💼 Management Samenvatting
Automation playbooks in Microsoft Sentinel vormen het hart van Security Orchestration, Automation and Response (SOAR) voor moderne SOC-teams. In plaats van iedere melding handmatig af te handelen, leggen playbooks vast welke acties bij welk type incident automatisch, halfautomatisch of na expliciete goedkeuring moeten worden uitgevoerd. Voor Nederlandse overheidsorganisaties, die vaak met een beperkt SOC-team duizenden signalen per dag verwerken, zijn goed ontworpen playbooks essentieel om reactietijden te verkorten, menselijke fouten te beperken en aantoonbaar te voldoen aan vereisten uit de Baseline Informatiebeveiliging Overheid (BIO), NIS2, de Wbni en de Nederlandse Baseline voor Veilige Cloud. Zonder een doordachte automatiseringslaag blijft incidentrespons sterk afhankelijk van individuele analisten, ontstaan er verschillen tussen dag- en nachtdiensten en is het lastig om consequent dezelfde kwaliteit van opvolging te garanderen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
180u (tech: 120u)
Van toepassing op:
✓ Azure
De druk op security operations binnen de Nederlandse publieke sector neemt continu toe: NIS2 breidt de groep vitale en belangrijke aanbieders uit, toezichthouders verwachten dat organisaties snel en gestructureerd reageren op incidenten en bestuurders willen harde cijfers zien over responstijden en rest-risico's. Handmatige afhandeling van veelvoorkomende scenario's, zoals het blokkeren van een gecompromitteerd account, het isoleren van een endpoint, het intrekken van sessies of het informeren van een CISO, is foutgevoelig en schaalbaarheidsbeperkend. Bovendien is het voor auditors en toezichthouders moeilijker om achteraf te reconstrueren welke stappen precies zijn genomen en waarom. Door Sentinel Automation Playbooks centraal te ontwerpen, te documenteren en te testen ontstaat een reproduceerbare responsketen die zowel menselijke beslissingen als geautomatiseerde acties helder vastlegt. Dit stelt overheidsorganisaties in staat om incidentrespons te standaardiseren, forensische bewijsvoering te versterken en beter aan te tonen dat passende technische en organisatorische maatregelen zijn getroffen.
PowerShell Modules Vereist
Primary API: Azure Resource Manager, Azure Security Insights
Connection:
Required Modules: Az.Accounts, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Resources
Implementatie
Dit artikel beschrijft hoe overheidsorganisaties Sentinel Automation Playbooks kunnen inzetten om een betrouwbare, gecontroleerde en uitlegbare SOAR-capability op te bouwen. We behandelen het ontwerp van een playbook-architectuur, het gebruik van Azure Logic Apps als uitvoerlaag, het beheer van connecties en service-principals, en de inrichting van goedkeuringsstappen voor gevoelige acties. Vervolgens laten we zien hoe u bibliotheken met herbruikbare playbooks opbouwt voor veelvoorkomende scenario's zoals verdachte aanmeldingen, phishing-incidenten, malware-uitbraken en misbruik van privileges, en hoe u deze koppelt aan Sentinel-analyseregels en incidenttemplates. Speciale aandacht gaat uit naar governance en compliance: wie mag playbooks aanpassen, hoe borgt u dat wijzigingen worden getest voordat ze in productie gaan, en hoe documenteert u dat automatische acties in lijn zijn met beleid, privacyregels en Wbni-vereisten. Tot slot leggen we uit hoe het PowerShell-script automation-playbooks.ps1 gebruikt kan worden om een actueel overzicht van playbooks, hun run-status en configuratie op te bouwen als input voor rapportages en AI-ondersteunde analyses.
Architectuur en ontwerpprincipes voor Sentinel Automation Playbooks
Een solide architectuur voor Sentinel Automation Playbooks begint met een duidelijke scheiding tussen detectie, orkestratie en uitvoering. Sentinel zelf fungeert als detectie- en orkestratielaag: analytische regels genereren incidenten en alerts, waarna playbooks worden gebruikt om vervolgacties te starten. De uitvoering vindt grotendeels plaats in Azure Logic Apps, die via connectors communiceren met Microsoft 365, Azure AD, Defender-producten, ticketingsystemen en andere omgevingen. Voor Nederlandse overheidsorganisaties is het essentieel om deze architectuur expliciet te ontwerpen en te documenteren: welke playbooks zijn generiek, welke zijn specifiek voor een bepaalde organisatieonderdeel, en welke acties zijn toegestaan binnen de grenzen van beleid, privacy en proportionaliteit. Door een gelaagde opzet met centrale 'core'-playbooks en daarboven organisatie- of domeinspecifieke varianten, voorkomt u wildgroei en blijft onderhoud beheersbaar.
Een tweede ontwerpprincipe is het werken met duidelijke playbook-patronen. Voor elk type dreiging of scenario wordt vastgelegd welke stappen minimaal moeten worden uitgevoerd, welke data moet worden verzameld, waar beslismomenten liggen en welke acties zich lenen voor volledige of gedeeltelijke automatisering. Bij een verdachte aanmelding kan een basispatroon er als volgt uitzien: initiale dataverzameling (aanmeldlocaties, gebruikte apparaten, recente activiteiten), risicobeoordeling op basis van beleidsregels, een voorstel voor containmentmaatregelen (sessies intrekken, MFA forceren of account blokkeren) en communicatie naar de verantwoordelijke lijnmanager. In plaats van dit telkens per incident te bedenken, embedt u dit patroon als playbook dat door meerdere analytische regels kan worden aangeroepen. Variabelen zoals betrokken organisatieonderdelen, classificatie of impact worden als parameters meegegeven, zodat hetzelfde playbook flexibel inzetbaar blijft over verschillende tenants, businessunits of applicaties heen.
Verder is het belangrijk om ontwerpbeslissingen te nemen over vertrouwensniveaus en goedkeuringsmechanismen. Sommige acties, zoals het genereren van rapportages, het registreren van tickets of het verrijken van incidenten met threat intelligence, kunnen doorgaans volledig automatisch plaatsvinden. Andere stappen, zoals het blokkeren van accounts van bestuurders, het isoleren van kritieke servers of het blokkeren van een hele IP-range, vragen om expliciete goedkeuring door een incident commander of verantwoordelijke manager. Logic Apps biedt hiervoor ingebouwde goedkeuringsflows via e-mail, Teams of andere kanalen. In de context van de Nederlandse Baseline voor Veilige Cloud is het verstandig om voor elk playbook helder te documenteren welke stappen autonoom zijn, welke door mensen worden goedgekeurd en welke uitsluitend als voorstel worden gedaan. Dit voorkomt ongewenste impact en ondersteunt de verantwoording richting auditors en toezichthouders.
Tot slot horen toegangsbeheer en scheiding van verantwoordelijkheden expliciet bij het ontwerp. De service-principals en managed identities waarmee playbooks worden uitgevoerd, moeten strikt de minimale rechten hebben die noodzakelijk zijn om de beoogde acties uit te voeren. Voor overheidsorganisaties betekent dit onder meer dat rechten voor het aanpassen van gebruikersaccounts, groepen of apparaten niet op persoonlijke accounts worden gelegd, maar op gecontroleerde identities met logging, periodieke review en sterke authenticatie. Role Based Access Control (RBAC) in Azure en Microsoft 365 wordt gebruikt om te scheiden tussen roltypen zoals playbook-ontwerper, security-analist, operations-beheerder en auditor. Deze rollen en hun bevoegdheden worden vastgelegd in beleid, zodat bij personeelswisselingen of uitbesteding helder blijft wie welke wijzigingen mag doen en wie toezicht houdt op de kwaliteit en veiligheid van automatisering.
Implementatie en praktijkvoorbeelden van automatisering
De implementatie van Automation Playbooks verloopt idealiter in fasen, waarbij organisaties beginnen met low-risk, high-volume scenario's om ervaring op te bouwen. Een eerste stap is vaak het automatisch verrijken van incidenten met aanvullende informatie: het opvragen van gebruikersgegevens, het ophalen van recente aanmeldingen, het raadplegen van Defender-waarschuwingen of het toevoegen van context uit CMDB- of HR-systemen. Dergelijke verrijkingsplaybooks veranderen niets in de productieomgeving, maar besparen analisten veel tijd en zorgen voor een consequente datavoorziening bij ieder incident. Door deze playbooks te koppelen aan verschillende analytische regels wordt verrijking een standaardonderdeel van incidentcreatie, waardoor analyseresultaten betrouwbaarder worden en forensische reconstructies eenvoudiger zijn. In Nederlandse overheidsomgevingen helpt dit om sneller te bepalen of meldplichten onder Wbni of AVG van toepassing zijn, omdat relevante feiten direct gebundeld beschikbaar zijn.
In een volgende fase richten organisaties playbooks in die remediërende acties voorstellen en eventueel voorbereiden, maar nog niet zelfstandig uitvoeren. Denk aan playbooks die voor een verdachte mailbox alvast een conceptticket in het ITSM-systeem aanmaken, een overzicht genereren van recente verzonden berichten, forwardingregels controleren en een conceptadvies formuleren voor verdere stappen. De analist of incident commander beoordeelt deze voorstellen en kiest welke acties daadwerkelijk worden gestart. Door deze 'human in the loop'-aanpak blijft de mens aan het stuur, terwijl de bulk van het voorbereidende werk is geautomatiseerd. Dit past bij de governanceverwachtingen in de publieke sector, waar proportionaliteit, zorgvuldigheid en controleerbaarheid belangrijker zijn dan maximale automatiseringsgraad. Tegelijkertijd levert het harde winst op in doorlooptijd en consistentie van opvolging.
Pas wanneer deze halfautomatische scenario's stabiel draaien, is het verstandig om volledig geautomatiseerde acties te introduceren. Hiervoor selecteren organisaties doorgaans duidelijke, afgebakende use-cases met een laag risico op ongewenste neveneffecten, zoals het automatisch intrekken van refresh tokens bij bevestigde credential diefstal, het tijdelijk blokkeren van guest-accounts bij beleidsoverschrijdingen of het taggen van verdachte apparaten voor nader onderzoek. Elke nieuwe automatische actie wordt vooraf getest in een gescheiden omgeving, doorloopt een changeproces en wordt vastgelegd in zowel technische documentatie als beleid. Daarbij hoort expliciet dat is nagedacht over fallback-scenario's: wat gebeurt er als een playbook faalt, als een externe API niet beschikbaar is of als een automatische blokkade een cruciaal proces raakt? Heldere logging, run history en alerting op fouten zijn hierbij onmisbare componenten.
Gebruik PowerShell-script automation-playbooks.ps1 (functie Invoke-PlaybookInventory) – Inventariseert Sentinel Automation Playbooks via Azure Resource Manager en genereert een JSON-overzicht met configuratie, status en basisgovernance-indicatoren voor gebruik in rapportages en AI-analyses..
Het PowerShell-script automation-playbooks.ps1 ondersteunt deze implementatie door een actueel overzicht op te halen van alle Logic App-playbooks die aan Sentinel zijn gekoppeld. In productiemodus maakt het script verbinding met Azure via Connect-AzAccount en leest het via Az.Resources alle relevante workflows uit, inclusief informatie over resourcegroepsnamen, regio's, tags, triggerconfiguratie en gebruikte managed identities. In DebugMode kan hetzelfde script zonder Azure-verbinding worden uitgevoerd, waarbij het voorbeelddata retourneert die representatief is voor een reële omgeving. Dit maakt het mogelijk om lokaal dashboards, rapportages en AI-prompts te ontwikkelen zonder toegang tot productiegegevens. Het JSON-resultaat kan worden opgeslagen als auditbewijs, gevoed worden naar Copilot for Security voor nadere analyse of worden gebruikt om verschillen tussen omgevingen (bijvoorbeeld OT, kantoorautomatisering en testtenants) in kaart te brengen.
Governance, compliance en continue verbetering van playbooks
Governance rond Automation Playbooks is cruciaal om te voorkomen dat goedbedoelde automatisering tot nieuwe risico's leidt. Nederlandse overheidsorganisaties doen er goed aan een multidisciplinair overleg in te richten waarin security, privacy, juridische zaken, IT-operations en interne audit samen bepalen welke playbooks zijn toegestaan, welke acties geautomatiseerd mogen worden en onder welke voorwaarden. Iedere wijziging aan een playbook doorloopt een formeel wijzigingsproces met duidelijke rollen: wie mag ontwikkelen, wie test, wie keurt goed en wie monitort de werking in productie. Versiebeheer via Git, duidelijke naamgevingsconventies en koppeling aan change- en releasekalenders helpen om overzicht te behouden, zeker wanneer meerdere leveranciers of uitbestede SOC-partners aan dezelfde omgeving werken. Deze governanceprocessen worden expliciet opgenomen in het securitybeleid en in documentatie rond de Nederlandse Baseline voor Veilige Cloud, zodat duidelijk is hoe automatisering is ingebed in het bredere risicomanagementkader.
Vanuit complianceperspectief spelen Automation Playbooks een belangrijke rol bij het aantoonbaar maken van passende maatregelen onder BIO, NIS2 en AVG. De BIO schrijft voor dat beveiligingsincidenten tijdig worden gedetecteerd, geanalyseerd en opgevolgd; NIS2 voegt daar expliciete vereisten aan toe rond meldplichten, responstijden en documentatie. Goed ingerichte playbooks helpen om aan deze eisen te voldoen, mits logging en rapportage op orde zijn. Elke playbookrun moet herleidbaar zijn tot een incident, een verantwoordelijke en concrete uitgevoerde acties. Daarbij is het belangrijk dat organisaties transparant zijn richting medewerkers en burgers over welke geautomatiseerde acties worden uitgevoerd, welke gegevens hiervoor worden verwerkt en hoe lang die gegevens worden bewaard. Deze informatie hoort thuis in DPIA's, verwerkingsregisters en communicatie richting ondernemingsraden of medezeggenschapsorganen, zeker wanneer playbooks ingrijpen op accounts, apparaten of mailboxen van medewerkers.
Continue verbetering vormt de derde pijler. Dreigingsbeelden veranderen, nieuwe Microsoft-functies worden geïntroduceerd en organisaties doen ervaring op met de effectiviteit van hun playbooks. Dit vraagt om periodieke evaluaties waarin wordt gekeken naar metrics zoals gemiddelde responstijd, percentage incidenten dat volledig volgens playbook is afgehandeld, het aantal mislukte runs en de frequentie van handmatige overrides. Op basis van deze inzichten kunnen playbooks worden aangescherpt, uitgebreid of juist versimpeld. Het eerder genoemde script automation-playbooks.ps1 kan hierbij helpen door objectieve data aan te leveren over de playbookpopulatie, zoals aantallen per type, gebruiksfrequentie en verdeling over omgevingen. Door verbetercycli te koppelen aan bredere security governance-processen, zoals jaarlijkse ENSIA-selfassessments, NIS2-audits of portfolioreviews van de CISO, ontstaat een duurzaam programma waarin automatisering stap voor stap volwassen wordt zonder de beheersbaarheid uit het oog te verliezen.
Compliance & Frameworks
- BIO: 12.04, 16.01, 17.03 - Geautomatiseerde afhandeling, logging en opvolging van beveiligingsgebeurtenissen met gestandaardiseerde playbooks.
- ISO 27001:2022: A.16.1, A.12.4.1 - Gestroomlijnd incidentmanagement en controleerbare responsprocessen met behulp van geautomatiseerde workflows.
- NIS2: Artikel - Tijdige detectie, respons en documentatie van incidenten met inzet van geautomatiseerde maatregelen en playbooks.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Inventariseert Microsoft Sentinel Automation Playbooks en genereert
een JSON-overzicht voor governance, rapportage en AI-analyses.
.DESCRIPTION
Dit script leest via Azure Resource Manager de Logic Apps uit die als
Automation Playbooks voor Microsoft Sentinel worden gebruikt.
De uitvoer bestaat uit een gestructureerd JSON-object met onder andere:
- Resourcegroep en locatie
- Type playbook (bijvoorbeeld verrijking, notificatie, remediatie)
- Ingeschakelde status
- Informatie over de gebruikte identiteiten
- Basisgovernance-indicatoren (tags, laatste wijzigingsdatum)
Het script wijzigt GEEN resources. Het is volledig read-only en
geschikt voor gebruik in productieomgevingen van Nederlandse
overheidsorganisaties, zowel interactief als vanuit geautomatiseerde
controles en AI-ondersteunde analyses.
.NOTES
Filename: automation-playbooks.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/sentinel/automation-playbooks.json
.EXAMPLE
.\automation-playbooks.ps1 -SubscriptionId "00000000-0000-0000-0000-000000000000"
Haalt alle Logic App-playbooks binnen de opgegeven subscription op en
geeft een JSON-overzicht terug.
.EXAMPLE
.\automation-playbooks.ps1 -SubscriptionId "00000000-0000-0000-0000-000000000000" `
-ResourceGroup "rg-sentinel-automation"
Filtert de inventarisatie op één resourcegroep.
.EXAMPLE
.\automation-playbooks.ps1 -DebugMode
Voert een lokale debug-run uit zonder verbinding met Azure en retourneert
voorbeelddata voor ontwikkeling en tests.
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[string]$SubscriptionId,
[Parameter(Mandatory = $false)]
[string]$ResourceGroup,
[Parameter(Mandatory = $false)]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Microsoft Sentinel Automation Playbooks - Inventarisatie en governance"
function Connect-RequiredServices {
<#
.SYNOPSIS
Zorgt voor een geldige Azure-context voor read-only queries.
#>
if ($DebugMode) {
return
}
if (-not (Get-AzContext)) {
Connect-AzAccount -ErrorAction Stop | Out-Null
}
if ($SubscriptionId) {
Select-AzSubscription -SubscriptionId $SubscriptionId -ErrorAction Stop | Out-Null
}
}
function Get-DebugPlaybookSample {
<#
.SYNOPSIS
Levert voorbeelddata voor lokale debugging zonder Azure-verbinding.
#>
$now = Get-Date
$playbooks = @(
[PSCustomObject]@{
Name = "pb-sentinel-enrich-incident"
DisplayName = "Sentinel - Incidentverrijking (debug)"
ResourceGroupName = "rg-sentinel-automation-debug"
Location = "westeurope"
Enabled = $true
Kind = "Stateful"
SkuName = "Standard"
TriggerType = "Microsoft Sentinel"
PlaybookCategory = "Enrichment"
ManagedIdentity = "SystemAssigned"
Tags = @{ "Environment" = "Debug"; "Owner" = "Security" }
LastModifiedTime = $now.AddDays(-3)
ProvisioningState = "Succeeded"
},
[PSCustomObject]@{
Name = "pb-sentinel-auto-contain"
DisplayName = "Sentinel - Automatische containment (debug)"
ResourceGroupName = "rg-sentinel-automation-debug"
Location = "westeurope"
Enabled = $false
Kind = "Stateless"
SkuName = "Standard"
TriggerType = "Manual/Sentinel"
PlaybookCategory = "Remediation"
ManagedIdentity = "UserAssigned"
Tags = @{ "Environment" = "Debug"; "RequiresApproval" = "true" }
LastModifiedTime = $now.AddDays(-10)
ProvisioningState = "Succeeded"
}
)
$summary = [PSCustomObject]@{
Script = "automation-playbooks.ps1"
Timestamp = $now
SubscriptionId = $SubscriptionId
ResourceGroup = $ResourceGroup
TotalPlaybooks = $playbooks.Count
EnabledCount = ($playbooks | Where-Object { $_.Enabled }).Count
DisabledCount = ($playbooks | Where-Object { -not $_.Enabled }).Count
RequiresApproval = ($playbooks | Where-Object { $_.Tags["RequiresApproval"] -eq "true" }).Count
Items = $playbooks
}
return $summary
}
function Get-SentinelAutomationPlaybooks {
<#
.SYNOPSIS
Haalt Logic Apps op die als Sentinel Automation Playbooks worden gebruikt.
.DESCRIPTION
Filtert op het resourcetype 'Microsoft.Logic/workflows'. In veel omgevingen
worden Sentinel-playbooks herkenbaar gemaakt via naamgeving of tags, maar
dit script retourneert standaard alle Logic Apps binnen de selectie.
#>
param(
[Parameter(Mandatory = $false)]
[string]$ResourceGroup
)
$filter = "resourceType eq 'Microsoft.Logic/workflows'"
if ($ResourceGroup) {
$resources = Get-AzResource -ResourceGroupName $ResourceGroup -ODataQuery $filter -ErrorAction Stop
}
else {
$resources = Get-AzResource -ODataQuery $filter -ErrorAction Stop
}
$result = @()
foreach ($res in $resources) {
$logicApp = Get-AzResource -ResourceId $res.ResourceId -ExpandProperties -ErrorAction SilentlyContinue
$props = $logicApp.Properties
$definition = $props.definition
$triggers = $definition.triggers
$managedIdent = $props.identity
$triggerType = $null
$category = $null
if ($triggers) {
foreach ($key in $triggers.Keys) {
$t = $triggers[$key]
if ($t.type) {
$triggerType = $t.type
break
}
}
}
if ($logicApp.Tags) {
if ($logicApp.Tags["PlaybookCategory"]) {
$category = $logicApp.Tags["PlaybookCategory"]
}
elseif ($logicApp.Tags["Category"]) {
$category = $logicApp.Tags["Category"]
}
}
$managedIdentityType = $null
if ($managedIdent -and $managedIdent.type) {
$managedIdentityType = $managedIdent.type
}
$result += [PSCustomObject]@{
Name = $logicApp.Name
DisplayName = $logicApp.Name
ResourceGroupName = $logicApp.ResourceGroupName
Location = $logicApp.Location
Enabled = [bool]$props.enabled
Kind = $props.kind
SkuName = if ($props.sku) { $props.sku.name } else { $null }
TriggerType = $triggerType
PlaybookCategory = $category
ManagedIdentity = $managedIdentityType
Tags = $logicApp.Tags
LastModifiedTime = $props.changedTime
ProvisioningState = $props.provisioningState
}
}
return $result
}
function Invoke-PlaybookInventoryCore {
<#
.SYNOPSIS
Bouwt de kerninventarisatie van Automation Playbooks op.
#>
param(
[Parameter(Mandatory = $false)]
[string]$ResourceGroup
)
if ($DebugMode) {
return Get-DebugPlaybookSample
}
Connect-RequiredServices
$playbooks = Get-SentinelAutomationPlaybooks -ResourceGroup $ResourceGroup
$total = ($playbooks | Measure-Object).Count
$enabled = ($playbooks | Where-Object { $_.Enabled }).Count
$disabled = $total - $enabled
$requiresApproval = ($playbooks | Where-Object {
$_.Tags.ContainsKey("RequiresApproval") -and $_.Tags["RequiresApproval"] -eq "true"
}).Count
$summary = [PSCustomObject]@{
Script = "automation-playbooks.ps1"
Timestamp = Get-Date
SubscriptionId = (Get-AzContext).Subscription.Id
ResourceGroup = $ResourceGroup
TotalPlaybooks = $total
EnabledCount = $enabled
DisabledCount = $disabled
RequiresApproval = $requiresApproval
Items = $playbooks
}
return $summary
}
try {
$inventory = Invoke-PlaybookInventoryCore -ResourceGroup $ResourceGroup
$inventory | ConvertTo-Json -Depth 6
}
catch {
Write-Error $_
exit 1
}
# ================================================================================
# Standaard Invoke-* functie voor aanroep vanuit andere tooling of JSON-articles
# ================================================================================
function Invoke-PlaybookInventory {
<#
.SYNOPSIS
Toont een compacte samenvatting van Sentinel Automation Playbooks.
.DESCRIPTION
Deze functie is bedoeld als startpunt voor menselijke en AI-ondersteunde
analyses. Zij geeft kerncijfers over het aantal playbooks, de verdeling
tussen ingeschakeld/uitgeschakeld en het aantal playbooks dat expliciet
goedkeuring vereist volgens tags.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[string]$SubscriptionId,
[Parameter(Mandatory = $false)]
[string]$ResourceGroup,
[Parameter(Mandatory = $false)]
[switch]$DebugMode
)
try {
$script:SubscriptionId = $SubscriptionId
$script:DebugMode = $DebugMode
$inventory = Invoke-PlaybookInventoryCore -ResourceGroup $ResourceGroup
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Totaal playbooks : {0}" -f $inventory.TotalPlaybooks) -ForegroundColor White
Write-Host ("Ingeschakeld : {0}" -f $inventory.EnabledCount) -ForegroundColor White
Write-Host ("Uitgeschakeld : {0}" -f $inventory.DisabledCount) -ForegroundColor White
Write-Host ("Met RequiresApproval-tag : {0}" -f $inventory.RequiresApproval) -ForegroundColor White
$inventory | ConvertTo-Json -Depth 6
}
catch {
Write-Error $_
exit 1
}
}
Risico zonder implementatie
Risico zonder implementatie
High: Kritiek - Zonder goed ontworpen en beheerde Automation Playbooks blijven incidentresponsprocessen traag, inconsistente en moeilijk te verantwoorden richting toezichthouders, wat kan leiden tot escalaties, hogere schade en onvoldoende naleving van BIO, NIS2 en AVG.
Management Samenvatting
Richt Microsoft Sentinel Automation Playbooks in als kern van uw SOAR-strategie om incidentrespons te versnellen, fouten te verminderen en aantoonbaar te voldoen aan Nederlandse wet- en regelgeving.
- Implementatietijd: 180 uur
- FTE required: 1 FTE