La SC-200 es la certificación de Microsoft Security Operations Analyst, centrada en SOC, Sentinel y Defender; encaja bien con el perfil de respuesta a incidentes.
Qué certifica la SC-200
Valida que se sabe detectar, investigar y responder a amenazas usando principalmente:
- Microsoft Sentinel (SIEM/SOAR, KQL, reglas analíticas, playbooks).
- Microsoft 365 Defender y Defender for Endpoint/Cloud (XDR, hunting, respuesta en endpoint y nube).
- Security Copilot para asistencia en investigación y hunting.
Temario principal
- Administrar entorno de operaciones de seguridad (20–25%): configuración de Sentinel, ingesta de fuentes, gestión de activos.
- Configurar protecciones y detecciones (15–20%): Defender, reglas analíticas, detecciones personalizadas.
- Responder a incidentes (25–30%): investigar alertas, usar timelines, accionar sobre dispositivos, automatizar respuesta.
- Threat hunting (15–20%): KQL, hunting en Sentinel, MITRE ATT&CK, consultas personalizadas.
Formato del examen
- Nivel: intermedio, rol SOC/CSIRT, puntuación mínima 700/1000.
- Tipos de pregunta: test, drag-and-drop, casos de estudio y tareas prácticas simuladas en entorno Microsoft.