Überblick
Der SC-200 ist eine Microsoft-Zertifizierung für Fachkräfte im Security Operations Center. Die Prüfung testet die Fähigkeit, Bedrohungen mit Microsoft-Sicherheitstools zu erkennen, zu analysieren und darauf zu reagieren – insbesondere mit Microsoft Sentinel als SIEM/SOAR-Plattform sowie Microsoft Defender for Cloud und Microsoft 365 Defender. Diese Weiterbildung bereitet gezielt und praxisnah auf die Zertifizierungsprüfung vor und schließt das Examen ein. Teilnehmende lernen, wie Security Operations in Microsoft-Umgebungen strukturiert werden: von der Konfiguration von Überwachungsregeln über die Analyse von Sicherheitswarnungen bis zur automatisierten Reaktion auf Vorfälle. Das erworbene Wissen ist direkt in SOC-Umgebungen anwendbar, in denen Microsoft-Produkte eingesetzt werden.
Kursinhalte & Lernziele
Modul 1: Microsoft Sentinel – Einrichtung und Grundbetrieb Microsoft Sentinel ist die SIEM-Plattform von Microsoft, die auf Azure aufbaut und Sicherheitsdaten aus verschiedenen Quellen in einer zentralen Oberfläche zusammenführt. Dieses Modul vermittelt den Aufbau und die Konfiguration einer Sentinel-Umgebung von Grund auf.
- Architektur von Microsoft Sentinel: Workspaces, Log Analytics und Datenquellen
- Datenconnectors einrichten: Azure AD, Microsoft 365, Firewalls, Cloud-Dienste
- Analyseregeln erstellen: Scheduled Queries, Fusion-Regeln, Anomalie-Erkennungen
- Workbooks für Sicherheitsdashboards aufbauen und anpassen
- Watchlists und Threat Intelligence Feeds integrieren
- RBAC-Konzepte für Sentinel-Umgebungen konfigurieren
Modul 2: Kusto Query Language (KQL) für Security Operations KQL ist die Abfragesprache, mit der Sicherheitsanalysten in Microsoft Sentinel und Log Analytics arbeiten. Wer Bedrohungen effektiv suchen und Incidents untersuchen will, muss KQL sicher beherrschen. Dieses Modul vermittelt die Sprache von der Grundsyntax bis zu komplexen Abfragen.
- Grundsyntax und Operatoren: project, where, summarize, extend, join
- Zeitfilter, Datentypumwandlungen und reguläre Ausdrücke in KQL
- Aggregation und Gruppenbildung für Anomalieerkennung
- Sicherheitsrelevante Tabellen: SecurityEvent, SigninLogs, AzureActivity, DeviceEvents
- Hunting Queries: proaktive Suche nach Indicators of Compromise
- KQL-Abfragen in Analyseregeln und Workbooks einbetten
Modul 3: Microsoft Defender – Endpunkt, Identität und Cloud Microsoft 365 Defender und Microsoft Defender for Cloud decken verschiedene Angriffsflächen ab. Dieses Modul behandelt die Untersuchung von Sicherheitswarnungen aus diesen Diensten und die Integration in den Sentinel-basierten Workflow.
- Microsoft Defender for Endpoint: Gerätezustand, Bedrohungserkennungen, Isolation
- Microsoft Defender for Identity: Angriffe auf Active Directory erkennen (Pass-the-Hash, Kerberoasting)
- Microsoft Defender for Office 365: Phishing, BEC und E-Mail-Bedrohungen untersuchen
- Microsoft Defender for Cloud: Sicherheitswarnungen und Compliance-Empfehlungen auswerten
- Integration von Defender-Produkten in Microsoft Sentinel über Connectors
- Korrelation von Warnungen aus verschiedenen Defender-Diensten zu einem Incident
Modul 4: Incident Response und Automatisierung Wenn eine Bedrohung erkannt wird, beginnt der Incident-Response-Prozess. Dieses Modul vermittelt, wie Incidents in Sentinel strukturiert bearbeitet werden und wie Playbooks repetitive Aufgaben automatisieren.
- Incident-Lifecycle in Microsoft Sentinel: Erstellung, Zuweisung, Untersuchung, Abschluss
- Investigation Graph: Zusammenhänge zwischen Entitäten visuell darstellen
- Entity Behavior Analytics (UEBA) für die Nutzer- und Geräteanalyse einsetzen
- Playbooks mit Azure Logic Apps: Trigger, Aktionen, Bedingungen
- Automatische Reaktionen: IP-Sperren, Benutzerdeaktivierung, Teams-Benachrichtigungen
- Dokumentation und Nachbereitung von Sicherheitsvorfällen
Praxisanteile und Übungsszenarien Zentrale Übungsaufgaben decken alle prüfungsrelevanten Themenbereiche ab.
- KQL-Abfragen gegen echte Sicherheitstabellen schreiben und optimieren
- Datenconnector für Azure Active Directory in einem Sentinel-Testworkspace einrichten
- Analyseregel für wiederholt fehlgeschlagene Anmeldungen erstellen und testen
- Incident mit mehreren verknüpften Alerts untersuchen und Entitäten identifizieren
- Phishing-Vorfall in Microsoft Defender for Office 365 nachverfolgen
- Playbook für automatische Benachrichtigung bei kritischem Alert konfigurieren
- Hunting-Kampagne für seitliche Bewegung im Netzwerk planen und ausführen
- Threat Intelligence Feed integrieren und mit Log-Daten korrelieren
- Sicherheits-Workbook für ein fiktives SOC-Dashboard aufbauen
- Vollständige Fallstudie: Incident von der Erkennung bis zur Dokumentation bearbeiten
- Aufgaben im Format der SC-200-Prüfung durcharbeiten
Die Übungsaufgaben orientieren sich an realen SOC-Szenarien und decken alle prüfungsrelevanten Themenbereiche ab. Microsoft stellt für SC-200 offizielle Lernpfade und Übungsumgebungen bereit, die in der Weiterbildung eingesetzt werden.
Lernziele:
- Microsoft Sentinel als zentrale SIEM/SOAR-Plattform konfigurieren und betreiben
- Kusto Query Language (KQL) für die Analyse von Sicherheitsdaten schreiben und einsetzen
- Bedrohungserkennungsregeln in Microsoft Sentinel erstellen und verwalten
- Sicherheitswarnungen und Incidents in Microsoft Defender for Cloud untersuchen
- Microsoft 365 Defender für den Schutz von E-Mail, Endpunkten und Identitäten nutzen
- Incident-Response-Workflows nach einem strukturierten Vorgehensmodell durchführen
- Playbooks mit Azure Logic Apps für automatisierte Reaktionen entwickeln
- Threat Intelligence in Microsoft Sentinel einbinden und auswerten
- Sicherheitsrelevante Protokolldaten aus verschiedenen Quellen integrieren
- Hunting-Abfragen für proaktive Bedrohungssuche formulieren
- Die SC-200-Zertifizierungsprüfung erfolgreich ablegen
Zielgruppe & Voraussetzungen
Diese Weiterbildung richtet sich an IT-Fachkräfte, die im Bereich Security Operations arbeiten oder in dieses Tätigkeitsfeld wechseln möchten.
- SOC-Analysten (Tier 1–2), die ihre Kenntnisse in Microsoft-Sicherheitstools vertiefen
- IT-Administratoren mit Azure- oder Microsoft 365-Kenntnissen, die in die Sicherheitsarbeit einsteigen
- Security Engineers, die den SC-200 als Zertifizierung anstreben
- Personen mit IT-Erfahrung, die eine gezielte Spezialisierung im Bereich Cybersicherheit aufbauen möchten
- Azure-Administratoren, die ihr Wissen um den Sicherheitsbereich erweitern wollen
Grundlegende Kenntnisse in Microsoft Azure (Ressourcenverwaltung, Entra ID, grundlegende Netzwerkkonzepte) werden vorausgesetzt. Kenntnisse in Microsoft 365 sind hilfreich. Ein Verständnis für IT-Sicherheitskonzepte (Firewall, Logs, Bedrohungstypen) erleichtert den Einstieg. KQL-Vorkenntnisse sind nicht erforderlich – das Modul beginnt bei der Grundsyntax. Als Vorstufe zum SC-200 empfiehlt Microsoft die AZ-900- oder SC-900-Zertifizierung, die aber keine formale Zulassungsvoraussetzung ist.
Ablauf & Abschluss
Der Kurs kombiniert strukturierten Online-Unterricht mit praktischen Übungen in Microsoft-Testumgebungen (Sandbox-Tenant, Log Analytics Workspaces). KQL-Aufgaben werden in Microsoft Sentinel und im Azure Monitor Log Analytics-Portal durchgeführt. Incident-Response-Szenarien werden anhand von Fallstudien und realistischen Angriffsszenarien bearbeitet. Die Zertifizierungsprüfung wird am Ende der Weiterbildung abgelegt.
Die Weiterbildung umfasst mehrere Wochen strukturiertes Training mit Prüfungsvorbereitung. Der genaue Stundenumfang variiert je nach Angebot. Termine und Laufzeiten sind beim jeweiligen Anbieter zu erfragen.
Die Weiterbildung schließt mit der offiziellen Microsoft-Zertifizierungsprüfung SC-200 ab. Bei Bestehen erhalten Teilnehmende die Zertifizierung „Microsoft Certified: Security Operations Analyst Associate", die von Microsoft direkt vergeben wird. Diese Zertifizierung ist weltweit anerkannt und belegt nachgewiesene Kompetenz in der Bedrohungsanalyse mit Microsoft-Sicherheitstools. Ergänzend wird ein trägerinternes Teilnahmezertifikat ausgestellt.
Nutzen & Perspektiven
Die Nachfrage nach qualifizierten Security Operations Analysts wächst – Unternehmen aller Größen bauen SOC-Funktionen auf oder verstärken bestehende Teams. Die SC-200-Zertifizierung hat sich als anerkannter Nachweis für Microsoft-spezifische SOC-Kompetenz etabliert und wird von vielen Unternehmen als Einstellungsvoraussetzung oder Wunschqualifikation genannt. Der praktische Ansatz dieser Weiterbildung unterscheidet sie von reinen Theoriekursen: KQL-Abfragen, Incident-Untersuchungen und Playbook-Konfigurationen werden direkt in Microsoft-Umgebungen durchgeführt. Wer die Prüfung besteht, hat nicht nur Multiple-Choice-Fragen gelernt, sondern tatsächlich in einem Sentinel-Workspace gearbeitet. Für Personen, die von der allgemeinen IT-Administration oder der Azure-Verwaltung in den Sicherheitsbereich wechseln möchten, bietet die SC-200-Zertifizierung einen klaren Pfad. Die Kombination aus SIEM-Betrieb, Threat Hunting und Automatisierung entspricht dem realen Aufgabenprofil eines SOC-Analysten in Microsoft-Umgebungen.
Häufig gestellte Fragen (FAQ)
Was ist die SC-200-Zertifizierung?
Die SC-200 ist eine Microsoft-Zertifizierung für Security Operations Analysts. Sie belegt, dass eine Person in der Lage ist, Bedrohungen mit Microsoft Sentinel, Microsoft Defender und Azure-Sicherheitsdiensten zu erkennen, zu untersuchen und darauf zu reagieren.
Was ist KQL und warum ist es für SC-200 wichtig?
KQL (Kusto Query Language) ist die Abfragesprache für Microsoft Sentinel und Azure Monitor. Wer Bedrohungen suchen, Incidents analysieren und Erkennungsregeln schreiben will, muss KQL beherrschen. Die Prüfung enthält praktische Aufgaben, die KQL-Kenntnisse voraussetzen.
Welche Microsoft-Produkte werden in der Weiterbildung behandelt?
Schwerpunkte sind Microsoft Sentinel (SIEM/SOAR), Microsoft Defender for Endpoint, Defender for Identity, Defender for Office 365 und Microsoft Defender for Cloud. Azure Logic Apps für Playbooks werden ebenfalls behandelt.
Welche Vorkenntnisse werden empfohlen?
Grundlegende Azure-Kenntnisse und IT-Sicherheitsverständnis sind hilfreich. Als Vorstufe empfiehlt Microsoft die SC-900- oder AZ-900-Zertifizierung. KQL wird in der Weiterbildung von Grund auf vermittelt.
Welches Zertifikat erhält man nach bestandener Prüfung?
Das offizielle Microsoft-Zertifikat „Microsoft Certified: Security Operations Analyst Associate", ausgestellt direkt von Microsoft. Es ist weltweit anerkannt und hat eine begrenzte Gültigkeitsdauer (Rezertifizierung nach einem Jahr über kostenlose Online-Assessments).
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Business-Analyst/Business-Analystin144 Stellen
- Chief-Information-Security-Officer7 Stellen
- Assistent/Assistentin für Informatik (Wirtschaftsinformatik)6 Stellen