Training Security onderzoek met Microsoft Purview, Defender en Entra

Wil je securityonderzoek uitvoeren met Microsoft Purview, Defender en Entra? In deze training onderzoek je een concrete securitycasus en analyseer je data-activiteiten, identity-logs en endpointtelemetrie. Je werkt stap voor stap van risicoanalyse naar reconstructie van gebeurtenissen. Tijdens de training voer je queries uit, analyseer je databronnen en leg je onderzoeksresultaten vast zodat je incidenten en risico’s beter kunt begrijpen en onderbouwen.

Algemene omschrijving

Deze training richt zich op het uitvoeren van securityonderzoek met Microsoft-tooling. Het vertrekpunt is niet een losse alert of aanvalstechniek, maar een concrete onderzoeksvraag: welk risico wil je onderzoeken en welke informatie heb je nodig om dat te beoordelen. Vanuit deze vraag bepaal je welke databronnen relevant zijn, zoals identity-logs, data-events of device-telemetrie.

Tijdens de training werk je met een realistische casus waarin verschillende onderdelen van het Microsoft-securityplatform samenkomen. Je onderzoekt hoe gebruikers toegang krijgen tot data, welke apparaten en accounts betrokken zijn en hoe activiteiten zich in de tijd ontwikkelen. Daarbij analyseer je logs, voer je queries uit en reconstrueer je gebeurtenissen.

Naast de technische analyse komt ook aan bod hoe je een onderzoek afbakent. Je leert hoe je voorkomt dat onderzoeken ongericht data verzamelen, hoe je privacy en compliance bewaakt en hoe je onderzoeksactiviteiten documenteert. Aan het einde van de training kun je onderzoeksresultaten vastleggen en vertalen naar conclusies en verbeterpunten voor toekomstige onderzoeken.[a][b][c]

Deze training bieden we ook als bedrijfstraining voor jou en je team

De inhoud stemmen we dan af op jullie werksituatie, gebruikte Microsoft-omgeving en concrete securityvraagstukken, zodat de training direct aansluit op wat er binnen de organisatie speelt. Zo ontstaat een gerichte en praktische training waarmee je securityonderzoek beter kan uitvoeren.

Programma

Tijdens de training Security onderzoek met Microsoft Purview, Defender en Entra komen in basis onderstaande onderwerpen aan bod. Afhankelijk van ontwikkelingen op het vakgebied kan de feitelijke trainingsinhoud hier echter van afwijken. Bel ons gerust voor meer informatie over de actuele inhoud.

• Mindset en basisfilosofie van securityonderzoek
• • Verschil tussen beheer en security
  • Denken vanuit risico’s in plaats van aanvallen
  • Aanvalsoppervlak in kaart brengen
  • Onderzoeksvragen formuleren op basis van risico’s
• Casusvoorbereiding en blind spots
• • Vooraf analyseren van een specifieke casus
  • Vaststellen van scope en onderzoeksperiode
  • Herkennen van blinde vlekken in logging en tooling
  • Impact beoordelen van ontbrekende tooling of data
• Purview: data security en governance
• • Data classificatie en labeling
  • DLP en governance policies
  • Insider Risk en compliance scenario’s
  • Queries uitvoeren op data-events
  • Onderzoeken van datatoegang in SharePoint en OneDrive
  • Patronen en termen analyseren in data-activiteiten
• Entra: identity en toegang
• • Authenticatie en sign-in logs analyseren
  • Queries uitvoeren op identity-events
  • Basisprincipes van conditionele toegang
  • Toegang tot SaaS-producten analyseren
  • Verbanden leggen tussen accounts, sessies en MFA
• Intune: apparaten en beheercontext
• • Device compliance en inventaris analyseren
  • Wijzigingen aan apparaten onderzoeken
  • Relatie tussen devicebeheer en securityonderzoek
  • Impact van App Control en Zero Footprint beleid
• Defender: endpoint, applicaties en XDR
• • Telemetrie en incidentlogs uit Defender for Endpoint
  • Applicatiegebruik analyseren via Defender for Cloud Apps
  • Queries uitvoeren op proceslogs, netwerk en device-events
  • Indicatoren rond locatie, applicatiegebruik en externe services
• Onderzoeks- en analysetools
• • Basisqueries met filters en KQL
  • Timeline reconstructie van gebeurtenissen
  • Alerts bekijken in het Security Portal
  • Onderzoeksvragen vertalen naar herhaalbare queries
• Privacy en compliance tijdens onderzoek
• • Sleepnet-onderzoek voorkomen
  • Scope van onderzoek beperken
  • Gevoelige data maskeren
  • Onderzoeksactiviteiten registreren
• Rapportage van onderzoeksresultaten
• • Onderzoeksresultaten vastleggen
  • Kwantitatieve overzichten en metrics
  • Structureren van onderzoeksbevindingen
• Recap en toekomststrategie
• • Evalueren hoe casus en tooling zijn toegepast
  • Hiaten en blinde vlekken identificeren
  • Mogelijke standaardisatie rond identityplatforms
  • Rol van devicebeleid in toekomstige onderzoeken
  • Structurele inrichting van securityonderzoek

Tijdens de training werken deelnemers met een onderzoeksgerichte casus. Vanuit een concrete situatie formuleren zij onderzoeksvragen en bepalen zij welke databronnen nodig zijn om deze vragen te beantwoorden. Vervolgens analyseren zij identity-logs, data-events en endpointtelemetrie met behulp van Microsoft-securitytools.

De trainer begeleidt deelnemers bij het uitvoeren van analyses en het interpreteren van loggegevens. Deelnemers reconstrueren gebeurtenissen, vergelijken bevindingen en bespreken verschillende mogelijke interpretaties. Zo ontstaat stap voor stap inzicht in hoe securityonderzoek systematisch kan worden uitgevoerd.

Doelen

Na deze training kan je

• een securityonderzoek structureren op basis van risico’s en onderzoeksvragen
• bepalen welke databronnen relevant zijn voor een onderzoek
• queries uitvoeren op data-events, identity-logs en device-telemetrie
• gebeurtenissen reconstrueren met behulp van timeline-analyse
• relaties leggen tussen data-activiteiten, accounts, apparaten en applicaties
• een securityonderzoek afbakenen met aandacht voor privacy en scope
• onderzoeksresultaten vastleggen en vertalen naar conclusies