セキュリティ猫の備忘録

セキュリティに関する事柄を備忘録として記していく

【資格試験】Microsoft Security Operations Analyst(SC-200)に合格しました

セキュリティ 資格 合格記

先月末、Microsoft Security Operations Analyst(SC-200)の受験をして試験をパスすることができました!
その時の体験談を記しておこうと思います。

はじめに

2022/03時点での私の本資格に関連する(と思われる)経歴は以下の通りです。

  • セキュリティ業務に従事
  • いくつかのセキュリティ関連資格を取得
  • Azure関連業務は未経験(半年前に検証のための環境構築を行ったのみ)
  • 別製品のSIEMツールを使ったSOC勤務経験が約2年半
  • Microsoft関連のセキュリティ製品を利用経験なし

受験理由

SC-200を受験/取得することに決めた理由としては、セキュリティ製品に関連した実務よりの試験であり、対応するセキュリティ製品も利用頻度の多いMicrosoft製品のものであるからです。


ということにしておきますw。
いろいろありますので、察してください...... そもそも最初に受験を予定していたものは別の試験だったし、Azureは全く触れたことがなかったから、AZ-900からにして慣れたかったし、業務で使っているわけではないし..............ブツブツブツブツ

SC-200とは

SC-200は、主にMicrosoft製品(Microsoft SentinelMicrosoft Defender for CloudMicrosoft 365 Defender)を利用したセキュリティ運用アナリストとしてのスキル・知識を確認するためのMicrosoftが主催しているベンダー認定試験になります。

Microsoft セキュリティ運用アナリストは、組織の関係者と協力して、その組織の情報技術システムのセキュリティ保護を行います。 その目標は、環境内のアクティブな攻撃を迅速に修復し、脅威保護プラクティスの改善について助言を行うとともに、組織のポリシーに違反があったことを該当する関係者に知らせて、組織のリスクを修復することです。

責任には、環境全体でさまざまなセキュリティ ソリューションを使用して、脅威の管理、監視、対応を行うことが含まれます。 このロールは主に、Microsoft Sentinel、Microsoft Defender for Cloud、Microsoft 365 Defender、およびサードパーティのセキュリティ製品を使用して、脅威を調査、対応、追求します。 セキュリティ運用アナリストは、そういったツールの操作出力を使用するため、これらのテクノロジの構成とデプロイに関わる重要な関係者でもあります。
引用元:試験 SC-200: Microsoft セキュリティ運用アナリスト

SC-200の試験に合格すると、「Microsoft Certified: Security Operations Analyst Associate」の認定資格を取得できます。

f:id:nekochanSecurity555:20220409135016p:plain
認定資格("Microsoft Certified: Security Operations Analyst Associate"より)

認定資格「Microsoft Certified: Security Operations Analyst Associate」の位置づけとしては「Become Microsoft Certified」で確認することができ、「Security, Compliance, and Identity」に属し、「Role-based」レベルのスキルを要求しています。

f:id:nekochanSecurity555:20220409140239p:plain
Microsoft Certified: Security Operations Analyst Associateの位置づけ

SC-200で評価されるスキル(出題範囲)は以下の通りです。

  • Microsoft 365 Defender を使用して脅威を軽減する (25 ~ 30 %)
  • Microsoft Defender for Cloud を使用して脅威を軽減する (25 ~ 30 %)
  • Microsoft Sentinel を使用して脅威を軽減する (40 ~ 45 %)

詳細な出題範囲・スキルは
"Exam SC-200: Microsoft Security Operations Analyst - Skills Measured"を参照してください。

試験では、Scoreが700以上で合格となります。

勉強方法

セキュリティについての概念レベルの知識は多少は持っていましたがMicrosoft製品についての知識は皆無のため、まずは概要を押さえるために書籍をAmazonの方で探してみました。が、基本は問題集だらけだったため断念。問題集については概要を把握してから検討すればいいかと思い書籍についてはいったん保留としました。

合格記

受験記・合格記を見ることで試験の概要から勉強の方法の取っ掛かりの参考になることが多いのでまずは合格記を探してみることにしました。
今回参考にした合格記は以下の記事になります。

CISSPやAZ-900, CCNAのようなメジャーで知名度もある資格については書籍も合格記も選択肢が多くありますが、SC-200のようにメジャーではない場合参考になるものが少ないため、合格記があってよかったです。

これらの記事を参考にし、学習方法について考え始めました。

Microsoft Learn

上記合格記で紹介されていた「Microsoft Learn」でSC-200で問われる製品の大まかな概要を学習しました。

Microsoft Learn」はMicrosoft 製品についての学習する無料のオンライン トレーニング プラットフォームです。
What is Microsoft Learn? | Microsoft Docs


Microsoft Learn」にはSC-200用のコンテンツも提供しており、以下の8コンテンツから学習することができます。

  • SC-200: Microsoft 365 Defender を使用して脅威を軽減する
  • SC-200: エンドポイントに Microsoft Defender を使用して脅威を軽減する
  • SC-200: Microsoft Sentinel 環境を構成する
  • SC-200: ログを Microsoft Sentinel に接続する
  • SC-200: Microsoft Defender for Cloud を使用して脅威を軽減する
  • SC-200: Kusto クエリ言語 (KQL) を使用して Microsoft Sentinel のクエリを作成する
  • SC-200: Microsoft Sentinel で脅威ハンティングを実行する
  • SC-200: Microsoft Sentinel を使用して検出を作成し、調査を実行する
f:id:nekochanSecurity555:20220409163615p:plain
Microsoft Learn SC-200コンテンツ

トータル学習時間は約30時間となっていますが、環境を利用した学習もあり、その準備も含んだ学習時間となっているため、目を通すだけなら学習時間はもう少し短くなります。(学習を開始したころは、環境を持っていなかったため手作業のコンテンツについては飛ばしていました....)
各コンテンツの構成はコンテンツの中に複数のモジュールがあり、各モジュール内で学習>知識チェック>まとめの流れになっています。

f:id:nekochanSecurity555:20220409165138p:plain
例:SC-200: Microsoft 365 Defender を使用して脅威を軽減する

コンテンツは大半は日本語でも公開されています(学習当時は一部は日本語化されていないかったですが、近日中に公開されるとの記載がありました)。
日本語版が公開されているのはありがたいのですが、この手のものでよくある「わかりにくい日本語翻訳」の箇所も多々あるので、読みづらい部分もありました。
一月かけてコンテンツを一通り目を通し大まかな内容については学習をしました。

トライアル

Microsoft Learn」でSC-200で出題される製品の大まかな内容については把握しましたが、設定周りやKQLについては実際に操作して学習したほうがよさそうでした。
そこで以下の記事を参考に、「Microsoft Defender for Endpoint」を利用してKQLのテストや設定画面、アラートの見方などのデモをして確認していきました。
Microsoft Defender ATPの無料トライアルを始めてバックドア設置を検知・自動修復してみた – CloudNative Inc. BLOGs

トライアル環境は3か月間無料で利用でき、期限付きではありますが仮想マシンを建ててアラートのテストなどもできます。

こちらアカウントを発行し環境を整えたまではよかったのですが、その後なかなか時間が取れず、少ししか試すことができなかったのが残念でした。

f:id:nekochanSecurity555:20220409220002p:plain
Microsoft Defender for Endpoint P2 Trial

ExamTopics

模擬問題としては、ExamTopicsを利用して問題を解いていました。
Free Exam Prep By IT Professionals | ExamTopics

SC-200関連の問題が約100問ありますが、そのうち約半分を無料で見ることができます。
ただし、このサイトで出題されている問題の解については正しいという保証はなく、また間違っていると思われる解もあります。各々の問いにある「Discussion」で利用者間での議論されているためこちらの中身も確認しておくことが必須となります。
また、解説もなくMicrosoft Docsのリンクしかないため、なぜこの解になるのかは調べながら考える必要があります。

【補足】Microsoft Docs

Microsoft Learn」で学習できる内容には限りがあり、より詳細な内容を確認するには「Microsoft Docs」で各々の製品について読み込むことが必要です。しかしながらドキュメントの量も多く、短い時間で一通り目を通すこともできないため、あくまで参考書の扱いで「Microsoft Learn」・トライアル利用時・ExamTopicsの解で疑問を持った際にドキュメントを確認するという使い方をしていました。

試験当日

試験はテストセンターで受けてきました。
自宅での受験も選択できたかと思いますが、自宅を撮影されることについては拒否反応が出ますし、
会場方面に出ることも少なかったので、散歩兼Pass後のランチ(皮算用)のために出ていきました。
会場は、CCNAを受験した時と同じ会場でした。

試験

試験は、120分で約40問出題されました。

約40問が3セッションで分かれており、各々5/30/5ぐらいの配分で出題されました。
各セッションを回答したら、次のセッションに移る前に見直すチャンスがありますが、セッションを移動したら元のセッションに戻ることはできません。

また一部問題については回答が一度しか行えないものもあり、その問題については見直しでの再回答をすることはできませんのでご注意ください。

結果

試験は無事にPassすることができました!



感想

試験を受けた感想としては、CISSPよりは簡単だったな、と思いました(比較対象がおかしい)。
模擬試験を行っているときから思ってはいましたが、問われる内容としてはアナリストというよりも構築・設計色が強い印象を感じました。
もちろん、企業の規模や役割などによって対応範囲は異なってくるかとは思いますが、設定の変更はそう頻繁には行わないでしょうし、構築も「アナリスト」が行うことは少ないのではないかと思います。アナリストRoleの試験という印象がありましたので、分析系の問いが少ない印象でした。

【補足】保有資格

現在、保有している資格は以下の通りです。

最後に

今回はMicrosoft系の試験「Microsoft Security Operations Analyst(SC-200)」について体験談をまとめました。

今年の目標としては以下を上げていましたが、そのうちの一つが取れたので良かったです。

AZ-900については、隙間時間を見つけて取りに行きたいとは思っています。まあ、勉強のために買った本がまだ積んだままなんですが.....................
そして、次に受験・取得する資格はCEH!!

こちらについては、SC-200をとることに決定する前から学習しており、問題集を解きながら知識のインプットをしている最中になります。
6,7月を目途に受験したいなとは思っています。

後半はOSCPに入れるといいな。。。。
また、せっかくMS資格を取ったことだし、活かした仕事をしていきたいとは思います(いまだに扱っていないし....)。

ここまで、拙い文章を読んでいただきありがとうございました。


【更新履歴】
2022/04/09 PM 公開