Überblick
Microsoft Copilot for Security ist die erste KI-gestützte Sicherheitsplattform, die speziell für Security-Operations-Aufgaben entwickelt wurde. Sie kombiniert große Sprachmodelle mit Microsoft-eigenen Sicherheitssignalen aus Defender, Sentinel, Intune und Entra, um Analysten bei der Bedrohungserkennung, Incident-Analyse und Berichterstattung zu unterstützen. SC-5006 ist der offizielle Einstiegspfad in Copilot for Security: Die Teilnehmenden verstehen, wie die Plattform aufgebaut ist, wie Prompts für Security-Szenarien formuliert werden und wie Copilot in bestehende SOC-Workflows integriert wird. Ergänzend wird Microsoft Teams behandelt, das in vielen SOC-Environments die primäre Kollaborationsplattform für Incident-Response-Teams ist. Dieser Kurs ist der richtige Ausgangspunkt für Security-Analysten und IT-Security-Fachleute, die KI-Fähigkeiten gezielt in ihre Arbeit einbinden möchten.
Kursinhalte & Lernziele
Architektur und Einrichtung von Copilot for Security Copilot for Security ist keine generische KI — sie ist auf Security-Daten spezialisiert und bezieht ihre Antworten aus Microsoft-eigenen Sicherheitssignalen. Dieses Modul erklärt, wie die Plattform technisch aufgebaut ist: Wie kommunizieren Copilot-Modelle mit Defender XDR, Sentinel und anderen Quellen? Wie werden Security Compute Units (SCUs) als Kapazitätseinheit abgerechnet und verwaltet? Welche Datenschutz- und Compliance-Eigenschaften gelten für Copilot-Sitzungen? Die Aktivierung und Rollenzuweisung wird Schritt für Schritt erarbeitet.
- Copilot-Architektur mit Plugin-Framework und Sicherheitsdaten-Orchestrierung verstehen
- Security Compute Units (SCUs) konfigurieren und skalieren
- globale und Bereichs-Administratoren sowie Analysten-Rollen zuweisen
- Standalone-Portal und eingebettete Copilot-Erfahrungen unterscheiden
- Datenschutzeigenschaften von Copilot-Sitzungen (kein Training auf Kundendaten) verstehen
- erste Copilot-Abfragen im Standalone-Portal ausführen
Prompt-Engineering für Security-Analysten Die Qualität der Copilot-Antworten hängt stark von der Qualität der Prompts ab. Dieses Modul vermittelt, wie Analysten Anfragen so formulieren, dass Copilot präzise, verwertbare Antworten liefert — ob bei der Analyse eines Indicators of Compromise, der Zusammenfassung eines Incidents oder der Erklärung eines verdächtigen PowerShell-Skripts. Promptbooks erlauben die Erstellung wiederverwendbarer Prompt-Ketten für wiederkehrende SOC-Aufgaben.
- effektive Prompts für Incident-Analyse, Skripterklärung und Bedrohungsabfragen formulieren
- den Unterschied zwischen offenen und spezifischen Prompts verstehen
- Promptbooks für häufige SOC-Workflows anlegen und teilen
- Antworten kritisch prüfen und Halluzinierungsrisiken einschätzen
- Folgefragen (Follow-up Prompts) zur Vertiefung einer Analyse nutzen
- Copilot-Sitzungen speichern und für Berichte oder Ticketsysteme exportieren
Copilot in Defender XDR, Sentinel und Intune Copilot for Security ist in mehrere Microsoft-Sicherheitsprodukte direkt eingebettet. In Defender XDR fasst Copilot Incidents auf Knopfdruck zusammen, empfiehlt nächste Schritte und erklärt technische Artefakte. In Sentinel unterstützt Copilot beim Schreiben von KQL-Abfragen und bei der Interpretation von Abfrageergebnissen. In Intune hilft Copilot bei der Analyse von Gerätecompliance und Konfigurationsproblemen. Dieses Modul zeigt den Arbeitsfluss in jedem dieser Kontexte und macht deutlich, wann welches Produkt der bessere Einstiegspunkt ist.
- Incident-Zusammenfassungen in Defender XDR mit Copilot generieren
- verdächtige Dateien, URLs und Skripte in Defender mit Copilot analysieren
- KQL-Abfragen in Sentinel mit Copilot-Unterstützung schreiben und erklären
- Hunting-Hypothesen mit Copilot entwickeln und in Sentinel-Queries übersetzen
- Geräte-Compliance-Berichte in Intune per Copilot interpretieren
- Threat Intelligence (MDTI) über Copilot abfragen und Bedrohungsakteure profilieren
Microsoft Teams für Security-Teams und Incident-Response Im modernen SOC läuft Incident-Response-Kommunikation zunehmend über Microsoft Teams: Incident-Channels, Experten-Konsultation und Statusupdates für Management und IT. Dieses Modul behandelt die Nutzung von Teams speziell für Security-Teams: strukturierte Channels für Incidents, Integration mit Security-Dashboards, Benachrichtigungen aus Defender und die Einbindung von Copilot-Ergebnissen in Teams-Chats. Das Zusammenspiel zwischen Copilot-Analysen und Teams-Kollaboration ist ein zentraler Praxisaspekt.
- Teams-Channels für Incident-Response-Kommunikation strukturieren
- Benachrichtigungen aus Defender XDR in Teams-Channels routen
- Copilot-Analysen und Zusammenfassungen in Teams-Beiträgen teilen
- Besprechungsnotizen und Incident-Timelines in Teams dokumentieren
- Teams-Anrufe und Besprechungen für virtuelle War-Rooms nutzen
- Teams-Compliance-Einstellungen im Security-Kontext beachten
Praxisprojekte und Szenarien
- einen Phishing-Angriffs-Incident von der Erkennung bis zur Zusammenfassung vollständig mit Copilot analysieren
- ein verdächtiges PowerShell-Skript per Copilot dekodieren und erklären
- eine KQL-Abfrage in Sentinel mit Copilot-Hilfe entwickeln und testen
- ein Promptbook für die tägliche Analyse von High-Severity-Alerts erstellen
- Bedrohungsakteur-Profile über Copilot abfragen und interpretieren
- einen Incident-Response-Kanal in Teams für ein simuliertes Sicherheitsereignis aufbauen
- SCU-Verbrauch für eine Testperiode analysieren und Skalierungsempfehlung ableiten
- Copilot-Antworten auf Halluzinierungen und Unvollständigkeiten kritisch überprüfen
- einen Security-Bericht aus Copilot-Ergebnissen zusammenstellen
- Benutzerrollen für Copilot in einer Testumgebung konfigurieren und testen
- einen Defender-Alert-Workflow mit Copilot-generierten nächsten Schritten dokumentieren
- Teams-Integration für Defender-Benachrichtigungen einrichten und testen
Alle Praxisszenarien basieren auf Microsoft-Demoumgebungen und Testtenants, sodass echte Security-Signale und Copilot-Antworten direkt erfahren werden können. Besonderes Gewicht liegt auf der kritischen Bewertung von Copilot-Ausgaben — denn KI-Unterstützung ist nur dann ein Sicherheitsgewinn, wenn Analysten wissen, wann sie eine Antwort hinterfragen müssen.
Lernziele:
- die Architektur von Microsoft Copilot for Security zu erklären und den Unterschied zur allgemeinen Microsoft 365 Copilot-Funktion zu benennen
- Copilot for Security in einer Microsoft-Umgebung zu aktivieren, Security Compute Units zu konfigurieren und Rollen zuzuweisen
- Prompts für Security-Use-Cases zu formulieren, die präzise Ergebnisse liefern, und häufige Prompt-Engineering-Fallen zu vermeiden
- den Standalone-Modus und die eingebetteten Copilot-Erfahrungen in Defender XDR, Sentinel und Intune zu nutzen
- Incident-Zusammenfassungen, Skripterklärungen und Bedrohungsanalysen mit Copilot zu generieren
- Sicherheitsabfragen an Microsoft Sentinel zu stellen und KQL-Unterstützung durch Copilot zu nutzen
- Plugins und Promptbooks zu konfigurieren, um Copilot-Workflows für das eigene SOC anzupassen
- Bedrohungsakteur-Profile und Sicherheitshinweise aus Threat Intelligence mit Copilot abzufragen und zu interpretieren
- Zugriffskontrolle und Datenschutz für Copilot-Sitzungen korrekt einzurichten, um Datenlecks zu vermeiden
- Microsoft Teams für kollaborative Incident-Response-Kommunikation einzurichten und zu nutzen
- Ergebnisse aus Copilot-Analysen sinnvoll in Incident-Tickets und Berichte zu überführen
- den aktuellen Stand und die Grenzen von KI-gestützter Security-Analyse realistisch einzuschätzen
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an Sicherheitsfachleute, die aktiv mit Microsoft-Sicherheitsprodukten arbeiten.
- Security Operations Center-Analysten (L1, L2) in Microsoft-Umgebungen
- IT-Security-Administratoren, die Microsoft Defender oder Sentinel betreiben
- Cloud-Security-Spezialisten in Azure-basierten Umgebungen
- Security-Consultants, die Kunden bei der Einführung von Copilot for Security beraten
- IT-Leads und CISO-Büros, die KI-gestützte Security-Werkzeuge bewerten
Grundkenntnisse in IT-Security sind erforderlich: Incident-Response-Konzepte, Malware-Typen, Netzwerksicherheit und grundlegende Cloud-Sicherheitskonzepte sollten bekannt sein. Erfahrung mit einem oder mehreren Microsoft-Sicherheitsprodukten (Defender, Sentinel, Entra) ist sehr hilfreich. Ein Microsoft 365- oder Azure-Testaccount ermöglicht die praktischen Übungen. Spezifische Programmierkenntnisse sind nicht notwendig, aber Grundkenntnisse in KQL erleichtern den Sentinel-Abschnitt erheblich.
Ablauf & Abschluss
Der Kurs verbindet Theorie mit direkter Anwendung im Live-System. Konzeptionelle Einheiten erklären, wie Copilot for Security funktioniert und wo die Grenzen der KI-Analyse liegen — kritisches Denken ist bewusst Teil des Curriculums, nicht nur die Nutzung von Features. Praktische Phasen führen die Teilnehmenden durch reale Copilot-Interaktionen in Microsoft-Demoumgebungen. Gruppenarbeit in simulierten Incident-Response-Szenarien fördert den Austausch über verschiedene Analyse-Ansätze und Prompt-Strategien.
Der SC-5006 Applied Skill-Kurs ist konzentrierter aufgebaut als längere Zertifizierungsprogramme. Das Programm ist typischerweise auf ein bis zwei Kurstage ausgelegt, kann aber je nach Anbieter und Zielgruppe durch Vertiefungsmodule erweitert werden. Das genaue Format hängt vom durchführenden Bildungsträger ab.
Nach Kursabschluss erhalten die Teilnehmenden eine Teilnahmebescheinigung des Bildungsträgers. SC-5006 ist als Applied Skill konzipiert: Microsoft stellt für diesen Lernpfad ein offizielles Applied Skill-Badge bereit, das über eine separate, kostenlose Online-Bewertung bei Microsoft Learn erlangt werden kann. Dieses Badge dokumentiert die erworbenen Fähigkeiten digital und kann im LinkedIn-Profil veröffentlicht werden.
Nutzen & Perspektiven
Microsoft Copilot for Security adressiert ein reales Problem im Security-Operations-Alltag: Die Menge an Alerts, Incidents und Bedrohungsinformationen wächst schneller als die Kapazität von Analysten-Teams. Copilot beschleunigt die Erstanalyse eines Incidents drastisch — durch automatische Zusammenfassungen, Kontextualisierung von Artefakten und strukturierte nächste Schritte. Analysten, die mit Copilot arbeiten, können mehr Fälle in der gleichen Zeit bearbeiten und konzentrieren sich auf Urteile und Entscheidungen statt auf repetitive Recherche. Für IT-Abteilungen ist Copilot for Security eine strategische Investition — aber nur wenn das Team weiß, wie die Plattform richtig eingesetzt wird. Falsche Prompt-Strategien, unverstandene Ausgaben oder mangelhafte Zugriffskontrolle können dazu führen, dass Copilot mehr Verwirrung stiftet als Mehrwert schafft. Dieser Kurs legt den Grundstein, damit Sicherheitsteams Copilot von Anfang an produktiv einsetzen — inklusive der Fähigkeit, Grenzen und Halluzinierungsrisiken der KI realistisch einzuschätzen. Langfristig verändert KI-gestützte Security-Analyse die Anforderungen an Analysten: Die Fähigkeit, mit KI-Werkzeugen zu arbeiten, Ergebnisse kritisch zu bewerten und Prompts zu optimieren, wird zur Kernanforderung in Security-Operations-Rollen. Wer jetzt mit Copilot for Security vertraut wird, ist früh positioniert in einem Feld, das sich mit jeder Microsoft-Security-Update-Welle weiterentwickelt und an Bedeutung gewinnt.
Häufig gestellte Fragen (FAQ)
Was ist Microsoft Copilot for Security und wie unterscheidet es sich von Microsoft 365 Copilot?
Copilot for Security ist eine spezialisierte KI-Plattform für Security-Operations. Sie bezieht ihre Antworten aus Microsoft-Sicherheitssignalen (Defender, Sentinel, Threat Intelligence) und ist für Analysten trainiert, die Bedrohungen untersuchen. Microsoft 365 Copilot ist ein Produktivitäts-Assistent für Office-Anwendungen — ein völlig anderer Anwendungsbereich.
Muss ich KQL beherrschen, um den Kurs zu absolvieren?
Nein, KQL-Vorkenntnisse sind keine Voraussetzung. Der Kurs zeigt, wie Copilot beim Schreiben und Erklären von KQL-Abfragen in Sentinel unterstützt. Grundkenntnisse in KQL erleichtern jedoch den Sentinel-Abschnitt und machen es einfacher, die generierten Abfragen zu verstehen und anzupassen.
Welchen Applied Skill-Badge gibt es für SC-5006?
Microsoft stellt für den SC-5006-Lernpfad ein offizielles Applied Skill-Badge bereit, das über eine separate, kostenlose Online-Bewertung auf Microsoft Learn erlangt werden kann. Das Badge ist digital und kann im LinkedIn-Profil oder auf Zertifizierungsplattformen veröffentlicht werden.
Wie hilft Copilot for Security im täglichen SOC-Betrieb konkret?
Copilot automatisiert zeitaufwändige Erstanalysen: Incident-Zusammenfassungen, Erklärung verdächtiger Skripte, Abfrage von Bedrohungsakteur-Profilen und Generierung von nächsten Schritten werden auf Knopfdruck geliefert. Analysten sparen Recherchezeit und können mehr Fälle in der gleichen Zeit bearbeiten. Im Kurs werden typische SOC-Szenarien mit echten Copilot-Abläufen geübt.
Warum ist Microsoft Teams Teil dieses Security-Kurses?
Teams ist in vielen SOC-Environments die primäre Kollaborationsplattform für Incident-Response: Incident-Channels, Stakeholder-Benachrichtigungen und virtuelle War-Rooms laufen über Teams. Der Kurs zeigt, wie Copilot-Ergebnisse in Teams-Workflows eingebunden werden und wie Defender-Alerts direkt in Teams-Channels fließen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Wirtschaftsinformatik (grundständig)4.204 Stellen
- Technische Informatik (grundständig)406 Stellen
- Computermathematik (grundständig)7 Stellen
- Geoinformatik (grundständig)7 Stellen
- IT-Sicherheitsanalyst2 Stellen
- Cybersecurity-Spezialist0 Stellen