第一章:SC-900认证概览与备考策略
SC-900 是微软推出的安全、合规和身份管理领域的基础认证,全称为 Microsoft Security, Compliance, and Identity Fundamentals。该认证面向希望了解微软云平台在安全防护、数据合规及身份验证机制方面基础知识的IT从业者、学生和安全初学者。通过考试,考生将掌握Azure Active Directory、Microsoft Defender、Microsoft 365合规中心等核心服务的基本功能与应用场景。
认证目标与适用人群
- 刚进入信息安全或云技术领域的初学者
- 需要理解企业级身份管理与访问控制机制的技术人员
- 从事技术支持、售前咨询并需掌握微软安全生态的岗位人员
考试内容结构
| 知识领域 | 占比 |
|---|
| 安全概念 | 30-35% |
| 身份与访问管理 | 25-30% |
| 合规性与数据保护 | 20-25% |
| 威胁防护与安全运营 | 15-20% |
高效备考建议
- 系统学习官方学习路径:推荐使用 Microsoft Learn 平台上的模块“SC-900: Microsoft Security, Compliance, and Identity Fundamentals”
- 动手实践 Azure 门户中的安全功能,例如创建条件访问策略:
# 示例:使用 PowerShell 查看当前租户的条件访问策略
Connect-MgGraph -Scopes "Policy.Read.All"
Get-MgIdentityConditionalAccessPolicy | Select-Object DisplayName, State
上述命令连接 Microsoft Graph 并列出所有条件访问策略,帮助理解实际配置逻辑。
graph TD
A[开始备考] --> B[完成Learn模块]
B --> C[动手实验]
C --> D[模拟测试]
D --> E[正式考试]
第二章:安全、合规与身份管理核心概念
2.1 理解微软安全生态系统与零信任模型
微软安全生态系统构建于云原生架构之上,整合了Azure Active Directory、Microsoft Defender、Entra ID和PIM等核心组件,形成统一的身份、设备与威胁防护体系。该体系以“永不信任,始终验证”为原则,全面践行零信任安全模型。
零信任的核心支柱
- 身份验证:所有访问请求必须通过多因素认证(MFA)验证用户身份;
- 设备合规性:仅允许符合安全策略的设备接入企业资源;
- 最小权限访问:基于角色动态分配权限,避免过度授权。
策略执行示例
{
"displayName": "Require MFA for Admin Access",
"conditions": {
"users": { "includeRoles": ["GlobalAdministrator"] },
"applications": { "includeApplications": ["all"] },
"clientAppTypes": ["browser"]
},
"grantControls": {
"operator": "AND",
"builtInControls": ["mfa"]
}
}
上述JSON定义了一条条件访问策略:当全局管理员通过浏览器访问任意应用时,系统强制要求多因素认证。其中
conditions用于设定触发条件,
grantControls定义授权控制措施,确保高风险操作受到严格管控。
2.2 Azure Active Directory基础与用户身份管理实践
Azure Active Directory(Azure AD)是微软提供的基于云的身份和访问管理服务,核心功能包括用户身份认证、单点登录(SSO)、多因素认证(MFA)以及与其他SaaS应用的集成。
用户创建与角色分配
通过PowerShell可批量创建用户并分配角色:
New-AzADUser -DisplayName "Alice Chen" -UserPrincipalName "alice@contoso.com" `
-MailNickname "alice" -Password $securePassword
该命令创建标准用户,
-UserPrincipalName 必须全局唯一,
-Password 需满足Azure密码策略。创建后可通过门户或Graph API分配RBAC角色以控制资源访问权限。
身份验证策略配置
使用条件访问策略可强制特定用户组在访问Office 365时启用MFA,提升安全性。策略支持基于IP位置、设备状态和风险级别动态控制访问。
2.3 多重身份验证配置与条件访问策略实验
启用MFA并配置基本策略
在Azure门户中,通过“安全” > “多重身份验证”启用用户级MFA。可使用PowerShell批量配置:
Set-MsolUser -UserPrincipalName user@contoso.com -StrongAuthenticationRequirements @()
该命令为指定用户激活MFA要求,依赖MSOnline模块。需提前使用
Connect-MsolService完成认证。
条件访问策略设计
创建基于风险的访问控制,需定义以下关键条件:
- 用户或组范围:限定策略应用对象
- 云应用:如Microsoft 365、Azure门户
- 访问风险级别:高、中、低
- 客户端应用:浏览器、移动应用等
策略效果验证
| 场景 | 预期行为 |
|---|
| 从可信IP登录 | 跳过MFA |
| 高风险登录尝试 | 强制MFA并可能阻止访问 |
2.4 合规中心功能解析与数据分类实战演练
合规中心作为数据治理的核心模块,提供统一的策略管理、审计追踪与风险告警能力。其核心功能涵盖敏感数据识别、分类分级策略配置及自动化响应机制。
数据分类策略配置示例
通过自定义规则实现结构化数据的自动标记:
{
"ruleName": "PII_Detect_SSN",
"pattern": "^\\d{3}-\\d{2}-\\d{4}$", // 匹配美国社安号格式
"sensitivityLevel": "L3",
"action": "encrypt_at_rest"
}
该规则基于正则表达式识别SSN字段,触发静态加密操作,确保符合GDPR与CCPA要求。
分类结果可视化统计
| 数据类型 | 发现数量 | 所属系统 | 合规状态 |
|---|
| 身份证号 | 1,248 | CRM | 已加密 |
| 银行卡号 | 632 | 支付网关 | 未脱敏 |
2.5 安全评分与威胁防护机制原理精讲
安全评分模型构建
安全评分通过多维指标量化系统风险,包括登录异常、访问频率、权限变更等行为。每个指标赋予相应权重,最终加权得出综合评分。
| 指标 | 权重 | 说明 |
|---|
| 异常登录尝试 | 30% | 来自非常用地域或设备的登录 |
| 敏感操作频次 | 25% | 短时间内多次访问核心数据 |
| 权限提升记录 | 20% | 非授权角色升级行为 |
| 终端合规状态 | 15% | 设备是否安装指定安全软件 |
| 网络流量异常 | 10% | 突发性大量外联请求 |
实时威胁防护触发逻辑
当安全评分超过阈值时,系统自动触发防护策略。以下为判定逻辑示例:
// 判断是否触发阻断
if securityScore > 85 {
triggerBlockAction() // 阻断访问
logAlert("HIGH_RISK_ACCESS")
} else if securityScore > 60 {
requireMFA() // 要求二次验证
}
该机制结合静态规则与动态学习,实现精准响应。评分越高,防护等级越强,形成自适应防御闭环。
第三章:云平台安全与工作负载保护
3.1 Azure安全中心部署与安全建议实操
Azure安全中心是Azure平台的核心安全治理工具,提供统一的安全管理和威胁防护。通过启用“标准模式”,可实现对计算、网络、存储等资源的持续监控。
部署步骤概览
- 在Azure门户中导航至“安全中心”
- 选择“定价与设置”,启用订阅的“标准”层
- 配置自动代理部署,确保未安装Log Analytics代理的虚拟机自动部署
安全建议处理示例
{
"recommended": true,
"impact": "High",
"description": "Enable disk encryption on Windows VMs",
"remediationSteps": "Use Azure Disk Encryption with Key Vault"
}
该建议提示对Windows虚拟机启用磁盘加密,通过集成Azure Key Vault管理密钥,保障静态数据安全。高影响度建议应优先处理,降低潜在攻击面。
3.2 防护Azure虚拟机与容器化工作负载
启用Azure安全中心保护策略
Azure安全中心提供统一的安全管理与高级威胁防护,适用于虚拟机和容器化环境。通过自动代理部署与安全建议,可快速加固系统配置。
- 自动漏洞扫描与补丁合规性监控
- JIT(Just-In-Time)访问控制限制远程端口暴露
- 网络流量异常检测与响应
容器运行时防护配置
在Azure Kubernetes Service(AKS)中集成Defender for Cloud,启用运行时防护以监控容器行为。
{
"defenderForContainers": {
"enabled": true,
"logAnalyticsWorkspaceId": "/subscriptions/xxx/resourceGroups/rg1/providers/Microsoft.OperationalInsights/workspaces/ws1"
}
}
该配置启用容器镜像扫描与运行时威胁检测,结合Azure Monitor采集容器日志,实现对异常进程执行、提权操作的实时告警。参数
logAnalyticsWorkspaceId指定日志存储工作区,确保审计数据集中可查。
3.3 使用Defender for Cloud Apps实现可见性与控制
统一的云应用可视性
Microsoft Defender for Cloud Apps 提供对组织中所有云服务的全面可见性,自动发现影子IT并分类风险。通过与Azure AD集成,可实时监控用户对Office 365、AWS、Google Workspace等平台的访问行为。
策略驱动的访问控制
管理员可基于用户、设备、位置和敏感操作定义自适应策略。例如,阻止从未注册设备下载敏感文件:
{
"name": "BlockDownloadFromUnmanagedDevice",
"severity": "high",
"condition": {
"userRiskLevel": "medium",
"deviceCompliance": false,
"action": "download"
},
"action": "block"
}
该策略在检测到中高风险用户从非合规设备执行下载时触发阻断,结合条件访问实现动态控制。
- 自动发现已部署的SaaS应用
- 识别异常登录模式与潜在数据泄露
- 实施基于策略的数据丢失防护(DLP)
第四章:威胁防护与安全管理工具应用
4.1 Microsoft Defender XDR架构解析与事件响应流程
Microsoft Defender XDR(Extended Detection and Response)基于云原生安全架构,整合终端、邮件、身份、应用等多源数据,实现跨域威胁检测。其核心组件包括数据采集代理、统一数据湖、高级分析引擎和自动化响应模块。
数据同步机制
各防护节点通过轻量级代理将日志加密传输至Azure安全中心,形成统一时间线视图:
{
"TenantId": "abc123",
"DeviceName": "WS-001",
"AlertSeverity": "High",
"IncidentUrl": "https://security.microsoft.com/incident/1001"
}
该JSON结构表示一个典型告警事件,包含租户标识、设备名称和严重性等级,用于跨系统关联分析。
事件响应流程
- 检测:利用AI模型识别异常行为模式
- 聚合:将分散告警合并为单一攻击链视图
- 调查:自动构建时间线并推荐响应动作
- 修复:支持远程隔离设备或重置凭证
4.2 使用Microsoft Sentinel构建SIEM解决方案
数据连接与日志采集
Microsoft Sentinel通过内置的连接器从Azure、本地系统及第三方服务(如Office 365、AWS、防火墙设备)收集安全日志。配置数据连接后,日志自动导入Log Analytics工作区,实现集中化存储与分析。
自定义检测规则
可使用Kusto查询语言(KQL)编写检测逻辑。例如,以下代码用于识别多次失败登录后的成功登录,可能暗示暴力破解攻击:
SecurityEvent
| where EventID == 4624 // 成功登录
| join (
SecurityEvent
| where EventID == 4625 // 失败登录
| summarize FailedAttempts = count() by Account, Computer
| where FailedAttempts >= 5
) on Account
| project TimeGenerated, Account, Computer, FailedAttempts, Activity
该查询首先筛选出成功登录事件,并与同一账户在近期发生过5次以上失败登录的记录进行关联,提升威胁发现准确性。
自动化响应
Sentinel支持通过自动化规则(Playbooks)对警报执行响应操作,如隔离主机、关闭会话或发送通知,大幅缩短MTTR(平均修复时间)。
4.3 威胁情报集成与自动化响应Playbook配置
威胁情报源接入
现代安全运营平台需对接多源威胁情报,如MISP、AlienVault OTX或商业API。通过标准化格式(如STIX/TAXII)实现结构化数据摄入,确保情报可解析与可信度评估。
自动化响应Playbook设计
Playbook定义了从检测到响应的完整流程。以下为基于SOAR平台的YAML示例:
playbook:
name: "Block-Malicious-IP"
triggers:
- type: "new_ioc"
ioc_type: "ipv4"
actions:
- action: "firewall.block"
target: "fw-cluster-east"
params:
ip: "{{ event.ioc_value }}"
duration: "24h"
该配置监听新IOC事件,自动调用防火墙模块封禁恶意IP,参数
{{ event.ioc_value }}动态注入威胁指标,
duration限定封锁时长,防止误伤。
执行逻辑与闭环反馈
响应动作完成后,系统记录执行日志并触发二次验证任务,确保策略生效,形成安全运营闭环。
4.4 日志查询语言KQL基础与安全事件分析实战
KQL基础语法入门
Kusto查询语言(KQL)是Azure Data Explorer的核心查询语言,广泛应用于日志分析服务如Microsoft Sentinel。其语法以管道式结构组织,每一步操作通过竖线
|传递给下一个指令。
SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| project TimeGenerated, Computer, User, IPAddress
上述查询从
SecurityEvent表中筛选过去7天的登录失败事件(EventID 4625),并提取关键字段。其中
where用于过滤,
project用于选择输出列。
安全事件实战分析
在检测暴力破解行为时,可结合
summarize聚合多次失败登录:
SecurityEvent
| where EventID == 4625
| summarize FailedAttempts = count() by User, Computer
| where FailedAttempts > 5
该查询统计每个用户在每台主机上的失败次数,识别潜在的凭证攻击行为,为后续响应提供数据支撑。
第五章:60天高效复习计划总结与考试冲刺建议
制定每日任务清单
使用轻量级工具如 Todoist 或 Notion 跟踪每日学习进度。建议将复习内容拆解为可执行的原子任务,例如“掌握 TCP 三次握手流程”或“完成 LeetCode 树遍历中等题两道”。
- 每天早晨列出3项核心任务
- 每晚进行15分钟复盘,标记未完成原因
- 每周日统一回顾知识盲区并调整下周计划
模拟考试环境训练
在最后两周安排全真模考,时间控制严格匹配真实考试时长。推荐使用计时器配合白板手写代码或架构图。
| 时间段 | 复习重点 | 推荐练习方式 |
|---|
| 第1-20天 | 基础概念强化 | 刷《剑指Offer》+ 整理错题本 |
| 第21-45天 | 系统设计与算法提升 | LeetCode 高频题 + 设计TinyURL |
| 第46-60天 | 综合冲刺 | 限时模考 + 口述解题思路录音回放 |
关键代码片段回顾
以下为常考的并发控制示例,需熟练默写:
package main
import (
"fmt"
"sync"
)
func main() {
var wg sync.WaitGroup
for i := 0; i < 5; i++ {
wg.Add(1)
go func(id int) {
defer wg.Done()
fmt.Printf("Worker %d starting\n", id)
}(i)
}
wg.Wait()
fmt.Println("All workers done.")
}
心态管理与作息优化
保证每日7小时睡眠,采用番茄工作法(25分钟专注+5分钟休息)维持注意力峰值。考前3天减少新题摄入,转为错题重做和核心笔记速览。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
