Überblick
Die Zertifizierung SC-200 richtet sich an Fachkräfte, die in Security Operations Centern arbeiten oder diese Aufgabe anstreben. Der Kurs vermittelt praxisnah, wie sich Bedrohungen mit den modernen Microsoft-Sicherheitsplattformen erkennen, analysieren und abwehren lassen. Im Mittelpunkt stehen Microsoft Defender XDR, Microsoft Sentinel sowie die Integration von Sicherheitsdaten aus unterschiedlichen Quellen. Ergänzend wird Microsoft Teams als Kollaborationswerkzeug eingeführt, das für die Zusammenarbeit im Security-Team und die tägliche Koordination unverzichtbar ist. Der Kurs schließt mit der Vorbereitung auf und der Abnahme der offiziellen Microsoft-Prüfung SC-200 ab.
Kursinhalte & Lernziele
Microsoft Defender XDR - Extended Detection and Response Microsoft Defender XDR ist die zentrale Antwort auf die steigende Komplexität moderner Angriffe, die gleichzeitig mehrere Angriffsvektoren nutzen. In diesem Modul lernen Sie, die verschiedenen Defender-Dienste als zusammenhängendes Ökosystem zu verstehen und zu bedienen.
- Architektur von Microsoft Defender XDR und Zusammenspiel der Komponenten
- Microsoft Defender für Endpunkte: Geräteverwaltung, Sensorinstallation und Erweiterte Bedrohungssuche
- Microsoft Defender für Office 365: Schutz vor Phishing, Malware und Business E-Mail Compromise
- Microsoft Defender für Identität: Erkennung lateraler Bewegungen und Pass-the-Hash-Angriffe
- Microsoft Defender for Cloud Apps: CASB-Funktionen, Schatten-IT und Anomalieerkennung
- Incident-Korrelation über Produktgrenzen hinweg und automatisierte Reaktionsmaßnahmen
Microsoft Sentinel - Cloud-natives SIEM und SOAR Microsoft Sentinel bietet eine skalierbare, cloudbasierte Plattform für die Sammlung, Analyse und Reaktion auf Sicherheitsereignisse aus der gesamten IT-Umgebung. Dieses Modul behandelt Aufbau, Betrieb und Optimierung einer produktiven Sentinel-Instanz.
- Sentinel-Workspace einrichten, Datenkonnektoren für Microsoft- und Drittanbieter-Quellen konfigurieren
- Analyseregeln erstellen: geplante Regeln, maschinelles Lernen und Anomalie-Erkennung
- Kusto Query Language (KQL) für Threat-Hunting-Abfragen und Dashboard-Visualisierungen
- Playbooks auf Basis von Azure Logic Apps entwickeln und für automatisierte Incident-Reaktion einsetzen
- Watchlists, Threat Intelligence-Feeds und MITRE ATT&CK-Mapping in Sentinel integrieren
- Sentinel-Workbooks für Reporting und Compliance-Übersichten konfigurieren
Microsoft Teams für Security-Teams Microsoft Teams ist die Kommunikationsplattform, die Security Operations Teams für die tägliche Zusammenarbeit, Incident-Koordination und den strukturierten Informationsaustausch nutzen. Der Kurs vermittelt die praxisrelevanten Funktionen im SOC-Kontext.
- Teams einrichten, Kanäle für Incident-Eskalation und Schichtübergaben strukturieren
- Besprechungen, Chat und gemeinsame Dokumentenablage effizient nutzen
- Integration von Sicherheitswarnungen und Benachrichtigungen in Teams-Kanäle
Praxisblock: SOC-Szenarien und Incident Response In laborgestützten Übungen wenden Sie die gelernten Konzepte auf realistische SOC-Szenarien an. Bestandteile sind unter anderem —
- Analyse eines simulierten Ransomware-Angriffs vom ersten Alert bis zur Eindämmung
- Erkennen und Untersuchen eines Identitätsangriffs (Pass-the-Hash, Token Replay) mit Defender für Identität
- Erstellen einer KQL-Hunting-Abfrage für ungewöhnliche PowerShell-Aktivität
- Konfiguration eines Sentinel-Playbooks zur automatischen IP-Blockierung nach kritischem Alert
- Auswertung und Bereinigung eines infizierten Endgeräts in Microsoft Defender für Endpunkte
- Erstellung eines Incidents-Reports mit Handlungsempfehlungen für die Führungsebene
- Cross-Produkt-Incident-Analyse: Zusammenführen von Signalen aus Defender XDR und Sentinel
- Bearbeitung von Mock-Prüfungsszenarien im SC-200-Format mit anschließender Besprechung
Im kombinierten Lernformat wechseln sich Instruktionsphasen, geführte Demonstrationen und eigenständige Laborarbeit ab. Begleitende Lernunterlagen stehen auch für die Selbststudienphasen bereit.
Lernziele:
Nach Abschluss vermittelt der Kurs folgende Kompetenzen und Fähigkeiten —
- Bedrohungen in Microsoft-Cloud- und Hybridumgebungen erkennen, analysieren und priorisieren
- Microsoft Defender für Endpunkte, Identitäten, Office 365 und Cloud-Apps gezielt konfigurieren und nutzen
- Microsoft Sentinel als SIEM-Plattform einrichten, Datenquellen anbinden und Analyseregeln definieren
- Incidents in Defender XDR und Sentinel korrelieren und den gesamten Angriffslebenszyklus nachvollziehen
- Playbooks und automatisierte Reaktionen (SOAR) in Microsoft Sentinel erstellen und testen
- Threat Hunting proaktiv durchführen und Hunting-Abfragen in KQL formulieren
- Schwachstellen und Risiken im organisatorischen Kontext bewerten und dokumentieren
- Sicherheitswarnungen interpretieren, Falschmeldungen reduzieren und Handlungsempfehlungen formulieren
- Sicherheitsrichtlinien und -verstöße an relevante Stakeholder kommunizieren
- Microsoft Teams für die strukturierte Teamkommunikation und Incident-Koordination nutzen
- Die Inhalte des offiziellen SC-200-Prüfungssyllabus sicher beherrschen
- Praktische Laboraufgaben selbständig lösen und auf reale SOC-Szenarien übertragen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an IT-Sicherheitsfachkräfte, die in Security Operations Centern tätig sind oder diese Aufgabe übernehmen möchten. Typische Teilnehmerprofile —
- SOC-Analysten (Tier 1–3), die ihre Fähigkeiten auf die Microsoft-Sicherheitsplattform ausrichten wollen
- IT-Administratoren mit Schwerpunkt Cloud-Sicherheit oder Microsoft 365, die in den Security-Bereich wechseln
- Security Engineers, die Sentinel und Defender XDR professionell aufbauen und betreiben sollen
- Blue-Team-Mitglieder in Organisationen, die ihre Sicherheitsoperationen auf Microsoft-Technologien standardisieren
- IT-Fachkräfte, die die offizielle SC-200-Prüfung ablegen und damit ihre Qualifikation nachweisen möchten
Für eine erfolgreiche Teilnahme werden solide Grundkenntnisse in Microsoft Azure und Microsoft 365 empfohlen. Kenntnisse in Netzwerksicherheit, Active Directory und grundlegenden Angriffstechniken (z. B. aus dem Bereich Ethical Hacking oder CompTIA Security+) erleichtern den Einstieg erheblich. Erfahrungen mit SIEM-Systemen sind hilfreich, aber keine zwingende Voraussetzung. Das Kursniveau setzt IT-Berufserfahrung von mindestens einem Jahr in einer sicherheitsnahen oder administrativen Rolle voraus.
Ablauf & Abschluss
Der Kurs wird im Combined-Learning-Format durchgeführt, das Präsenz- und Online-Lernphasen verbindet. Praktische Laborübungen in einer Microsoft-Azure-Testumgebung stehen im Mittelpunkt: Theoretische Konzepte werden unmittelbar in angeleiteten Hands-on-Szenarien vertieft. Lernunterlagen, Laboranleitungen und Übungsfragen ergänzen die Instruktionsphasen und bereiten gezielt auf die abschließende Microsoft-Zertifizierungsprüfung vor. Vollzeittakt erlaubt eine intensive, kompakte Durchführung.
Der Kurs wird in Vollzeit durchgeführt. Die genaue Kursdauer richtet sich nach dem jeweiligen Kursangebot; erfahrungsgemäß umfassen SC-200-Vorbereitungslehrgänge mit integrierter Prüfung fünf bis sieben Unterrichtstage. Sowohl Einzel- als auch individuelle Startzeitpunkte können erfragt werden.
Nach Abschluss des Kurses legen die Teilnehmer die offizielle Microsoft-Zertifizierungsprüfung SC-200: Microsoft Security Operations Analyst ab. Bei Bestehen erhalten sie das Microsoft-Herstellerzertifikat „Security Operations Analyst Associate", das von Microsoft ausgestellt und weltweit anerkannt wird. Zusätzlich wird eine Lehrgangsbescheinigung ausgestellt. Das Microsoft-Zertifikat wird über das Microsoft-Credentials-System geführt und kann digital nachgewiesen werden.
Nutzen & Perspektiven
Die SC-200-Zertifizierung ist eines der gefragtesten Qualifikationsnachweise im Bereich Cloud Security Operations. Da immer mehr Organisationen ihre Sicherheitsinfrastruktur auf Microsoft-Plattformen aufbauen, steigt die Nachfrage nach Fachkräften, die Defender XDR und Sentinel sicher bedienen und optimieren können. Mit dem Zertifikat weisen Sie nach, dass Sie nicht nur Werkzeuge kennen, sondern auch in realistischen Angriffsszenarien handlungsfähig sind. Die Kombination aus SIEM (Sentinel) und XDR (Defender) bildet heute das Herzstück moderner Security Operations Center. Das Kursformat bereitet Sie darauf vor, beide Plattformen nicht isoliert zu betrachten, sondern als integriertes Ökosystem zu nutzen: Alerts korrelieren, Hunting betreiben, Playbooks automatisieren und den gesamten Incident-Lebenszyklus managen. Diese Fähigkeit unterscheidet reaktiv arbeitende Analysten von Fachkräften, die proaktiv Bedrohungen aufspüren. Microsoft Teams vervollständigt das Bild als Kommunikationsrückgrat im Security-Alltag. Gerade in 24/7-Betriebsmodellen mit Schichtbetrieb und verteilten Teams ist eine strukturierte, werkzeuggestützte Kommunikation entscheidend für schnelle Incident-Reaktionen. Der Kurs befähigt Sie, von Tag eins an produktiv in einem modernen, microsoft-zentrierten SOC zu arbeiten.
Häufig gestellte Fragen (FAQ)
Was ist das Ziel der SC-200-Zertifizierung?
Die SC-200-Prüfung weist nach, dass Sie in der Lage sind, Bedrohungen mit Microsoft-Sicherheitslösungen wie Defender XDR und Sentinel zu erkennen, zu untersuchen und zu beheben. Das Zertifikat „Security Operations Analyst Associate" richtet sich an SOC-Fachkräfte, die cloudbasierte Sicherheitsoperationen verantworten.
Muss ich die Prüfung separat buchen?
Nein. Dieser Kurs schließt die offizielle Microsoft-Zertifizierungsprüfung SC-200 ein. Sie absolvieren die Prüfung im Rahmen des Lehrgangs und erhalten das Microsoft-Herstellerzertifikat bei Bestehen direkt.
Welche Vorkenntnisse sind notwendig?
Empfohlen werden Grundkenntnisse in Microsoft Azure, Microsoft 365 sowie allgemeiner Netzwerksicherheit. Erfahrungen mit Active Directory und grundlegenden Angriffstechniken erleichtern den Einstieg. Das Kursniveau setzt mindestens ein Jahr IT-Berufserfahrung voraus.
Welche Rolle spielt Microsoft Teams in diesem Kurs?
Microsoft Teams wird als Kommunikationswerkzeug für den SOC-Alltag eingeführt. Sie lernen, Teams für Incident-Koordination, Schichtübergaben und die strukturierte Zusammenarbeit im Security-Team zu nutzen. Es handelt sich um einen praxisrelevanten Bestandteil des Gesamtlehrgangs.
Wie lange ist das Microsoft-Zertifikat gültig?
Microsoft-Rollenbasierte Zertifikate wie die SC-200 müssen in der Regel alle ein bis zwei Jahre erneuert werden. Microsoft bietet dafür kostenlose Online-Renewals über das Microsoft Learn-Portal an. Aktuelle Gültigkeitszeiträume sollten direkt bei Microsoft geprüft werden.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Fachkraft für Arbeitssicherheit3.955 Stellen
- Business-Analyst/Business-Analystin144 Stellen
- SOC Analyst64 Stellen
- Assistent/Assistentin für Informatik (Wirtschaftsinformatik)49 Stellen
- Assistent/Assistentin für Informatik (Softwaretechnik)48 Stellen
- Cybersecurity Analyst23 Stellen