La ruta de certificación de seguridad de Microsoft tiene un problema claro de acceso: dos exámenes suenan similar pero sirven audiencias muy diferentes. Aquí te mostramos cómo decidir entre SC-900 y SC-200 sin perder tiempo de estudio en el incorrecto.
Lo que SC-900 realmente evalúa
SC-900 (Microsoft Security, Compliance, and Identity Fundamentals) es un examen conceptual de fundamentos de vendor-agnóstico. Cubre:
- Conceptos core de seguridad, cumplimiento e identidad (zero trust, modelo de responsabilidad compartida, fundamentos de encriptación)
- Capacidades de Microsoft Entra ID (anteriormente Azure AD): autenticación, gestión de acceso, gobernanza de identidad
- Microsoft Purview y características de cumplimiento a nivel alto
- Descripción general básica de productos Defender (Defender for Cloud, Defender for Office 365, etc.)
Críticamente, SC-900 es opción múltiple y conceptual. No accederás a un portal, escribirás KQL, ni investigarás un incidente. Está diseñado para personas que necesitan hablar sobre herramientas de seguridad de Microsoft—ingenieros de ventas, gerentes de proyecto, personal de TI junior, o cualquiera que inicie una carrera en seguridad en la nube que necesite vocabulario y modelos mentales antes de sumergirse en trabajo práctico.
Lo que SC-200 realmente evalúa
SC-200 (Microsoft Security Operations Analyst) es un examen a nivel de profesional construido alrededor de flujos de trabajo reales de SOC. Asume que ya comprendes fundamentos de seguridad y prueba tu capacidad de:
- Configurar y usar Microsoft Sentinel: conectores de datos, reglas de análisis, libros de trabajo, playbooks (Logic Apps)
- Escribir e interpretar consultas de KQL (Kusto Query Language) para búsqueda de amenazas y ajuste de detección
- Investigar y responder a incidentes usando Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps)
- Gestionar y remediar vulnerabilidades vía Microsoft Defender Vulnerability Management
- Construir automatización para respuesta de SOC usando playbooks de Sentinel e investigación automatizada de Defender
Este examen espera que sepas qué hace un analista de SOC día a día—triajear alertas, correlacionar señales entre productos, y escribir consultas bajo presión de tiempo. Microsoft explícitamente recomienda experiencia en operaciones de seguridad o conocimiento equivalente antes de intentarlo.
Diferencias clave de un vistazo
| Factor | SC-900 | SC-200 |
|---|---|---|
| Nivel | Fundamentos | Associate |
| Formato | Recuerdo de concepto | Escenarios aplicados, algunas preguntas de estilo práctico |
| Conocimiento previo requerido | Ninguno requerido | Se espera conocimiento básico de operaciones de seguridad |
| Ajuste de carrera | Pre-venta, GRC, generalistas de TI, cambios de carrera | Analistas de SOC, respondedores de incidentes, cazadores de amenazas |
| Práctica de laboratorio práctico necesaria | Mínima | Significativa (portales de Sentinel + Defender) |
| Tiempo típico de preparación | 1-3 semanas | 4-8 semanas con práctica de laboratorio |
¿Cuál deberías tomar primero?
Si eres nuevo en ciberseguridad o vienes de un rol no técnico, comienza con SC-900. Es económico en términos de inversión de tiempo y te da el vocabulario compartido que hace que el material de SC-200 funcione más rápido—términos como conditional access, RBAC, o zero trust no serán conceptos nuevos que estés aprendiendo simultáneamente con la sintaxis de consultas.
Si ya trabajas en TI, helpdesk, o un rol junior de SOC y comprendes redes, logs, y respuesta básica a incidentes, probablemente puedas ir directamente a SC-200. Muchos analistas con algunos meses de trabajo práctico saltaban directamente a la preparación de SC-200 sin jamás presentar SC-900, y ese es un camino válido—Microsoft no requiere SC-900 como un requisito previo duro. (No hay un requisito técnico para pasar SC-900 antes de SC-200; es puramente una rampa de acceso recomendada.)
Consejo práctico de preparación
Para SC-900, los módulos gratuitos de Microsoft Learn son genuinamente suficientes—esta es una de las pocas certificaciones donde material oficial gratuito solo consigue que la mayoría de candidatos pasen.
Para SC-200, la lectura gratuita no es suficiente. Necesitas:
- Un tenant de prueba o desarrollo con Microsoft Sentinel y Defender XDR habilitados
- Práctica escribiendo KQL contra datos de registro de muestra—enfócate en
where,summarize,join, y filtros basados en tiempo - Recorridos de la cola de investigación de incidentes en el portal de Defender para que la UI sea familiar bajo presión de examen
- Revisión de creación de reglas de análisis de Sentinel y automatización de playbooks, ya que las preguntas de escenario a menudo dependen de elegir el disparador de automatización correcto
La línea de fondo
SC-900 responde