Vendor:
EC Council 
Training Language:
Nederlands
Duration:
3 days + 365 days of online support via the MyTSTC learning platform
MyTSTC:
Yes
Category:
The CSA training is part of our SOC Expert Track consisting of three practical 3-day training courses, through which you are trained as a complete SOC employee at an attractive bundle discount. Of course, the CSA training can also be taken as a standalone course.
A SOC Analyst is structurally engaged in monitoring and detecting potential threats to the security of an organization and important data. They prioritize and assess alerts based on risk and escalate them if necessary. Without a SOC (Analyst), organizations risk missing incidents or only discovering them after unnecessary larger damage has occurred.
In this independent 3-day training, you will learn the necessary knowledge and skills to function in a Security Operations Center (SOC) using theory and hands-on labs, where you actively detect potential threats and attacks and respond directly to security incidents. This positions you as front-line security within an organization and enables you to alert other stakeholders to current cyber threats.
You will learn to know and use various SIEM solutions and tools for detecting incidents at the application, network, and host level. Additionally, you will learn to improve incident detection using threat intelligence. After the training, you will master the complete SOC workflow, using procedures, techniques, and 80 included tools for the collection, sorting, reporting, response to, and documentation of incidents.
Part of the training and the accompanying study material includes 50+ hands-on labs, 120 tools, and additional reference material with common and specific examples from ArcSight, Qradar, LogRhythm, Windows Security Audit, and Splunk SIEM applications. This training is 100% compliant with the internationally used NICE 2.0 Framework for the role of Cyber Defense Analyst (CDA) in the Protect and Defend category.
This training is classroom-based but can also be attended Live Online if desired. You will then follow the training live remotely with our own instructor, view the notes on the whiteboard, participate in all labs, and can ask questions to both the trainer and your fellow participants. Essentially, it is just like being present in the classroom training, but from your own location. If the Live Online training does not meet your expectations, you may attend the classroom training again free of charge within a year.
As of August 2025, the Certified SOC Analyst (CSA) training has received a comprehensive update. New or further expanded in this version 2 are:
AI-supported SOC: benefits of using AI in the SOC
We deviate from the regular CSA training by starting with a short, guided self-study period in our exclusive MyTSTC learning platform prior to the classroom training. In this, you will receive an assessment test and tailored materials (including videos) that prepare you for the intensive training. You will also find a self-study module on the platform that helps you acquire the necessary general understanding and networking knowledge at the desired level for the training. With this approach, we reduce differences in levels among participants and help you achieve the maximum results from the classroom training.
Our Certified SOC Analyst (CSA) training is classroom-based but can also be attended Live Online if desired. You will then follow the training live remotely with our own instructor, view the notes on the whiteboard, participate in all labs, and can ask questions to both the trainer and your fellow participants. Essentially, it is just like being present in the classroom training, but from your own location. If the CSA training Live Online does not meet your expectations, you may attend it again in person with us free of charge within a year.
In deze module leer je hoe een SOC (Security Operations Center) het beveiligingsbeheer van een organisatie kan versterken. Je krijgt inzicht in de belangrijkste rollen van mensen, technologie en processen binnen een SOC en hoe deze samenwerken in de dagelijkse operatie. Voorbeelden zijn het monitoren van cyberdreigingen, het gebruik van SOC-tools, het meten van prestaties met KPIs, en het aanpakken van uitdagingen zoals incidentrespons en volwassenheidsontwikkeling van het SOC.
In deze module leer je door de bril van een aanvaller te kijken om zo de digitale veiligheid beter te waarborgen. We gaan dieper in op de manier waarop cybercriminelen opereren door hun Tactics, Techniques, and Procedures (TTPs) te ontleden. Je leert hoe je de achtergebleven digitale bewijsstukken, de zogenaamde Indicators of Compromise (IoCs), kunt opsporen en interpreteren.
De leerstof dekt een breed scala aan moderne dreigingen; denk hierbij aan psychologische trucs zoals Social Engineering, maar ook aan technische aanvallen zoals SQL Injections, Ransomware en Man-in-the-Middle aanvallen. Daarnaast maak je kennis met methodische frameworks zoals het Diamond Model en MITRE D3FEND, die je helpen om complexe aanvallen (zoals Advanced Persistent Threats) te structureren en te stoppen.
Hands-on labs:
Zelf aanvallen uitvoeren: Je voert verschillende aanvallen uit, waaronder SQL injection, Cross-Site Scripting (XSS), network scanning, DoS, en brute force aanvallen. Het doel hiervan is om de achterliggende TTPs en de resulterende IoCs van binnenuit te leren begrijpen.
Analyseren met Wireshark: Je leert hoe je met de tool Wireshark netwerkverkeer kunt onderscheppen om IoCs te detecteren en te analyseren.
In deze module leer je hoe je de 'voetafdrukken' van digitale activiteiten effectief beheert binnen een SIEM-omgeving. Je krijgt inzicht in het volledige proces van hoe gegevens worden gegenereerd op diverse bronnen - denk aan Windows Event Logs, Linux Logs, Firewalls en webservers zoals Apache of IIS - en hoe je deze vervolgens veilig opslaat en centraal verzamelt. Het draait hierbij om het transformeren van ruwe data naar bruikbare informatie via processen zoals log normalization, parsing en correlation, zodat je verbanden kunt leggen tussen ogenschijnlijk losstaande gebeurtenissen en snel kunt reageren via Alerting and Reporting wanneer zich een Incident voordoet.
Hands-on labs:
Logs beheren: Je gaat zelf verschillende soorten logs configureren, monitoren en analyseren om afwijkingen te leren herkennen.
Centralisatie met Splunk: Je leert hoe je logs van uiteenlopende apparaten en systemen verzamelt naar één centrale locatie met behulp van de krachtige tool Splunk.
In deze module draait alles om het hart van de operatie in een Security Operations Center (SOC): het tijdig herkennen en beoordelen van verdachte signalen. Je leert hoe een SIEM-systeem (Security Information and Event Management) functioneert als de centrale spil om afwijkingen in het netwerk op te sporen. Het gaat hierbij niet alleen om de techniek, maar vooral om het ontwikkelen van slimme use cases; scenario's die specifiek zoeken naar gedrag dat op een aanval wijst, zoals een plotselinge Remote Code Execution (RCE) of het manipuleren van Windows logbestanden. Dankzij de integratie van AI leer je bovendien hoe je de enorme stroom aan meldingen efficiënt kunt filteren (triage) en vertalen naar overzichtelijke dashboards en rapportages voor het management.
Hands-on labs:
Detectie bouwen in Splunk & ELK: Je ontwikkelt zelf filters voor een breed scala aan dreigingen, van ransomware en SQL injections tot het herkennen van credential dumping (het stelen van wachtwoorden) via tools als Mimikatz.
SIGMA rules: Je leert hoe je deze universele regels inzet om je zoekopdrachten en alerts in Splunk te verfijnen.
Visualisatie: Je ontwerpt eigen dashboards in zowel Splunk als de ELK-stack om incidenten in één oogopslag inzichtelijk te maken.
Correlatie in Log 360: Je stelt correlatieregels op in ManageEngine Log 360 om complexe aanvalspatronen, zoals een brute-force aanval, automatisch te herkennen.
Waar we eerder leerden reageren op meldingen, richt deze module zich op het voorkomen en actief opsporen van gevaren voordat ze schade aanrichten. Je verdiept je in Cyber Threat Intelligence (CTI): het verzamelen en analyseren van informatie over bekende aanvallers en hun methoden. Door deze intelligentie te koppelen aan je SIEM, kun je het aantal valse meldingen (false positives) drastisch verminderen. Daarnaast leer je de kunst van Threat Hunting; een proactieve zoektocht binnen je eigen netwerk naar verborgen dreigingen die door standaard beveiligingsfilters zijn geglipt. Je maakt hierbij gebruik van geavanceerde technieken zoals AI-driven detection, de Threat Intelligence Lifecycle en gedragsanalyse via UEBA (User and Entity Behavior Analytics).
Hands-on labs:
Intelligence integreren: Je leert hoe je externe dreigingsgegevens (OTX threat data) en IoCs direct koppelt aan systemen zoals de ELK Stack en OSSIM.
Geavanceerde detectie met YARA: Je gebruikt YARA-rules om specifieke malwarepatronen en incidenten op te sporen binnen Windows Servers.
Threat Hunting in de praktijk: Je voert actieve zoektochten uit met behulp van PowerShell-scripts, de Hunt Manager in Velociraptor, en beheertools zoals Sophos Central en Log360 UEBA.
In deze module leer je wat er moet gebeuren op het moment dat een dreiging werkelijkheid wordt. Je ontdekt hoe het Incident Response Team (IRT) nauw samenwerkt met het SOC om geëscaleerde incidenten af te handelen. Het proces volgt een gestructureerde weg: van de eerste melding in een Ticketing System tot aan Containment (het indammen van de schade), Eradication (het volledig verwijderen van de dreiging) en uiteindelijk Recovery (het herstellen van de systemen). Je maakt kennis met moderne technieken om dit proces te versnellen, zoals EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) en SOAR (Security Orchestration, Automation, and Response), waarbij je gebruikmaakt van gestandaardiseerde actieplannen, ook wel Playbooks genoemd.
Hands-on labs:
Incidentbeheer: Je leert tickets genereren en professionele incidentrapportages opstellen met OSSIM.
Schade beperken en herstellen: Je oefent met het indammen van datalekken en het volledig herstellen van systemen na gegevensverlies.
Dreigingen elimineren: Je gaat specifiek aan de slag met het verwijderen van actieve SQL injection en XSS incidenten.
Automatisering en Detectie: Je voert geautomatiseerde detectie en response uit met Wazuh, spoort dreigingen op met Sophos Central XDR en leert hoe je deze XDR-oplossing integreert met Splunk voor een centraal overzicht.
In deze module leer je hoe je na een digitale inbraak bewijsmateriaal verzamelt en analyseert. Het doel van Forensic Investigation is om precies te achterhalen wat er is gebeurd, hoe de aanvaller is binnengekomen en welke data eventueel is geraakt. Je leert een gestructureerde methodologie om sporen veilig te stellen in netwerken, applicaties en e-mailsystemen. Daarnaast duik je in de wereld van Malware Analysis. Je leert verdachte bestanden ontleden om hun ware aard te ontdekken. Dit doe je door middel van Static Malware Analysis (het bestand bekijken zonder het uit te voeren) en Dynamic Malware Analysis (het bestand observeren in een veilige omgeving terwijl het draait), zodat je de verdediging van de organisatie in de toekomst kunt versterken.
Hands-on labs:
Forensisch onderzoek: Je voert diepgaand onderzoek uit naar applicatie-incidenten, zoals SQL injection aanvallen, en gebruikt de tool Velociraptor om gecompromitteerde systemen volledig door te lichten.
Geheugenanalyse: Je leert hoe je het werkgeheugen (RAM) van een computer analyseert op verdachte activiteiten met behulp van Redline.
Malware ontleden: Je voert static analysis uit met PeStudio, controleert bestanden via VirusTotal en observeert het gedrag van actieve malware op Windows met Process Hacker.
In deze laatste module verplaatsen we de focus van lokale netwerken naar de cloud. Je leert hoe je SOC-processen, zoals monitoring en incidentdetectie, specifiek inricht voor cloudomgevingen. De dynamische aard van de cloud vraagt om een andere aanpak en het gebruik van cloud-native tools. Je verkent de beveiligingsarchitectuur van de drie grootste platformen: AWS (Amazon Web Services), Azure en GCP (Google Cloud Platform). Hierbij maak je kennis met krachtige oplossingen zoals Microsoft Sentinel, AWS Security Hub en het Google Cloud Security Command Center. Het draait in deze module om het creëren van een centraal overzicht via Centralized Logging (bijvoorbeeld met OpenSearch en Chronicle) en het automatiseren van de beveiliging in een schaalbare omgeving.
Hands-on Labs:
Implementatie van Microsoft Sentinel: Je leert hoe je Microsoft Sentinel configureert en implementeert binnen een Azure-omgeving om dreigingen in de cloud op te sporen en erop te reageren.
The CSA training is part of our SOC Expert Track consisting of three practical 3-day training courses, through which you are trained as a complete SOC employee at an attractive bundle discount. Of course, the CSA training can also be taken as a standalone course.
A SOC Analyst is structurally engaged in monitoring and detecting potential threats to the security of an organization and important data. They prioritize and assess alerts based on risk and escalate them if necessary. Without a SOC (Analyst), organizations risk missing incidents or only discovering them after unnecessary larger damage has occurred.
In this independent 3-day training, you will learn the necessary knowledge and skills to function in a Security Operations Center (SOC) using theory and hands-on labs, where you actively detect potential threats and attacks and respond directly to security incidents. This positions you as front-line security within an organization and enables you to alert other stakeholders to current cyber threats.
You will learn to know and use various SIEM solutions and tools for detecting incidents at the application, network, and host level. Additionally, you will learn to improve incident detection using threat intelligence. After the training, you will master the complete SOC workflow, using procedures, techniques, and 80 included tools for the collection, sorting, reporting, response to, and documentation of incidents.
Part of the training and the accompanying study material includes 50+ hands-on labs, 120 tools, and additional reference material with common and specific examples from ArcSight, Qradar, LogRhythm, Windows Security Audit, and Splunk SIEM applications. This training is 100% compliant with the internationally used NICE 2.0 Framework for the role of Cyber Defense Analyst (CDA) in the Protect and Defend category.
This training is classroom-based but can also be attended Live Online if desired. You will then follow the training live remotely with our own instructor, view the notes on the whiteboard, participate in all labs, and can ask questions to both the trainer and your fellow participants. Essentially, it is just like being present in the classroom training, but from your own location. If the Live Online training does not meet your expectations, you may attend the classroom training again free of charge within a year.
As of August 2025, the Certified SOC Analyst (CSA) training has received a comprehensive update. New or further expanded in this version 2 are:
AI-supported SOC: benefits of using AI in the SOC
We deviate from the regular CSA training by starting with a short, guided self-study period in our exclusive MyTSTC learning platform prior to the classroom training. In this, you will receive an assessment test and tailored materials (including videos) that prepare you for the intensive training. You will also find a self-study module on the platform that helps you acquire the necessary general understanding and networking knowledge at the desired level for the training. With this approach, we reduce differences in levels among participants and help you achieve the maximum results from the classroom training.
Our Certified SOC Analyst (CSA) training is classroom-based but can also be attended Live Online if desired. You will then follow the training live remotely with our own instructor, view the notes on the whiteboard, participate in all labs, and can ask questions to both the trainer and your fellow participants. Essentially, it is just like being present in the classroom training, but from your own location. If the CSA training Live Online does not meet your expectations, you may attend it again in person with us free of charge within a year.
In deze module leer je hoe een SOC (Security Operations Center) het beveiligingsbeheer van een organisatie kan versterken. Je krijgt inzicht in de belangrijkste rollen van mensen, technologie en processen binnen een SOC en hoe deze samenwerken in de dagelijkse operatie. Voorbeelden zijn het monitoren van cyberdreigingen, het gebruik van SOC-tools, het meten van prestaties met KPIs, en het aanpakken van uitdagingen zoals incidentrespons en volwassenheidsontwikkeling van het SOC.
In deze module leer je door de bril van een aanvaller te kijken om zo de digitale veiligheid beter te waarborgen. We gaan dieper in op de manier waarop cybercriminelen opereren door hun Tactics, Techniques, and Procedures (TTPs) te ontleden. Je leert hoe je de achtergebleven digitale bewijsstukken, de zogenaamde Indicators of Compromise (IoCs), kunt opsporen en interpreteren.
De leerstof dekt een breed scala aan moderne dreigingen; denk hierbij aan psychologische trucs zoals Social Engineering, maar ook aan technische aanvallen zoals SQL Injections, Ransomware en Man-in-the-Middle aanvallen. Daarnaast maak je kennis met methodische frameworks zoals het Diamond Model en MITRE D3FEND, die je helpen om complexe aanvallen (zoals Advanced Persistent Threats) te structureren en te stoppen.
Hands-on labs:
Zelf aanvallen uitvoeren: Je voert verschillende aanvallen uit, waaronder SQL injection, Cross-Site Scripting (XSS), network scanning, DoS, en brute force aanvallen. Het doel hiervan is om de achterliggende TTPs en de resulterende IoCs van binnenuit te leren begrijpen.
Analyseren met Wireshark: Je leert hoe je met de tool Wireshark netwerkverkeer kunt onderscheppen om IoCs te detecteren en te analyseren.
In deze module leer je hoe je de 'voetafdrukken' van digitale activiteiten effectief beheert binnen een SIEM-omgeving. Je krijgt inzicht in het volledige proces van hoe gegevens worden gegenereerd op diverse bronnen - denk aan Windows Event Logs, Linux Logs, Firewalls en webservers zoals Apache of IIS - en hoe je deze vervolgens veilig opslaat en centraal verzamelt. Het draait hierbij om het transformeren van ruwe data naar bruikbare informatie via processen zoals log normalization, parsing en correlation, zodat je verbanden kunt leggen tussen ogenschijnlijk losstaande gebeurtenissen en snel kunt reageren via Alerting and Reporting wanneer zich een Incident voordoet.
Hands-on labs:
Logs beheren: Je gaat zelf verschillende soorten logs configureren, monitoren en analyseren om afwijkingen te leren herkennen.
Centralisatie met Splunk: Je leert hoe je logs van uiteenlopende apparaten en systemen verzamelt naar één centrale locatie met behulp van de krachtige tool Splunk.
In deze module draait alles om het hart van de operatie in een Security Operations Center (SOC): het tijdig herkennen en beoordelen van verdachte signalen. Je leert hoe een SIEM-systeem (Security Information and Event Management) functioneert als de centrale spil om afwijkingen in het netwerk op te sporen. Het gaat hierbij niet alleen om de techniek, maar vooral om het ontwikkelen van slimme use cases; scenario's die specifiek zoeken naar gedrag dat op een aanval wijst, zoals een plotselinge Remote Code Execution (RCE) of het manipuleren van Windows logbestanden. Dankzij de integratie van AI leer je bovendien hoe je de enorme stroom aan meldingen efficiënt kunt filteren (triage) en vertalen naar overzichtelijke dashboards en rapportages voor het management.
Hands-on labs:
Detectie bouwen in Splunk & ELK: Je ontwikkelt zelf filters voor een breed scala aan dreigingen, van ransomware en SQL injections tot het herkennen van credential dumping (het stelen van wachtwoorden) via tools als Mimikatz.
SIGMA rules: Je leert hoe je deze universele regels inzet om je zoekopdrachten en alerts in Splunk te verfijnen.
Visualisatie: Je ontwerpt eigen dashboards in zowel Splunk als de ELK-stack om incidenten in één oogopslag inzichtelijk te maken.
Correlatie in Log 360: Je stelt correlatieregels op in ManageEngine Log 360 om complexe aanvalspatronen, zoals een brute-force aanval, automatisch te herkennen.
Waar we eerder leerden reageren op meldingen, richt deze module zich op het voorkomen en actief opsporen van gevaren voordat ze schade aanrichten. Je verdiept je in Cyber Threat Intelligence (CTI): het verzamelen en analyseren van informatie over bekende aanvallers en hun methoden. Door deze intelligentie te koppelen aan je SIEM, kun je het aantal valse meldingen (false positives) drastisch verminderen. Daarnaast leer je de kunst van Threat Hunting; een proactieve zoektocht binnen je eigen netwerk naar verborgen dreigingen die door standaard beveiligingsfilters zijn geglipt. Je maakt hierbij gebruik van geavanceerde technieken zoals AI-driven detection, de Threat Intelligence Lifecycle en gedragsanalyse via UEBA (User and Entity Behavior Analytics).
Hands-on labs:
Intelligence integreren: Je leert hoe je externe dreigingsgegevens (OTX threat data) en IoCs direct koppelt aan systemen zoals de ELK Stack en OSSIM.
Geavanceerde detectie met YARA: Je gebruikt YARA-rules om specifieke malwarepatronen en incidenten op te sporen binnen Windows Servers.
Threat Hunting in de praktijk: Je voert actieve zoektochten uit met behulp van PowerShell-scripts, de Hunt Manager in Velociraptor, en beheertools zoals Sophos Central en Log360 UEBA.
In deze module leer je wat er moet gebeuren op het moment dat een dreiging werkelijkheid wordt. Je ontdekt hoe het Incident Response Team (IRT) nauw samenwerkt met het SOC om geëscaleerde incidenten af te handelen. Het proces volgt een gestructureerde weg: van de eerste melding in een Ticketing System tot aan Containment (het indammen van de schade), Eradication (het volledig verwijderen van de dreiging) en uiteindelijk Recovery (het herstellen van de systemen). Je maakt kennis met moderne technieken om dit proces te versnellen, zoals EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) en SOAR (Security Orchestration, Automation, and Response), waarbij je gebruikmaakt van gestandaardiseerde actieplannen, ook wel Playbooks genoemd.
Hands-on labs:
Incidentbeheer: Je leert tickets genereren en professionele incidentrapportages opstellen met OSSIM.
Schade beperken en herstellen: Je oefent met het indammen van datalekken en het volledig herstellen van systemen na gegevensverlies.
Dreigingen elimineren: Je gaat specifiek aan de slag met het verwijderen van actieve SQL injection en XSS incidenten.
Automatisering en Detectie: Je voert geautomatiseerde detectie en response uit met Wazuh, spoort dreigingen op met Sophos Central XDR en leert hoe je deze XDR-oplossing integreert met Splunk voor een centraal overzicht.
In deze module leer je hoe je na een digitale inbraak bewijsmateriaal verzamelt en analyseert. Het doel van Forensic Investigation is om precies te achterhalen wat er is gebeurd, hoe de aanvaller is binnengekomen en welke data eventueel is geraakt. Je leert een gestructureerde methodologie om sporen veilig te stellen in netwerken, applicaties en e-mailsystemen. Daarnaast duik je in de wereld van Malware Analysis. Je leert verdachte bestanden ontleden om hun ware aard te ontdekken. Dit doe je door middel van Static Malware Analysis (het bestand bekijken zonder het uit te voeren) en Dynamic Malware Analysis (het bestand observeren in een veilige omgeving terwijl het draait), zodat je de verdediging van de organisatie in de toekomst kunt versterken.
Hands-on labs:
Forensisch onderzoek: Je voert diepgaand onderzoek uit naar applicatie-incidenten, zoals SQL injection aanvallen, en gebruikt de tool Velociraptor om gecompromitteerde systemen volledig door te lichten.
Geheugenanalyse: Je leert hoe je het werkgeheugen (RAM) van een computer analyseert op verdachte activiteiten met behulp van Redline.
Malware ontleden: Je voert static analysis uit met PeStudio, controleert bestanden via VirusTotal en observeert het gedrag van actieve malware op Windows met Process Hacker.
In deze laatste module verplaatsen we de focus van lokale netwerken naar de cloud. Je leert hoe je SOC-processen, zoals monitoring en incidentdetectie, specifiek inricht voor cloudomgevingen. De dynamische aard van de cloud vraagt om een andere aanpak en het gebruik van cloud-native tools. Je verkent de beveiligingsarchitectuur van de drie grootste platformen: AWS (Amazon Web Services), Azure en GCP (Google Cloud Platform). Hierbij maak je kennis met krachtige oplossingen zoals Microsoft Sentinel, AWS Security Hub en het Google Cloud Security Command Center. Het draait in deze module om het creëren van een centraal overzicht via Centralized Logging (bijvoorbeeld met OpenSearch en Chronicle) en het automatiseren van de beveiliging in een schaalbare omgeving.
Hands-on Labs:
Implementatie van Microsoft Sentinel: Je leert hoe je Microsoft Sentinel configureert en implementeert binnen een Azure-omgeving om dreigingen in de cloud op te sporen en erop te reageren.
This training is scheduled as follows in the coming period. Missing a date? Feel free to contact us.
Location: TSTC Veenendaal - Klassikaal & Live Online
Price: € 2.795,- ex BTW
Location: TSTC Veenendaal - Klassikaal & Live Online
Price: € 2.795,- ex BTW
Location: TSTC Veenendaal - Klassikaal & Live Online
Price: € 2.795,- ex BTW
Location: —
This training can also be taken as part of the below learning path(s). If you want to follow multiple titles from a learning path, please contact our advisors for a suitable bundle offer.
Train smarter, not harder. TSTC's unique approach guarantees the effective acquisition of skills and the greatest chance of success.
Learn more about TSTC
