Überblick
Die Bedrohungslandschaft für Unternehmen hat sich in den vergangenen Jahren drastisch verändert. Cyberangriffe werden raffinierter, die Angriffsflächen wachsen mit der Zunahme von Cloud-Workloads, und die Zeit bis zur Erkennung eines Sicherheitsvorfalls ist oft entscheidend. Der Microsoft Security Operations Analyst ist die zentrale Rolle im Security Operations Center (SOC), die dafür verantwortlich ist, Angriffe frühzeitig zu erkennen, zu untersuchen und zu beheben. Der Kurs SC-200 bereitet Fachkräfte gezielt auf die offizielle Microsoft-Zertifizierungsprüfung „Microsoft Security Operations Analyst Associate" vor und vermittelt das vollständige Kompetenzspektrum für den Betrieb eines modernen, Microsoft-basierten SOC. Im Mittelpunkt stehen Microsoft Sentinel als SIEM/SOAR-Plattform, Microsoft Defender for Endpoint, Microsoft Defender for Cloud sowie Microsoft 365 Defender. Der Kurs verbindet theoretisches Sicherheitswissen mit realen Angriffs- und Verteidigungsszenarien.
Kursinhalte & Lernziele
Der erste Themenblock behandelt Microsoft Sentinel als zentrales SIEM/SOAR-System im Microsoft-Security-Stack. Teilnehmende lernen, wie Sentinel aufgesetzt wird, welche Datenquellen angebunden werden, und wie Analytik-Regeln Angriffsmuster erkennen. Besonderes Gewicht liegt auf der Arbeit mit KQL für Ad-hoc-Abfragen und Threat-Hunting-Szenarien.
- Microsoft-Sentinel-Workspace anlegen und grundlegende Konfigurationen vornehmen
- Datenquellen über Konnektoren anbinden: Azure, Microsoft 365, Drittanbieter
- Analytik-Regeln erstellen, um automatisch Incidents aus Warnungen zu generieren
- Workbooks und Dashboards für SOC-Überblick konfigurieren
- KQL-Grundlagen: Tabellen, Operatoren, Aggregationen und Joins
- Threat Hunting mit KQL: proaktive Suche nach verdächtigen Mustern
Der zweite Block widmet sich Microsoft Defender for Endpoint und der Absicherung von Endpunkten. Teilnehmende erwerben Kenntnisse in der Konfiguration des Endpunktschutzes, in der Analyse von Endpoint-Telemetrie und in der Reaktion auf Endpunkt-Incidents. Dabei wird auch die Integration von Defender for Endpoint mit Microsoft Sentinel behandelt.
- Microsoft Defender for Endpoint einrichten und Geräte onboarden
- Sicherheitswarnungen und Alerts im Defender-Portal auswerten
- Endpoint-Investigations durchführen: Prozesse, Netzwerkverbindungen, Dateien analysieren
- Live Response für direkte Endpunktanalyse nutzen
- Isolierung und Remediation von kompromittierten Geräten
- Telemetrie aus Defender for Endpoint in Microsoft Sentinel ingesten
Der dritte Block behandelt die Cloud-Sicherheit mit Microsoft Defender for Cloud sowie die Absicherung von Microsoft-365-Diensten mit Microsoft 365 Defender. Teilnehmende lernen, wie Azure-Workloads kontinuierlich auf Schwachstellen überwacht werden, wie E-Mail-Bedrohungen erkannt werden und wie Identitätsangriffe mit Microsoft Defender for Identity untersucht werden.
- Microsoft Defender for Cloud aktivieren und Secure Score interpretieren
- Sicherheitsempfehlungen priorisieren und Schwachstellen beheben
- Microsoft Defender for Office 365 für E-Mail-Bedrohungen konfigurieren
- Microsoft Defender for Identity für Active-Directory-Angriffe nutzen
- Microsoft Defender for Cloud Apps für Shadow-IT-Analyse einsetzen
- Incidents über mehrere Defender-Produkte korrelieren
Der vierte Block konzentriert sich auf Incident Response, Automatisierung und die Integration von Drittanbieter-Lösungen. Teilnehmende lernen, wie Playbooks auf Basis von Azure Logic Apps automatisierte Reaktionen auslösen, wie Drittanbieter-Sicherheitslösungen über CEF/Syslog-Konnektoren angebunden werden, und wie das MITRE-ATT&CK-Framework für die Einordnung von Bedrohungen genutzt wird.
- Playbooks mit Azure Logic Apps erstellen und an Incidents knüpfen
- Automation Rules für wiederkehrende Incident-Bearbeitungsschritte definieren
- Drittanbieter-Lösungen (Firewalls, Endpunktschutz) via CEF/Syslog anbinden
- MITRE ATT&CK Tactics und Techniques Angriffssignalen zuordnen
- Threat Intelligence Feeds in Microsoft Sentinel importieren und nutzen
- Compliance- und Audit-Berichte aus Sentinel exportieren
Praxisblock — typische SOC-Szenarien und Prüfungsaufgaben Die folgenden Szenarien werden als geführte Übungen und eigenständige Challenges bearbeitet — sie spiegeln reale SOC-Situationen und Prüfungsdomänen wider.
- Ransomware-Angriff in Microsoft Sentinel erkennen, untersuchen und eindämmen
- Phishing-Kampagne über Microsoft Defender for Office 365 identifizieren
- Kompromittiertes Benutzerkonto mit Microsoft Defender for Identity analysieren
- Anomale Netzwerkaktivität mit KQL in den Sentinel-Logs finden
- Automatisiertes Playbook für eine häufige Alert-Kategorie entwickeln
- Sentinel-Analytikregel für einen neuen Angriffsvektor erstellen und testen
- Secure Score in Defender for Cloud interpretieren und priorisieren
- Drittanbieter-Firewall-Logs in Sentinel integrieren und auswerten
- Incident aus mehreren Produkten korrelieren und Angriffskette rekonstruieren
- SC-200-Prüfungsfragen zu Sentinel, Defender und KQL unter Zeitdruck bearbeiten
- Threat-Hunting-Hypothese formulieren und mit KQL verifizieren
- Abschlussbericht zu einem simulierten Sicherheitsvorfall strukturieren
Lernziele:
Nach Abschluss des Kurses SC-200 sind die Teilnehmenden in der Lage, als Security Operations Analyst eigenständig zu arbeiten und Sicherheitsvorfälle in Microsoft-basierten Umgebungen professionell zu handhaben. Die folgenden Kompetenzen werden umfassend erarbeitet.
- Microsoft Sentinel einrichten, konfigurieren und als zentrales SIEM/SOAR nutzen
- Sicherheitswarnungen und Incidents in Microsoft Sentinel untersuchen und priorisieren
- Bedrohungen mit KQL (Kusto Query Language) aktiv suchen und analysieren
- Microsoft Defender for Endpoint für Endpunktschutz und Incident Response einsetzen
- Microsoft Defender for Cloud zur Absicherung von Azure-Workloads nutzen
- Microsoft 365 Defender für die Absicherung von E-Mail, Identitäten und Cloud-Apps einsetzen
- Sicherheitslösungen von Drittanbietern über Konnektoren in Microsoft Sentinel integrieren
- Automatisierte Reaktionen mit Playbooks (Azure Logic Apps) konfigurieren
- Bedrohungsmodelle und Angriffstaktiken nach MITRE ATT&CK einordnen
- Risikominderungsmaßnahmen empfehlen und mit Stakeholdern kommunizieren
- SC-200-Prüfungsinhalte systematisch vorbereiten und die Zertifizierungsprüfung ablegen
Zielgruppe & Voraussetzungen
Der Kurs SC-200 richtet sich an Fachkräfte, die im Bereich Cybersecurity tätig sind oder in diesen Bereich wechseln möchten, insbesondere mit Fokus auf Security Operations und Incident Response in Microsoft-Azure- und Microsoft-365-Umgebungen.
- SOC-Analysten (Tier 1–3), die ihre Microsoft-Kompetenz formell zertifizieren möchten
- IT-Sicherheitsbeauftragte in Microsoft-Cloud-Umgebungen
- Threat Hunter und Incident Responder in Azure-basierten Unternehmen
- Netzwerk- und Systemadministratoren, die in eine SOC-Rolle wechseln möchten
- Cybersecurity-Ingenieure, die Microsoft Defender und Sentinel operativ einsetzen
Grundlegende Kenntnisse in IT-Sicherheit, Netzwerken und Cloud-Konzepten werden vorausgesetzt. Erfahrung mit Microsoft Azure und Microsoft 365 ist von Vorteil, da der Kurs auf diesen Plattformen aufbaut. Grundkenntnisse in Windows-Administration und Active Directory erleichtern das Verständnis der behandelten Angriffsszenarien. Ein individuelles Beratungsgespräch vor Kursbeginn klärt den Ausgangsstand und ermöglicht die Erstellung eines passenden Lernplans.
Ablauf & Abschluss
Der Kurs findet überwiegend im Combined-Learning-Format statt. Erfahrene Microsoft-zertifizierte Sicherheitstrainer führen durch die Kursinhalte und zeigen Live-Demonstrationen direkt in Azure- und Microsoft-365-Tenants. Praktische Übungen finden in dedizierten Lab-Umgebungen statt, sodass Teilnehmende reale Angriffs- und Verteidigungsszenarien ohne Risiko für Produktivsysteme üben können. Ergänzende Online-Seminar-Formate sind verfügbar. Teilzeitmodelle und individuelle Startzeitpunkte können nach Absprache vereinbart werden.
Die Kursdauer beträgt üblicherweise mehr als eine Woche bis zu einem Monat bei Vollzeitdurchführung. Bei Teilzeitmodellen kann sich die Gesamtdauer auf bis zu drei Monate erstrecken. Der genaue Umfang richtet sich nach den Vorkenntnissen und dem individuellen Lernziel, die im Beratungsgespräch gemeinsam festgelegt werden.
Der Kurs bereitet auf die offizielle Microsoft-Prüfung SC-200 „Microsoft Security Operations Analyst" vor, die bei einem autorisierten Testcenter abgelegt wird. Nach bestandener Prüfung erhalten Teilnehmende die Microsoft-Zertifizierung „Microsoft Certified: Security Operations Analyst Associate". Zusätzlich stellt der Kursanbieter ein Lehrgangszertifikat aus. Das Microsoft-Zertifikat wird weltweit von Unternehmen als Qualitätsmerkmal für SOC-Fachkräfte anerkannt.
Nutzen & Perspektiven
Der Bedarf an qualifizierten Security Operations Analysten übersteigt das Angebot auf dem Arbeitsmarkt deutlich — und das gilt besonders für Fachkräfte mit Microsoft-Spezialisierung. Da ein Großteil der Unternehmensinfrastruktur auf Azure und Microsoft 365 läuft, sind SC-200-zertifizierte Analysten in SOC-Teams, bei Managed Security Service Providern und in internen IT-Sicherheitsabteilungen besonders gefragt. Die Zertifizierung ist ein unmittelbar verwertbarer Kompetenznachweis, der Gehaltsverhandlungen und Karriereschritte aktiv unterstützt. Der Kurs vermittelt nicht nur prüfungsrelevantes Wissen, sondern aufbauende Handlungskompetenz für reale SOC-Situationen. Wer nach dem Kurs einen Ransomware-Incident in Sentinel untersucht, eine Phishing-Kampagne in Defender for Office 365 unterbindet oder ein automatisiertes Playbook für wiederkehrende Angriffsmuster konfiguriert, bringt diese Fähigkeiten unmittelbar aus dem Kurs mit. Die Kombination aus KQL-Wissen, Defender-Portfolio-Kenntnissen und Sentinel-Erfahrung macht Absolventen zu wertvollen Mitgliedern jedes modernen SOC-Teams. Bei AZAV-zertifizierten Anbietern ist dieser Kurs in der Regel über einen Bildungsgutschein der Bundesagentur für Arbeit oder des Jobcenters förderbar. Je nach individueller Situation können auch das Qualifizierungschancengesetz, die Berufsförderung der Bundeswehr oder Leistungen zur beruflichen Rehabilitation oder der Deutschen Rentenversicherung als Fördermöglichkeit in Betracht kommen. Das Beratungsgespräch klärt, welche Option am besten zur eigenen Situation passt.
Häufig gestellte Fragen (FAQ)
Welche Microsoft-Sicherheitsprodukte werden im SC-200-Kurs behandelt?
Der Kurs deckt das gesamte Microsoft-Security-Portfolio ab: Microsoft Sentinel als SIEM/SOAR, Microsoft Defender for Endpoint, Microsoft Defender for Cloud, Microsoft Defender for Office 365, Microsoft Defender for Identity sowie Microsoft Defender for Cloud Apps. Außerdem wird die Integration von Drittanbieter-Lösungen behandelt.
Muss ich KQL vor dem Kurs kennen?
Vorkenntnisse in KQL (Kusto Query Language) sind nicht erforderlich. Der Kurs baut KQL-Kenntnisse von Grund auf auf und zeigt, wie diese für Threat Hunting, Incident-Untersuchungen und Analytikregeln in Microsoft Sentinel eingesetzt werden. Grundkenntnisse in SQL oder anderen Abfragesprachen sind von Vorteil, aber keine Voraussetzung.
Für welche Rollen ist das SC-200-Zertifikat besonders relevant?
Das SC-200-Zertifikat ist primär für SOC-Analysten (Tier 1–3), Threat Hunter und Incident Responder relevant. Auch IT-Sicherheitsbeauftragte, Security Engineers und Personen, die in eine SOC-Rolle wechseln möchten, profitieren erheblich von dieser Zertifizierung.
Ist dieser Kurs über einen Bildungsgutschein förderbar?
Bei AZAV-zertifizierten Anbietern ist eine Förderung über den Bildungsgutschein in der Regel möglich. Ergänzend können das Qualifizierungschancengesetz oder andere Förderprogramme in Betracht kommen. Das Beratungsgespräch klärt die für die individuelle Situation passende Förderoption.
Wie unterscheidet sich Microsoft Sentinel von anderen SIEM-Lösungen?
Microsoft Sentinel ist ein cloudnativer SIEM/SOAR-Dienst, der direkt in Azure betrieben wird und ohne lokale Infrastruktur auskommt. Er bietet native Integration mit dem gesamten Microsoft-Security-Portfolio, skaliert automatisch mit dem Datenvolumen und ermöglicht über Azure Logic Apps die Automatisierung von Sicherheitsreaktionen ohne eigene SOAR-Plattform.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Organisator/IT-Organisatorin127 Stellen
- Chief-Information-Security-Officer103 Stellen
- Security Operations Analyst16 Stellen
- Chief-Technology-Officer14 Stellen
- Assistent/Assistentin für Informatik (Wirtschaftsinformatik)8 Stellen
- IT-Sicherheitsanalyst2 Stellen