Studie-ochtend TRES - 6 november 2025, SC-900 deel 2

Ingediend door Dirk Hornstra op 01-dec-2025 19:12

We hadden bij TRES altijd een studiedag. Daarbij was je aan het eind van de middag altijd wel "behoorlijk gaar", maar je had dan wel veel gedaan. 

Bij de afgelopen studie-ochtend heb ik best veel gedaan, zoals je in het vorige verslag terug kunt lezen. Alleen "ben ik op de helft" en moet je dus tijd maken om door te gaan met die andere helft. De dagen erna had ik allemaal andere verplichtingen, dus de week erna, 13 november, heb ik rond 23.00 uur mijn uitwerkingen van de studie-ochtend in die blogpost gezet en hier neergezet "wat ik nog moet doen". Op vrijdag is het een regenachtige dag, dus voor en na de uitzending van 2 voor 12 zou ik in de laatste 2 modules duiken, maar dat is niet te doen. Rond 19.30 uur gestart, rond 23.34 uur de eerste module afgerond.

Dus ik behandel hier alleen de module Introduction to Microsoft security solutions.

 

Introduction to Microsoft security solutions

Naast dat je de modules doorloopt om kennis op te doen voor het examen, doe je dat ook om je "score" omhoog te krijgen.
Bij de start van de modules is dit mijn score:
Level 13 | 14% | 21950 /151199 XP

Describe Microsoft Security Copilot

Organisaties krijgen steeds meer uitdagingen, want het aantal aanvallen neemt alleen maar toe en ze worden ook steeds "slimmer". Ook kun je niet al je werknemers in gaan zetten om security-zaken op te pakken, er moet ook nog "gewerkt" worden aan producten die geld op moeten brengen. Daardoor neemt de behoefte aan automatisering, integratie en consolidatie van security tools toe.
En zaken moeten "zichtbaar" zijn, wat nodig is voor security, privacy, compliance en governance.

Hierdoor komt Security Copilot in beeld.

  • Kan security threats onderzoeken en "oplossen". Geeft je duidelijke samenvatting(en) en stap-voor-stap uitleg.
  • Bouw KQL query's of analyseer verdachte scripts.
  • Krijg inzicht in de risico's en de staat van security van het bedrijf en prioriteer de punten
  • Niet een halve dag meer door logs bladeren, een versnelling van het onderzoeken van problemen
  • Definieer en beheer security policies
  • Configureer lifecycle workflows
  • Maak rapporten voor stakeholder, gericht op het publiek

 

Security Copilot kun je via de site beheren, de standalone versie.
Microsoft heeft Copilot ook beschikbaar gemaakt in andere tools, de "embedded versie", zoals voor Microsoft Defender XDR.

Security Copilot heeft niet alleen de LLM's, maar via Microsoft threat intelligence ook meer dan 65 triljoen dagelijkse signalen, mogelijkheden om plug-ins en connecties met knowledge-bases te maken. 

Termen die gebruikt worden:

  • Session: een gesprek met Copilot.
  • Prompt: uitspraak of vraag binnen een sessie
  • Capability: een functie die gebruikt wordt om een probleem op te lossen
  • Plugin: een verzameling "capabilities" die bij een resource horen
  • Workspace: verschillende Copilot werkomgevingen binnen dezelfde tenant
  • Agents: de AI tools die acties voor je uitvoeren
  • Orchestrator: Copilots systeem die de capabilities combineert om een antwoord te geven


Copilot heeft "promptbooks", waarmee je een serie vooraf gedefinieerde prompts kunt uitvoeren.

De XDR plugins kunnen:

  • een incident samenvatten
  • een lijst maken met acties die je "zou moeten uitvoeren"
  • de mogelijkheid om scripts en code te analyseren
  • de mogelijkheid om KQL query's op te bouwen op basis van natuurlijke spraak
  • de mogelijkheid om incidentrapportages te maken


Als je goede antwoorden wilt krijgen, zul je ook goede vragen moeten stellen. Er zijn een aantal elementen om een goede prompt te bouwen;

  • Doel: specifieke, security gerelateerde data die je nodig hebt
  • Context: waarom je deze informatie nodig hebt en hoe je het gaat gebruiken
  • Expections: het formaat of het type publiek waar deze respons aan moet voldoen
  • Source: bekende informatie, databronnen of plugins die Copilot zou moeten gebruiken


Als je met je eigen prompts bezig gaat, wat aanvullende tips.

  • Wees specifiek en duidelijk. Dus als je een tabel met de resultaten wilt, vraag dan niet om "the results", maar om "the results, formatted in a table".
  • Itereer. Door "vervolgprompts" kun je de respons bijschaven naar wat je wilt.
  • Geef voldoende context om Copilot een kleiner zoekgebied te geven. Zoals het voorbeeld van de Yearly van TRES, het getal 819. Geen idee wat het is. Maar het thema was voetbal, redelijk Eredivisie, dus... de teletekstpagina!
  • Geef voldoende instructies om aan te geven wat Copilot "niet moet doen". Copilot zal je alle resultaten geven, maar als er zaken zijn die "test" in de naam hebben, die wil je mogelijk niet hebben. Geef dat meteen aan bij de zoekopdracht.
  • Spreek Copilot aan als "jou" en niet "laat het model dit en dat doen", want dat is effectiever.


Om Microsoft Security Copilot te gebruiken moet je acties ondernemen:

Provision capacity

Provisioned capacity wordt per uur betaald, overage capacity wordt gefactureerd op basis van gebruik.
Je kunt SCU (Security Compute Units) provisionen en regelmatig aanpassen. 
Je kunt een overage aantal instellen om pieken op te vangen.

  • je hebt een Azure abonnement nodig
  • je moet een Azure owner of Azure contributor zijn (minimaal van een resource groep)

Op deze pagina kun je lezen hoe je dat kunt configureren.
 

Als je capacity wilt provisionen:

  • binnen Security Copilot (geadviseerde route). Met een wizard stel je de configuratie in.
  • door het Azure Portal, Security Copilot kun je als service toevoegen


Je moet minimaal 1 en kunt maximaal 100 SCU's provisionen.

Er wordt een resourcegroep voor opgezet, je krijg een dashboard die 90 dagen aan data kan tonen.
Als je de standaard omgeving wilt instellen moet je minimaal de rol Security Administrator hebben.

Set up the default environment

  • SCU capacity: hier stel je de capaciteit in
  • Data storage: waar sla je de data op?
  • Uitvoeren prompts, welke locatie: op basis van geo-data bepalen waar je prompt uitgewerkt wordt
  • Loggen en auditen van data in Microsoft Purview
  • Data van jouw organisatie: via opt-in en opt-out wel of geen toegang geven

Meer info over hoe Microsoft met jouw data om gaat kun je hier lezen.

  • Plugin settings: instellen wie plugins kan toevoegen en gebruiken, of eigen data gedeeld wordt of niet
     

Assign role permissions

Je hebt verschillende rollen (Entra ID):

  • Global administrator
  • Security administrator
  • Security operator
  • Security reader


En je het nog de Microsoft Security Copilot rollen:

  • Copilot owner
  • Copilot contributor

Hier kun je meer over het instellen van de rollen nalezen.
 

Describe core infrastructure security services in Azure

We beginnen bij Azure DDoS protection. Er worden 3 types beschreven:

  • Volumetric attacks: het lijken legitieme requests, maar het zijn er zo veel dat "normale bezoekers" er niet meer bij kunnen.
  • Protocol attacks: het platleggen van serverbronnen door foutieve protocolrequests op laag 3 (netwerk) en laag 4 (transport).
  • Resource (application) layer attacks: web applicaties, verzenden van data tussen hosts verstoren.


Door Azure DDoS protection toe te voegen wordt laag 3 en 4 beschermd;

  • Always-on traffic monitoring: het binnenkomende verkeer wordt gemonitord, foute requests worden gedropt. In Azure Monitor kun je de metrieken bekijken.
  • Adaptive real time tuning: het verkeer wordt geprofileerd, waardoor routes en verwerking wordt ingesteld op een optimale setting.
  • DDoS protection telemetry, monitoring en alerting: je kunt integreren van je logs met Azure Event Hubs, Azure Monitor logs en Azure Storage.


Je hebt 2 verschillende types:

  • DDoS network protection: beschikbaar als SKU, gecombineerd met je applicatie. Simpel te activeren, een virtueel netwerk, je hoeft niets in je applicatie aan te passen.
  • DDoS IP protection: een pay-per-protected IP model. Vergelijkbaar met DDoS network protection, alleen heb je hier geen DDoS rapid response support, cost protection en mis je kortingen op de Web Application Firewall (WAF). 


Bekijk deze pagina om de kosten te vergelijken.


Het volgende item is de Azure Firewall. 
Eigenschappen hiervan zijn:

  • Het is een stateful firewall, het kan bijhouden welke actieve connecties er zijn en kan beslissingen maken op basis van de context van het verkeer.
  • Built-in high availability en availability zones: bijna geen downtime, mogelijkheid om zaken over meerdere regio's te regelen.
  • Source en destination network address translation (NAT): hiermee kan verkeer van het internet bij jouw "private resources" komen.
  • Threat intelligence: IP-adressen en domeinen van bekende hackers/spammers, waardoor zaken al gefilterd kunnen worden.
  • Logging and monitoring: hou het verkeer in de gaten, logs kunnen naar Azure Monitor, Log Analytics of Event Hubs gestuurd worden.
  • Integration with Azure Services: Azure virtual networks, Azure Policy, Azure Security Center, het kan allemaal met elkaar samenwerken.


Azure Firewall is ook geintegreerd met Security Copilot.

Veel applicaties bevatten "zwakke punten". Met een Web Application Firewall kun je dat veel beter beschermen.
Ook de Web Application Firewall is geintegreerd met Security Copilot.

Netwerk segmentatie, ook altijd goed.

In Azure heb je de Azure Virtual Networks (VNet) waarmee je zaken van elkaar kunt loskoppelen.
Met network security groups (NSGs) kun je verkeer van en naar Azure resources in virtuele netwerken filteren. Je kunt een NSG koppelen aan één virtueel netwerk subnet en netwerk interface in een virtuele machine. 
Een NSG bouw je op met inbound en outbound security rules. Deze worden geevalueerd op basis van de bron, de poort van de bron, de bestemming, de poort van de bestemming en het protocol om verkeer toe te staan (of te weigeren). Een regel geef je een naam.

Het lijkt heel erg op hoe je een firewall inricht. De te verwachten vraag, wat is dan het verschil? De NSG is voornamelijk voor "verkeer binnen het virtuele netwerk", terwijl de firewall zich bezig houdt over het complete plaatje.


Alles staat dicht, maar nu moeten er mensen bij, je developers, de data-analyst. Dus je zet RDP open en SSH. Maar daarmee geef je ook aanvallers nieuwe manieren om zich naar binnen "te hacken".
Hiervoor heb je Azure Bastion. Azure Bastion is een service die je deployed, waarmee je in je browser via de Azure portal verbinding kunt maken met de virtuele machine(s). Hierdoor hoeven die machines geen publiek IP te krijgen en hou je dus deuren gesloten. Azure Bastion wordt gedeployed per virtueel netwerk.


Hierna volgt Azure Key Vault. Hier kun je secrets, keys en certificaten opslaan.  Je hebt 2 smaken, de Standard die zaken met een software key versleuteld en Premium, die dit doet op basis van hardware security module (HSM) beschermde sleutels. Als je keyvaults aangemaakt hebt, kun je toegang en gebruik monitoren (door logging aan te zetten).


Describe the security management capabilities in Azure

Microsoft Defender for Cloud is een "cloud-native application protection platform (CNAPP)".
Het combineert de mogelijkheden van:

  • Development security operations (DevSecOps), waarmee je op code-level zit.
  • Cloud security posture management (CSPM), acties waarmee je lekken kunt voorkomen.
  • Cloud workload protection platform (CWPP) met bescherming voor servers, containers, opslag, databases en andere workloads.


Je hebt policy definitions en security initiatives;

  • Azure Policy definition: een regel over bepaalde security voorwaarden die je wilt controleren.
  • Een security initiative is een collectie van deze regels, voor een bepaald doel of om bepaalde redenen.
  • Het implementeren van deze zaken doe je door ze toe te wijzen aan de scope van resoures, zoals management groups, subscriptions, resource groups of losse resources.


Doe ik het goed? Die vraag wil je graag beantwoord zien.
Hiervoor heeft Microsoft de Microsoft cloud security benchmark (MCSB). Het is een geautoriseerde lijst van regels, best practises en aanbevelingen.
MCSB is een vervolg op de controls van Center for Internet Security (CIS) en de National Institute of Standards and Technology (NIST), met de focus op cloud.

De benchmark staat op Github en kun je daar bekijken. Het is een Excel-bestand, dus ga ermee aan de slag.

Je hebt ook nog de Microsoft cloud security benchmark in Defender for Cloud. 
Hier krijg je aanbevelingen als een onderdeel of bepaalde onderdelen niet voldoen aan de lijst.
Je ziet daar een korte omschrijving van het probleem, de stappen die je kunt uitvoeren om het op te lossen en op welke resources het betrekking heeft.


1 van de belangrijkste onderdelen van Microsoft Defender for Cloud is Cloud Security Posture Management (CSPM).
Ook hier heb je weer een score en door "hardening maatregelen" door te voeren kun je die score verbeteren.

Defender for Cloud biedt foundational multicloud CSPM mogelijkheden gratis aan. Dit bevat het inzichtelijk krijgen van onderdelen, continue monitoren en aanbevelingen aanleveren voor het "hardenen" van zaken, compliance met MCSB en secure score.

Je hebt ook nog een advanced Defender CSPM plan, hier kun je de verschillende opties bekijken.


Je hebt verschillende Microsoft Defender plans:

  • Microsoft Defender for servers: bescherm je Windows en Linux machines.
  • Microsoft Defender for App Service: maak inzichtelijk dat er aanvallen op je websites die op App Service draaien zijn.
  • Microsoft Defender for Storage: detecteer acties op je Azure Storage accounts.
  • Microsoft Defender for SQL: beveilig je databases en de data, waar ze ook staan.
  • Microsoft Defender for Kubernetes: security environment hardening, workload protection en run-time protection.
  • Microsoft Defender for container registries: bescherm al de Azure Resource Manager gebaseerde registries in je abonnement.
  • Microsoft Defender for Key Vault: geadvanceerde aanvalsdetectie voor Key Vault.
  • Microsoft Defender for Resource Manager: monitor acties op ej resource management.
  • Microsoft Defender for DNS: beschermking van de bronnen die Azure DNS's Azure-provided name resolution capability gebruiken.
  • Microsoft Defender for open-source relational protections: bescherming van open-source relationele databases.


Microsoft voor DevOps; je kunt zien wat de status qua veiligheid van de code is.
Je kunt de cloud-configuratie zo afstemmen dat nooit "per ongeluk" zaken naar productie doorgezet worden.
Je kunt PR's aanmaken en developers toewijzen om securityzaken met prioriteit op te pakken.

 

Describe security capabilities of Microsoft Sentinel

Ik ben deze begrippen wel eerder tegengekomen. SIEM staat voor security information event management. Hiermee wordt informatie verzameld, inclusief infrastructuur, software, resources. De data wordt geanalyseerd, zoeken naar verbanden en afwijkingen, waarmee alarmeringen en incidenten aangemaakt kunnen worden.

SOAR staat voor security orchestration automated response. Er komen meldingen binnen (dat kan van een SIEM zijn), op basis van workflows worden acties uitgevoerd om de bedreigingen uit te schakelen. 

Een zichzelf respecterend bedrijf zou eigenlijk een SIEM en een SOAR moeten hebben.

Microsoft Sentinel is een schaalbare, cloud-native SIEM/SOAR oplossing. Collect, Detect, Investigate en Respond.
Er moet natuurlijk data "binnen kunnen komen". Daarvoor heb je veel connectors beschikbaar die je kunt "inpluggen".
Dat is veel Microsoftspul, maar ook algemene event formaten, Syslog, REST-API connectoren.
Ook kun je jouw eigen connector implementeren. 
Als je een probleem hebt en er stromen Gigabytes aan data door het systeem, dan is het onbegonnen werk. Sentinel ondersteunt het Advanced Security Information Model (ASIM) om genormaliseerde views van je data te zien.


Voor het detecteren van bedreigingen wordt hier gebruik van gemaakt:

  • Analytics: groepeer alerts naar incidenten. Gebruik hiervoor standaard regels of voeg je eigen regels toe.
  • MITRE ATT&CK coverage: een framework, welke een globale database is van taktieken en technieken.
  •  Threat intelligence: je kunt meerdere zaken importeren die voor jou kunnen bepalen of iets "een bedreiging" is of niet.
  • Watchlists: Voor het extra in de gaten houden van belangrijke onderdelen van jouw bedrijf, oud (ontslagen) werknemers, etc.
  • Workbooks: met workbooks kun je interactieve visuele rapporten bouwen. 


Als er een bedreiging is, ga je op onderzoek uit;

  • Incidents: gegroepeerde data van problemen die schijnbaar bij elkaar horen.
  • Hunts: de search-and-query tools van Microsoft Sentinel waarbij je krachtig kunt zoeken. Gebaseerd op het MITRE framework. Hiermee kun je zoeken naar problemen voordat ze een alarm opgeleverd hebben. 
  • Notebooks: Microsoft Sentinel ondersteunt Jupyter notebooks. Dat zijn open-source web applicaties waarmee gebruikers documenten aan kunnen maken en delen, met live code, vergelijkingen, visualisaties en omschrijvende tekst.

Die notebooks kun je gebruiken om met Python machine learning zaken te doen, data visualisaties maken die niet in Sentinel zitten (zoals tijdlijnen en verwerkingsbomen). En om bijvoorbeeld data die on-premise staat mee te nemen (wat niet in Azure beschikbaar is).

De shit gaat snel, dus je moet ook snel reageren.
Dat kan met automation rules, maak een kleine set regels aan die verschillende scenario's afvangen.
En/of maak playbooks. Deze bevatten herstellende acties, die je op commando uit kunt voeren of automatisch naar aanleiding van een alarmering.
Playbooks in Microsoft Sentinel zijn gebaseerd op workflows van Azure Logic Apps. Als je het ServiceNow ticket systeem gebruikt, Azure Logic Apps hebben een automatisering die een ticket in ServiceNow aanmaken.

 

Describe threat protection with Microsoft Defender XDR

Deze module heb ik bij de voorbereidingen voor een andere "Fundamentals" al eens doorgelopen. Bij deze nogmaals gedaan, want er zal wel wat kennis verwaterd zijn.

XDR staat voor Extended Detection and Response. 
Microsoft Defender XDR staat voor een pakket van oplossingen dat beschermt tegen geavanceerde cyberaanvallen.
We gaan zo de 5 onderdelen langs, ook hier wordt genoemd dat XDR geintegreerd is met Security Copilot.

Microsoft Defender for Office 365

Bescherming tegen phishing, malware in je mail, Sharepoint, Teams. 
Bij prevent and detect zitten mooie acties, zoals Safe Links, waarbij links eerst gescand worden. Safe attachments waarbij die eerst in een sandbox bekeken worden om te voorkomen dat ze ellende veroorzaken. Een "submissions pagina" in de Microsoft Defender portal waar je berichten, URL's en attachments naar Microsoft kunt sturen om ze te analyseren.

Bij investigate kun je door het audit log zoeken (als je voldoende rechten hebt). Message trace van berichten, hoe gaan ze door de organisatie. 

En respond, Zero-hour auto purge (ZAP) een proces waarbij phishingmailtjes die al afgeleverd waren bij Exchange Online mailboxen weer verwijderd worden. Automated investigation and response (AIR) mogelijkheden voor geautomatiseerde onderzoeken starten. En de SIEM integratie voor geautomatiseerde responses.


Microsoft Defender for Endpoint

Dit is voor de bescherming van laptops, telefoons, access points, routers, firewalls.

Microsoft Defender for Cloud Apps

Veel apps draaien in de cloud en worden aangeboden als een Software as a Service (SaaS). 
Door hier een cloud access security broker (CASB) tussen te zetten kan deze als gatekeeper je beschermen.

Defender for Cloud Apps kan je laten zien welke risico's je loopt.
Identify: ziet op basis van het netwerkverkeer en een grote catalogus met apps wat actief is
Assess: evalueer die apps op meer dan 90 risico indicators
Manage: configureer policies die deze apps continu monitoren. Zodat bij afwijkingen je direct een signaal krijgt.

Om data te beschermen kan een organisatie zaken installeren als:

  • Het toewijzen van een "sensitive label"
  • Het blokkeren van downloads op een apparaat wat niet in eigen beheer is
  • Verwijder externe bronnen van de toegangsrechten op vertrouwelijke bestanden


Microsoft Defender for Identity

Dit is voor "on-premise" gebruikersbeheer. Met sensoren wordt dit gekoppeld.
Door het monitoren en instellen van regels kun je zorgen dat gebruikers in Active Directory gedeactiveerd worden of dat ze verplicht worden hun wachtwoord aan te passen.


Microsoft Defender Vulnerability Management

Hiermee kun je jouw devices beheren, Windows, macOS, Linux, Android, iOS en netwerk devices.


Microsoft Defender Threat Intelligence

Analytics overzichten van wat de meest recente bedreigingen zijn, welke bedreigingen een grote impact hebben en bedreigingen die qua huidige configuratie de grootste kans hebben om een dikke bak ellende in je bedrijf te veroorzaken.

Intel profiles, zijn profielen die actief door Microsoft bijgewerkt worden. Kennis over bedreigingen, tools die problemen veroorzaken en "zwakke punten".

Met Intel explorer kun je "snel" zoeken, bijvoorbeeld op CVE nummer.