Überblick
Dieser Kurs führt Teilnehmende in zwei aufeinander aufbauenden Stufen zur Qualifikation als Security Operations Analyst Associate nach Microsoft-Standard. Im ersten Abschnitt wird das notwendige Fundamentalwissen aus SC-900 (Security, Compliance and Identity Fundamentals) erarbeitet und zertifiziert. Der zweite, umfangreichere Abschnitt bereitet auf die SC-200-Prüfung (Microsoft Security Operations Analyst) vor und schließt sie ein. Inhaltlicher Kern des SC-200-Teils ist das operative Arbeiten mit Microsoft Defender XDR, Microsoft Sentinel und weiteren Defender-Diensten: Bedrohungen erkennen, untersuchen und darauf reagieren. Der Kurs ist für Personen konzipiert, die eine Berufstätigkeit im Security-Operations-Center (SOC) anstreben oder ihre bestehende IT-Sicherheitspraxis durch eine anerkannte Microsoft-Zertifizierung nachweisen möchten.
Kursinhalte & Lernziele
Modul 1 – SC-900: Sicherheits- und Compliance-Grundlagen (Microsoft) Der Kurseinstieg schafft das konzeptionelle Fundament für alle folgenden Sicherheitsthemen. Microsofts Identitäts-, Sicherheits- und Compliance-Architektur wird in ihren Grundzügen verstanden, bevor in Modul 2 die operative Tiefe des SC-200 folgt.
- Konzepte von Authentifizierung, Autorisierung und Zero Trust im Microsoft-Ökosystem
- Microsoft Entra ID: Benutzer, Gruppen, Rollen, Multi-Faktor-Authentifizierung, bedingter Zugriff
- Überblick Microsoft Defender XDR, Microsoft Sentinel und Microsoft Purview
- Compliance-Konzepte: Sensitivitätsbeschriftungen, eDiscovery, Audit
- Prüfungsabnahme SC-900 im akkreditierten Testcenter
Modul 2 – Threat Management mit Microsoft Defender XDR (SC-200) Microsoft Defender XDR ist die integrierte Extended Detection and Response-Plattform, die Signale aus Endpoints, Identitäten, E-Mail-Systemen und Cloud-Apps zu einem zusammenhängenden Incident zusammenführt. Dieses Modul bildet den operativen Kern der SC-200-Vorbereitung.
- Microsoft Defender for Endpoint: Onboarding, Konfiguration, Warnungsbearbeitung
- Defender for Office 365: Schutz vor Phishing, Malware und Business Email Compromise
- Defender for Identity: Erkennung von Pass-the-Hash, Kerberoasting und Lateral Movement
- Defender for Cloud Apps: Shadow IT erkennen, Policies einsetzen, Warnungen interpretieren
- Microsoft 365 Defender-Portal: Incident-Ansicht, Angriffspfad-Analyse, Entitätssteckbriefe
- Erweiterte Bedrohungssuche (Advanced Hunting) mit Kusto Query Language (KQL)
Modul 3 – Microsoft Sentinel: SIEM und SOAR (SC-200) Microsoft Sentinel ist die cloudnative SIEM- und SOAR-Plattform für hybride Umgebungen. Dieses Modul vermittelt, wie Datenquellen angebunden, Korrelationsregeln erstellt und automatisierte Reaktionen konfiguriert werden.
- Workspace-Einrichtung und Datenverbinder: Microsoft 365, Azure AD, Drittanbieter
- Analytics-Regeln: geplante Abfragen, Fusion-Regeln, NRT-Regeln erstellen
- Incident-Management in Sentinel: Erstellung, Zuweisung, Kommentierung, Schließung
- Threat Intelligence: IoC importieren, MITRE ATT&CK-Integration nutzen
- Automation Rules und Playbooks (Logic Apps) für automatisierte Reaktionen konfigurieren
- Arbeitsmappen (Workbooks) für Dashboards und Reporting erstellen
Modul 4 – Incident Response und Threat Hunting (SC-200) Die Abschlussphase der SC-200-Vorbereitung widmet sich dem methodischen Vorgehen bei der Untersuchung von Sicherheitsvorfällen und der proaktiven Bedrohungssuche im eigenen Netzwerk.
- Incident-Response-Phasen: Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung
- Forensische Spurensicherung mit Defender for Endpoint: Live Response, Gerätenisolation
- Threat-Hunting-Strategie: Hypothesen aufstellen, KQL-Abfragen entwickeln, Ergebnisse bewerten
- MITRE ATT&CK Framework: Techniken und Taktiken im SOC-Alltag verorten
- Vulnerability Management: Defender Vulnerability Management als Ergänzung zur Incident-Response
- Abschlusssimulation: vollständiger Incident von Alert bis Abschlussbericht
Praxisübungen und SC-200-Vorbereitung In praktischen Laborübungen werden alle gelernten Techniken in simulierten Angriffsszenarien angewendet. Die Übungen orientieren sich am SC-200-Prüfungsformat und dem realen SOC-Arbeitsalltag.
- Onboarding eines Windows-Endgeräts in Defender for Endpoint, Richtlinie konfigurieren
- Alert in Defender for Endpoint untersuchen und als Incident klassifizieren
- Advanced-Hunting-Abfrage für Powershell-Missbrauch in KQL formulieren
- Sentinel-Workspace einrichten, Azure AD-Datenverbinder aktivieren
- Analytics-Regel für fehlgeschlagene Anmeldungen erstellen und testen
- Playbook für automatische Teams-Benachrichtigung bei kritischem Alert konfigurieren
- IoC (IP-Adresse, Domain) in Sentinel-Threat-Intelligence importieren
- Incident in Sentinel von Erstellung bis Schließung vollständig bearbeiten
- MITRE-ATT&CK-Technik einem Alert zuordnen und Maßnahme dokumentieren
- KQL-Workbook für Login-Anomalien erstellen
- Forensische Datenabfrage via Live Response auf simuliertem kompromittierten Gerät
- Mock-Exams SC-900 und SC-200 unter realen Prüfungsbedingungen absolvieren
Lernziele:
Nach Abschluss des Kurses sind Teilnehmende in der Lage,
- die Grundkonzepte von Sicherheit, Compliance und Identität in Microsoft-Cloud-Diensten zu erläutern (SC-900-Niveau),
- die Aufgaben und Werkzeuge eines Security Operations Analysts im SOC-Kontext zu beschreiben,
- Sicherheitswarnungen und Incidents in Microsoft Defender XDR zu untersuchen und zu priorisieren,
- Microsoft Defender für Endpoint, Office 365, Identity und Cloud Apps zu konfigurieren und zu überwachen,
- Bedrohungssuche (Threat Hunting) in Microsoft 365 Defender mit KQL-Grundkenntnissen durchzuführen,
- Microsoft Sentinel als SIEM-Plattform einzurichten: Datenquellen verbinden, Analyseregeln erstellen, Warnungen auslösen,
- Incident-Response-Prozesse in Sentinel mit Playbooks und Automation Rules zu automatisieren,
- Kompromittierungsindikatoren (IoC) und Angriffsmuster mit Microsoft Threat Intelligence auszuwerten,
- die Prüfungen SC-900 und SC-200 erfolgreich im akkreditierten Testcenter abzulegen,
- typische SOC-Arbeitsprozesse eigenständig zu strukturieren und zu dokumentieren.
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an IT-Fachkräfte mit Interesse an operativer Cyber-Security und an Personen, die eine Berufstätigkeit als Security Analyst oder SOC-Analyst anstreben.
- IT-Generalisten und Systemadministratoren, die in Security-Rollen wechseln möchten
- Junior Security Analysts, die ihre Praxis durch eine Microsoft-Zertifizierung formalisieren wollen
- Netzwerk- und Infrastrukturadministratoren, die ihr Profil um Sicherheitskompetenzen erweitern
- Helpdesk-Mitarbeitende mit Entwicklungsinteresse Richtung SOC
- Personen, die eine Laufbahn in der Cloud-Sicherheit mit Microsoft-Stack aufbauen
Für SC-200 setzt Microsoft operative Kenntnisse in Microsoft Azure, Microsoft 365 und grundlegendem IT-Sicherheitsverständnis voraus. Wer Erfahrung in Netzwerkprotokollen, Betriebssystemverwaltung und Incident-Handling mitbringt, profitiert besonders. Für den SC-900-Einstiegsblock reichen grundlegende Cloud-Kenntnisse aus. Programmierkenntnisse sind kein Muss, aber Grundkenntnisse in Abfragelogik oder regulären Ausdrücken erleichtern das Arbeiten mit KQL.
Ablauf & Abschluss
Der Kurs verbindet theoretische Inhaltsvermittlung, geführte Demos in Microsoft-Laborumgebungen und eigenständige Übungsaufgaben. Der SC-900-Teil wird konzentriert als Grundlagenblock absolviert; der SC-200-Teil nimmt den Großteil der Kurszeit in Anspruch und ist stärker praxis- und laborbasiert. Theorieblöcke wechseln mit Hands-on-Übungen ab, bei denen Teilnehmende in Microsoft-Testumgebungen (Defender Portal, Sentinel Workspace, Azure-Demo-Tenant) arbeiten. In Vollzeit oder teils Teilzeit absolvierbar.
Der Kurs wird meist in Vollzeit, teils in Teilzeit durchgeführt. Die Kombination aus SC-900 und SC-200 erfordert ausreichend Zeit, um beide Zertifizierungsniveaus vollständig abzudecken und die Prüfungen abzulegen. Der genaue Zeitumfang variiert je nach Format; üblich sind mehrere Wochen bis zu einem Monat für beide Module zusammen.
Nach erfolgreichem Abschluss beider Prüfungen erhalten Teilnehmende zwei offizielle Microsoft-Zertifikate: „Microsoft Certified: Security, Compliance, and Identity Fundamentals" (SC-900) und „Microsoft Certified: Security Operations Analyst Associate" (SC-200). Beide Prüfungen werden im akkreditierten Testcenter abgelegt und sind im Kurs eingeschlossen. Ergänzend wird ein Lehrgangszertifikat ausgestellt. Das SC-200-Zertifikat ist zeitlich befristet und muss nach Ablauf durch eine Erneuerungsprüfung verlängert werden.
Nutzen & Perspektiven
SC-200 ist eines der praxisnächsten Microsoft-Sicherheitszertifikate auf Associate-Niveau. Es bescheinigt, dass eine Person tatsächlich mit den Werkzeugen eines modernen Microsoft-SOC umgehen kann – nicht nur konzeptionell, sondern operativ. In einer Zeit, in der Unternehmen zunehmend auf Microsoft Defender XDR und Sentinel setzen, ist genau diese Plattformkompetenz gesucht. Die Kombination SC-900 + SC-200 ist strategisch durchdacht: Der SC-900-Teil baut das nötige Kontextwissen auf, das im SC-200-Teil vorausgesetzt wird. Wer beide Prüfungen im Anschluss an einen einzigen Kurs ablegt, spart Zeit gegenüber zwei getrennten Lernpfaden und hat am Ende einen klaren, nachvollziehbaren Kompetenznachweis für Arbeitgeber. Das Security-Operations-Feld wächst branchenübergreifend. SOC-Analysten mit Microsoft-Zertifizierung sind in Unternehmen aller Größen gefragt – von mittelständischen IT-Dienstleistern über Banken und Versicherungen bis hin zu öffentlichen Verwaltungen und Krankenhäusern, die ihre Microsoft-365- und Azure-Infrastruktur absichern müssen.
Häufig gestellte Fragen (FAQ)
Welche Microsoft-Zertifikate erhalte ich nach diesem Kurs?
Bei Bestehen beider Prüfungen erhalten Teilnehmende „Microsoft Certified: Security, Compliance, and Identity Fundamentals" (SC-900) und „Microsoft Certified: Security Operations Analyst Associate" (SC-200). Beide Prüfungsabnahmen sind im Kurs eingeschlossen.
Warum ist SC-900 im Kurs enthalten, wenn der Fokus auf SC-200 liegt?
SC-900 schafft das konzeptionelle Fundament – Identität, Zero Trust, Compliance-Grundlagen –, das für das operative Verständnis von SC-200 notwendig ist. Wer SC-900 erst kurz vor SC-200 absolviert, profitiert vom direkten inhaltlichen Übergang, ohne Zeit mit doppelter Wiederholung zu verlieren.
Muss ich vorher SC-900 bestanden haben, um SC-200 ablegen zu können?
Microsoft setzt SC-900 formal nicht als Voraussetzung für SC-200 voraus. Der Kurs absolviert SC-900 dennoch zuerst, weil es inhaltlich den Einstieg erleichtert. Wer SC-900 bereits besitzt, kann das entsprechend mit dem Anbieter besprechen.
Was ist KQL und wie schwer ist es zu lernen?
KQL (Kusto Query Language) ist die Abfragesprache für Microsoft Sentinel und Advanced Hunting in Defender. Sie ähnelt SQL in ihrer Logik, hat aber eine eigene Syntax. Der Kurs führt von Grund auf in KQL ein; Programmiererfahrung ist hilfreich, aber nicht Voraussetzung.
Wie unterscheidet sich dieser Kurs vom SC-900-Einzelkurs im Kursweg-Angebot?
Der SC-900-Einzelkurs schließt mit SC-900 und einem MS-Teams-Modul ab. Dieser Kurs führt über SC-900 hinaus direkt zum SC-200-Niveau und legt den Schwerpunkt auf operatives SOC-Arbeiten mit Defender XDR, Sentinel und Threat Hunting. Er ist inhaltlich deutlich umfangreicher und richtet sich an Personen, die Security als Berufsschwerpunkt anstreben.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Informationssicherheitsbeauftragter/Informationssicherheitsbeauftragte241 Stellen
- Chief-Information-Security-Officer103 Stellen