Überblick
Dieser Kurs vereint zwei komplementäre Sicherheitsperspektiven: das Microsoft-Einsteigerzertifikat SC-900 für Cloud-Identität, Compliance und Sicherheitsdienste sowie das Cisco Certified CyberOps Associate (Prüfung 200-201 CBROPS), das auf Security-Operations-Center-Tätigkeiten und Netzwerksicherheitsanalyse ausgerichtet ist. Microsoft und Cisco sind in Unternehmensnetzen regelmäßig gleichzeitig präsent — Microsoft auf Identitäts- und Cloud-Seite, Cisco auf der Netzwerk- und Monitoring-Seite. Wer beide Welten versteht, kann in SOC-Teams effektiver mitarbeiten und Bedrohungen von der Netzwerkebene bis hin zu Cloud-Identitäten verfolgen.
Kursinhalte & Lernziele
Modul 1 — Microsoft SC-900: Cloud-Dienste und das Microsoft-Sicherheitsökosystem Das SC-900-Modul führt in das Microsoft-Sicherheitsuniversum ein. Es geht nicht darum, Produkte zu konfigurieren, sondern zu verstehen, wie sie aufeinander abgestimmt sind: Entra ID sichert die Identitätsebene, Defender-Produkte schützen Endgeräte, E-Mail und Cloud-Apps, Purview stellt Compliance-Transparenz her und Sentinel verknüpft all diese Signale in einer SIEM-Plattform. Für den SOC-Kontext ist besonders das Zusammenspiel zwischen Microsoft Sentinel und den Defender-Produkten relevant.
- Sicherheitskonzepte: Zero-Trust, Defense-in-Depth, Shared Responsibility in der Cloud
- Microsoft Entra ID: Authentifizierung, Conditional Access, Privileged Identity Management
- Microsoft Defender: Endpoint, Office 365, Cloud Apps, Identity im Überblick
- Microsoft Sentinel als Cloud-SIEM: Datenquellen, Analyseregeln, automatisierte Antworten
- Microsoft Purview: Datensensitivität, Informationsschutzlabels, Compliance-Manager
Modul 2 — Netzwerksicherheitsgrundlagen für CyberOps Cisco CyberOps Associate setzt ein solides Fundament in Netzwerktechnik voraus. Dieser Block legt dieses Fundament: von den Protokollschichten über Adressierung und Routing bis hin zu typischen Netzwerkdiensten, die in Unternehmensumgebungen eingesetzt werden. Dabei wird stets der Sicherheitsblickwinkel betont — was kann auf welcher Ebene angegriffen werden, und welche Spuren hinterlässt ein Angriff?
- OSI- und TCP/IP-Referenzmodell aus der Perspektive der Bedrohungsanalyse
- IP-Adressierung, Subnetze, NAT und typische Firewall-Architekturen
- DNS, HTTP/S, SMTP, DHCP — Protokolle und ihre spezifischen Angriffsvektoren
- Paketanalyse mit Wireshark: grundlegende Analyse von verdächtigem Netzwerkverkehr
- VPN-Technologien und sichere Tunnelverbindungen in Unternehmensnetzen
Modul 3 — Cyberangriffe und Bedrohungsanalyse Das Herzstück der CyberOps-Associate-Ausbildung ist das Verstehen und Erkennen von Angriffen. Dieser Block behandelt Malware-Typen, Angriffsphasen, typische Techniken aus dem MITRE ATT&CK-Framework und die Werkzeuge, die Angreifer einsetzen — und wie sie sich in Netzwerkdaten und Log-Dateien niederschlagen.
- Malware-Typen: Trojaner, Ransomware, Rootkits, Würmer, Advanced Persistent Threats
- Angriffsphasen: Reconnaissance, Exploitation, Lateral Movement, Exfiltration
- MITRE ATT&CK-Framework: Taktiken, Techniken, Subtechniken und deren Mapping auf reale Angriffe
- Social Engineering, Phishing und Spear-Phishing im Unternehmenskontext
- Cisco-Sicherheitsprodukte im Überblick: IDS/IPS, Firepower, Umbrella, Secure Endpoint
Modul 4 — Security Monitoring, Incident Response und Threat Intelligence Operative SOC-Arbeit besteht aus Beobachten, Analysieren und Reagieren. Dieser Block verbindet Theorie und Praxis: Wie liest man Sicherheits-Logs, wie klassifiziert man Ereignisse nach Schweregrad, wie läuft eine Incident-Response nach NIST-Framework ab, und wie helfen Threat-Intelligence-Feeds dabei, Angreifer früher zu erkennen?
- Log-Management und SIEM: Normalisierung, Korrelation, Alert-Priorisierung
- NetFlow-Analyse und Erkennung verdächtiger Muster im Netzwerkverkehr
- Incident-Response-Phasen nach NIST: Preparation, Detection, Containment, Eradication, Recovery
- Threat Intelligence: Quellen, Formate (STIX/TAXII), Nutzung im aktiven SOC-Betrieb
- Dokumentation und Kommunikation im Incident-Response-Prozess
Praxisblock — SOC-Szenarien und kombiniertes Sicherheitsdenken Die Stärke dieser Zertifikatskombination zeigt sich in praxisnahen Übungen, die Netzwerkdaten und Cloud-Sicherheitsinformationen verbinden. Die Fähigkeit, einen Angriff von der Netzwerkschicht bis in die Cloud zu verfolgen, ist der Kernmehrwert dieses Lehrgangs.
- Analyse eines simulierten Sicherheitsvorfalls: Netzwerk-Traffic bis zur Cloud-Identität verfolgen
- Erkennung von Anomalien in NetFlow-Daten und Korrelation mit Entra-ID-Logs
- Einsatz von Microsoft Sentinel-Analyseregeln für netzwerkbasierte Bedrohungen
- Klassifizierung von Sicherheitsereignissen nach Schweregrad, Auswirkung und Dringlichkeit
- Fallstudie: Ransomware-Angriff — Netzwerk- und Identity-Spuren rekonstruieren
- Incident-Response-Simulation: Containment und Eradication in einer hybriden Umgebung
- Erstellung eines vereinfachten Incident-Response-Playbooks für wiederkehrende Bedrohungstypen
- Vergleich SIEM-Perspektive: Microsoft Sentinel vs. klassisches SOC-SIEM
- ATT&CK-basiertes Mapping eines simulierten Angriffs auf Techniken und Subtechniken
- Paketanalyse-Übung: verdächtigen C2-Traffic in einem Wireshark-Mitschnitt identifizieren
- Threat-Intelligence-Feed auswerten und handlungsrelevante Indikatoren extrahieren
- Abschlussdiskussion: Karrierewege in Security Operations und Zertifizierungspfade
Lernziele:
- Zero-Trust als Microsoft-Sicherheitsphilosophie erklären und in Cloud-Szenarien einordnen
- Aufgaben von Microsoft Entra ID, Microsoft Defender und Purview auf SC-900-Niveau beschreiben
- Grundlegende Netzwerksicherheitskonzepte (OSI-Modell, TCP/IP, Protokollanalyse) für SOC-Tätigkeiten anwenden
- Arten von Cyberangriffen, Malware-Typen und Angriffsvektoren auf Netzwerkebene identifizieren
- Security-Monitoring mit Cisco-Tools (IDS/IPS, Firepower, NetFlow) einordnen und bewerten
- Sicherheitsereignisse aus Logs und Netzwerkverkehr analysieren und klassifizieren
- Grundlegende Incident-Response-Prozesse gemäß anerkannter Frameworks (NIST) anwenden
- Threat Intelligence als operatives Instrument in der SOC-Arbeit nutzen
- Den Zertifizierungsaufbau von Cisco verstehen: CyberOps Associate als Einstieg in den CyberOps-Entwicklungspfad
- Verbindungen zwischen Microsoft-Cloud-Sicherheitsdaten und netzwerkbasierten Bedrohungsindikatoren herstellen
- MITRE ATT&CK-Techniken auf konkrete Angriffsphasen mappen und Gegenmaßnahmen ableiten
Zielgruppe & Voraussetzungen
Besonders geeignet ist dieses Programm für Personen, die in Security-Operations-Tätigkeiten einsteigen und dabei sowohl Netzwerk- als auch Cloud-Security-Kompetenz entwickeln wollen.
- Einsteiger in IT-Sicherheit mit Interesse an SOC-Tätigkeiten und operativer Netzwerksicherheit
- Netzwerkadministratoren und -techniker, die sich auf Security spezialisieren möchten
- IT-Fachkräfte, die Microsoft-Cloud-Sicherheitsgrundlagen mit operativer Netzwerksicherheit verbinden wollen
- Personen, die eine Karriere als SOC-Analyst anstreben
- Quereinsteiger mit technischen Grundkenntnissen und Interesse an Cybersicherheit
Für SC-900 sind keine Vorkenntnisse erforderlich. Der CyberOps-Associate-Teil setzt Grundkenntnisse in TCP/IP-Netzwerken voraus, wie sie etwa durch CCNA-Einführungsmodule oder vergleichbare Selbststudiumsmaterialien erworben werden können. Grundlegendes Verständnis von Betriebssystemen (Windows, Linux) ist für die Protokoll- und Log-Analyse hilfreich. Der Kurs findet als Vollzeitprogramm über einen bis drei Monate statt.
Ablauf & Abschluss
Combined Learning mit Live-Sessions im virtuellen Klassenzimmer: Dozierende vermitteln die Kerninhalte interaktiv, Übungsphasen und Fallstudien wechseln mit Theorieeinheiten. Paketanalysen und Log-Übungen werden als praktische Laboraufgaben eingebunden, sodass operative Fähigkeiten gezielt trainiert werden. Für beide Prüfungsgebiete wird gezielte Vertiefung angeboten, damit die konzeptuelle Breite von SC-900 und die operative Praxisorientierung von CyberOps Associate gleichzeitig aufgebaut werden.
Das Programm läuft im Vollzeitmodus über mehr als einen Monat bis zu drei Monate. Beide Zertifizierungsgebiete erfordern substanzielle Lernzeit: SC-900 als Breiten-Einstieg, CyberOps Associate als operativer Fokusbereich mit umfangreichen praktischen Analyseanteilen.
Das Programm bereitet auf die Microsoft-Prüfung SC-900 und die Cisco-Prüfung 200-201 CBROPS (Cisco CyberOps Associate) vor. Beide Prüfungen werden über Pearson VUE abgelegt und führen zu international anerkannten Herstellerzertifikaten. Das Cisco CyberOps Associate-Zertifikat ist drei Jahre gültig und kann durch Rezertifizierung verlängert werden. Ergänzend wird eine trägerinterne Teilnahmebescheinigung ausgestellt.
Nutzen & Perspektiven
Security Operations ist einer der gefragtesten Bereiche in der IT-Sicherheit. SOC-Teams brauchen Analysten, die Bedrohungen sowohl auf Netzwerkebene als auch in Cloud-Umgebungen erkennen und einordnen können. Wer SC-900 und Cisco CyberOps Associate gleichzeitig erwirbt, kann von beiden Seiten denken: Wie sieht ein Angriff im Netzwerk-Traffic aus, und wie wirkt er sich auf Identitäten und Cloud-Ressourcen in Microsoft-Diensten aus? Diese Kombination schließt die Lücke zwischen klassischer Netzwerksicherheit und moderner Cloud-Security. Das CyberOps-Associate-Zertifikat von Cisco ist der Einstieg in den CyberOps-Entwicklungspfad und kann mit dem CyberOps Professional aufgestuft werden, das noch tiefere SOC-Kompetenz verlangt. SC-900 öffnet den Weg zu rollenspezifischen Microsoft-Zertifizierungen wie SC-200 (Security Operations Analyst) — beide Strecken führen in dieselbe operative Richtung, was die Doppelkombination besonders kohärent macht. Langfristig entwickeln sich SOC-Tools in Richtung einer engen Integration von Netzwerkdaten und Identity-Signalen. Microsoft Sentinel ingestiert Cisco-Firewall-Logs neben Entra-ID-Anmeldedaten und korreliert sie. Wer beide Ökosysteme kennt, kann diese Plattformen besser konfigurieren, betreiben und weiterentwickeln.
Häufig gestellte Fragen (FAQ)
Was ist der Cisco CyberOps Associate und wofür qualifiziert er?
Cisco Certified CyberOps Associate (Prüfung 200-201 CBROPS) ist der Einstieg in Ciscos CyberOps-Zertifizierungspfad. Er qualifiziert für SOC-Tätigkeiten auf Analyst-Ebene: Netzwerkverkehr analysieren, Sicherheitsereignisse klassifizieren und Incident-Response-Prozesse unterstützen.
Welche Netzwerkkenntnisse sollte ich mitbringen?
Grundkenntnisse in TCP/IP-Netzwerken werden vorausgesetzt — das entspricht in etwa dem Niveau eines CCNA-Einführungsmoduls. Wer noch keine Netzwerkkenntnisse hat, sollte diese vorab über Selbststudiummaterialien wie Ciscos offizielle Lernressourcen aufbauen.
Kann ich nach diesem Kurs direkt als SOC-Analyst arbeiten?
Das Zertifikat zeigt nachgewiesene Grundkompetenz in Security Operations und ist als Einstiegsqualifikation für Junior-SOC-Analyst-Stellen anerkannt. In der Praxis wird zusätzliche praktische Erfahrung erwartet; viele Absolventen starten mit Praktika oder Einsteiger-SOC-Stellen, um diesen Erfahrungsaufbau zu ermöglichen.
Wie verhält sich SC-900 zum SC-200 Security Operations Analyst?
SC-900 ist der konzeptuelle Einstieg ohne technische Konfiguration. SC-200 (Microsoft Security Operations Analyst) ist die direkte Fortsetzung für Personen, die Microsoft Sentinel und Defender aktiv betreiben und Bedrohungen in Microsoft-Umgebungen analysieren wollen. Wer diesen Lehrgang abschließt, hat eine solide Basis für den Einstieg in SC-200.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Konstruktion, CAD und industrielle Fertigung sind durchgehend gefragt — die Transformation Richtung E-Mobilität, Energietechnik und Industrie 4.0 schafft zusätzliche Spezialisten-Rollen. CAD-/Simulation-Software-Kenntnisse sind Türöffner.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen
- Cybersecurity Analyst23 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen
- SOC-Analyst/in0 Stellen
- IT-Sicherheitsspezialist/in0 Stellen