Überblick
Die Weiterbildung zur Microsoft Security Operations Analystin bzw. zum Microsoft Security Operations Analysten bereitet auf die externe Zertifizierungsprüfung SC-200 von Microsoft vor, die zur Zertifizierung "Microsoft Certified: Security Operations Analyst Associate" führt. Im Mittelpunkt steht die Arbeit mit dem Microsoft Sicherheits-Ökosystem: Azure Sentinel als SIEM- und SOAR-Plattform, Microsoft Defender for Endpoint, Microsoft 365 Defender sowie Azure Defender. Die Teilnehmenden lernen, Sicherheitsbedrohungen in einer modernen IT-Umgebung zu erkennen, zu untersuchen und zu bekämpfen. Security Operations Analysten sind für Organisationen jeder Größe unverzichtbar geworden, weil Cyberangriffe sowohl in ihrer Häufigkeit als auch in ihrer technischen Raffinesse kontinuierlich zunehmen. Der Kurs richtet sich an Personen, die im Bereich der IT-Sicherheitsoperationen tätig sind oder tätig sein möchten und ihre Kenntnisse im Microsoft-Sicherheits-Stack systematisch aufbauen und mit einem anerkannten Zertifikat belegen wollen.
Kursinhalte & Lernziele
Der Kurs folgt dem offiziellen Lernpfad für die SC-200-Prüfung und vermittelt alle Themenbereiche, die in der Prüfung abgedeckt werden. Die Inhalte sind für Personen konzipiert, die bereits grundlegende IT-Kenntnisse mitbringen und sich gezielt auf sicherheitsoperative Aufgaben in Microsoft-Umgebungen spezialisieren möchten. Ein erster zentraler Themenblock ist Microsoft 365 Defender. Diese integrierte Sicherheitsplattform schützt Identitäten, Endpunkte, Anwendungen und E-Mails in der Microsoft-365-Umgebung. Die Teilnehmenden lernen, die Plattform praxisnah zu bedienen und Bedrohungen über das gesamte Microsoft-365-Spektrum zu verfolgen.
- Architektur und Funktionen von Microsoft 365 Defender im Überblick
- Untersuchung von Incidents im Microsoft 365 Defender-Portal
- Bedrohungsanalyse und Threat Intelligence in Microsoft 365 Defender
- Konfiguration von Defender for Office 365: Schutz vor Phishing, Malware und Business E-Mail Compromise
- Verwaltung von Defender for Identity: Erkennung von Identitätsangriffen und Lateral Movement
Der zweite Schwerpunkt liegt auf Microsoft Defender for Endpoint, der zentralen Endpoint Detection and Response (EDR)-Lösung von Microsoft. Die korrekte Konfiguration und Nutzung dieser Plattform ist ein Kernbereich des SC-200-Prüfungsinhalts.
- Onboarding von Endpunkten in Microsoft Defender for Endpoint
- Incident-Management und Auswertung von Warnungen im Defender-Portal
- Automated Investigation and Response (AIR): automatisierte Untersuchungsprozesse
- Threat and Vulnerability Management: Schwachstellenmanagement und Priorisierung
- Erweiterte Bedrohungssuche mit Live Response und Hunting-Abfragen
Der dritte Themenblock behandelt Azure Defender als Schutzlösung für Cloud-Workloads in Microsoft Azure. Hier lernen die Teilnehmenden, den Sicherheitsstatus von Cloud-Ressourcen zu bewerten und auf Bedrohungen zu reagieren.
- Aktivierung und Konfiguration von Azure Defender für verschiedene Ressourcentypen
- Auswertung von Sicherheitswarnungen und Empfehlungen im Microsoft Defender for Cloud-Portal
- Just-in-Time-Zugriff und adaptive Anwendungssteuerung als Sicherheitsmaßnahmen
- Sicherheitsstatus und Compliance-Bewertung für Azure-Umgebungen
- Integration von Azure Defender-Daten in Azure Sentinel
Der vierte und umfangreichste Block widmet sich Azure Sentinel als SIEM- und SOAR-Plattform. Sentinel ist das Herzstück des Microsoft Security Operations-Ansatzes und nimmt in der SC-200-Prüfung einen erheblichen Anteil ein.
- Einrichtung und Konfiguration des Azure Sentinel-Arbeitsbereichs
- Anbindung von Datenquellen: Microsoft-Dienste, Drittanbieter und benutzerdefinierte Logs
- Erstellung analytischer Regeln: geplante Regeln, Machine-Learning-Regeln, Fusion-Regeln
- Kusto Query Language (KQL): Syntax, Operatoren, Joins und Aggregationen für Sicherheitsabfragen
- Untersuchung von Incidents in Azure Sentinel: Entitätsverhalten, Zeitleisten, grafische Darstellung
Im praxisorientierten Abschnitt des Kurses werden alle Kernfähigkeiten anhand von Übungsszenarien und simulierten Angriffssituationen vertieft.
- Eigenständige KQL-Queries für spezifische Bedrohungsszenarien schreiben
- Playbooks mit Azure Logic Apps erstellen und in den Incident-Workflow einbinden
- Hunting-Aktivitäten in Sentinel: proaktive Suche nach Bedrohungen mit vordefinierten und eigenen Queries
- Integration von Drittanbieter-Sicherheitslösungen in Sentinel über Konnektoren
- Erstellung von Workbooks und Dashboards für das Sicherheitsreporting
- Rollenbasierte Zugriffskontrolle (RBAC) in Microsoft-Sicherheitsprodukten konfigurieren
- Korrelation von Incidents über Microsoft 365 Defender und Sentinel hinweg
- Erkennen und Abwehren typischer Angriffsmuster: Ransomware, Phishing, Credential Theft
- Vorbereitung auf die spezifischen Prüfungsformate der SC-200-Zertifizierung
- Prüfungssimulation und Übungsszenarien zu allen vier Prüfungsdimensionen
- Englischsprachige Dokumentation und Microsoft-Learn-Materialien lesen und einsetzen
- Best Practices für Security Operations Center (SOC)-Prozesse im Microsoft-Umfeld
Die Prüfungsvorbereitung ist integraler Bestandteil des Kurses. Da die Microsoft-Zertifizierungsunterlagen auf Englisch vorliegen, werden im Kurs beide Sprachen genutzt — der Unterricht findet auf Deutsch statt, die Dokumentation ist auf Englisch.
Lernziele:
- Bedrohungen in der Microsoft 365-Umgebung mit Microsoft 365 Defender erkennen, untersuchen und eindämmen
- Microsoft Defender for Endpoint konfigurieren, Incidents auswerten und Reaktionsmaßnahmen einleiten
- Azure Defender für Cloud-Workloads einrichten, Sicherheitswarnungen interpretieren und auf Bedrohungen reagieren
- Azure Sentinel als SIEM-Plattform konfigurieren: Arbeitsbereiche einrichten, Datenquellen anbinden und Regeln erstellen
- Kusto Query Language (KQL) für Sicherheitsabfragen in Azure Sentinel anwenden und eigene Queries erstellen
- Hunting-Aktivitäten in Azure Sentinel durchführen, um proaktiv nach Bedrohungen zu suchen
- Playbooks in Azure Sentinel für automatisierte Reaktionen auf Sicherheitsereignisse einrichten
- Sicherheitslösungen von Drittanbietern in den Microsoft-Sicherheits-Stack integrieren und überwachen
- Rollenkonfiguration und Zugriffsberechtigungen in Microsoft-Sicherheitslösungen verwalten
- Incidents über mehrere Microsoft-Sicherheitsprodukte hinweg korrelieren und analysieren
- Berichte und Dashboards in Azure Sentinel nutzen, um den Sicherheitsstatus einer Organisation darzustellen
- Auf die externe Microsoft-Zertifizierungsprüfung SC-200 gezielt vorbereiten
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an alle Personen, die das Microsoft Certified: Security Operations Analyst Associate-Zertifikat erwerben möchten. Besonders angesprochen sind die folgenden Gruppen.
- bereits in der IT-Administration, im Netzwerkbetrieb oder in der IT-Sicherheit tätig sind und sich auf Security Operations spezialisieren möchten
- als SOC-Analysten eingesetzt werden oder eine entsprechende Position anstreben
- im beruflichen Alltag mit Microsoft-Produkten arbeiten und ihre Sicherheitskompetenz ausbauen möchten
- gute Deutsch- und Englischkenntnisse mitbringen und sicher mit Windows-Systemen umgehen können
- planen, die Microsoft SC-200-Prüfung abzulegen, und sich systematisch vorbereiten möchten
Die Teilnehmenden müssen über gute Deutschkenntnisse verfügen, da der Unterricht auf Deutsch stattfindet. Da die Kursmaterialien und Microsoft-Dokumentation auf Englisch vorliegen, sind außerdem gute Englischkenntnisse erforderlich. Ein sicherer Umgang mit Windows-Betriebssystemen wird vorausgesetzt. Grundkenntnisse der IT-Infrastruktur und IT-Sicherheitskonzepte erleichtern den Einstieg erheblich, sind aber nicht formal gefordert.
Ablauf & Abschluss
Der Kurs wird im kombinierten Lernformat durchgeführt und verbindet Lehrgespräche, Demonstrationen und Praxisübungen in Laborumgebungen. Die Teilnehmenden arbeiten direkt in Microsoft-Sicherheitsplattformen und erwerben Handlungskompetenz durch praktische Aufgaben, nicht nur durch Theorie. Englischsprachige Microsoft-Learn-Materialien werden ergänzend eingesetzt. Die Prüfungsvorbereitung umfasst Übungsaufgaben und Simulationen im Stil der tatsächlichen SC-200-Prüfung.
Die Weiterbildung dauert im Vollzeitformat mehr als einen Monat und bis zu drei Monate. Der genaue Umfang richtet sich nach dem Anbieter und den einbezogenen Lernmodulen. Die Vollzeitstruktur ermöglicht eine intensive und zusammenhängende Vorbereitung auf die Prüfung.
Nach Abschluss der Weiterbildung erhalten die Teilnehmenden eine trägerinterne Teilnahmebescheinigung. Wer die externe Zertifizierungsprüfung SC-200 bei Microsoft erfolgreich besteht, erhält zusätzlich das international anerkannte Zertifikat "Microsoft Certified: Security Operations Analyst Associate". Die Prüfung wird separat bei Microsoft oder einem autorisierten Prüfungszentrum abgelegt; der Kurs bereitet gezielt auf diese Prüfung vor.
Nutzen & Perspektiven
Die Nachfrage nach qualifizierten Security Operations Analysten ist in den letzten Jahren stark gestiegen und bleibt auf hohem Niveau. Cyberangriffe gegen Unternehmen, Behörden und kritische Infrastruktur nehmen zu, und Organisationen investieren gezielt in die Verteidigung ihrer IT-Systeme. Wer das SC-200-Zertifikat besitzt, weist einen standardisierten und international anerkannten Kompetenznachweis vor, der auf dem Arbeitsmarkt unmittelbar anerkannt wird. Microsoft-Sicherheitsprodukte sind in Unternehmen aller Branchen und Größenklassen verbreitet. Die in diesem Kurs erworbenen Kenntnisse zu Azure Sentinel, Microsoft Defender und der Kusto Query Language sind damit unmittelbar transferierbar und praxisnah. Der Kurs schließt nicht nur die fachliche Lücke, sondern bereitet auch konkret auf die Prüfungssituation vor, was die Zertifizierungsquote erhöht. Bei AZAV-zertifizierten Trägern ist die Weiterbildung in der Regel über einen Bildungsgutschein förderbar. Je nach individueller Situation kommen auch das Qualifizierungschancengesetz, die Berufsförderung der Bundeswehr oder Leistungen der Deutschen Rentenversicherung in Betracht. Die Förderberatung beim Anbieter klärt die persönlichen Optionen vor der Anmeldung.
Häufig gestellte Fragen (FAQ)
Ist die Microsoft SC-200-Prüfung im Kurs enthalten?
Der Kurs bereitet gezielt auf die externe SC-200-Zertifizierungsprüfung vor. Die Prüfung selbst wird separat bei Microsoft oder einem autorisierten Prüfungszentrum abgelegt und ist nicht automatisch Bestandteil der Kursgebühr. Bitte klären Sie die Prüfungskosten und -modalitäten vorab mit dem Anbieter.
Welche Vorkenntnisse brauche ich für den Kurs?
Gute Deutsch- und Englischkenntnisse sowie ein sicherer Umgang mit Windows werden erwartet. Grundkenntnisse der IT-Infrastruktur und der IT-Sicherheit erleichtern den Einstieg erheblich. Formale IT-Zertifikate werden nicht vorausgesetzt, sind aber von Vorteil.
Warum wird der Kurs auf Deutsch gehalten, obwohl die Doku englisch ist?
Der Unterricht findet auf Deutsch statt, damit alle Teilnehmenden die Konzepte sicher verstehen. Die Microsoft-Dokumentation und Lernmaterialien liegen auf Englisch vor und werden im Kurs gemeinsam erschlossen. Gute Englischkenntnisse sind deshalb eine wichtige Teilnahmevoraussetzung.
Wie kann ich den Kurs finanzieren?
Bei AZAV-zertifizierten Anbietern ist die Weiterbildung in der Regel über einen Bildungsgutschein förderbar. Weitere Fördermöglichkeiten sind das Qualifizierungschancengesetz, die Berufsförderung der Bundeswehr und Leistungen der Deutschen Rentenversicherung. Eine Förderberatung beim Anbieter hilft, die individuell passende Option zu finden.
Welchen Berufseinstieg ermöglicht das SC-200-Zertifikat?
Das Zertifikat qualifiziert für Positionen als SOC Analyst, IT Security Specialist oder Microsoft Security Operations Analyst in Unternehmen, Behörden oder IT-Dienstleistern. Da Microsoft-Sicherheitsprodukte breit verbreitet sind, ist die Nachfrage nach diesem Profil branchenübergreifend hoch.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Organisator/IT-Organisatorin129 Stellen
- Chief-Information-Security-Officer103 Stellen
- Cyber Security Analyst77 Stellen
- IT Security Analyst76 Stellen
- SOC Analyst64 Stellen
- Sicherheitsmanager/Sicherheitsmanagerin15 Stellen