💼 Management Samenvatting
Security analytics voor Microsoft Copilot in Microsoft 365 vormt een kritieke beveiligingscontrole die organisaties in staat stelt om bedreigingen, afwijkend gedrag en beveiligingsincidenten te detecteren die verband houden met het gebruik van AI-functionaliteit. Zonder uitgebreide security analytics beschikken organisaties niet over de benodigde zichtbaarheid om te identificeren wanneer Copilot wordt misbruikt voor kwaadaardige doeleinden, wanneer gevoelige gegevens onbedoeld worden blootgesteld via AI-interacties, of wanneer gebruikerspatronen wijzen op insider threats of externe aanvallen.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
140u (tech: 60u)
Van toepassing op:
✓ M365
✓ Microsoft Copilot
✓ Microsoft Purview
✓ Microsoft Sentinel
✓ Microsoft Defender
✓ Microsoft Copilot
✓ Microsoft Purview
✓ Microsoft Sentinel
✓ Microsoft Defender
Microsoft Copilot introduceert nieuwe aanvalsoppervlakken en beveiligingsrisico's die traditionele security monitoring tools mogelijk niet volledig afdekken. Ten eerste kunnen kwaadaardige actoren Copilot gebruiken om gevoelige informatie te extraheren door middel van gerichte prompts die zijn ontworpen om specifieke gegevens te onthullen, zoals persoonsgegevens, bedrijfsgeheimen of configuratie-informatie. Ten tweede kunnen insider threats Copilot misbruiken om ongeautoriseerde toegang te verkrijgen tot informatie waartoe zij normaal gesproken geen toegang zouden hebben, door gebruik te maken van de contextuele toegang die Copilot biedt op basis van bestaande gebruikersrechten. Ten derde kunnen prompt injection attacks worden gebruikt om Copilot te manipuleren om acties uit te voeren die buiten de bedoelde functionaliteit vallen, zoals het genereren van schadelijke code, het omzeilen van beveiligingscontroles of het lekken van vertrouwelijke informatie. Ten vierde kunnen anomalieën in Copilot-gebruikspatronen wijzen op gecompromitteerde accounts, waarbij aanvallers gebruik maken van gestolen credentials om toegang te verkrijgen tot Copilot-functionaliteit. Voor Nederlandse overheidsorganisaties zijn deze risico's bijzonder relevant omdat zij moeten voldoen aan strenge eisen voor beveiligingsmonitoring en incidentdetectie zoals vastgelegd in de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn en andere relevante cybersecurity frameworks. Een adequaat security analytics framework voor Copilot is daarom niet alleen een technische configuratie, maar een essentieel onderdeel van security operations en threat intelligence binnen de Nederlandse Baseline voor Veilige Cloud.
PowerShell Modules Vereist
Primary API: Microsoft Graph API / Microsoft Purview Compliance Portal
Connection:
Required Modules: Microsoft.Graph, ExchangeOnlineManagement, Microsoft.Graph.Security
Connection:
Connect-MgGraph / Connect-ExchangeOnlineRequired Modules: Microsoft.Graph, ExchangeOnlineManagement, Microsoft.Graph.Security
Implementatie
Dit artikel beschrijft de volledige reikwijdte van security analytics die beschikbaar zijn voor Microsoft Copilot in Microsoft 365, inclusief het configureren van geavanceerde logging en auditing, het implementeren van threat detection regels, het analyseren van gebruikerspatronen en anomalieën, en het integreren van Copilot-security events met bestaande Security Information and Event Management (SIEM) oplossingen zoals Microsoft Sentinel. Het artikel behandelt zowel technische configuratieopties als analytische processen die nodig zijn om bedreigingen te detecteren, zoals het opstellen van baseline gebruikerspatronen, het implementeren van machine learning-gebaseerde anomaliedetectie, en het instellen van geautomatiseerde waarschuwingen voor verdachte activiteiten. Daarnaast worden compliance-vereisten uit de BIO, NIS2 richtlijn en andere relevante cybersecurity frameworks besproken, evenals de manier waarop organisaties kunnen aantonen dat zij passende security monitoring hebben geïmplementeerd om bedreigingen te detecteren en te reageren op beveiligingsincidenten die verband houden met Copilot-gebruik.
Vereisten voor Security Analytics
Voor het implementeren van effectieve security analytics voor Microsoft Copilot in Microsoft 365 zijn verschillende technische, organisatorische en operationele vereisten noodzakelijk. Op technisch niveau is een Microsoft 365 E5 licentie of een vergelijkbare licentiecombinatie met Microsoft Purview en Microsoft Sentinel functionaliteit vereist, omdat geavanceerde security analytics zoals threat detection, anomaliedetectie en SIEM-integratie beschikbaar zijn via deze services. Daarnaast is toegang tot het Microsoft Purview Compliance Portal, Microsoft Sentinel workspace en Microsoft Graph API vereist voor het configureren van security analytics, evenals de juiste beheerdersrollen zoals Security Administrator, Compliance Administrator of Security Analyst. Voor geavanceerde analytics kan het gebruik van Microsoft Graph API en PowerShell-modules zoals Microsoft.Graph.Security vereist zijn om security events programmatisch te analyseren en te monitoren.
Op organisatorisch niveau vereist effectieve security analytics duidelijke security operations structuren en incident response processen. Dit begint met het vaststellen van een security monitoring beleid specifiek voor Copilot-gebruik, waarin expliciet wordt beschreven welke security events worden gemonitord, welke detectieregels worden geïmplementeerd, en welke responsacties worden ondernomen wanneer bedreigingen worden gedetecteerd. Dit beleid moet worden ontwikkeld in samenwerking met de CISO, security operations teams en eventuele andere relevante stakeholders zoals threat intelligence teams en incident response teams. Daarnaast is het essentieel om security analisten te trainen in het herkennen en analyseren van Copilot-gerelateerde security events, bijvoorbeeld door het organiseren van training sessies, het beschikbaar stellen van playbooks voor incident response, en het implementeren van tools die security analisten helpen bij het analyseren van complexe security events.
Op operationeel niveau moeten organisaties kunnen aantonen dat security analytics voldoen aan de vereisten van de Baseline Informatiebeveiliging Overheid (BIO), met name de normen voor security monitoring en incidentdetectie. BIO-norm 12.1.1 vereist logging en monitoring van toegang tot informatie en systemen, wat betekent dat alle Copilot-activiteiten moeten worden gelogd en gemonitord voor verdachte patronen. BIO-norm 12.1.2 vereist detectie van beveiligingsincidenten, wat betekent dat organisaties processen moeten hebben voor het identificeren en analyseren van security events die kunnen wijzen op beveiligingsincidenten. Voor Nederlandse overheidsorganisaties gelden bovendien aanvullende vereisten vanuit de NIS2 richtlijn, die specifieke eisen stelt aan incidentdetectie en incident response voor essentiële en belangrijke entiteiten. Organisaties moeten daarom een security monitoring framework implementeren dat voldoet aan alle relevante compliance-vereisten en dat aantoonbaar effectief is in het detecteren van bedreigingen.
Tot slot vereist volwassen security analytics continue verbetering en optimalisatie van detectieregels en analytische processen. Dit omvat het regelmatig reviewen van detectieregels om te verifiëren dat zij effectief blijven wanneer nieuwe bedreigingen ontstaan, het analyseren van false positives om detectieregels te optimaliseren, en het uitvoeren van threat hunting sessies om proactief bedreigingen te identificeren die mogelijk niet worden gedetecteerd door geautomatiseerde regels. Organisaties moeten processen implementeren voor het bijwerken van security analytics op basis van nieuwe threat intelligence, het integreren van lessons learned uit incidenten, en het delen van security insights met andere organisaties binnen de Nederlandse publieke sector. Door deze vereisten proactief aan te pakken, kunnen organisaties ervoor zorgen dat security analytics effectief blijven en dat zij aantoonbaar voldoen aan alle relevante beveiligings- en compliance-vereisten.
Implementatie van Security Analytics
De implementatie van security analytics voor Microsoft Copilot in Microsoft 365 begint met het configureren van uitgebreide logging en auditing die alle Copilot-activiteiten vastleggen in een formaat dat geschikt is voor security analyse. Microsoft 365 biedt unified audit logging die alle Copilot-activiteiten vastlegt, inclusief prompts, AI-responses, toegang tot documenten, en gebruikersinteracties. Deze audit logs worden opgeslagen in de Microsoft 365 unified audit log en kunnen worden geëxporteerd naar Microsoft Sentinel of andere SIEM-oplossingen voor geavanceerde analyse. Organisaties moeten ervoor zorgen dat unified audit logging is ingeschakeld voor alle Copilot-activiteiten, dat logs voor de vereiste periode worden bewaard in overeenstemming met compliance-vereisten, en dat logs worden geëxporteerd naar een centrale SIEM-oplossing waar security analisten toegang hebben tot de data voor analyse. De configuratie van audit logging gebeurt via het Microsoft Purview Compliance Portal, waar beheerders kunnen configureren welke activiteiten worden gelogd en hoe lang logs worden bewaard.
Naast het configureren van uitgebreide logging is het essentieel om threat detection regels te implementeren die specifiek zijn gericht op Copilot-gerelateerde bedreigingen. Microsoft Sentinel biedt built-in analytics rules die kunnen worden gebruikt om verdachte Copilot-activiteiten te detecteren, zoals ongebruikelijke prompt patronen, toegang tot gevoelige documenten via Copilot, of herhaalde pogingen om beveiligingscontroles te omzeilen. Organisaties kunnen ook custom analytics rules maken die zijn afgestemd op hun specifieke security requirements en threat landscape. Deze regels kunnen worden gebaseerd op verschillende signalen, zoals het volume van Copilot-activiteiten, de timing van activiteiten, de geografische locatie van gebruikers, of de combinatie van Copilot-activiteiten met andere security events zoals failed login attempts of suspicious email activities. Het is belangrijk om detectieregels te testen in een testomgeving voordat zij breed worden uitgerold, om te voorkomen dat te veel false positives worden gegenereerd die security analisten overbelasten. Daarnaast moeten detectieregels regelmatig worden gereviewd en bijgewerkt om ervoor te zorgen dat zij effectief blijven wanneer nieuwe bedreigingen ontstaan.
Een derde belangrijke component van security analytics implementatie is het opstellen van baseline gebruikerspatronen en het implementeren van anomaliedetectie die afwijkingen van normale gebruikspatronen kan identificeren. Machine learning-gebaseerde anomaliedetectie kan worden gebruikt om patronen te leren van historische Copilot-gebruiksdata en om automatisch afwijkingen te detecteren die kunnen wijzen op bedreigingen, zoals ongebruikelijke toegang tot gevoelige documenten, ongebruikelijke prompt patronen, of ongebruikelijke timing van activiteiten. Microsoft Sentinel biedt built-in machine learning capabilities die kunnen worden gebruikt voor anomaliedetectie, en organisaties kunnen ook custom machine learning modellen implementeren die zijn getraind op hun specifieke gebruikspatronen. Het is belangrijk om baseline patronen regelmatig bij te werken om ervoor te zorgen dat anomaliedetectie accuraat blijft wanneer gebruikspatronen evolueren, en om false positives te minimaliseren door machine learning modellen te trainen op voldoende historische data. Daarnaast moeten organisaties processen hebben voor het onderzoeken van gedetecteerde anomalieën om te bepalen of zij daadwerkelijk wijzen op bedreigingen of dat zij legitieme variaties in gebruikspatronen vertegenwoordigen.
Tot slot moet de implementatie van security analytics worden ondersteund door geautomatiseerde waarschuwingen en incident response automatisering die snel kunnen reageren op gedetecteerde bedreigingen. Microsoft Sentinel biedt automation rules en playbooks die kunnen worden gebruikt om automatisch acties uit te voeren wanneer bedreigingen worden gedetecteerd, zoals het blokkeren van gebruikersaccounts, het isoleren van apparaten, of het genereren van incident tickets voor security analisten. Organisaties moeten playbooks ontwikkelen voor verschillende typen bedreigingen, zoals prompt injection attacks, insider threats, of gecompromitteerde accounts, en deze playbooks regelmatig testen en bijwerken om ervoor te zorgen dat zij effectief blijven. Daarnaast moeten organisaties processen hebben voor het escaleren van high-severity bedreigingen naar security operations teams en voor het coördineren van incident response wanneer bedreigingen worden bevestigd. Door security analytics te combineren met geautomatiseerde respons, kunnen organisaties snel reageren op bedreigingen en kunnen zij de impact van beveiligingsincidenten minimaliseren.
Compliance en Naleving
Security analytics voor Microsoft Copilot in Microsoft 365 moet aantoonbaar voldoen aan verschillende compliance-frameworks en cybersecurity standaarden die van toepassing zijn op Nederlandse overheidsorganisaties. De Baseline Informatiebeveiliging Overheid (BIO) vormt de primaire beveiligingsstandaard voor de Nederlandse publieke sector, met specifieke vereisten die relevant zijn voor security monitoring en incidentdetectie. BIO-norm 12.1.1 vereist logging en monitoring van toegang tot informatie en systemen, wat betekent dat alle Copilot-activiteiten moeten worden gelogd en gemonitord voor verdachte patronen. BIO-norm 12.1.2 vereist detectie van beveiligingsincidenten, wat betekent dat organisaties processen moeten hebben voor het identificeren en analyseren van security events die kunnen wijzen op beveiligingsincidenten. BIO-norm 12.1.3 vereist respons op beveiligingsincidenten, wat betekent dat organisaties processen moeten hebben voor het snel reageren op gedetecteerde bedreigingen en voor het minimaliseren van de impact van beveiligingsincidenten. Voor Copilot betekent dit dat security analytics moeten worden geconfigureerd om alle relevante security events te detecteren, dat incident response processen moeten worden geïmplementeerd voor het reageren op Copilot-gerelateerde bedreigingen, en dat alle security events moeten worden gedocumenteerd voor audit-doeleinden.
De NIS2 richtlijn stelt aanvullende eisen aan essentiële en belangrijke entiteiten met betrekking tot incidentdetectie en incident response. Artikel 21 NIS2 vereist dat organisaties passende maatregelen nemen om beveiligingsincidenten te detecteren en te onderzoeken, wat betekent dat security analytics moeten worden geïmplementeerd die effectief zijn in het detecteren van bedreigingen. Artikel 22 NIS2 vereist dat organisaties beveiligingsincidenten melden aan de bevoegde autoriteiten, wat betekent dat organisaties processen moeten hebben voor het rapporteren van Copilot-gerelateerde beveiligingsincidenten aan de Autoriteit Consument en Markt (ACM) of andere toezichthouders. Voor Copilot betekent dit dat security analytics moeten worden geconfigureerd om beveiligingsincidenten te detecteren die voldoen aan de meldplicht criteria van NIS2, en dat incident response processen moeten worden geïmplementeerd die ervoor zorgen dat beveiligingsincidenten tijdig worden gemeld aan de bevoegde autoriteiten. Het niet implementeren van adequate security analytics kan leiden tot niet-naleving van NIS2, wat kan resulteren in boetes en andere handhavingsmaatregelen.
De ISO 27001 standaard, controle A.12.4.1, vereist logging van gebeurtenissen en het bijhouden van audittrails voor informatiebeveiligingsdoeleinden. Deze internationale standaard wordt veelvuldig gebruikt door Nederlandse organisaties die certificering nastreven en vormt een belangrijke basis voor informatiebeveiligingsmanagement. Controle A.12.4.1 specificeert dat organisaties moeten kunnen aantonen dat zij alle relevante gebeurtenissen loggen, dat deze logs worden bewaard voor de vereiste periode, en dat er processen zijn geïmplementeerd voor het analyseren en reageren op gebeurtenissen. Voor Copilot betekent dit dat security analytics moeten worden geconfigureerd om alle relevante Copilot-activiteiten te loggen, dat logs voor de vereiste periode worden bewaard, en dat security analisten regelmatig logs analyseren om bedreigingen te detecteren. Het niet implementeren van adequate security analytics kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade.
Naast deze primaire compliance-frameworks moeten organisaties rekening houden met sectorspecifieke beveiligingsvereisten die aanvullende eisen stellen aan security monitoring en incidentdetectie. Voor organisaties die werken met staatsgeheimen gelden bijvoorbeeld aanvullende vereisten vanuit de Wet veiligheidsonderzoeken en de Aanwijzing informatiebeveiliging rijksdienst, die specifieke eisen stellen aan de monitoring van toegang tot gevoelige informatie. Voor organisaties in de zorg gelden aanvullende vereisten vanuit de NEN 7510 norm, die specifieke eisen stelt aan de beveiliging van gezondheidsgegevens. Deze sectorspecifieke vereisten moeten worden meegenomen in de security analytics configuratie voor Copilot, bijvoorbeeld door aanvullende detectieregels te implementeren voor sectorspecifieke bedreigingen of door security events te correleren met sectorspecifieke compliance-vereisten. Door security analytics te baseren op een grondige analyse van alle relevante compliance-frameworks, kunnen organisaties ervoor zorgen dat Copilot-security monitoring volledig compliant is met alle toepasselijke beveiligings- en compliance-vereisten en dat zij aantoonbaar voldoen aan alle security monitoring eisen.
Monitoring
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Monitort security analytics voor Microsoft Copilot in Microsoft 365, inclusief threat detection, anomaliedetectie en security event analyse.
Effectieve monitoring van security analytics voor Microsoft Copilot in Microsoft 365 is essentieel om te waarborgen dat security analytics correct blijven functioneren en dat bedreigingen tijdig worden gedetecteerd. Monitoring begint met het regelmatig controleren van de status van security analytics configuraties, zoals audit logging, threat detection regels en SIEM-integraties, om te verifiëren dat deze correct zijn geconfigureerd en actief zijn. Dit kan worden gedaan via het Microsoft Purview Compliance Portal en Microsoft Sentinel, waar beheerders een overzicht kunnen krijgen van alle geconfigureerde security analytics en hun status. Daarnaast kunnen PowerShell-scripts worden gebruikt om programmatisch de status van security analytics te controleren en waarschuwingen te genereren wanneer configuraties onverwacht worden gewijzigd of uitgeschakeld. Het in dit artikel genoemde PowerShell-script kan worden gebruikt om regelmatig de status van security analytics te controleren en rapporten te genereren over de effectiviteit van threat detection.
Naast het monitoren van de status van security analytics is het essentieel om de effectiviteit van threat detection te monitoren door te analyseren hoeveel bedreigingen worden gedetecteerd, hoeveel false positives worden gegenereerd, en hoe snel security analisten reageren op gedetecteerde bedreigingen. Dit kan worden gedaan door regelmatig security metrics te analyseren, zoals het aantal gedetecteerde bedreigingen per week, de gemiddelde tijd tot detectie, de gemiddelde tijd tot respons, en het percentage false positives. Organisaties moeten processen implementeren voor het verzamelen en analyseren van deze metrics, bijvoorbeeld door wekelijkse of maandelijkse rapportages te genereren die inzicht geven in de effectiviteit van security analytics. Deze rapportages moeten worden besproken in relevante governance-structuren, zoals security operations overleg of CISO-overleg, zodat beslissingen kunnen worden genomen over het aanpassen van security analytics of het implementeren van aanvullende maatregelen.
Een derde belangrijke component van monitoring is het regelmatig uitvoeren van threat hunting sessies om proactief bedreigingen te identificeren die mogelijk niet worden gedetecteerd door geautomatiseerde detectieregels. Threat hunting voor Copilot omvat het analyseren van Copilot-activiteiten op zoek naar patronen die kunnen wijzen op bedreigingen, zoals ongebruikelijke prompt patronen, toegang tot gevoelige documenten buiten normale werkuren, of combinaties van Copilot-activiteiten met andere verdachte activiteiten. Organisaties moeten processen implementeren voor het regelmatig uitvoeren van threat hunting sessies, bijvoorbeeld door wekelijkse of maandelijkse sessies te plannen waarin security analisten Copilot-activiteiten analyseren op zoek naar bedreigingen. Daarnaast moeten organisaties threat intelligence integreren in threat hunting processen, bijvoorbeeld door te analyseren welke bedreigingen andere organisaties hebben gedetecteerd en door te zoeken naar vergelijkbare patronen in eigen Copilot-activiteiten. Door threat hunting te combineren met geautomatiseerde detectie, kunnen organisaties een meer complete security monitoring aanpak implementeren die zowel bekende als onbekende bedreigingen kan identificeren.
Tot slot moet monitoring worden ondersteund door incident response processen die snel kunnen reageren op gedetecteerde bedreigingen. Dit omvat het hebben van duidelijke procedures voor het onderzoeken van security events, het bepalen van de ernst van bedreigingen, en het nemen van corrigerende maatregelen om verdere schade te voorkomen. Voor ernstige bedreigingen, zoals gecompromitteerde accounts of actieve aanvallen, moeten organisaties processen hebben voor het snel isoleren van bedreigingen, het blokkeren van toegang, en het coördineren van incident response met relevante stakeholders zoals security operations teams, CISO en eventueel externe incident response teams. Daarnaast moeten organisaties processen hebben voor het documenteren van security events en incidenten voor audit-doeleinden en voor het leren van incidenten om security analytics te verbeteren. Door monitoring te combineren met effectieve incident response, kunnen organisaties snel reageren op bedreigingen en kunnen zij aantonen dat zij passende maatregelen hebben genomen om beveiliging te waarborgen en om te voldoen aan hun verantwoordelijkheden onder de BIO, NIS2 richtlijn en andere relevante cybersecurity frameworks.
Remediatie
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Herstelt security analytics configuraties voor Microsoft Copilot wanneer deze ontbreken of incorrect zijn geconfigureerd.
Remediatie van security analytics voor Microsoft Copilot in Microsoft 365 omvat het herstellen van ontbrekende of incorrect geconfigureerde security analytics configuraties, het corrigeren van configuratiefouten, en het waarborgen dat alle relevante security analytics correct zijn geïmplementeerd. Wanneer monitoring aangeeft dat security analytics ontbreken of incorrect zijn geconfigureerd, moeten beheerders snel actie ondernemen om deze te herstellen, omdat het ontbreken van adequate security analytics kan leiden tot niet-gedetecteerde bedreigingen en niet-naleving van compliance-vereisten. Het in dit artikel genoemde PowerShell-script kan worden gebruikt om automatisch ontbrekende security analytics configuraties te detecteren en te herstellen, bijvoorbeeld door audit logging opnieuw in te schakelen wanneer deze is uitgeschakeld, of door threat detection regels te herstellen wanneer deze zijn gewijzigd.
De eerste stap in remediatie is het identificeren van de exacte oorzaak van het probleem, bijvoorbeeld door audit logs te analyseren om te zien wanneer security analytics configuraties zijn gewijzigd, of door de huidige configuratie te vergelijken met de gewenste configuratie. Wanneer de oorzaak is geïdentificeerd, kunnen beheerders de benodigde corrigerende maatregelen nemen, zoals het opnieuw configureren van audit logging, het herstellen van threat detection regels, of het opnieuw configureren van SIEM-integraties. Het is belangrijk om na remediatie te verifiëren dat security analytics correct functioneren, bijvoorbeeld door testscenario's uit te voeren of door monitoring opnieuw uit te voeren om te bevestigen dat het probleem is opgelost. Daarnaast moeten organisaties processen implementeren voor het voorkomen van toekomstige problemen, bijvoorbeeld door wijzigingen aan security analytics configuraties te vereisen dat deze worden gereviewd en goedgekeurd voordat zij worden doorgevoerd, of door automatische waarschuwingen te configureren die worden gegenereerd wanneer security analytics configuraties worden gewijzigd.
Voor security incidents die al hebben plaatsgevonden, zoals wanneer bedreigingen niet zijn gedetecteerd door security analytics, moet remediatie ook omvatten het nemen van maatregelen om de impact van het incident te beperken en om te voorkomen dat vergelijkbare incidenten opnieuw optreden. Dit kan betekenen dat aanvullende threat detection regels worden geïmplementeerd om vergelijkbare bedreigingen in de toekomst te detecteren, dat security analytics configuraties worden bijgesteld om gevoeliger te zijn voor bepaalde typen bedreigingen, of dat aanvullende monitoring wordt geïmplementeerd voor specifieke gebruikers of systemen. Organisaties moeten daarnaast processen hebben voor het onderzoeken van security incidents om te begrijpen waarom bedreigingen niet zijn gedetecteerd, en voor het bijstellen van security analytics op basis van lessons learned. Door remediatie te combineren met incident response en preventieve maatregelen, kunnen organisaties ervoor zorgen dat security analytics robuust blijven en dat bedreigingen tijdig worden gedetecteerd en aangepakt wanneer deze zich voordoen.
Compliance & Frameworks
- CIS M365: Control 6.1 (L1) - Implementeer security monitoring en threat detection voor AI-systemen
- BIO: 12.1.1, 12.1.2, 12.1.3 - Logging en monitoring, incidentdetectie en incident response voor AI-systemen
- ISO 27001:2022: A.12.4.1, A.16.1.1, A.16.1.2 - Logging, monitoring en incident management voor AI-systemen
- NIS2: Artikel - Incidentdetectie en incident reporting voor essentiële en belangrijke entiteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Security Analytics voor Microsoft Copilot
.DESCRIPTION
Monitort en beheert security analytics voor Microsoft Copilot in Microsoft 365.
Inclusief threat detection, anomaliedetectie en security event analyse.
Kritiek voor beveiligingsmonitoring, incidentdetectie en compliance.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Category: copilot-security-analytics
.EXAMPLE
.\index.ps1 -Monitoring
Controleer security analytics configuratie en status
.EXAMPLE
.\index.ps1 -Remediation
Herstel security analytics configuraties
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph, ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$Revert,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Security Analytics voor Microsoft Copilot" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert security analytics configuratie en status voor Microsoft Copilot
#>
try {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Gray
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context) {
Connect-MgGraph -Scopes "AuditLog.Read.All", "SecurityEvents.Read.All" -ErrorAction Stop
}
Write-Host "Controleren unified audit logging status..." -ForegroundColor Gray
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop
$auditConfig = Get-AdminAuditLogConfig -ErrorAction Stop
$isAuditEnabled = $auditConfig.UnifiedAuditLogIngestionEnabled -eq $true
Write-Host "Controleren Copilot-activiteiten in audit logs..." -ForegroundColor Gray
$startDate = (Get-Date).AddDays(-7)
$copilotEvents = Search-UnifiedAuditLog -StartDate $startDate -EndDate (Get-Date) -RecordType MicrosoftCopilot -ResultSize 1 -ErrorAction SilentlyContinue
$hasCopilotEvents = $null -ne $copilotEvents
Write-Host "Controleren Microsoft Sentinel integratie..." -ForegroundColor Gray
$sentinelWorkspace = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue
$hasSentinelIntegration = $null -ne $sentinelWorkspace
$result = @{
isCompliant = $isAuditEnabled -and $hasCopilotEvents
auditLoggingEnabled = $isAuditEnabled
copilotEventsDetected = $hasCopilotEvents
sentinelIntegration = $hasSentinelIntegration
}
Write-Host "`nResultaten:" -ForegroundColor Cyan
if ($isAuditEnabled) {
Write-Host " [OK] Unified Audit Logging: INGESCHAKELD" -ForegroundColor Green
}
else {
Write-Host " [FAIL] Unified Audit Logging: UITGESCHAKELD" -ForegroundColor Red
}
if ($hasCopilotEvents) {
Write-Host " [OK] Copilot-activiteiten worden gelogd" -ForegroundColor Green
}
else {
Write-Host " [WARNING] Geen Copilot-activiteiten gedetecteerd in audit logs" -ForegroundColor Yellow
Write-Host " Dit kan betekenen dat Copilot niet wordt gebruikt of dat logging niet werkt" -ForegroundColor Yellow
}
if ($hasSentinelIntegration) {
Write-Host " [OK] Microsoft Sentinel integratie: GECONFIGUREERD" -ForegroundColor Green
}
else {
Write-Host " [INFO] Microsoft Sentinel integratie: NIET GECONFIGUREERD" -ForegroundColor Gray
Write-Host " Overweeg Sentinel integratie voor geavanceerde threat detection" -ForegroundColor Gray
}
if ($result.isCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
Write-Host "Security analytics zijn correct geconfigureerd" -ForegroundColor Cyan
exit 0
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
Write-Host "Sommige security analytics configuraties ontbreken of zijn incorrect" -ForegroundColor Red
exit 1
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt security analytics configuraties voor Microsoft Copilot
#>
try {
Write-Host "Verbinden met Microsoft Graph en Exchange Online..." -ForegroundColor Gray
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context) {
Connect-MgGraph -Scopes "AuditLog.ReadWrite.All", "SecurityEvents.ReadWrite.All" -ErrorAction Stop
}
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop
Write-Host "Controleren huidige status..." -ForegroundColor Gray
$auditConfig = Get-AdminAuditLogConfig -ErrorAction Stop
$changesMade = $false
if ($auditConfig.UnifiedAuditLogIngestionEnabled -ne $true) {
Write-Host "Inschakelen Unified Audit Logging..." -ForegroundColor Gray
if (-not $WhatIf) {
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true -ErrorAction Stop
$changesMade = $true
Write-Host " [OK] Unified Audit Logging ingeschakeld" -ForegroundColor Green
}
else {
Write-Host " [WHATIF] Unified Audit Logging zou worden ingeschakeld" -ForegroundColor Yellow
}
}
else {
Write-Host " [OK] Unified Audit Logging is al ingeschakeld" -ForegroundColor Green
}
Write-Host "`nVerifiëren configuratie..." -ForegroundColor Gray
$auditConfig = Get-AdminAuditLogConfig -ErrorAction Stop
$isEnabled = $auditConfig.UnifiedAuditLogIngestionEnabled -eq $true
if ($isEnabled) {
Write-Host "`n[OK] Security analytics configuratie succesvol hersteld" -ForegroundColor Green
Write-Host "`nBelangrijke opmerkingen:" -ForegroundColor Cyan
Write-Host " • Audit logs worden bewaard voor 90 dagen (standaard)" -ForegroundColor Gray
Write-Host " • Kan worden uitgebreid naar 1 jaar met E5 licentie" -ForegroundColor Gray
Write-Host " • Overweeg Microsoft Sentinel integratie voor geavanceerde analytics" -ForegroundColor Gray
Write-Host " • Configureer threat detection regels in Microsoft Sentinel" -ForegroundColor Gray
Write-Host " • Monitor Copilot-activiteiten regelmatig op verdachte patronen" -ForegroundColor Yellow
if ($changesMade) {
Write-Host " • Wacht tot 24 uur voordat logging volledig actief is" -ForegroundColor Yellow
}
exit 0
}
else {
Write-Host "`n[FAIL] Kon security analytics configuratie niet herstellen" -ForegroundColor Red
exit 1
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Schakelt security analytics uit (NIET AANBEVOLEN!)
#>
try {
Write-Host "WARNING: Uitschakelen van security analytics is een BEVEILIGINGSRISICO!" -ForegroundColor Red
Write-Host "Dit voorkomt detectie van bedreigingen en compliance audits`n" -ForegroundColor Red
Write-Host "Verbinden met Exchange Online..." -ForegroundColor Gray
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop
if (-not $WhatIf) {
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false -ErrorAction Stop
Write-Host " WARNING: Security analytics uitgeschakeld" -ForegroundColor Yellow
}
else {
Write-Host " [WHATIF] Security analytics zouden worden uitgeschakeld" -ForegroundColor Yellow
}
exit 0
}
catch {
Write-Host "ERROR: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Gebruik:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer security analytics configuratie" -ForegroundColor Gray
Write-Host " -Remediation Herstel security analytics configuraties" -ForegroundColor Gray
Write-Host " -Revert Schakel security analytics uit (NIET AANBEVOLEN!)" -ForegroundColor Red
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Kritiek - Zonder adequate security analytics voor Microsoft Copilot loopt een organisatie het risico op niet-gedetecteerde bedreigingen, beveiligingsincidenten en niet-naleving van compliance-vereisten zoals de BIO en NIS2 richtlijn. Voor Nederlandse overheidsorganisaties kan dit leiden tot boetes van toezichthouders, verlies van vertrouwen bij burgers en significante beveiligingsrisico's.
Management Samenvatting
Implementeer uitgebreide security analytics voor Microsoft Copilot in Microsoft 365, inclusief threat detection, anomaliedetectie en SIEM-integratie. Dit waarborgt dat bedreigingen tijdig worden gedetecteerd en aangepakt, en dat organisaties aantoonbaar voldoen aan de vereisten van de BIO, NIS2 richtlijn en andere relevante cybersecurity frameworks.
- Implementatietijd: 140 uur
- FTE required: 0.4 FTE