Cosmin9128/sc-200-lab

# SC-200 实验：Microsoft Security Operations Analyst **SC-200 Microsoft Security Operations Analyst** 认证考试的实操实验文档和实践学习指南。 ## 关于此仓库 本仓库记录了我通过 Microsoft 安全技术栈中的实际动手练习准备 SC-200 考试的历程。这里的每个查询、配置和场景都在真实环境中进行了测试（M365 E5 试用版 + Azure Sentinel）。 目标：不仅是通过考试，更是建立真正能直接应用于工作的 SOC Analyst 技能。 ## 仓库结构 ``` sc-200-lab/ ├── kql-queries/ # KQL queries with explanations and use cases │ ├── 01-fundamentals.md │ ├── 02-threat-hunting.md │ ├── 03-incident-investigation.md │ └── 04-advanced-patterns.md │ ├── sentinel/ # Microsoft Sentinel setup and configuration │ ├── 01-workspace-setup.md │ ├── 02-data-connectors.md │ ├── 03-analytics-rules.md │ ├── 04-workbooks.md │ └── 05-playbooks-soar.md │ ├── defender/ # Microsoft Defender XDR documentation │ ├── 01-defender-endpoint.md │ ├── 02-defender-identity.md │ ├── 03-defender-cloud-apps.md │ └── 04-defender-office365.md │ ├── hunting/ # Threat hunting scenarios mapped to MITRE ATT&CK │ ├── 01-initial-access.md │ ├── 02-persistence.md │ ├── 03-credential-access.md │ └── 04-lateral-movement.md │ ├── incident-response/ # End-to-end IR scenarios │ ├── 01-phishing-investigation.md │ ├── 02-compromised-account.md │ ├── 03-malware-outbreak.md │ └── 04-data-exfiltration.md │ └── study-notes/ # SC-200 exam prep notes and tips ├── exam-domains.md └── practice-test-insights.md ``` ## 涵盖的 SC-200 考试领域 | 领域 | 权重 | 实验覆盖范围 | |--------|--------|-------------| | 使用 Microsoft Defender XDR 缓解威胁 | 25-30% | `defender/` | | 使用 Microsoft Sentinel 缓解威胁 | 50-55% | `sentinel/`, `kql-queries/`, `hunting/` | | 使用 Microsoft Defender for Cloud 缓解威胁 | 15-20% | `defender/04-defender-cloud.md` | ## 工具和环境 - Microsoft 365 E5 试用版（27 天） - Microsoft Sentinel (Azure) - Microsoft Defender XDR Portal - Azure Data Explorer（KQL 练习） - KQL for Cybersecurity 课程（Christopher Nett, Udemy） - Tutorial Dojo SC-200 模拟考试 ## 学习时间表 **8 周计划：2026 年 4 月 1 日至 5 月 25 日** | 周 | 重点 | 仓库部分 | |------|-------|-------------| | 1-2 | KQL 基础 | `kql-queries/01-fundamentals.md` | | 3 | KQL 威胁搜寻 | `kql-queries/02-threat-hunting.md` | | 4 | Microsoft Sentinel | `sentinel/` | | 5 | Defender XDR | `defender/` | | 6 | 威胁搜寻 + MITRE | `hunting/` | | 7 | 事件响应 | `incident-response/` | | 8 | 复习 + 考试 | `study-notes/` | ## 认证背景 - CompTIA Security+（已完成） - ISC2 CC（已完成） - SC-900：Microsoft Security Fundamentals（已完成） - AZ-900：Azure Fundamentals（已完成） - **SC-200：目标考试日期 2026 年 5 月** ## 作者 正在转型进入网络安全领域的 QA Automation Engineer，目标是 SOC Analyst 岗位。9 年测试经验，将结构化、注重细节的思维方式带入安全运营中。 ## 许可证 本项目用于教育目的。欢迎自由使用和调整以用于您自己的 SC-200 备考。

标签：DAST, KQL, Kusto 查询语言, M365 安全, Microsoft Defender XDR, Microsoft Sentinel, PE 加载器, Playbook, SC-200, SOAR, SOC 分析师, 凭据访问, 学习指南, 安全实验室, 安全编排自动化响应, 安全运营分析师, 微软认证, 恶意软件分析, 横向移动, 编程规范, 网络安全, 钓鱼调查, 隐私保护