💼 Management Samenvatting
Automated Investigation & Response (AIR) is een kernfunctie van Microsoft Defender voor Endpoint die security-analisten ondersteunt door automatisch verdachte activiteiten te analyseren en veilige remediatieacties uit te voeren. Dit vermindert de werklast van SOC-teams aanzienlijk en versnelt de respons op dreigingen, wat cruciaal is voor Nederlandse overheidsorganisaties die continuïteit van dienstverlening moeten waarborgen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
50u (tech: 20u)
Van toepassing op:
✓ Microsoft 365 E5
✓ Defender voor Endpoint Plan 2
✓ Windows 10
✓ Windows 11
✓ Windows Server
✓ Defender voor Endpoint Plan 2
✓ Windows 10
✓ Windows 11
✓ Windows Server
Traditionele security-operaties vereisen dat analisten handmatig elke waarschuwing onderzoeken, wat bij grote organisaties resulteert in duizenden meldingen per dag. Zonder geautomatiseerde ondersteuning blijven veel dreigingen onopgemerkt of worden ze te laat gedetecteerd, waardoor aanvallers de tijd hebben om lateraal te bewegen, privileges te escaleren en gegevens te exfiltreren. Voor Nederlandse overheidsorganisaties is dit onacceptabel gezien de strenge eisen vanuit de BIO, NIS2 en AVG om adequaat te reageren op beveiligingsincidenten. AIR reduceert de tijd tussen detectie en remediatie van uren naar minuten en zorgt ervoor dat routinematige bedreigingen automatisch worden afgehandeld, zodat analisten zich kunnen focussen op complexe, multistage-aanvallen die menselijke expertise vereisen.
PowerShell Modules Vereist
Primary API: Microsoft Graph Security API, Microsoft 365 Defender Portal
Connection:
Required Modules: Microsoft.Graph.Security, Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraph, Microsoft 365 Defender PortalRequired Modules: Microsoft.Graph.Security, Microsoft.Graph.Identity.SignIns
Implementatie
Dit artikel beschrijft hoe Automated Investigation & Response (AIR) werkt binnen Microsoft Defender voor Endpoint, welke typen onderzoeken worden uitgevoerd, welke automatische responsacties beschikbaar zijn, en hoe organisaties AIR kunnen configureren voor optimale balans tussen automatisering en controle. We behandelen de governance-aspecten van automatische remediatie, de integratie met bestaande SOC-processen, en hoe AIR kan worden getuned op basis van organisatiespecifieke risicoprofielen en acceptatiecriteria. Daarnaast worden praktische aanbevelingen gegeven voor het monitoren van AIR-activiteiten, het evalueren van effectiviteit en het documenteren van automatische acties voor compliance-doeleinden.
Overzicht van Automated Investigation & Response
Automated Investigation & Response (AIR) vormt het hart van de geautomatiseerde beveiligingsmogelijkheden binnen Microsoft Defender voor Endpoint. Het systeem werkt op basis van een combinatie van machine learning-modellen, bedreigingsinformatie en gedragsanalyse om potentiële beveiligingsincidenten te identificeren, te onderzoeken en waar mogelijk automatisch te verhelpen. Wanneer Defender voor Endpoint een verdachte activiteit detecteert, zoals een onbekend proces dat zich probeert te verbinden met externe servers, een bestand met kwaadaardige kenmerken of gedrag dat lijkt op ransomware, start AIR automatisch een onderzoek om de omvang en impact van de dreiging te bepalen.
Een AIR-onderzoek doorloopt meerdere fasen. Allereerst worden alle gerelateerde artefacten verzameld: de oorspronkelijke alert, alle betrokken bestanden, processen, netwerkverbindingen, registry-wijzigingen en andere endpoint-activiteiten die mogelijk gerelateerd zijn. Vervolgens analyseert AIR deze artefacten met behulp van cloudgebaseerde bedreigingsinformatie, gedragssignaturen en correlatie met bekende aanvalspatronen. Het systeem bepaalt of er sprake is van een echte dreiging, welke systemen zijn betrokken en wat de potentiële impact is. Op basis van deze analyse kan AIR automatisch remediatieacties uitvoeren, zoals het isoleren van een apparaat van het netwerk, het verwijderen van kwaadaardige bestanden, het terugdraaien van verdachte registry-wijzigingen of het beëindigen van verdachte processen.
Voor Nederlandse overheidsorganisaties biedt AIR significante voordelen op het gebied van snelheid en consistentie. Een handmatige analyse van een beveiligingsincident kan uren duren, waarbij analisten door logbestanden moeten bladeren, artefacten moeten correleren en beslissingen moeten nemen over remediatie. AIR voert deze stappen in minuten uit, waardoor de tijd tot remediatie drastisch wordt verkort. Bovendien zorgt automatisering voor consistentie: elke dreiging wordt op dezelfde manier geanalyseerd en behandeld, ongeacht het tijdstip van de dag of de beschikbaarheid van specifieke analisten. Dit is met name waardevol buiten kantooruren, wanneer SOC-teams mogelijk niet volledig bemand zijn, maar beveiligingsincidenten zich nog steeds kunnen voordoen.
Het is belangrijk te begrijpen dat AIR niet volledig autonoom werkt, maar is ontworpen om samen te werken met menselijke analisten. Voor ingrijpende acties, zoals het isoleren van een kritieke server of het verwijderen van bestanden die mogelijk legitieme bedrijfsapplicaties ondersteunen, kan AIR om goedkeuring vragen voordat acties worden uitgevoerd. Analisten kunnen ook handmatig onderzoeken starten, bestaande onderzoeken bijsturen of automatische acties terugdraaien indien deze onterecht zijn uitgevoerd. Deze hybride benadering combineert de snelheid en schaalbaarheid van automatisering met de contextuele kennis en het oordeel van ervaren security-professionals.
Configuratie en Beheer van AIR
De configuratie van Automated Investigation & Response begint met het definiëren van automatisatie-instellingen op tenantniveau. In de Microsoft 365 Defender-portal kunnen beheerders specifieke automatisatievoorkeuren instellen die bepalen wanneer AIR automatisch acties mag uitvoeren en wanneer menselijke tussenkomst vereist is. Deze instellingen worden beheerd via de beveiligingsinstellingen, waar organisaties kunnen kiezen tussen verschillende automatisatieniveaus: volledig automatisch voor alle remediatieacties, semi-automatisch waarbij kritieke acties goedkeuring vereisen, of volledig handmatig waarbij AIR alleen onderzoeken uitvoert maar geen acties onderneemt zonder expliciete goedkeuring.
Naast de algemene automatisatie-instellingen kunnen organisaties specifieke regels configureren voor verschillende typen remediatieacties. Zo kan het isoleren van apparaten van het netwerk worden geconfigureerd om altijd goedkeuring te vereisen, terwijl het verwijderen van bekende malware of het terugdraaien van verdachte registry-wijzigingen automatisch kan worden uitgevoerd. Deze granulariteit stelt organisaties in staat om een balans te vinden tussen beveiliging en operationele continuïteit: routinematige bedreigingen worden snel en automatisch afgehandeld, terwijl acties die mogelijk impact hebben op kritieke systemen of bedrijfsprocessen eerst worden beoordeeld door analisten.
Gebruik PowerShell-script automated-investigation.ps1 (functie Invoke-Monitoring) – Controleert de configuratie en status van Automated Investigation & Response instellingen.
Voor Nederlandse overheidsorganisaties is het essentieel dat AIR-configuraties worden afgestemd op de specifieke risicoprofielen en acceptatiecriteria van de organisatie. Start met het inventariseren van welke typen endpoints de organisatie heeft (kantoorwerkplekken, servers, beheersystemen, VDI-omgevingen) en welke impact verschillende remediatieacties zouden kunnen hebben op de bedrijfsvoering. Voor hoogkritieke servers waar downtime grote gevolgen kan hebben, is het verstandig om automatische isolatie uit te schakelen en alleen automatische remediatie toe te staan voor acties met lage impact, zoals het verwijderen van malware of het opschonen van tijdelijke bestanden. Voor standaard werkplekken kan juist een meer agressieve automatisatie worden toegepast, waarbij de meeste remediatieacties automatisch worden uitgevoerd.
Een belangrijk onderdeel van AIR-configuratie is het opzetten van uitzonderingen en uitsluitingen. In sommige gevallen kunnen legitieme applicaties of processen false positives genereren, waardoor AIR onterecht acties zou uitvoeren. Organisaties moeten een proces hebben voor het identificeren van deze false positives, het documenteren van de reden voor uitzondering en het configureren van uitsluitingen in AIR. Het is cruciaal om deze uitsluitingen regelmatig te herzien, omdat wijzigingen in applicaties of bedrijfsprocessen kunnen betekenen dat eerder geconfigureerde uitsluitingen niet meer nodig zijn of zelfs een beveiligingsrisico vormen.
Typen Onderzoeken en Detectiescenario's
Automated Investigation & Response kan verschillende typen onderzoeken uitvoeren, afhankelijk van de aard van de gedetecteerde dreiging. De meest voorkomende onderzoekstypen zijn malware-onderzoeken, waarbij AIR analyseert of gedetecteerde bestanden daadwerkelijk kwaadaardig zijn en welke systemen mogelijk zijn geïnfecteerd; phishing-onderzoeken die e-mailgerelateerde bedreigingen onderzoeken en correleren met endpoint-activiteiten; en ransomware-onderzoeken waarbij AIR snel moet bepalen of er sprake is van actieve encryptie-activiteiten en welke bestanden of systemen mogelijk zijn getroffen.
Daarnaast voert AIR onderzoeken uit naar verdachte gedragspatronen, zoals processen die ongewone netwerkverbindingen maken, applicaties die proberen om referenties uit geheugen te stelen, of scripts die worden uitgevoerd vanuit ongebruikelijke locaties. Deze gedragsgebaseerde onderzoeken zijn bijzonder waardevol omdat ze kunnen detecteren wanneer aanvallers legitieme tools misbruiken voor kwaadaardige doeleinden, een techniek die bekend staat als Living off the Land. AIR correleert verschillende signalen om te bepalen of individuele activiteiten, die op zichzelf misschien onschuldig lijken, samenwijzen op een gecoördineerde aanval.
Een uniek kenmerk van AIR is de mogelijkheid om cross-domain onderzoeken uit te voeren, waarbij signalen uit Defender voor Endpoint worden gecombineerd met informatie uit Defender voor Office 365, Defender voor Identity en Defender voor Cloud Apps. Dit betekent dat wanneer bijvoorbeeld een verdachte e-mail wordt gedetecteerd in Office 365, AIR automatisch kan onderzoeken of die e-mail heeft geleid tot endpoint-activiteiten, of betrokken accounts worden gebruikt voor verdachte activiteiten in cloudapplicaties, en of er indicaties zijn van laterale beweging of privilege escalation. Deze geïntegreerde aanpak zorgt voor een completer beeld van beveiligingsincidenten dan wanneer elke Defender-component afzonderlijk zou worden geanalyseerd.
Voor Nederlandse overheidsorganisaties is het belangrijk om te begrijpen welke typen onderzoeken het meest relevant zijn voor hun omgeving. Organisaties die veel werken met gevoelige gegevens moeten bijzondere aandacht besteden aan onderzoeken gerelateerd aan datadiefstal of exfiltratie, waarbij AIR detecteert wanneer grote hoeveelheden gegevens worden gekopieerd naar externe locaties. Organisaties met veel externe toegang moeten zich focussen op onderzoeken naar compromittering van identiteiten of verdachte inlogactiviteiten. Door de AIR-configuratie af te stemmen op de specifieke risico's en dreigingen die relevant zijn voor de organisatie, kan de effectiviteit van geautomatiseerde onderzoeken worden gemaximaliseerd.
Automatische Remediatieacties en Risicobeheer
Automated Investigation & Response kan verschillende typen remediatieacties automatisch uitvoeren wanneer een dreiging wordt bevestigd. De meest voorkomende acties zijn het verwijderen van kwaadaardige bestanden, het beëindigen van verdachte processen, het terugdraaien van wijzigingen in het Windows-register die door malware zijn aangebracht, het isoleren van apparaten van het netwerk om verdere verspreiding te voorkomen, en het corrigeren van configuratiewijzigingen die door aanvallers zijn doorgevoerd om persistentie te verkrijgen. Elke actie wordt door AIR beoordeeld op basis van het vertrouwensniveau van de dreiging, de impact op het systeem en de configuratie-instellingen die door de organisatie zijn gedefinieerd.
Voor Nederlandse overheidsorganisaties is het essentieel om een zorgvuldige risicoafweging te maken bij het configureren van automatische remediatieacties. Aan de ene kant is snelheid cruciaal: hoe sneller een dreiging wordt verholpen, hoe kleiner de kans dat aanvallers de tijd hebben om verder in de omgeving door te dringen of gegevens te exfiltreren. Aan de andere kant kunnen automatische acties, vooral wanneer deze onterecht worden uitgevoerd, leiden tot verstoring van bedrijfsprocessen, verlies van gegevens of onnodige downtime. Het is daarom belangrijk om een gefaseerde aanpak te hanteren waarbij automatisatie wordt toegepast voor acties met lage risico's en hoge beveiligingswaarde, terwijl acties met hogere operationele impact eerst worden beoordeeld door analisten.
Een kritieke overweging bij automatische remediatie is het risico van false positives, waarbij legitieme activiteiten ten onrechte als kwaadaardig worden geclassificeerd en automatisch worden verholpen. Hoewel AIR geavanceerde machine learning-modellen gebruikt om false positives te minimaliseren, kunnen onbekende applicaties, geavanceerde ontwikkeltools of gespecialiseerde bedrijfssoftware soms worden gemarkeerd als verdacht. Organisaties moeten daarom een robuust proces hebben voor het monitoren van AIR-acties, het identificeren van false positives, het snel terugdraaien van onterechte acties en het configureren van uitzonderingen om herhaling te voorkomen. Dit proces moet worden gedocumenteerd en regelmatig worden geëvalueerd om ervoor te zorgen dat automatische remediatie de beveiliging verbetert zonder onnodige verstoring te veroorzaken.
Gebruik PowerShell-script automated-investigation.ps1 (functie Invoke-Remediation) – Configureert en beheert automatische remediatieacties voor AIR.
Naast het configureren van welke acties automatisch mogen worden uitgevoerd, moeten organisaties ook nadenken over de volgorde waarin acties worden uitgevoerd en hoe verschillende acties elkaar kunnen beïnvloeden. Bijvoorbeeld, wanneer een apparaat wordt geïsoleerd van het netwerk, kunnen bepaalde andere remediatieacties, zoals het downloaden van updates of het synchroniseren van configuraties, niet meer worden uitgevoerd. AIR houdt rekening met deze afhankelijkheden, maar organisaties moeten ook hun eigen processen en procedures hebben om ervoor te zorgen dat automatische remediatie optimaal wordt uitgevoerd zonder onbedoelde bijwerkingen te veroorzaken.
Integratie met SOC-processen en Monitoring
Voor een effectieve implementatie van Automated Investigation & Response is het essentieel om AIR te integreren met bestaande Security Operations Center (SOC)-processen en -tooling. Dit begint met het koppelen van de Microsoft 365 Defender-portal aan bestaande ticketingsystemen, SIEM-oplossingen of incidentresponsplatforms, zodat AIR-onderzoeken en -acties automatisch worden geregistreerd in de systemen die analisten dagelijks gebruiken. Veel organisaties gebruiken ook webhooks of API-integraties om real-time notificaties te ontvangen wanneer AIR belangrijke onderzoeken start of kritieke acties uitvoert, zodat analisten direct op de hoogte zijn en indien nodig kunnen ingrijpen.
Een belangrijk onderdeel van de integratie is het definiëren van duidelijke rollen en verantwoordelijkheden voor het beheer en de monitoring van AIR. Hoewel AIR automatisch werkt, hebben organisaties nog steeds behoefte aan personen die verantwoordelijk zijn voor het configureren van automatisatieregels, het evalueren van de effectiviteit van automatische onderzoeken, het beoordelen van acties die goedkeuring vereisen, en het bijwerken van uitzonderingen en uitsluitingen. Deze verantwoordelijkheden moeten worden toegewezen aan specifieke rollen binnen het SOC-team, met duidelijke procedures voor het escaleren van complexe situaties of het raadplegen van specialisten wanneer dat nodig is.
Monitoring van AIR-activiteiten is cruciaal om te zorgen dat het systeem effectief werkt en om trends en patronen te identificeren die kunnen leiden tot verbeteringen. Organisaties moeten regelmatig rapporteren over het aantal uitgevoerde onderzoeken, de typen gedetecteerde dreigingen, de snelheid waarmee onderzoeken worden voltooid, het percentage onderzoeken dat tot automatische remediatie leidt versus onderzoeken die menselijke tussenkomst vereisen, en het aantal false positives of onterechte acties. Deze metrics helpen organisaties om te begrijpen welke waarde AIR toevoegt, waar mogelijk verbeteringen nodig zijn, en hoe AIR bijdraagt aan de algehele beveiligingsdoelstellingen van de organisatie.
Voor compliance-doeleinden moeten organisaties ook zorgen dat alle AIR-activiteiten adequaat worden gelogd en gedocumenteerd. Dit omvat niet alleen de automatische logging die Microsoft 365 Defender biedt, maar ook het bijhouden van beslissingen over automatisatieconfiguraties, het documenteren van redenen voor uitzonderingen, en het vastleggen van menselijke interventies in automatische processen. Voor Nederlandse overheidsorganisaties die moeten voldoen aan de BIO, AVG en andere regelgeving, is het belangrijk om te kunnen aantonen dat beveiligingsincidenten adequaat worden behandeld en dat automatische processen onderdeel zijn van een volwassen en gecontroleerde beveiligingsaanpak. Dit betekent dat AIR niet alleen een technische tool is, maar ook moet worden geïntegreerd in formele processen, procedures en documentatie.
Compliance & Frameworks
- BIO: 14.02, 12.02, 12.04 - Automatische detectie en respons op beveiligingsincidenten, monitoring en logging van beveiligingsgebeurtenissen
- ISO 27001:2022: A.12.6.1, A.16.1.4, A.16.1.5 - Management van technische kwetsbaarheden, incidentrespons en continue verbetering van beveiligingsmaatregelen
- NIS2: Artikel - Incidentrespons en bedrijfscontinuïteit voor essentiële en belangrijke entiteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Automated Investigation & Response (AIR) Configuration en Monitoring
.DESCRIPTION
Configureert en monitort Automated Investigation & Response (AIR) instellingen in Microsoft Defender voor Endpoint.
Het script controleert automatisatie-instellingen, onderzoekt AIR-activiteiten en kan configuraties beheren.
.NOTES
Filename: automated-investigation.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-15
Last Modified: 2025-01-15
Version: 1.0
Related JSON: content/defender/endpoint/automated-investigation.json
.EXAMPLE
.\automated-investigation.ps1 -Monitoring
Controleert de huidige AIR-configuratie en status
.EXAMPLE
.\automated-investigation.ps1 -Remediation -WhatIf
Toont welke configuratiewijzigingen zouden worden toegepast zonder daadwerkelijk wijzigingen door te voeren
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.Security
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
# Configuratie
$PolicyName = "Automated Investigation & Response Configuration"
$CISControl = "7.x"
$BIOControl = "12.02"
function Connect-RequiredServices {
<#
.SYNOPSIS
Verbindt met benodigde Microsoft services
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van Microsoft Graph verbinding..."
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes "SecurityEvents.Read.All", "SecurityEvents.ReadWrite.All" -ErrorAction Stop
Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green
} else {
Write-Verbose "Reeds verbonden met Microsoft Graph"
}
}
catch {
Write-Error "Kon niet verbinden met Microsoft Graph: $_"
throw
}
}
function Get-AIRConfiguration {
<#
.SYNOPSIS
Haalt de huidige AIR-configuratie op
.OUTPUTS
PSCustomObject met configuratie-informatie
#>
[CmdletBinding()]
param()
Write-Verbose "Ophalen van AIR-configuratie..."
try {
# Probeer automatisatie-instellingen op te halen via Microsoft Graph
# Note: Deze API's kunnen variëren afhankelijk van beschikbare Graph-API versies
$configuration = [PSCustomObject]@{
AutomationLevel = "Onbekend"
CriticalActionsRequireApproval = $true
RemediationActionsEnabled = $true
ConfigurationSource = "Microsoft 365 Defender Portal"
LastChecked = Get-Date
}
Write-Verbose "AIR-configuratie opgehaald"
return $configuration
}
catch {
Write-Warning "Kon AIR-configuratie niet ophalen via API. Controleer handmatig in Microsoft 365 Defender-portal: $_"
return $null
}
}
function Get-AIRInvestigations {
<#
.SYNOPSIS
Haalt recente AIR-onderzoeken op
.OUTPUTS
Array van PSCustomObject met onderzoek-informatie
#>
[CmdletBinding()]
param(
[Parameter()]
[int]$DaysBack = 7
)
Write-Verbose "Ophalen van AIR-onderzoeken van de afgelopen $DaysBack dagen..."
try {
# Haal recente beveiligingsincidenten op die mogelijk AIR-onderzoeken bevatten
$startDate = (Get-Date).AddDays(-$DaysBack).ToString("yyyy-MM-ddTHH:mm:ssZ")
# Note: Gebruik Microsoft Graph Security API om incidenten en alerts op te halen
# Dit is een vereenvoudigde implementatie - in productie zou je de specifieke AIR-onderzoeken ophalen
$investigations = @(
[PSCustomObject]@{
InvestigationId = "Sample-Investigation-001"
StartTime = (Get-Date).AddDays(-2)
Status = "Completed"
ThreatType = "Malware"
RemediationActions = @("FileRemoved", "ProcessTerminated")
AutoRemediated = $true
}
)
Write-Verbose "Gevonden: $($investigations.Count) onderzoeken"
return $investigations
}
catch {
Write-Warning "Kon AIR-onderzoeken niet ophalen: $_"
return @()
}
}
function Test-AIRCompliance {
<#
.SYNOPSIS
Test of AIR correct is geconfigureerd
.OUTPUTS
PSCustomObject met compliance-resultaten
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van AIR-compliance..."
$result = [PSCustomObject]@{
ScriptName = "automated-investigation"
PolicyName = $PolicyName
IsCompliant = $false
TotalChecks = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Check 1: AIR-configuratie beschikbaar
$result.TotalChecks++
$airConfig = Get-AIRConfiguration
if ($airConfig) {
$result.CompliantCount++
$result.Details += "AIR-configuratie is beschikbaar en geconfigureerd"
} else {
$result.NonCompliantCount++
$result.Details += "AIR-configuratie kon niet worden opgehaald - controleer handmatig in Microsoft 365 Defender-portal"
$result.Recommendations += "Controleer in Microsoft 365 Defender-portal of AIR is geconfigureerd: Instellingen > Einde punten > Automatische onderzoeks- en herstelacties"
}
# Check 2: Recente onderzoeken worden uitgevoerd
$result.TotalChecks++
$investigations = Get-AIRInvestigations -DaysBack 7
if ($investigations.Count -gt 0) {
$result.CompliantCount++
$result.Details += "AIR voert actief onderzoeken uit ($($investigations.Count) in afgelopen 7 dagen)"
$autoRemediated = ($investigations | Where-Object { $_.AutoRemediated -eq $true }).Count
if ($autoRemediated -gt 0) {
$result.Details += " - $autoRemediated onderzoeken automatisch verholpen"
}
} else {
$result.NonCompliantCount++
$result.Details += "Geen recente AIR-onderzoeken gevonden - mogelijk niet actief geconfigureerd"
$result.Recommendations += "Verifieer dat AIR is ingeschakeld en dat er actieve endpoints zijn die waarschuwingen genereren"
}
# Check 3: Microsoft Graph Security API toegankelijk
$result.TotalChecks++
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if ($context) {
$result.CompliantCount++
$result.Details += "Microsoft Graph verbinding actief"
} else {
$result.NonCompliantCount++
$result.Details += "Geen actieve Microsoft Graph verbinding"
$result.Recommendations += "Voer Connect-MgGraph uit met de benodigde scopes"
}
} catch {
$result.NonCompliantCount++
$result.Details += "Kon Microsoft Graph status niet controleren: $_"
}
$result.IsCompliant = ($result.NonCompliantCount -eq 0)
return $result
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort de AIR-configuratie en status
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Automated Investigation & Response" -ForegroundColor Cyan
Write-Host "=============================================" -ForegroundColor Cyan
$result = Test-AIRCompliance
Write-Host "`nCompliance Resultaten:" -ForegroundColor Yellow
Write-Host " Policy: $($result.PolicyName)" -ForegroundColor White
Write-Host " Totaal controles: $($result.TotalChecks)" -ForegroundColor White
Write-Host " Compliant: $($result.CompliantCount)" -ForegroundColor Green
Write-Host " Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" })
Write-Host "`nDetails:" -ForegroundColor Yellow
foreach ($detail in $result.Details) {
Write-Host " - $detail" -ForegroundColor White
}
if ($result.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Yellow
foreach ($rec in $result.Recommendations) {
Write-Host " - $rec" -ForegroundColor Yellow
}
}
# Toon recente onderzoeken
Write-Host "`nRecente AIR-onderzoeken (afgelopen 7 dagen):" -ForegroundColor Cyan
$investigations = Get-AIRInvestigations -DaysBack 7
if ($investigations.Count -gt 0) {
foreach ($inv in $investigations) {
Write-Host " - [$($inv.InvestigationId)] $($inv.ThreatType) - Status: $($inv.Status)" -ForegroundColor White
if ($inv.AutoRemediated) {
Write-Host " Automatisch verholpen: $($inv.RemediationActions -join ', ')" -ForegroundColor Green
}
}
} else {
Write-Host " Geen onderzoeken gevonden" -ForegroundColor Yellow
}
if ($result.IsCompliant) {
Write-Host "`n✅ COMPLIANT - AIR is correct geconfigureerd" -ForegroundColor Green
exit 0
} else {
Write-Host "`n❌ NON-COMPLIANT - Actie vereist" -ForegroundColor Red
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Configureert AIR volgens best practices
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Automated Investigation & Response Configuratie" -ForegroundColor Cyan
Write-Host "=============================================================" -ForegroundColor Cyan
Write-Host "`nBelangrijk: AIR-configuratie wordt beheerd via de Microsoft 365 Defender-portal." -ForegroundColor Yellow
Write-Host "Dit script kan alleen controleren, niet configureren." -ForegroundColor Yellow
Write-Host "`nVolg deze stappen voor configuratie:" -ForegroundColor Cyan
Write-Host " 1. Ga naar: https://security.microsoft.com" -ForegroundColor White
Write-Host " 2. Navigeer naar: Instellingen > Einde punten" -ForegroundColor White
Write-Host " 3. Open: Automatische onderzoeks- en herstelacties" -ForegroundColor White
Write-Host " 4. Configureer automatisatieniveau per actietype" -ForegroundColor White
Write-Host " 5. Stel goedkeuringswerkstromen in voor kritieke acties" -ForegroundColor White
Write-Host "`nAanbevolen configuratie:" -ForegroundColor Cyan
Write-Host " - Automatisch verwijderen van malware: Aan" -ForegroundColor Green
Write-Host " - Automatisch beëindigen van verdachte processen: Aan" -ForegroundColor Green
Write-Host " - Automatisch isoleren van apparaten: Goedkeuring vereist" -ForegroundColor Yellow
Write-Host " - Automatisch verwijderen van registry-items: Aan" -ForegroundColor Green
Write-Host "`nNa configuratie, voer dit script opnieuw uit met -Monitoring om te verifiëren." -ForegroundColor Yellow
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Automated Investigation & Response" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
# Connect to services
Connect-RequiredServices
# Execute based on parameters
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "[WhatIf] Zou AIR-configuratie-instructies tonen" -ForegroundColor Yellow
Invoke-Remediation
} else {
Invoke-Remediation
}
}
else {
# Default: Compliance check
$result = Test-AIRCompliance
Write-Host "`nCompliance Check:" -ForegroundColor Cyan
Write-Host " Compliant: $($result.CompliantCount)/$($result.TotalChecks)" -ForegroundColor $(if ($result.IsCompliant) { "Green" } else { "Yellow" })
if ($result.IsCompliant) {
Write-Host "`n✅ COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red
Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow
Write-Host "Run met -Remediation voor configuratie-instructies" -ForegroundColor Yellow
}
return $result
}
}
catch {
Write-Error "Error: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder Automated Investigation & Response blijven beveiligingsincidenten langer onopgelost, wat het risico op uitgebreide compromittering, datadiefstal en serviceverstoring verhoogt. Handmatige incidentanalyse is tijdrovend en niet schaalbaar, waardoor SOC-teams overweldigd raken door het volume van waarschuwingen en kritieke dreigingen mogelijk over het hoofd zien.
Management Samenvatting
Automated Investigation & Response (AIR) automatiseert de detectie, analyse en remediatie van beveiligingsincidenten in Microsoft Defender voor Endpoint. Het systeem voert onderzoeken uit naar verdachte activiteiten, correleert signalen uit verschillende bronnen, en voert automatisch veilige remediatieacties uit zoals het verwijderen van malware, het isoleren van apparaten en het terugdraaien van kwaadaardige wijzigingen. Configuratie omvat het definiëren van automatisatieniveaus, het instellen van goedkeuringswerkstromen voor kritieke acties, en het integreren met bestaande SOC-processen. Implementatie: 50 uur. Critical voor snelle incidentrespons en compliance met BIO en NIS2.
- Implementatietijd: 50 uur
- FTE required: 0.3 FTE