第一章:SC-900认证概述与学习路径规划
SC-900 是微软推出的面向信息安全基础领域的入门级认证,全称为 Microsoft Security, Compliance, and Identity Fundamentals。该认证旨在帮助IT从业者掌握安全、合规性以及身份管理的核心概念,适用于希望进入网络安全领域或扩展云安全知识的初学者。通过该认证,考生将理解如何在Microsoft Azure和Microsoft 365环境中应用安全控制、保护数据、管理用户身份,并确保组织符合合规要求。
认证考试核心内容范围
SC-900 考试涵盖三大主要领域:
- 描述安全、合规性和身份的基本概念
- 阐述Microsoft身份与访问管理解决方案(如Azure AD)
- 介绍Microsoft安全解决方案(包括Defender套件)和合规功能(如信息保护与治理)
推荐学习资源与准备策略
为高效备考,建议结合官方与社区资源制定学习计划:
- 完成 Microsoft Learn 平台上的免费学习路径,如“Explore security, compliance, and identity”模块
- 动手实践 Azure 门户中的安全设置,例如创建条件访问策略
- 使用官方模拟测试评估知识掌握程度
典型配置示例:启用多因素认证
在 Azure AD 中启用多因素认证是常见安全实践,可通过以下 PowerShell 命令批量配置:
# 连接到 Azure Active Directory
Connect-AzureAD
# 获取指定用户
$user = Get-AzureADUser -ObjectId "user@contoso.com"
# 启用多因素认证
Set-AzureADUser -ObjectId $user.ObjectId -StrongAuthenticationRequirements @(
@{
RelyingParty = "*"
State = "Enabled"
}
)
该脚本连接到 Azure AD,获取目标用户并为其启用多因素认证(MFA),增强账户安全性。
学习进度建议表
| 学习阶段 | 时间投入 | 关键任务 |
|---|
| 基础知识构建 | 10 小时 | 完成 Microsoft Learn 模块 1-3 |
| 动手实验 | 8 小时 | 配置 Azure 安全中心与 MFA |
| 模拟测试 | 4 小时 | 完成 2 套模拟题,分析错题 |
第二章:安全、合规与身份基础概念
2.1 理解Microsoft安全模型与零信任架构
Microsoft 安全模型以身份为核心,构建在云原生安全服务之上,全面整合了身份验证、设备健康、应用保护和数据加密。其核心理念从传统边界防御转向持续验证的零信任架构。
零信任的核心原则
- 永不信任,始终验证:所有访问请求都必须经过严格的身份和上下文验证;
- 最小权限访问:用户和设备仅获得完成任务所需的最低权限;
- 动态访问控制:基于风险信号实时调整访问策略。
集成Azure AD与Conditional Access
通过条件访问策略,可强制多因素认证并检查设备合规性。例如:
{
"displayName": "Require MFA for Admins",
"conditions": {
"users": { "includeRoles": ["GlobalAdministrator"] },
"platforms": { "include": ["all"] }
},
"grantControls": {
"operator": "AND",
"builtInControls": ["mfa"]
}
}
上述策略表示:全局管理员在任何平台登录时,必须通过多因素认证(MFA)才能获得访问权限,增强了高权限账户的安全防护能力。
2.2 掌握身份管理核心组件(Azure AD、Entra ID)
Azure Active Directory(Azure AD)作为微软云身份平台的核心,现已演进为 Microsoft Entra ID,提供统一的身份验证与访问控制服务。
核心功能概览
- 单点登录(SSO)支持跨应用无缝访问
- 多因素认证(MFA)提升账户安全性
- 条件访问策略实现动态权限控制
数据同步机制
Start-ADSyncSyncCycle -PolicyType Delta
该命令触发Azure AD Connect执行增量同步,将本地Active Directory变更推送至云端。参数Delta表示仅同步变更数据,相比Initial全量同步更高效。
身份治理对比
| 特性 | Azure AD Free | Entra ID P2 |
|---|
| 条件访问 | 基础策略 | 高级风险策略 |
| 身份保护 | 不支持 | 支持风险检测与自动响应 |
2.3 学习合规性框架与数据保护原则
在构建企业级系统时,理解合规性框架是保障数据安全的基础。全球范围内广泛采用的GDPR、HIPAA和CCPA等法规,均强调用户数据的知情权、访问权与删除权。
核心数据保护原则
- 最小化收集:仅采集业务必需的数据
- 目的限制:数据使用不得超出声明范围
- 存储期限最小化:设定明确的数据保留周期
技术实现示例:数据加密配置
// 使用AES-256-GCM进行数据加密
func EncryptData(plaintext []byte, key [32]byte) ([]byte, error) {
block, err := aes.NewCipher(key[:])
if err != nil {
return nil, err
}
gcm, err := cipher.NewGCM(block)
if err != nil {
return nil, err
}
nonce := make([]byte, gcm.NonceSize())
if _, err = io.ReadFull(rand.Reader, nonce); err != nil {
return nil, err
}
return gcm.Seal(nonce, nonce, plaintext, nil), nil
}
该代码实现符合合规性要求的数据加密逻辑。AES-256提供强加密保障,GCM模式确保完整性与机密性,随机nonce防止重放攻击,满足GDPR中“适当的技术措施”要求。
2.4 实践使用Microsoft Purview进行信息治理
数据源连接与扫描配置
在Microsoft Purview中,首先需注册数据源,例如Azure Blob Storage或SQL数据库。通过门户创建扫描任务,指定凭据和扫描频率。
{
"scanRulesetName": "default",
"scanRulesetType": "System",
"collection": {
"type": "CollectionReference",
"referenceName": "my-collection"
}
}
该JSON定义了扫描规则集和资源集合归属,确保元数据归类到正确层级。
敏感数据分类与策略应用
Purview内置敏感信息类型(如信用卡号、身份证号),可自动识别并打标。也可自定义分类规则。
- 启用自动分类策略
- 设置数据标签权限控制
- 集成Microsoft Defender for Cloud Apps实现动态保护
治理策略的持续监控
通过仪表板查看资产地图与合规状态,支持Power BI集成输出治理报告,实现闭环管理。
2.5 分析典型安全威胁与防御机制
常见网络层攻击类型
- DDoS攻击:通过海量请求耗尽目标资源,导致服务不可用。
- 中间人攻击(MITM):攻击者在通信双方之间截取或篡改数据。
- SQL注入:利用输入验证漏洞执行恶意SQL命令。
防御机制实现示例
func validateInput(input string) bool {
// 使用正则表达式过滤特殊字符,防止注入攻击
matched, _ := regexp.MatchString(`^[a-zA-Z0-9_]+$`, input)
return matched
}
上述Go语言函数通过正则表达式限制输入仅允许字母、数字和下划线,有效缓解SQL注入风险。参数需经过严格白名单校验后再进入业务逻辑处理。
安全策略对比
| 威胁类型 | 防御手段 | 适用场景 |
|---|
| XSS | 输入转义、CSP策略 | Web前端 |
| CSRF | Token验证 | 表单提交 |
第三章:Microsoft Defender核心服务应用
3.1 配置Defender for Office 365实现邮件安全
启用高级威胁防护策略
通过Microsoft 365安全中心配置Defender for Office 365,首先需激活反钓鱼、反垃圾邮件和防病毒策略。在“Threat policies”页面中,创建新的邮件流规则以拦截可疑附件和链接。
自定义检测规则示例
New-PhishPolicy -Name "CustomPhishPolicy" `
-EnableFileAnalysis $true `
-EnableLinkScan $true `
-HighConfidenceSpamAction MoveToJmf
该命令创建一个钓鱼邮件防护策略,启用文件沙箱分析和链接实时扫描,高置信度垃圾邮件将移至JMF(Journal Mailbox)供审计。参数
-EnableFileAnalysis 触发附件在隔离环境中执行检测,
-EnableLinkScan 确保URL在用户点击前动态验证。
策略效果对比表
| 防护层 | 启用状态 | 作用目标 |
|---|
| 反钓鱼 | 已启用 | 伪造发件人、域相似攻击 |
| 防病毒 | 默认开启 | 恶意附件(如.exe、.js) |
3.2 使用Defender for Endpoint保护终端设备
核心防护机制
Microsoft Defender for Endpoint提供基于云的端点检测与响应(EDR)能力,通过实时监控进程、网络活动和文件行为识别潜在威胁。代理客户端部署后,自动收集设备日志并上传至安全中心进行分析。
策略配置示例
可通过PowerShell批量部署防护策略:
Set-MpPreference -AttackSurfaceReductionRules_Ids "d4f940ab-401b-4efc-aadc-ad5f3c50688a"
Set-MpPreference -AttackSurfaceReductionRules_Actions Enabled
该命令启用“阻止Office应用程序创建子进程”规则,防止恶意文档执行横向移动。参数
-AttackSurfaceReductionRules_Ids指定规则唯一标识符,
Enabled开启强制执行。
威胁响应流程
安全运营团队可在管理门户查看告警详情,支持一键隔离设备、清除恶意软件或运行自动化调查剧本,显著缩短响应时间。
3.3 实战演练威胁检测与响应流程
在真实攻击场景中,快速识别并阻断横向移动是响应关键。以下为基于EDR日志的异常行为检测规则示例:
{
"rule_name": "Suspicious PowerShell Execution",
"condition": "process.name == 'powershell.exe' && command_line.contains('-enc')",
"severity": "high",
"action": "alert_and_isolate"
}
该规则监控带有编码命令行参数的PowerShell执行行为,常见于恶意载荷注入。`-enc` 参数通常用于混淆脚本内容,触发高风险告警。
响应流程步骤
- 检测到异常进程后,自动采集内存快照
- 通过YARA规则扫描可疑代码片段
- 隔离主机并阻断C2通信IP
- 推送取证脚本收集持久化痕迹
关键指标对比
| 阶段 | MTTR(分钟) | 覆盖资产 |
|---|
| 手动响应 | 120 | 75% |
| 自动化编排 | 8 | 98% |
第四章:云安全与合规中心操作实践
4.1 在Microsoft 365 Defender中执行安全事件调查
在Microsoft 365 Defender中,安全事件调查始于告警的自动聚合与关联分析。平台通过统一日志(Unified Logs)整合来自邮件、终端、身份和云应用的数据,形成完整的攻击链视图。
调查流程概览
- 触发告警:检测规则匹配异常行为
- 事件分组:将相关告警归并至同一事件
- 上下文扩展:自动 enrich 用户、设备、IP 等信息
- 响应操作:隔离设备、阻止文件、重置密码等
高级查询示例
DeviceLogonEvents
| where LogonType == "Interactive"
| where AccountName has "admin"
| where Result == "Failure"
| summarize FailedAttempts = count() by DeviceName, AccountName, bin(TimeStamp, 1h)
| where FailedAttempts > 5
该Kusto查询用于识别在过去一小时内对管理员账户进行超过5次交互式登录失败的设备,常用于暴力破解检测。其中
bin(TimeStamp, 1h)实现时间窗口聚合,
has操作符提升字符串匹配效率。
自动化响应集成
通过Microsoft Graph API可实现调查自动化:
| API端点 | 用途 |
|---|
| /security/alerts | 读取和更新告警状态 |
| /devices/{id}/memberOf | 获取设备所属安全组 |
4.2 利用合规中心管理数据分类与标签策略
在企业数据治理中,合规中心作为核心组件,支持对敏感数据进行系统性分类与标签管理。通过统一策略引擎,可自动识别并标记如PII、PHI等敏感内容。
策略配置示例
{
"classification": {
"ruleName": "Detect_SSN",
"pattern": "\\d{3}-\\d{2}-\\d{4}",
"confidence": "High",
"sensitivityLabel": "Confidential"
}
}
该规则基于正则匹配社会安全号码,置信度高时自动打上“机密”标签,适用于日志与数据库扫描场景。
标签应用流程
- 数据源接入合规中心监控范围
- 运行预定义分类规则集
- 自动或手动分配敏感度标签
- 策略结果同步至Microsoft Purview门户
图表:数据分类与标签自动化流程(采集 → 分析 → 标记 → 审计)
4.3 实施保留策略与eDiscovery搜索操作
在企业合规管理中,数据保留策略和电子发现(eDiscovery)是确保信息可追溯与合法留存的关键环节。通过配置保留标签与策略,组织可自动保留或删除指定内容。
创建保留策略的PowerShell示例
New-RetentionComplianceRule -Name "FinanceRetentionRule" `
-RetentionDuration 365 `
-RetentionAction RetainAndDelete `
-ContentMatchQuery 'subject:"Financial Report"'
该命令创建一条合规规则,对主题包含“Financial Report”的邮件保留365天后删除。参数
RetentionAction支持
Keep、
KeepAndDelete等策略,精确控制生命周期。
eDiscovery搜索操作流程
- 定义搜索范围:选择邮箱、OneDrive或SharePoint站点
- 设置查询条件:使用关键字、日期范围或属性筛选
- 导出结果:将匹配数据导出至安全位置供审查
结合保留策略与eDiscovery,企业可在不影响日常运营的前提下满足审计与法律要求。
4.4 模拟审计日志分析与合规报告生成
在安全合规体系中,审计日志是追溯操作行为的关键数据源。通过模拟生成结构化日志,可验证分析流程的完整性。
日志格式标准化
采用JSON格式统一记录关键字段,便于后续解析与规则匹配:
{
"timestamp": "2023-10-01T08:22:10Z",
"user_id": "u10922",
"action": "file_download",
"resource": "/docs/finance_q3.pdf",
"ip": "192.168.1.105",
"status": "success"
}
上述字段覆盖了操作主体、行为类型、目标资源及网络上下文,满足GDPR与ISO 27001对日志可追溯性的要求。
合规规则引擎匹配
使用正则与条件判断识别高风险行为:
- 非工作时间批量文件访问
- 特权账户权限变更
- 来自异常地理区域的登录尝试
自动报告生成流程
日志采集 → 规则匹配 → 风险评分 → PDF/CSV 报告输出
第五章:60天学习成果总结与考试冲刺建议
学习路径回顾与关键技能点梳理
在过去的60天中,系统性地完成了从基础语法到高阶并发编程的完整学习路径。重点掌握Go语言的goroutine调度机制、channel通信模式以及context包的使用。以下是一个典型的并发控制代码示例:
package main
import (
"context"
"fmt"
"time"
)
func worker(ctx context.Context, id int) {
for {
select {
case <-ctx.Done():
fmt.Printf("Worker %d exiting\n", id)
return
default:
fmt.Printf("Worker %d is working...\n", id)
time.Sleep(500 * time.Millisecond)
}
}
}
func main() {
ctx, cancel := context.WithTimeout(context.Background(), 2*time.Second)
defer cancel()
for i := 0; i < 3; i++ {
go worker(ctx, i)
}
time.Sleep(3 * time.Second) // 等待worker退出
}
高频考点分布与时间分配策略
根据历年认证考试数据分析,以下知识点出现频率较高:
- 内存管理与垃圾回收机制
- 接口实现与类型断言
- 错误处理与panic/recover使用场景
- sync包中的Mutex与WaitGroup应用
- HTTP服务构建与中间件设计
最后两周冲刺计划表
| 时间段 | 目标 | 推荐练习 |
|---|
| 第1周 | 查漏补缺 + 模拟题训练 | 完成3套全真模拟卷 |
| 第2周 | 错题复盘 + 性能优化实战 | 重构早期项目代码 |
扫一扫
271
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
