Ścieżka certyfikacji bezpieczeństwa Microsoft ma jasny problem: dwa egzaminy brzmią podobnie, ale służą bardzo różnym odbiorcom. Oto jak zdecydować między SC-900 i SC-200 bez marnowania czasu nauki na niewłaściwym.
Co naprawdę testuje SC-900
SC-900 (Microsoft Security, Compliance, and Identity Fundamentals) to egzamin fundamentalny obejmujący koncepcje branżowe. Obejmuje:
- Podstawowe koncepcje bezpieczeństwa, zgodności i tożsamości (zero trust, model współdzielonej odpowiedzialności, podstawy szyfrowania)
- Możliwości Microsoft Entra ID (wcześniej Azure AD): uwierzytelnianie, zarządzanie dostępem, nadzór nad tożsamościami
- Microsoft Purview i funkcje zgodności na wysokim poziomie
- Podstawowy przegląd produktów Defender (Defender for Cloud, Defender for Office 365, itd.)
Krytycznie ważne: SC-900 to test wyboru wielokrotnego oparty na koncepcjach. Nie będziesz klikać w portal, pisać KQL ani badać incydentów. Jest przeznaczony dla osób, które muszą mówić o narzędziach bezpieczeństwa Microsoft—inżynierów sprzedaży, menedżerów projektów, młodszego personelu IT lub każdego zaczynającego karierę w bezpieczeństwie chmury i potrzebującego słownictwa oraz modeli mentalnych przed przystąpieniem do pracy praktycznej.
Co naprawdę testuje SC-200
SC-200 (Microsoft Security Operations Analyst) to egzamin na poziomie praktyka zbudowany wokół rzeczywistych przepływów pracy SOC. Zakłada, że już rozumiesz podstawy bezpieczeństwa i testuje Twoją zdolność do:
- Konfigurowania i korzystania z Microsoft Sentinel: łączniki danych, reguły analityki, skoroszyty, playbooki (Logic Apps)
- Pisania i interpretacji zapytań KQL (Kusto Query Language) do łowienia zagrożeń i strojenia detekcji
- Badania i reagowania na incydenty za pomocą Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps)
- Zarządzania i eliminacji podatności za pośrednictwem Microsoft Defender Vulnerability Management
- Budowania automatyzacji dla odpowiedzi SOC przy użyciu playbooków Sentinel i zautomatyzowanych dochodzeniach Defender
Ten egzamin zakłada, że wiesz, co robi analityk SOC na co dzień—segregowanie alertów, korelowanie sygnałów między produktami oraz pisanie zapytań pod presją czasu. Microsoft wyraźnie zaleca doświadczenie w operacjach bezpieczeństwa lub równoważną wiedzę przed podejściem do tego egzaminu.
Kluczowe różnice na pierwszy rzut oka
| Czynnik | SC-900 | SC-200 |
|---|---|---|
| Poziom | Fundamentalny | Associate |
| Format | Przywołanie koncepcji | Scenariusze praktyczne, niektóre pytania w stylu praktycznym |
| Wymagana wiedza wstępna | Brak wymagań | Oczekuje się podstaw operacji bezpieczeństwa |
| Dopasowanie do kariery | Pre-sales, GRC, generalności IT, osoby zmieniające karierę | Analitycy SOC, reagujący na incydenty, łowcy zagrożeń |
| Potrzebna praktyka lab | Minimalna | Istotna (portale Sentinel i Defender) |
| Typowy czas przygotowania | 1-3 tygodnie | 4-8 tygodni wraz z praktyką lab |
Który powinieneś wybrać pierwszy?
Jeśli jesteś nowy w cyberbezpieczeństwie lub pochodzisz z roli niетechnicznej, zacznij od SC-900. To niskokosztowa inwestycja czasu i daje Ci wspólne słownictwo, które sprawia, że materiał SC-200 szybciej się zazębia—terminy takie jak dostęp warunkowy, RBAC czy zero trust nie będą nowymi koncepcjami, które uczysz się jednocześnie ze składnią zapytań.
Jeśli już pracujesz w IT, help desk lub młodszej roli SOC i rozumiesz sieci, logi i podstawową odpowiedź na incydenty, możesz prawdopodobnie przejść bezpośrednio do SC-200. Wielu analityków z kilka miesiącami praktycznej pracy nad biletami przechodzi bezpośrednio do przygotowania SC-200 bez nigdy nie przystępując do SC-900, i to jest ważna ścieżka—Microsoft nie wymusza SC-900 jako twardego warunku wstępnego. (Nie ma wymagania technicznego, aby zdać SC-900 przed SC-200; to jest czystą rekomendowaną ścieżką wejścia.)
Praktyczne porady przygotowawcze
Do SC-900, bezpłatne moduły Microsoft Learn są naprawdę wystarczające—to jeden z niewielu certyfikatów, gdzie bezpłatny oficjalny materiał sam w sobie przygotowuje większość kandydatów do zdania.
Do SC-200, bezpłatne czytanie nie wystarczy. Potrzebujesz:
- Próbnej lub deweloperskiegodatenanta z włączonym Microsoft Sentinel i Defender XDR
- Praktyki pisania KQL względem przykładowych danych logów—skup się na
where,summarize,joini filtrach opartych na czasie - Przewodników po kolejce dochodzenia incydentów w portalu Defender, aby interfejs był znany pod presją egzaminu
- Przeglądu tworzenia reguł analityki Sentinel i automatyzacji playbooków, ponieważ pytania scenariuszowe często zależą od wyboru właściwego wyzwalacza automatyzacji
Podsumowanie
SC-900 odpowiada