Afstudeerstage (HBO) – Implementatie Maester in de offensieve security toolset

PGGM wil Maester implementeren als onderdeel van de offensieve security toolset. Maester is een open-source, PowerShell-based test automation framework dat helpt om de Microsoft 365/Entra ID security configuration te monitoren en te borgen met geautomatiseerde tests.

Maester is ontworpen om o.a.:

• Ready-made tests te draaien en regressietests te gebruiken bij wijzigingen,
• Continuous monitoring in te richten via CI/CD (bijv. GitHub Actions of Azure DevOps.

Daarnaast kan Maester integreren met Entra ID Security Config Analyzer (EIDSCA) voor aanvullende Entra ID-checks en mapping richting MITRE ATT&CK. Kortom: met Maester willen we structureel aantoonbaar maken dat onze Entra ID/M365 security baseline klopt én blijft kloppen.

Wat ga je doen?

1) Analyse & ontwerp (security + technisch)

• Inventariseren van de huidige Entra ID/M365 security controls en relevante offensieve use-cases.
• Bepalen van scope: welke Maester testsets (bijv. Entra ID/Conditional Access) zijn prioriteit.
• Ontwerp van een target operating model: wie is eigenaar, wie fixt findings, hoe rapporteren we, hoe gaan we om met uitzonderingen.
• Analyseren van conditional access en voorbereiden van changes zodat Maester binnen de juiste richtlijnen gebruikt kan gaan worden.
• Beschrijven hoe Maester gebruik maakt van Pester.

Maester biedt per test ook configuratie-uitleg en remediation guidance; dat willen we op een bruikbare manier in het proces landen. [maester.dev]

2) Implementatie Maester (Proof-of-Value → productiewaardig)

• Installeren en configureren van Maester en tests.
• Inrichten van automatisering (keuze in overleg, bijvoorbeeld):
  • GitHub Actions integratie (incl. artifacts en workflow summary)
  • of Azure DevOps Pipelines (Maester ondersteunt dit als integratie-optie).
• Inregelen van veilige authenticatie, bij voorkeur met Workload Identity Federation zodat er geen secrets nodig zijn in pipelines/automation.
• Inrichten van output en rapportage (Maester kan resultaten o.a. exporteren naar HTML/JSON/Markdown/CSV/Excel).

3) Baseline, teststrategie & uitbreidingen

• Selecteren en tunen van relevante tests (reduce false positives, juiste severity/impact).
• Opzetten van een baseline (wat is “expected” in PGGM-context) en definiëren van acceptatiecriteria.
• Optioneel: schrijven van aanvullende custom tests (Pester) die PGGM-specifieke policies afdwingen (“security as code”).

4) Governance, processen & overdracht

• Proces ontwerpen voor:
  • intake en prioritering van findings,
  • escalatie en owner-toewijzing,
  • uitzonderingen (risk acceptance) en audit trail,
  • periodieke rapportage (trend, drift, top-risico’s).
• Inrichten van notificaties (bijv. naar e-mail of Teams; Maester ondersteunt notificaties naar o.a. e-mail/Teams/Slack).
• Opleveren van runbooks, beheerdocumentatie en een korte kennissessie voor SecOps.

Op te leveren beroepsproducten

Aan het einde van je afstudeerstage lever je (minimaal) op:

1. Technisch ontwerpdocument (architectuur, keuzes, security-by-design, authenticatie, pipeline-opzet).
2. Werkende Maester implementatie in de gekozen automation omgeving (incl. scheduled runs en/of run-on-change waar passend).
3. Governance & procesbeschrijving (RACI/rollen, exception flow, reporting cadence, beheer).
4. Teststrategie & baseline (scope, selectie, acceptatiecriteria, roadmap voor uitbreiding).
5. Runbook & beheerdocumentatie (install/update, troubleshooting, hoe findings opgevolgd worden).
6. Eindrapport + demo/overdracht aan het SecOps team.

Je afstudeerstage bestaat uit:

• ±400 uur meedraaien binnen het SecOps-team om praktijkervaring op te doen (processen, tooling, incidenten).
• ±400 uur afstudeeropdracht waarin je Maester implementeert, governance/processen uitwerkt en een beroepsproduct oplevert.

Wanneer? September 2026 – februari 2027 

Binnen het Security Operations (SecOps) team van PGGM werken we aan het continu verbeteren van onze detectie-, response- én preventiecapaciteiten. Voor onze offensieve security aanpak willen we meer automatiseren en “security as code” toepassen: consistente, herhaalbare checks op onze Microsoft-cloudconfiguratie (Entra ID/M365), zodat misconfiguraties en configuratiedrift sneller zichtbaar worden en beheerst kunnen worden.

Must-have (skills & mindset)

• Sterke technische IT-basis: Windows/PowerShell, Azure/Entra ID basisbegrippen, scripting/automation.
• Affiniteit met offensieve security (denken in aanvalspaden/misconfiguraties/controlepunten).
• Analytisch, zelfstandig, en je kunt keuzes onderbouwen (HBO-niveau: onderzoekend vermogen).

Nice-to-have

• Ervaring met CI/CD (GitHub Actions/Azure DevOps) en IaC/DevSecOps principes.
• Basiskennis Microsoft security domeinen (Conditional Access, identity, tenant hardening).
• Ervaring met testframeworks (Pester is een pré; Maester bouwt hierop voort).

Je draait mee in het SecOps-team en krijgt:

• Een vaste stage-begeleider,
• Inhoudelijke sparring met engineers/analisten,
• Toegang tot relevante documentatie en stakeholders.
• Een stagevergoeding van €1016 per maand, volledige vergoeding van reiskosten en vergoeding van kosten die gepaard gaan met thuiswerken (ca. €70 per maand).

Heb je vragen? Neem dan contact op met Recruiter Meryem el Ajjouri via meryem.el.ajjouri@pggm.nl

Informatie over de sollicitatieprocedure vind je terug op onze website.