting und die Entwicklung von automatisierten Reaktionsplaybooks in Sentinel.
Warum ist die Kombination MD-100 + SC-200 sinnvoll?
Sicherheitsvorfälle starten häufig auf dem Endgerät. Wer als SOC-Analyst versteht, wie Windows intern funktioniert — Gruppenrichtlinien, Ereignisprotokolle, Defender-Konfiguration — kann Bedrohungen schneller und präziser einordnen. MD-100-Kenntnisse sind daher eine wertvolle Ergänzung zu den Sentinel- und Defender-Kompetenzen aus SC-200.
Was ist KQL und wie wichtig ist es für SC-200?
KQL (Kusto Query Language) ist die Abfragesprache für Microsoft Sentinel, Defender for Endpoint und Azure Monitor. Im SC-200-Kurs lernen Sie, KQL-Abfragen für Log-Analysen, Threat Hunting und benutzerdefinierte Erkennungsregeln zu schreiben. KQL ist für die Prüfung und die tägliche SOC-Arbeit unverzichtbar.
Ist MD-100 noch aktuell?
MD-100 (Windows Client) war Teil des Modern-Desktop-Administrator-Pfads und wurde durch MD-102 abgelöst. Die Windows-Client-Kenntnisse bleiben in der Praxis relevant, besonders für Security Operations, bei denen Endpunkt-Kenntnisse entscheidend sind. Für eine aktuelle Desktop-Zertifizierung sollten Sie MD-102 zusätzlich in Betracht ziehen.
Welche Lernumgebungen werden im Kurs genutzt?
Der Kurs arbeitet mit Microsoft-365-Demo-Tenants, Windows-Lab-Umgebungen und Microsoft Sentinel Workspace-Instanzen. Sicherheitsszenarien werden in kontrollierten Lab-Umgebungen nachgespielt, sodass Sie Defender-Incidents, Sentinel-Playbooks und KQL-Abfragen direkt üben können, ohne eine Produktionsumgebung zu riskieren.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT Administrator3.282 Stellen
- Security Operations Analyst16 Stellen
- Master of Business Administration13 Stellen
- Chief-Information-Security-Officer11 Stellen
- Betriebswirt/Betriebswirtin (Fachschule) für Kommunikation und Büromanagement/Bachelor Professional in Wirtschaft7 Stellen
- Microsoft Desktop Administrator0 Stellen