微軟的安全認證路徑有一個明確的入門問題:兩個考試聽起來很相似,但服務於截然不同的受眾。以下是如何在 SC-900 和 SC-200 之間做出選擇,而不浪費時間在錯誤的考試上。
SC-900 實際測試的內容
SC-900(微軟安全、合規和身分認證基礎)是一個基礎性、廠商概念考試。它涵蓋:
- 核心安全、合規和身分認證概念(零信任、共享責任模型、加密基礎)
- Microsoft Entra ID(前身為 Azure AD)功能:認證、存取管理、身分治理
- Microsoft Purview 和合規功能概覽
- Defender 產品基本概述(Defender for Cloud、Defender for Office 365 等)
關鍵是,SC-900 是多選題且概念性質。你不會接觸入口網站、編寫 KQL 或調查事件。它設計給需要談論 Microsoft 安全工具的人——銷售工程師、專案經理、初級 IT 人員,或任何開始雲端安全職涯且需要詞彙和心智模型的人在深入動手實踐之前。
SC-200 實際測試的內容
SC-200(Microsoft 安全營運分析師)是一個圍繞真實 SOC 工作流構建的從業者級考試。它假設你已經了解安全基礎,並測試你的能力:
- 配置和使用 Microsoft Sentinel:資料連接器、分析規則、工作簿、劇本(Logic Apps)
- 撰寫和解釋 KQL(Kusto Query Language)查詢以進行威脅獵尋和偵測調整
- 使用 Microsoft Defender XDR(Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps)調查和應對事件
- 透過 Microsoft Defender 弱點管理來管理和修復弱點
- 使用 Sentinel 劇本和 Defender 自動調查為 SOC 應對構建自動化
此考試期望你了解 SOC 分析師每天的工作內容——分類警報、關聯跨產品的訊號,以及在時間壓力下編寫查詢。Microsoft 明確建議在嘗試之前擁有安全營運經驗或等同的知識。
一目瞭然的關鍵差異
| 因素 | SC-900 | SC-200 |
|---|---|---|
| 級別 | 基礎 | 副認證 |
| 格式 | 概念回想 | 應用場景、某些動手操作風格題目 |
| 先備知識 | 不需要 | 預期具備安全營運基礎 |
| 職涯適配 | 售前、GRC、IT 通才、職涯轉換者 | SOC 分析師、事件應對者、威脅獵人 |
| 動手實踐需求 | 最少 | 顯著(Sentinel + Defender 入口網站) |
| 典型準備時間 | 1-3 週 | 4-8 週含實驗室練習 |
你應該先選哪一個?
如果你是網路安全新手或來自非技術職位,先從 SC-900 開始。在時間投資上成本低廉,並為你提供共同詞彙,使 SC-200 教材更容易理解——像是條件式存取、RBAC 或零信任這些術語不會是你同時學習查詢語法的新概念。
如果你已經在 IT、服務台或初級 SOC 職位工作,且了解網路、日誌和基本事件應對,你可能可以直接跳到 SC-200。許多具有數個月動手票證工作經驗的分析師直接進入 SC-200 準備而從不參加 SC-900,這是有效的路徑——Microsoft 不會強制要求 SC-900 作為硬性先決條件。(在通過 SC-900 前通過 SC-200 沒有技術要求;這純粹是推薦的入門方式。)
實踐準備建議
對於 SC-900,Microsoft Learn 的免費模組確實足夠——這是少數幾個免費官方教材單獨就能讓大多數候選人通過的認證之一。
對於 SC-200,免費閱讀是不夠的。你需要:
- 啟用 Microsoft Sentinel 和 Defender XDR 的試用或開發租戶
- 練習針對樣本日誌資料編寫 KQL——專注於
where、summarize、join和基於時間的篩選 - 在 Defender 入口網站中瀏覽事件調查隊列,以便在考試壓力下熟悉 UI
- 複習 Sentinel 分析規則建立和劇本自動化,因為情景題目通常取決於選擇正確的自動化觸發器
底線
SC-900 回答