Überblick
Der SC-200-Kurs bereitet auf die Microsoft-Zertifizierungsprüfung „Microsoft Security Operations Analyst" vor. Im Mittelpunkt steht die Arbeit eines Security Operations Analysts, der in einer Unternehmensumgebung Bedrohungen erkennt, analysiert und darauf reagiert. Kerntechnologien sind Microsoft Sentinel, Microsoft Defender for Endpoint, Microsoft Defender for Cloud und Microsoft 365 Defender — die wichtigsten Sicherheitsplattformen des Microsoft-Ökosystems. Wer diesen Kurs abschließt, versteht nicht nur die Werkzeuge, sondern auch die operative Logik hinter einer professionellen Security-Operations-Funktion.
Kursinhalte & Lernziele
Microsoft Sentinel — Einrichten und Konfigurieren Microsoft Sentinel ist die zentrale SIEM- und SOAR-Plattform im Microsoft-Ökosystem. Dieser Block behandelt den vollständigen Aufbau eines funktionsfähigen Sentinel-Arbeitsbereichs: von der Verbindung zu Datenquellen über die Konfiguration von Analyseregeln bis zur Einrichtung von Arbeitsmappen und Dashboards für die tägliche SOC-Arbeit.
- Log Analytics Workspace anlegen und Sentinel aktivieren
- Datenconnektoren für Microsoft 365, Azure und Drittanbieter einrichten
- Built-in und benutzerdefinierte Analyseregeln konfigurieren
- Incidents aus Alerts erzeugen und Korrelationsregeln anpassen
- Arbeitsmappen (Workbooks) zur Visualisierung von Sicherheitsdaten einsetzen
- Threat-Intelligence-Feeds integrieren und TAXII-Quellen anbinden
Microsoft Sentinel — Bedrohungsanalyse mit KQL Kusto Query Language ist das Werkzeug, mit dem Security Analysts große Mengen an Protokolldaten durchsuchen und Angriffsmuster sichtbar machen. Dieser Block vermittelt KQL systematisch — von grundlegenden Abfragen bis zu mehrstufigen Korrelationsanalysen, die in der Praxis eingesetzt werden.
- KQL-Grundlagen: Syntax, Operatoren, Filterfunktionen
- Zeitreihenanalysen und Aggregationen auf Sicherheitsereignisse anwenden
- Joined Queries über mehrere Log-Tabellen (SecurityEvent, SigninLogs, AzureActivity)
- Verdächtige Aktivitätsmuster erkennen und als Hunting-Query speichern
- Scheduled Analytics Rules auf Basis eigener KQL-Abfragen erstellen
- Anomalie-Erkennung mit KQL-Ausdrücken und Sentinel-Built-ins
Microsoft Defender — Endpoint, Identity und Cloud Apps Die Microsoft-Defender-Produktfamilie schützt unterschiedliche Angriffsflächen. Dieser Block behandelt Defender for Endpoint für die Absicherung von Endgeräten, Defender for Identity zur Erkennung von Angriffen auf Active Directory und Defender for Cloud Apps für die Sichtbarkeit in SaaS-Umgebungen. Die plattformübergreifende Sichtbarkeit über das Microsoft 365 Defender-Portal wird als Klammer behandelt.
- Defender for Endpoint: Gerätekonfiguration, Onboarding, Risikobewertung
- Endpoint-Alerts untersuchen: Prozessbaum, Zeitachse, Netzwerkverbindungen
- Automated Investigation and Response (AIR) in Defender for Endpoint
- Defender for Identity: Lateral Movement, Pass-the-Hash, Golden Ticket erkennen
- Defender for Cloud Apps: Shadow IT sichtbar machen, Richtlinien konfigurieren
- Microsoft 365 Defender: übergreifende Incident-Zusammenführung und Analyse
Incident Response und Bedrohungssuche Bedrohungen zu erkennen ist eine Sache — systematisch darauf zu reagieren eine andere. Dieser Block behandelt den vollständigen Incident-Response-Prozess: von der ersten Alert-Triagierung über die Untersuchung bis zum Abschluss und der Dokumentation. Zusätzlich wird Threat Hunting als proaktive Disziplin behandelt, bei der Analysten aktiv nach Angriffen suchen, bevor Alerts ausgelöst werden.
- Incident-Lifecycle in Microsoft Sentinel: Triage, Untersuchung, Abschluss
- Angreifer-Techniken nach MITRE ATT&CK einordnen
- Threat-Hunting mit Sentinel Hunting Queries und Livestream
- Entity Behavior Analytics (UEBA) zur Anomalie-Erkennung einsetzen
- Playbooks (Logic Apps) für automatisierte Reaktionsabläufe einrichten
- SOC-Dokumentation: Incident-Report, Lessons Learned, Eskalationspfade
Alle Themenblöcke werden durch eigenständige Laborübungen in einer realen Microsoft-Security-Umgebung vertieft — folgende Szenarien stehen auf dem Programm.
- Sentinel Workspace aufsetzen und erste Datenconnectoren verbinden
- KQL-Query zur Erkennung von Brute-Force-Anmeldeversuchen erstellen
- Analyseregel auf Basis der eigenen KQL-Abfrage als Scheduled Rule konfigurieren
- Alert-Triagierung: Schweregrad bewerten, False Positive ausschließen
- Incident untersuchen: Entitäten verknüpfen, Zeitachse rekonstruieren
- Defender for Endpoint: Gerät isolieren und forensische Artefakte sichern
- Lateral Movement im Active Directory mit Defender for Identity aufdecken
- Playbook anlegen, das bei hochwertigen Alerts automatisch Teams benachrichtigt
- Threat-Hunting-Kampagne zu einer konkreten MITRE-Technik (z. B. T1078 Valid Accounts) durchführen
- Defender for Cloud Apps: Unmögliche Reise (Impossible Travel) als Risikoindikator auswerten
- Sentinel Workbook anpassen und kursrelevante Metriken visualisieren
- Abschlussszenario: vollständiger Angriffspfad (Initial Access → Lateral Movement → Exfiltration) in Sentinel nachvollziehen und dokumentieren
Die Laborübungen sind so aufgebaut, dass Angriffe nicht nur beschrieben, sondern im System sichtbar gemacht werden. Wer eine KQL-Abfrage selbst schreibt, die einen echten Angriff abbildet, entwickelt ein anderes Verständnis als durch passives Lesen. Die eigenständige Arbeit im Sentinel-Lab ist daher zentraler Bestandteil. Abschließend wird die Prüfungsstruktur SC-200 analysiert: Welche Domänen werden wie gewichtet? Welche Sentinel- und Defender-Funktionen sind besonders prüfungsrelevant? Diese Einordnung hilft, die letzten eigenständigen Vertiefungsschritte gezielt zu setzen.
Lernziele:
- Microsoft Sentinel als SIEM/SOAR-Plattform einrichten, konfigurieren und betreiben
- Kusto Query Language (KQL) für Log-Analysen und Bedrohungssuchen einsetzen
- Microsoft Defender for Endpoint für Endpoint-Schutz und Incident Response nutzen
- Microsoft 365 Defender für übergreifende Bedrohungssichtbarkeit konfigurieren
- Sicherheitsvorfälle priorisieren, untersuchen und eskalieren
- Threat-Hunting-Kampagnen auf Basis des MITRE ATT&CK-Frameworks durchführen
- Playbooks und automatisierte Reaktionsabläufe mit Logic Apps aufbauen
- Sicherheitsereignisse aus Cloud- und On-Premises-Quellen zentralisieren
- Risiken für die Organisation bewerten und geeignete Handlungsschritte ableiten
- Sicherheitsverstöße gegen Richtlinien erkennen und an verantwortliche Stellen weitergeben
- Microsoft Defender for Cloud für Hybrid- und Multi-Cloud-Schutz einsetzen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an IT-Fachleute, die in oder rund um Security Operations tätig sind und ihr Wissen durch eine anerkannte Microsoft-Zertifizierung nachweisen möchten.
- IT-Sicherheitsfachleute, die in einem SOC-Umfeld arbeiten oder dieses anstreben
- Systemadministratoren mit Azure-Erfahrung, die in die IT-Security wechseln möchten
- Netzwerk- und Cloud-Administratoren mit zunehmendem Security-Fokus
- Junior SOC-Analysten, die ihre Kenntnisse strukturieren und zertifizieren wollen
- IT-Fachkräfte mit Microsoft-365- oder Azure-Hintergrund, die Security-Verantwortung übernehmen
Fundierte Kenntnisse in Microsoft 365 und Azure-Diensten werden vorausgesetzt — idealerweise auf dem Niveau der Zertifizierungen AZ-900 oder MS-900. Grundlegendes Verständnis von Netzwerkkonzepten (TCP/IP, DNS, HTTP), Identitätsmanagement (Active Directory, Azure AD) und typischen Angriffsvektoren ist wichtig für die Einordnung der Kursinhalte. Erste Praxiserfahrung in einer IT-Betriebsrolle ist hilfreich, aber keine formale Pflicht.
Ablauf & Abschluss
Der Kurs folgt dem Combined-Learning-Ansatz: Live-Unterricht im virtuellen Klassenraum wird durch intensive Laborphasen ergänzt, in denen reale Angriffs- und Verteidigungsszenarien in einer eigenen Microsoft-Umgebung durchgespielt werden. KQL-Abfragen werden im Kurs gemeinsam entwickelt, bevor Teilnehmende sie in eigenständigen Übungsphasen anpassen und erweitern. Erklärungen werden stets mit konkreten Angriffsmustern aus dem MITRE ATT&CK-Framework verknüpft.
Der Kurs wird überwiegend in Teilzeit, teils auch in Vollzeit angeboten. Die Lerndauer richtet sich nach dem gewählten Modell. Die Inhalte decken den vollständigen SC-200-Prüfungsumfang ab und sind in vier Themenblöcke gegliedert: Sentinel-Einrichtung, KQL, Defender-Familie und Incident Response.
Nach erfolgreichem Abschluss der externen Prüfung SC-200 wird der Titel „Microsoft Certified: Security Operations Analyst Associate" vergeben — direkt von Microsoft. Zusätzlich stellt der Kursanbieter eine qualifizierte Teilnahmebescheinigung aus. Die SC-200-Zertifizierung ist eine der meistgefragten Qualifikationen im Bereich Cloud-Security und SOC-Betrieb.
Nutzen & Perspektiven
Sicherheitsvorfälle nehmen in Häufigkeit und Komplexität zu — und damit der Bedarf an Analysten, die nicht nur Werkzeuge bedienen, sondern Angriffsmuster verstehen und systematisch darauf reagieren können. Die SC-200-Zertifizierung ist ein international anerkannter Nachweis dieser Kompetenz. Sie signalisiert, dass jemand mit Microsoft Sentinel arbeiten, KQL-Abfragen für Bedrohungssuchen schreiben und einen Incident von der Erkennung bis zur Dokumentation eigenständig durchführen kann. Für Organisationen, die auf Microsoft-Technologien setzen, ist ein SC-200-zertifizierter Analyst keine generische Sicherheitsfachkraft — sondern jemand, der in der konkreten Plattformumgebung des Unternehmens sofort handlungsfähig ist. Das verkürzt Einarbeitungszeiten und erhöht die Effektivität des SOC-Teams messbar. Langfristig öffnet die SC-200-Zertifizierung Wege in spezialisierte Rollen wie Threat Hunter, Incident Responder oder Security Architect. Wer die operativen Grundlagen des Microsoft-Security-Stacks beherrscht, hat eine solide Ausgangsbasis für weiterführende Spezialisierungen — etwa in Richtung SC-300 (Identity), SC-100 (Architecture) oder AZ-500 (Azure Security). Die Sicherheitsvorkehrungen, die im Kurs konfiguriert werden, sind keine theoretischen Konstrukte, sondern dieselben Mechanismen, die in realen SOC-Umgebungen täglich eingesetzt werden.
Häufig gestellte Fragen (FAQ)
Welche Zertifizierung wird nach dem Kurs angestrebt?
Der Kurs bereitet auf die externe Microsoft-Prüfung SC-200 vor. Nach Bestehen wird der Titel „Microsoft Certified: Security Operations Analyst Associate" direkt von Microsoft vergeben.
Muss ich KQL bereits kennen?
Nein. Kusto Query Language wird im Kurs von Grund auf erarbeitet — von einfachen Filterabfragen über Zeitreihenanalysen bis zu mehrstufigen Korrelationsabfragen. Vorwissen ist hilfreich, aber nicht erforderlich.
Welche Microsoft-Sicherheitsprodukte werden im Kurs behandelt?
Microsoft Sentinel (SIEM/SOAR), Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und Microsoft 365 Defender werden vollständig behandelt. Zusätzlich wird Microsoft Defender for Cloud für Hybrid- und Multi-Cloud-Szenarien eingeführt.
Was ist MITRE ATT&CK und warum ist es wichtig?
MITRE ATT&CK ist ein öffentlich verfügbares Framework, das Angreiferverhalten in Techniken und Taktiken katalogisiert. Im Kurs wird es als strukturierendes Instrument eingesetzt, um Angriffsmuster einzuordnen und Threat-Hunting-Kampagnen zu planen — ein Standardwerkzeug in professionellen SOC-Umgebungen.
Welche Voraussetzungen sollte ich für den Kurs mitbringen?
Fundierte Kenntnisse in Microsoft 365 und Azure (idealerweise auf AZ-900- oder MS-900-Niveau), grundlegendes Netzwerkwissen und Verständnis von Active Directory werden empfohlen. Erste Praxiserfahrung in einer IT-Betriebsrolle ist hilfreich, aber keine formale Pflichtvoraussetzung.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Chief-Information-Security-Officer103 Stellen
- Chief-Technology-Officer14 Stellen