Przewodnik egzaminu SC-200: Security Operations Analyst
Przewodnik Opublikowano 7 lip 2026

Przewodnik egzaminu SC-200: Security Operations Analyst

Praktyczny przewodnik egzaminu SC-200 dla roli Microsoft Security Operations Analyst — co jest testowane, jak się przygotować i kto powinien przystąpić jako pierwszy.

Co SC-200 naprawdę certyfikuje

SC-200 to certyfikacja Microsoft dla roli Security Operations Analyst, a jeśli ją zdasz, uzyskasz odpowiadające jej poświadczenie Microsoft Certified: Security Operations Analyst Associate. Koncentruje się na wykorzystaniu stosu bezpieczeństwa Microsoft — przede wszystkim Microsoft Sentinel, produktów Microsoft Defender i powiązanych narzędzi — do wykrywania, badania i reagowania na zagrożenia. To najbliższe odpowiedniki Microsoft certyfikacji hands-on dla analityka SOC, i stała się rzeczywiście użytecznym poświadczeniem na rynku UK, biorąc pod uwagę, ile organizacji prowadzi swoje operacje bezpieczeństwa na platformie Microsoft.

W przeciwieństwie do Security+, SC-200 zakłada, że masz już pewne podstawy bezpieczeństwa. To zwykle nie jest pierwsza certyfikacja — to silny drugi lub trzeci krok, gdy zrozumiesz podstawowe koncepcje i chcesz specjalizować się w środowisku SOC skoncentrowanym na Microsoft.

Kto powinien przystąpić do SC-200 (a kto jeszcze nie)

Przystąp, jeśli:

  • Już pracujesz lub wkrótce będziesz pracować w środowisku korzystającym z Microsoft Sentinel i produktów Defender.
  • Masz Security+ lub równoważną wiedzę podstawową i chcesz bardziej specjalizowaną, certyfikację dotyczącą konkretnych narzędzi.
  • Twój docelowy pracodawca w ogłoszeniach o pracę konkretnie wymienia Microsoft Sentinel, Defender lub Azure security.

Zaczekaj, jeśli:

  • Nie masz jeszcze żadnych podstaw bezpieczeństwa — zbuduj je najpierw, korzystając z przewodnika Security+.
  • Nigdy nie miałeś kontaktu z narzędziami bezpieczeństwa Microsoft w żadnej formie, nawet w dzierżawie próbnej — egzamin zakłada praktyczne zaznajomienie, nie tylko teorię.

Co egzamin obejmuje, mniej więcej

Microsoft organizuje SC-200 wokół kilku szerokich obszarów funkcjonalnych: mitygacja zagrożeń przy użyciu produktów Microsoft Defender, mitygacja zagrożeń przy użyciu Microsoft Sentinel oraz konfiguracja ochrony i detekcji w ekosystemie bezpieczeństwa Microsoft. Nie będę wymyślać dokładnych liczb pytań czy wyniku zaliczenia — szczegóły te się zmieniają i warto je potwierdzić na oficjalnej stronie certyfikacji Microsoft przed rezerwacją. Co powiem na podstawie pracy ze studentami: spodziewaj się pytań scenariuszowych testujących czy wiesz, które narzędzie i które działanie ma zastosowanie w danej sytuacji, a nie tylko definicji.

Praktyczny plan przygotowania

  1. Zdobądź bezpłatną dzierżawę próbną Microsoft. To jest nie do negocjowania moim zdaniem — nie możesz dobrze rozumować o Sentinel czy Defender na podstawie samych slajdów. Klikanie przez rzeczywisty portal, nawet w sandboxie bez rzeczywistych danych, buduje intuicję, którą żaden kurs wideo nie replikuje.
  2. Przejdź ścieżkę uczenia się SC-200 Microsoft Learn. Jest bezpłatna, dobrze zorganizowana i napisana przez ludzi, którzy piszą egzamin. Traktuj ją jako źródło podstawowe, a nie dodatek do płatnego kursu.
  3. Przećwicz podstawy KQL (Kusto Query Language). Sentinel jest zbudowany na KQL, a umiejętność czytania i dostosowania zapytania, niekoniecznie pisania go od zera, będzie ogromnie pomocna. Większość scenariuszy egzaminu oczekuje, że interpretujesz wynik zapytania i rozumiesz go, a nie że tworzysz złożone zapytania pod presją czasu.
  4. Zrób mały projekt hands-on. Skonfiguruj podstawową przestrzeń roboczą Sentinel, wdróż źródło dziennika, napisz jedną regułę detekcji. To jest rzeczą o najwyższej wartości — sama teoria nie zbuduje intuicji, którą testują pytania scenariuszowe. Dokumentuj co robiłeś, choćby krótko; będzie to też materiał do rozmowy kwalifikacyjnej później.
  5. Przystąp do jednego lub dwóch renomowanych testów praktycznych, aby sprawdzić czy prawidłowo czytasz pytania scenariuszowe, a nie tylko memorizujesz moduły Microsoft Learn. Jeśli konsekwentnie popełniasz błędy dotyczące tego, który konkretny produkt Defender obsługuje dany scenariusz, wróć do portalu i sprawdź, zamiast tylko ponownie czytać notatki.

Co mówię swoim studentom o oficjalnych ścieżkach uczenia się Microsoft

Bezpłatna zawartość Microsoft Learn jest naprawdę dobra, i każdemu studentowi mówię, żeby zaczął tam, zamiast najpierw płacić za kurs. Gdzie studenci się utykają, to nie w zrozumieniu zawartości, ale w przetłumaczeniu "Czytałem o regułach analityki Sentinel" na "Mogę spojrzeć na scenariusz i wiedzieć, jaki typ reguły analityki ma zastosowanie." Ta luka zamyka się tylko z czasem hands-on w rzeczywistym, nawet próbnym, środowisku. Jeśli budujesz się w kierunku roli analityka SOC ogólnie, a nie tylko tego egzaminu, warto przeczytać jak zostać analitykiem SOC w UK obok tego, ponieważ SC-200 to jedna trasa do tej roli, nie jedyna.

FAQ

Czy potrzebuję Security+ przed SC-200?

Nie jest ściśle wymagane, ale zdecydowanie zalecane. SC-200 zakłada, że już rozumiesz podstawowe koncepcje bezpieczeństwa i skupia się na ich zastosowaniu w narzędziach Microsoft — próba nauki obu jednocześnie jest trudniejsza niż musi być.

Czy SC-200 warto bez pracodawcy skoncentrowanego na Microsoft?

To mniej wartościowe, jeśli twój docelowy pracodawca prowadzi inny stos — SOC-y oparte na Splunk, na przykład, nie będą się martwić specyficznymi szczegółami Sentinel. Sprawdź jakie narzędzia faktycznie używają twoje role docelowe przed zaangażowaniem się.

Jak SC-200 różni się od SC-900?

SC-900 to przegląd na poziomie podstaw, nietekniczny, ofert Microsoft dotyczących bezpieczeństwa, zgodności i tożsamości. SC-200 to certyfikacja techniczna oparta na rolach dla rzeczywistego codziennego obsługiwania narzędzi bezpieczeństwa. To nie są naprawdę substytuty dla siebie.

Czy mogę studiować SC-200 bez płacenia za zasoby Azure?

Tak — Microsoft oferuje bezpłatne dzierżawy próbne i środowiska sandbox specjalnie do tego rodzaju nauki, czego wystarczy do praktyki hands-on, którą ten egzamin nagradza.

Czy SC-200 jest rozpoznawane poza pracodawcami skoncentrowanymi na Microsoft?

Do pewnego stopnia, ponieważ demonstruje ogólne umiejętności analityka SOC, takie jak triage, dochodzenie i reagowanie na incydenty, a nie tylko wiedza o Microsoft. Ale jego największa wartość dotyczy pracodawców faktycznie prowadzących Sentinel i Defender, więc rozważ to względem tego co określają twoje role docelowe, zanim będziesz traktować to jako uniwersalne poświadczenie.

Jeśli chcesz plan nauki dostosowany do twojego konkretnego celu zawodowego, lub pomoc w zapoznaniu się z Sentinel i KQL, zarezerwuj lekcję próbną i będziemy pracować nad tym hands-on.

Ten artykuł został wygenerowany z pomocą AI i opublikowany w bazie wiedzy Korra Studio. Zauważyłeś błąd? Daj nam znać.

Notatki Terenowe

Gotowy, by pójść dalej?

Zamień te Notatki Terenowe w praktyczne umiejętności — wejdź w powiązane Segmenty w DEFENSE_GRID.

bolt Załóż darmowe konto

Powiązane Segmenty

arrow_backWszystkie notatki grid_viewPrzeglądaj Bibliotekę Operacji