Questions gratuites SC-200 — Microsoft Security Operations Analyst
Téléchargez gratuitement 30 questions d'entraînement pour la certification SC-200 proposée par Microsoft. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.
Caractéristiques de l'examen blanc
| Code de certification | SC-200 |
| Éditeur | Microsoft |
| Nombre de questions | 30 |
| Type | QCM avec 4 réponses possibles |
| Niveau | associate |
| Catégorie | Security |
| Prix | 100% gratuit |
Aperçu de 8 questions représentatives
Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement SC-200. Pour accéder aux 30 questions complètes, lancez l'examen blanc gratuitement.
Question 1
Comment analyser les alertes Microsoft Defender for Office 365 ?
- En consultant uniquement les journaux Exchange Server
- Via M365 Defender portal, Threat Explorer, analyse phishing et actions de remédiation
- En filtrant les e-mails manuellement dans Outlook
- En désactivant la réception d'e-mails suspects
Question 2
Votre organisation souhaite déployer Microsoft Defender for Endpoint sur un parc de 500 serveurs Linux exécutant Ubuntu 20.04 dans un environnement de production. L'équipe infrastructure exige que le déploiement soit automatisé et gérable de manière centralisée. Quelle méthode de déploiement est la plus appropriée pour ce scénario ?
- A. Télécharger manuellement le package .deb depuis le portail Microsoft Defender et l'installer via SSH sur chaque serveur
- B. Utiliser un outil de gestion de configuration comme Ansible ou Puppet pour déployer le package Microsoft Defender for Endpoint avec le script d'onboarding
- C. Déployer Defender for Endpoint via Microsoft Intune en inscrivant les serveurs Linux dans Intune MDM
- D. Installer Microsoft Monitoring Agent (MMA) sur chaque serveur Linux pour activer automatiquement Defender for Endpoint
Question 3
Dans le cadre d'un hunting de menaces dans Microsoft Sentinel, vous devez créer une requête KQL qui analyse la table DeviceProcessEvents de Microsoft Defender for Endpoint. L'objectif est de détecter les chaînes d'exécution de processus suspectes où 'cmd.exe' est lancé par 'outlook.exe', puis ce 'cmd.exe' lance 'powershell.exe' dans un délai de 30 secondes. Quel opérateur KQL est le plus efficace pour modéliser cette séquence ?
- A. Utiliser deux opérateurs 'join' successifs (join kind=inner) pour corréler les trois niveaux de processus parent-enfant
- B. Utiliser l'opérateur 'mv-expand' pour décomposer les chaînes de processus, puis filtrer par nom de processus
- C. Utiliser l'opérateur 'sequence' dans une requête de type 'evaluate' pour définir les étapes de la chaîne d'exécution
- D. Utiliser l'opérateur 'arg_max()' avec 'summarize' pour identifier le dernier processus lancé par chaque parent
Question 4
Comment configurer les alertes de Microsoft Defender for Cloud Apps (MCAS) ?
- En bloquant toutes les applications cloud non approuvées
- Via UEBA, politiques de session temps réel, accès conditionnel et Sentinel
- En installant un agent sur chaque poste utilisateur
- MCAS n'a pas d'alertes de sécurité
Question 5
En tant qu'analyste Microsoft Sentinel, vous enquêtez sur une compromission potentielle de comptes à privilèges. Vous devez écrire une requête KQL qui identifie les comptes ayant reçu un rôle Global Administrator dans Azure AD au cours des 7 derniers jours, puis qui se sont connectés depuis un pays différent de leur pays habituel. Vous utilisez les tables AuditLogs et SigninLogs. Quel opérateur KQL est le plus approprié pour déterminer le 'pays habituel' d'un utilisateur en se basant sur son historique de connexions des 90 derniers jours ?
- A. summarize CountByCountry = count() by UserPrincipalName, LocationDetails.countryOrRegion | partition by UserPrincipalName (top 1 by CountByCountry desc)
- B. summarize make_set(LocationDetails.countryOrRegion) by UserPrincipalName puis vérifier si le pays de la nouvelle connexion est dans le set
- C. summarize arg_max(TimeGenerated, LocationDetails.countryOrRegion) by UserPrincipalName pour obtenir le pays de la dernière connexion comme référence
- D. summarize TopCountry = top_nested(1, LocationDetails.countryOrRegion by count()) by UserPrincipalName pour extraire le pays le plus fréquent
Question 6
Votre équipe de sécurité utilise Microsoft Sentinel pour surveiller l'exfiltration de données. Vous devez créer une règle analytique qui détecte les utilisateurs ayant envoyé plus de 500 Mo de données vers des adresses IP externes en moins d'une heure, en agrégeant les logs réseau de la table CommonSecurityLog. Quelle combinaison d'opérateurs KQL permet de calculer correctement ce volume par utilisateur, par heure et par destination externe ?
- A. summarize TotalBytes = sum(SentBytes) by SourceUserName, bin(TimeGenerated, 1h), DestinationIP | where TotalBytes > 500000000 | where ipv4_is_private(DestinationIP) == false
- B. summarize TotalBytes = count(SentBytes) by SourceUserName, bin(TimeGenerated, 1h), DestinationIP | where TotalBytes > 500000000 | where isnotempty(DestinationIP)
- C. extend TotalBytes = sum(SentBytes) | where TotalBytes > 500000000 | summarize by SourceUserName, DestinationIP
- D. summarize TotalBytes = avg(SentBytes) by SourceUserName, bin(TimeGenerated, 1h) | where TotalBytes > 500000000 | where DestinationIP !startswith '10.'
Question 7
Un analyste SOC constate que les alertes générées par une règle analytique Scheduled dans Microsoft Sentinel produisent trop de faux positifs liés à des comptes de service effectuant des connexions légitimes. Vous devez réduire les faux positifs sans désactiver la règle ni perdre la détection des vraies menaces. Quelle approche est la plus appropriée ?
- A. Modifier la requête KQL de la règle analytique pour ajouter une clause 'where' excluant les comptes de service via une Watchlist contenant les comptes autorisés.
- B. Créer une automation rule qui ferme automatiquement tous les incidents dont le titre contient le mot 'service account'.
- C. Augmenter le seuil (threshold) de la règle analytique pour ne déclencher une alerte que lorsque plus de 100 événements sont détectés.
- D. Désactiver la règle analytique existante et créer une nouvelle règle NRT (Near-Real-Time) avec la même logique de détection.
Question 8
Vous créez un workbook Microsoft Sentinel pour visualiser l'activité des incidents de sécurité. Vous devez afficher une chronologie (timeline) montrant le nombre d'alertes par heure avec une moyenne mobile sur 24 heures pour lisser les variations et identifier les tendances. Quelle fonction KQL permet de calculer cette moyenne mobile directement dans la requête ?
- A. series_fir() appliquée sur le résultat d'un make-series de comptage d'alertes par bin d'une heure, avec un filtre de 24 coefficients égaux
- B. rolling_avg() appliquée directement sur la colonne de comptage après un summarize count() by bin(TimeGenerated, 1h)
- C. avg() avec une fenêtre glissante définie par prev() et next() sur 24 lignes dans un extend
- D. percentile(AlertCount, 50) par tranches de 24 heures comme approximation de la moyenne mobile
Accédez aux 30 questions complètes gratuitement
Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.
Lancer l'examen blanc SC-200 →
Pourquoi s'entraîner avec Certifexpress ?
- Questions au format officiel Microsoft
- Corrections détaillées avec explications techniques (200+ mots par question)
- Examen chronométré comme le jour J
- Option "Refaire les questions ratées" pour cibler vos lacunes
- Suivi de votre progression dans votre tableau de bord personnel
- Accès illimité, aucun abonnement requis