Questions gratuites SC-200 — Microsoft Security Operations Analyst
Téléchargez gratuitement 30 questions d'entraînement pour la certification SC-200 proposée par Microsoft. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.
Caractéristiques de l'examen blanc
| Code de certification | SC-200 |
|---|
| Éditeur | Microsoft |
|---|
| Nombre de questions | 30 |
|---|
| Type | QCM avec 4 réponses possibles |
|---|
| Niveau | associate |
|---|
| Catégorie | Security |
|---|
| Prix | 100% gratuit |
|---|
Aperçu de 8 questions représentatives
Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement SC-200. Pour accéder aux 30 questions complètes, lancez l'examen blanc gratuitement.
Question 1
Votre organisation utilise Microsoft Defender for Endpoint intégré à Microsoft Sentinel. Vous devez écrire une requête KQL de hunting qui détecte les processus suspects utilisant la technique 'Living off the Land' (LOLBins). La requête doit identifier les instances où des binaires système légitimes (comme certutil.exe, mshta.exe ou regsvr32.exe) sont lancés avec des arguments de ligne de commande contenant des URLs ou des chemins UNC. Quelle est l'approche KQL la plus efficace et la plus précise pour ce scénario ?
- A. DeviceProcessEvents | where FileName in~ ('certutil.exe','mshta.exe','regsvr32.exe') | where ProcessCommandLine matches regex @'(https?://|\\\\[a-zA-Z0-9])'
- B. DeviceProcessEvents | where ProcessCommandLine has_any ('certutil','mshta','regsvr32') | where ProcessCommandLine contains 'http'
- C. DeviceProcessEvents | where FileName endswith '.exe' | where ProcessCommandLine has 'http' or ProcessCommandLine has '\\\\'
- D. DeviceProcessEvents | search 'certutil' or search 'mshta' or search 'regsvr32' | where isnotempty(ProcessCommandLine)
Question 2
Comment gérer les coûts de Microsoft Sentinel ?
- Les coûts Sentinel sont fixes et ne peuvent pas être réduits
- Niveaux de commitment, règles de transformation pour filtrer et optimiser la rétention
- En désactivant les connecteurs de données inutiles
- En réduisant le nombre de règles analytiques actives
Question 3
Qu'est-ce que Defender External Attack Surface Management (EASM) ?
- Un pare-feu pour protéger les ressources internes
- Découverte et évaluation des actifs exposés à Internet et de la surface d'attaque externe
- Un outil de scan de vulnérabilités interne
- Un service de protection des e-mails contre le phishing
Question 4
Comment gérer les faux positifs dans Microsoft Sentinel ?
- Désactiver les règles analytiques trop sensibles
- Watchlists pour exceptions, ajuster seuils, règles de suppression et affiner KQL
- Ignorer les faux positifs sans action
- Augmenter la sensibilité des règles pour détecter plus d'incidents
Question 5
En tant que Security Operations Analyst, vous utilisez Microsoft Sentinel et devez optimiser une requête KQL de hunting qui s'exécute sur la table AzureActivity contenant plus de 50 millions d'enregistrements sur 90 jours. La requête actuelle prend plus de 10 minutes et atteint régulièrement le timeout. Elle utilise un 'join' entre AzureActivity et SigninLogs, suivi de plusieurs 'extend' avec des expressions régulières. Quelle combinaison de techniques d'optimisation KQL est la plus efficace ?
- A. Appliquer les filtres 'where' avec TimeGenerated en premier, utiliser 'has' au lieu de 'contains' pour les comparaisons de chaînes, placer la plus petite table à gauche du 'join', et utiliser 'project' avant le 'join' pour réduire les colonnes
- B. Utiliser 'materialize()' sur les deux tables avant le 'join', remplacer tous les 'extend' par des 'project-away', et ajouter 'limit 1000000' au début de chaque requête
- C. Convertir la requête en utilisant 'union' au lieu de 'join', remplacer les filtres 'where' par des 'search', et utiliser 'render' pour limiter les résultats affichés
- D. Utiliser 'external_data()' pour charger AzureActivity depuis un stockage externe, appliquer 'shuffle' sur le 'join', et remplacer toutes les expressions régulières par 'extract_all()'
Question 6
Vous êtes administrateur sécurité dans une organisation qui déploie Microsoft Defender for Endpoint. Votre RSSI exige que les appareils qui ne respectent pas un niveau minimum de risque soient automatiquement empêchés d'accéder aux ressources de l'entreprise. Les appareils sont gérés via Microsoft Intune et l'organisation utilise Microsoft Entra Conditional Access. Quelle combinaison de configurations devez-vous mettre en place ?
- A. Configurer le Machine Risk Score dans Defender for Endpoint, créer une politique de conformité Intune intégrant le niveau de risque de l'appareil, puis créer une politique Conditional Access exigeant un appareil conforme
- B. Configurer des règles ASR dans Defender for Endpoint et créer une politique Conditional Access basée sur le groupe d'appareils
- C. Activer Automated Investigation and Response (AIR) dans Defender for Endpoint et configurer une politique Conditional Access basée sur le risque utilisateur
- D. Configurer le Web Content Filtering dans Defender for Endpoint et créer une politique de conformité Intune basée sur le statut de protection en temps réel
Question 7
Votre entreprise utilise Microsoft Defender for Endpoint. Un analyste SOC remarque qu'un fichier exécutable suspect a été détecté sur plusieurs postes de travail, mais l'investigation automatisée n'a pas pu remédier complètement la menace. L'analyste souhaite empêcher l'exécution de ce fichier sur l'ensemble des appareils gérés en attendant une analyse approfondie. Quelle action doit-il effectuer dans le portail Microsoft Defender ?
- A. Créer une règle Attack Surface Reduction (ASR) personnalisée ciblant le hash du fichier
- B. Ajouter un indicateur (Indicator) de type fichier avec l'action 'Block and Remediate' basé sur le hash SHA-256 du fichier
- C. Configurer une politique Endpoint Detection and Response (EDR) en mode blocage dans Microsoft Intune
- D. Soumettre le fichier à Microsoft pour analyse via le portail Threat Intelligence et attendre le verdict
Question 8
Qu'est-ce que le Threat Hunting dans Microsoft Sentinel ?
- Une fonctionnalité d'antivirus pour scanner les fichiers
- Recherche proactive de menaces non détectées via requêtes KQL dans les données historiques
- Un service automatique de détection des malwares
- La mise à jour automatique des règles de détection
Accédez aux 30 questions complètes gratuitement
Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.
Lancer l'examen blanc SC-200 →
Pourquoi s'entraîner avec Certifexpress ?
- Questions au format officiel Microsoft
- Corrections détaillées avec explications techniques (200+ mots par question)
- Examen chronométré comme le jour J
- Option "Refaire les questions ratées" pour cibler vos lacunes
- Suivi de votre progression dans votre tableau de bord personnel
- Accès illimité, aucun abonnement requis