SC-900必考知识点精讲：60天高效复习计划全公开

是 否 +2 论坛币

k人 参与回答

经管之家送您一份

应届毕业生专属福利!

求职就业群

赵安豆老师微信：zhaoandou666

经管之家联合CDA

送您一个全额奖学金名额~ !

立即领取

感谢您参与论坛问题回答

经管之家送您两个论坛币！

+2 论坛币

第一章：SC-900认证概览与备考策略

SC-900 是微软推出的一项基础性认证，全称为 Microsoft Security, Compliance, and Identity Fundamentals。该认证主要面向希望掌握微软云平台在安全防护、数据合规以及身份验证机制方面基础知识的IT初学者、学生及技术人员。通过考试后，考生将能够理解 Azure Active Directory、Microsoft Defender 和 Microsoft 365 合规中心等核心服务的基本功能及其应用场景。

适用人群与认证目标

• 刚接触信息安全或云计算领域的新人
• 需要了解企业级身份管理与访问控制逻辑的技术支持人员
• 从事售前咨询工作并需熟悉微软安全生态体系的专业人士

考试内容结构

知识领域	占比
安全概念	30-35%
身份与访问管理	25-30%
合规性与数据保护	20-25%
威胁防护与安全运营	15-20%

高效备考建议

推荐使用 Microsoft Learn 平台上的“SC-900: Microsoft Security, Compliance, and Identity Fundamentals”学习路径进行系统化学习。结合理论与实践操作，有助于加深对知识点的理解。

建议在 Azure 门户中动手实验关键安全功能，例如创建条件访问策略以控制用户行为：

# 示例：使用 PowerShell 查看当前租户的条件访问策略
Connect-MgGraph -Scopes "Policy.Read.All"
Get-MgIdentityConditionalAccessPolicy | Select-Object DisplayName, State

上述命令连接 Microsoft Graph 并列出所有现有的条件访问策略，帮助理解实际配置逻辑。

第二章：安全、合规与身份管理核心概念

2.1 微软安全生态系统与零信任模型解析

微软的安全架构基于云原生设计，整合了如 Azure Active Directory、Microsoft Defender、Entra ID 和特权身份管理（PIM）等组件，构建起统一的身份、设备和威胁防御体系。其核心理念遵循“永不信任，始终验证”的零信任原则。

零信任三大支柱

• 身份验证：所有访问请求必须经过多因素认证（MFA）确认用户身份；
• 设备合规性：仅允许符合组织安全标准的设备接入资源；
• 最小权限访问：依据角色动态分配权限，防止过度授权带来的风险。

策略执行示例

{
  "displayName": "Require MFA for Admin Access",
  "conditions": {
    "users": { "includeRoles": ["GlobalAdministrator"] },
    "applications": { "includeApplications": ["all"] },
    "clientAppTypes": ["browser"]
  },
  "grantControls": {
    "operator": "AND",
    "builtInControls": ["mfa"]
  }
}

以上JSON代码定义了一条条件访问策略：当全局管理员通过浏览器访问任意应用时，系统将强制要求进行多因素认证。其中：

conditions

用于设定触发条件，

grantControls

则用于定义授权控制措施，确保高风险操作受到严格管控。

2.2 Azure Active Directory 基础与身份管理实践

Azure Active Directory（Azure AD）是微软提供的云端身份与访问管理服务，具备用户认证、单点登录（SSO）、多因素认证（MFA）以及与各类SaaS应用集成的能力。

用户创建与角色分配

可通过 PowerShell 批量创建用户并分配相应角色：

New-AzADUser -DisplayName "Alice Chen" -UserPrincipalName "alice@contoso.com" `
             -MailNickname "alice" -Password $securePassword

此命令用于新建标准用户账户，

-UserPrincipalName

必须保证全局唯一性，

-Password

还需满足 Azure 的密码复杂度要求。创建完成后，可通过 Azure 门户或 Graph API 分配 RBAC 角色，实现精细化的资源访问控制。

身份验证策略配置

利用条件访问策略，可强制特定用户组在访问 Office 365 时启用 MFA，从而提升整体安全性。策略支持根据 IP 地址位置、设备健康状态及登录风险等级动态调整访问控制规则。

2.3 多重身份验证配置与条件访问策略实验

启用MFA并配置基础策略

在 Azure 门户中，进入“安全” > “多重身份验证”即可为用户启用 MFA。也可通过 PowerShell 进行批量设置：

Set-MsolUser -UserPrincipalName user@contoso.com -StrongAuthenticationRequirements @()

该命令为指定用户激活 MFA 要求，依赖于 MSOnline 模块。执行前需先运行以下命令完成身份认证：

Connect-MsolService

条件访问策略设计要点

构建基于风险的访问控制策略时，应明确以下关键要素：

• 用户或组范围：确定策略适用的对象
• 云应用：如 Microsoft 365、Azure 门户等
• 访问风险级别：分为高、中、低三档
• 客户端应用类型：包括浏览器、移动App等

策略效果验证场景

场景	预期行为
从可信IP地址登录	跳过MFA验证流程
检测到高风险登录尝试	强制要求MFA，甚至可能阻止访问

2.4 合规中心功能详解与数据分类实战

合规中心作为数据治理的核心平台，提供统一的策略管理、审计日志记录与风险告警功能。其主要能力包括敏感信息识别、数据分类分级、策略自动化响应等。

数据分类策略配置实例

可通过自定义规则实现对结构化数据的自动标记处理：

{
  "ruleName": "PII_Detect_SSN",
  "pattern": "^\\d{3}-\\d{2}-\\d{4}$",  // 匹配美国社安号格式
  "sensitivityLevel": "L3",
  "action": "encrypt_at_rest"
}

该规则采用正则表达式匹配 SSN 字段，并触发静态加密动作，确保符合 GDPR 与 CCPA 等法规要求。

分类结果可视化统计表

数据类型	发现数量	所属系统	合规状态
身份证号	1,248	CRM	已加密
银行卡号	632	支付网关	未脱敏

2.5 安全评分机制与威胁防护原理深入讲解

安全评分模型构成

安全评分通过多个维度的行为指标量化系统的整体风险水平，例如异常登录、访问频率突增、权限变更等。每个指标被赋予不同权重，最终加权计算得出综合评分。

指标	权重	说明
异常登录尝试	30%	监测非正常时间段或地理位置的登录行为

当系统检测到来自非常用地域或设备的登录行为时，这类活动将被标记为高风险操作。此类异常访问可能预示着账户劫持或凭证泄露风险。

短时间内频繁访问核心数据资源的行为也会触发安全评分机制。该指标占整体风险评估权重的25%，用于识别潜在的数据扫描或窃取企图。

权限提升记录是另一关键监测维度，占比20%。系统会重点监控非授权角色的权限变更行为，例如普通用户突然获得管理员权限等越权升级事件。

// 判断是否触发阻断
if securityScore > 85 {
    triggerBlockAction()  // 阻断访问
    logAlert("HIGH_RISK_ACCESS")
} else if securityScore > 60 {
    requireMFA()  // 要求二次验证
}

终端合规状态占评分模型的15%，主要判断设备是否安装了指定的安全软件，确保接入系统的终端符合组织安全策略要求。

网络流量异常则占10%，关注是否存在突发性的大量外联请求，这可能是恶意软件回连C2服务器或数据外泄的表现。

实时威胁防护机制基于上述多维评分进行响应。一旦综合安全评分超过预设阈值，系统将自动激活相应的防护策略。该机制融合静态规则与动态学习能力，实现精准、自适应的威胁应对。评分越高，触发的防御等级也越强，形成闭环式主动防护体系。

第三章：云平台安全与工作负载保护

3.1 Azure安全中心部署与安全建议实操

Azure安全中心作为Azure平台的核心安全治理组件，提供统一的安全态势管理与威胁防御能力。启用“标准模式”后，可对计算资源、网络配置及存储服务实施持续性监控。

部署流程简要如下：

• 进入Azure门户，导航至“安全中心”模块
• 在“定价与设置”中为订阅开启“标准”层级
• 启用自动代理部署功能，确保未安装Log Analytics代理的虚拟机能够自动完成部署

针对系统生成的安全建议，应优先处理影响度较高的项目以快速降低攻击面。例如下图所示场景：

{
  "recommended": true,
  "impact": "High",
  "description": "Enable disk encryption on Windows VMs",
  "remediationSteps": "Use Azure Disk Encryption with Key Vault"
}

该建议提示需为Windows虚拟机启用磁盘加密功能，并通过Azure Key Vault集中管理加密密钥，从而保障静态数据的机密性。

3.2 防护Azure虚拟机与容器化工作负载

Azure安全中心支持对虚拟机和容器环境实施统一安全管理。通过自动部署代理和执行安全建议，可有效加固系统配置，防范常见漏洞。

关键防护措施包括：

• 定期执行自动漏洞扫描并监控补丁合规状态
• 采用JIT（Just-In-Time）访问控制，减少远程端口暴露时间
• 检测并响应异常网络流量模式
• 在Azure Kubernetes Service（AKS）集群中集成Defender for Cloud，启用运行时防护以监控容器行为

{
  "defenderForContainers": {
    "enabled": true,
    "logAnalyticsWorkspaceId": "/subscriptions/xxx/resourceGroups/rg1/providers/Microsoft.OperationalInsights/workspaces/ws1"
  }
}

如上图所示，配置内容涵盖容器镜像扫描与运行时威胁检测功能。结合Azure Monitor收集的日志信息，可对异常进程启动、提权操作等行为实现实时告警。

同时需要指定日志存储所用的工作区，确保所有审计数据集中留存，便于后续追溯分析。

logAnalyticsWorkspaceId

3.3 使用Defender for Cloud Apps实现可见性与控制

Microsoft Defender for Cloud Apps 可帮助组织全面掌握其所使用的云服务情况，自动发现未经授权的影子IT应用，并根据使用行为进行风险分类。

通过与Azure AD深度集成，系统能实时追踪用户对Office 365、AWS、Google Workspace等主流平台的访问活动。

管理员可基于以下维度定义自适应访问策略：

• 用户身份
• 设备合规性
• 地理位置
• 敏感操作类型

例如，可设置策略阻止从未注册设备下载敏感文件：

{
  "name": "BlockDownloadFromUnmanagedDevice",
  "severity": "high",
  "condition": {
    "userRiskLevel": "medium",
    "deviceCompliance": false,
    "action": "download"
  },
  "action": "block"
}

当系统识别到中高风险用户从非合规设备尝试执行下载动作时，策略将立即触发阻断行为，并结合条件访问机制实现动态控制。

此外，该解决方案还具备以下能力：

• 自动发现已部署的SaaS应用
• 识别异常登录模式
• 侦测潜在的数据泄露行为
• 实施基于策略的数据丢失防护（DLP）机制

第四章：威胁防护与安全管理工具应用

4.1 Microsoft Defender XDR架构解析与事件响应流程

Microsoft Defender XDR（扩展检测与响应）基于云原生安全架构构建，整合来自终端、邮件、身份系统及应用程序的多源安全数据，实现跨域威胁检测与联动响应。

其核心架构包含以下组件：

• 轻量级数据采集代理
• 统一的数据湖存储层
• 高级分析引擎
• 自动化响应模块

各防护节点通过代理将日志加密上传至Azure安全中心，构建统一的时间线视图，支撑跨系统关联分析。

{
  "TenantId": "abc123",
  "DeviceName": "WS-001",
  "AlertSeverity": "High",
  "IncidentUrl": "https://security.microsoft.com/incident/1001"
}

该JSON结构展示了一个典型的告警事件实例，包含租户ID、设备名称及严重性等级等字段，用于事件聚合与上下文关联。

事件响应流程分为四个阶段：

1. 检测：利用AI模型识别偏离正常模式的行为
2. 聚合：将分散的告警归并为完整的攻击链视图
3. 调查：自动生成事件时间线并推荐处置动作
4. 修复：支持远程隔离受感染主机或重置用户凭证

4.2 使用Microsoft Sentinel构建SIEM解决方案

Microsoft Sentinel 是一个云端安全信息与事件管理（SIEM）平台，可通过内置连接器从多种来源采集日志，包括Azure资源、本地系统以及第三方服务（如Office 365、AWS、防火墙设备等）。

配置数据连接后，相关安全日志将自动导入Log Analytics工作区，实现集中化存储与高效查询分析。

为增强威胁发现能力，用户可使用Kusto查询语言（KQL）编写自定义检测规则。例如，以下查询用于识别暴力破解攻击的典型特征：

SecurityEvent
| where EventID == 4624 // 成功登录
| join (
    SecurityEvent
    | where EventID == 4625 // 失败登录
    | summarize FailedAttempts = count() by Account, Computer
    | where FailedAttempts >= 5
) on Account
| project TimeGenerated, Account, Computer, FailedAttempts, Activity

该查询逻辑首先筛选出成功登录事件，再与同一账户近期发生过5次以上失败登录的记录进行关联匹配，从而提高检测准确性。

此外，Sentinel支持通过Playbook实现自动化响应。当检测到可疑警报时，可自动执行诸如隔离主机、终止会话或发送通知等操作，显著缩短平均修复时间（MTTR）。

4.3 威胁情报集成与自动化响应Playbook配置

现代安全运营平台必须支持多源威胁情报接入，常见的来源包括MISP、AlienVault OTX以及各类商业情报API。

通过标准化协议（如STIX/TAXII）摄入结构化情报数据，有助于实现情报的自动化解析、可信度评估与实时应用。

在威胁情报基础上，设计合理的自动化响应Playbook至关重要。Playbook可根据不同类型的威胁事件编排响应动作，实现从检测到处置的全流程自动化，提升整体安全运营效率。

Playbook流程定义与SOAR平台自动化响应

在安全编排与自动化响应（SOAR）系统中，Playbook用于规范从威胁检测到处置动作的完整闭环流程。以下是一个基于YAML格式的典型配置示例：

playbook:
  name: "Block-Malicious-IP"
  triggers:
    - type: "new_ioc"
      ioc_type: "ipv4"
  actions:
    - action: "firewall.block"
      target: "fw-cluster-east"
      params:
        ip: "{{ event.ioc_value }}"
        duration: "24h"

该Playbook通过监听新出现的IOC（失陷指标）事件触发响应机制，当检测到IPv4类型的恶意IP时，自动调用防火墙模块进行封禁操作。其中，{{ event.ioc_value }} 实现动态参数注入，将实际检测到的威胁IP传入执行动作，并设定封锁有效期为24小时，避免长期误封带来的业务影响。

duration

执行逻辑与闭环反馈机制

每次响应动作完成后，系统会自动生成详细的执行日志，并启动后续验证任务以确认策略已成功生效。例如，检查防火墙规则是否正确部署、目标IP是否处于阻断状态等。这一过程确保了安全事件处理的可追溯性和有效性，构建起完整的运营闭环。

KQL基础语法及其在安全分析中的应用

Kusto查询语言（KQL）作为Azure Data Explorer的核心查询工具，被广泛应用于Microsoft Sentinel等日志分析平台。其采用管道式语法结构，各查询步骤通过竖线符号（|）依次传递处理结果。

|

SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| project TimeGenerated, Computer, User, IPAddress

以下查询语句用于从安全日志中提取过去7天内发生的登录失败记录（EventID 4625）：

SecurityEvent
| where TimeGenerated > ago(7d)
  and EventID == 4625
| project TimeGenerated, Account, Computer, SourceNetworkAddress

SecurityEvent

其中，where 子句实现数据过滤，project 指定输出字段，提升查询效率与可读性。

where

project

实战场景：暴力破解行为识别

针对潜在的凭证攻击，可通过聚合多个失败登录尝试来识别异常模式。如下KQL查询统计每个用户在每台主机上的失败次数：

SecurityEvent
| where EventID == 4625
| summarize FailCount = count() by Account, Computer
| where FailCount >= 5

summarize

SecurityEvent
| where EventID == 4625
| summarize FailedAttempts = count() by User, Computer
| where FailedAttempts > 5

该分析方法有助于快速定位高风险账户和受攻击主机，为后续自动化响应或人工调查提供数据支持。

第六十天高效复习规划与应试冲刺策略

每日任务管理与进度追踪

建议使用轻量级工具如Notion或Todoist制定并跟踪学习计划。将整体复习内容拆解为具体可执行的小型任务，例如“掌握TCP三次握手流程”或“完成两道LeetCode树遍历中等难度题目”。

• 每天早晨明确列出三项核心学习任务
• 每晚预留15分钟进行复盘，记录未完成原因
• 每周日集中回顾知识盲区，据此调整下一周的学习安排

分阶段复习重点与训练方式

时间段	复习重点	推荐练习方式
第1-20天	基础概念强化	刷《剑指Offer》+ 整理错题本
第21-45天	系统设计与算法能力提升	攻克LeetCode高频题 + 设计TinyURL系统
第46-60天	综合能力冲刺	限时模拟考试 + 口述解题思路并录音回放

关键代码片段巩固

以下为常考的并发控制实现代码，需达到熟练默写水平：

package main

import (
	"fmt"
	"sync"
)

func main() {
	var wg sync.WaitGroup
	for i := 0; i < 5; i++ {
		wg.Add(1)
		go func(id int) {
			defer wg.Done()
			fmt.Printf("Worker %d starting\n", id)
		}(i)
	}
	wg.Wait()
	fmt.Println("All workers done.")
}

心理调节与作息优化建议

保持良好的身心状态对应试至关重要。建议：

• 保证每日至少7小时高质量睡眠
• 采用番茄工作法（25分钟专注+5分钟休息）维持高效注意力
• 考前最后三天减少新题输入，重点重做错题并快速浏览核心笔记

扫码加我 拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

分享0 收藏0 回帖

关键词：复习计划 知识点 Applications Fundamentals Requirements