💼 Management Samenvatting
Effectieve endpointmonitoring maakt het mogelijk om aanvallen in een vroeg stadium te herkennen en zo de continuïteit van Nederlandse overheidsprocessen te waarborgen.
Aanbeveling
VOER ENDPOINTMONITORING ORGANISATIEBREED IN
Risico zonder
Critical
Risk Score
9/10
Implementatie
120u (tech: 80u)
Van toepassing op:
✓ Microsoft Defender voor Endpoint
✓ Microsoft Sentinel
✓ Azure monitor
✓ Log Analytics
✓ Microsoft Intune
✓ Microsoft Sentinel
✓ Azure monitor
✓ Log Analytics
✓ Microsoft Intune
Endpoints zijn het primaire toegangspunt voor kwaadwillenden. Zonder permanente monitoring blijven laterale bewegingen, datadiefstal en ransomware-activiteit eenvoudig onzichtbaar, waardoor organisaties pas reageren wanneer schade al is aangericht en wettelijke meldplichten in het gedrang komen. Door sensoren continu te laten rapporteren, analyses te automatiseren en maatregelen te koppelen aan duidelijke procedures kan de detectietijd drastisch worden verkort en wordt de kans kleiner dat een incident uitgroeit tot een maatschappelijke verstoring.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Security, Az.SecurityInsights, Az.monitor, Az.OperationalInsights
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Security, Az.SecurityInsights, Az.monitor, Az.OperationalInsights
Implementatie
Dit ontwerpdocument beschrijft een samenhangende strategie voor endpointmonitoring met Microsoft Defender voor Endpoint, Azure Monitor, Log Analytics en Microsoft Sentinel. Alle onderdelen van de keten komen aan bod: het verzamelen van telemetrie, het verrijken en analyseren van data, het activeren van responsworkflows, het correleren van signalen met andere platforms en het ondersteunen van proactieve dreigingsjacht.
Vereisten
Een volwassen ontwerp voor endpointmonitoring begint met een duidelijke omschrijving van de bouwstenen die nodig zijn om continu zicht te houden op ieder apparaat binnen het overheidslandschap. De organisatie moet vooraf bepalen welke gegevensstromen strategisch zijn, hoe gevoelig de informatie is die via endpoints wordt verwerkt en welke compliance-eisen gelden per ketenpartner. Op basis daarvan wordt de telemetriearchitectuur vastgesteld, worden verantwoordelijkheden tussen SOC, digitaal forensisch team en lijnorganisatie afgebakend en wordt de benodigde netwerk- en identiteitsinfrastructuur op elkaar afgestemd. In deze fase wordt ook de lifecycle van loggegevens gedefinieerd, inclusief retentieperiodes, versleutelingseisen en procedures voor het veilig delen van bevindingen met toezichthouders of ketenpartners. De vereisten gaan daarom veel verder dan alleen technologie: er is overeenstemming nodig over het risicoprofiel van de organisatie, de aansluiting op BIO- en NIS2-verplichtingen, het gebruik van standaard use cases en de wijze waarop lessons learned uit incidenten direct worden terugvertaald naar verbeterde detectieregels. Door deze fundamentele keuzes vooraf te borgen, ontstaat een stabiele basis waarop technische componenten later kunnen worden ingericht zonder concessies aan betrouwbaarheid of juridische houdbaarheid.
Microsoft Defender voor Endpoint Plan 2 vormt de primaire sensorlaag omdat het proces-, netwerk- en geheugenactiviteit van ieder apparaat met hoge betrouwbaarheid vastlegt en direct correleert met MITRE ATT&CK-technieken. De licentie biedt daarnaast automatische onderzoeken, geavanceerde jachtmogelijkheden en geïntegreerde kwetsbaarheidssignalen, waardoor het securityteam zich kan richten op interpretatie van dreigingen in plaats van op het handmatig verzamelen van telemetrie.
Een beheerde Azure Monitor- en Log Analytics-werkruimte is noodzakelijk om de enorme hoeveelheid ruwe data op een schaalbare, versleutelde en compliance-proof manier op te slaan. Binnen deze werkruimte worden datacollectors voor endpoints, identiteiten, cloudresources en legacybronnen samengebracht en worden retentiepolicies geconfigureerd die aansluiten op de wettelijke kaders voor de publieke sector.
Microsoft Sentinel levert de centrale SIEM- en SOAR-capaciteiten waarmee waarschuwingen uit Defender, Azure AD, Exchange Online, identiteitsplatformen en derde partijen worden samengebracht. Dankzij ingebouwde analyticsregels, entity-behaviour analytics en automatiseringsmogelijkheden kunnen incidenten sneller worden ingeschaald en kan een consistente responsketen worden afgedwongen, zelfs wanneer meerdere leveranciers betrokken zijn.
Voor langdurige opslag van forensisch waardevolle logs is dedicated Azure-opslag vereist met immutability, geografische redundantie en sleutelbeheer in een door de organisatie gecontroleerde Key Vault. Hierdoor kan men voldoen aan de strikte eisen uit de Archiefwet, financiële toezichtkaders en sectorale afspraken, terwijl de performance van operationele query's in Log Analytics behouden blijft.
Betrouwbare netwerkconnectiviteit tussen endpoints, Microsoft Defender, Azure Monitor en Sentinel is onmisbaar. Dit betekent dat firewall- en proxyconfiguraties zorgvuldig moeten worden afgestemd, TLS-inspecties expliciet worden toegestaan voor beveiligingsdomeinen en dat mobiele apparaten via een veilige tunnel of per-app VPN telemetrie kunnen blijven verzenden, ook wanneer zij zich buiten het rijksnetwerk bevinden.
Omdat geavanceerde monitoring veel inzichten oplevert, moet de organisatie voldoende SOC-analisten, dreigingsjagers en forensisch specialisten vrijmaken of een beheerde detectie- en responsdienst contracteren. Alleen dan kunnen waarschuwingen 24/7 worden beoordeeld, hypotheses worden getest en verbeteringen aan detectieregels worden doorgevoerd voordat aanvallers hun voordeel doen.
Heldere incidentresponsprocedures, escalatiepaden en communicatieprotocollen borgen dat technische detectie daadwerkelijk leidt tot bestuurlijke actie. Hierin staan onder andere de verantwoordelijkheden van CISO, FG, lijnmanagement, ketenpartners en leveranciers beschreven, inclusief criteria voor het inschakelen van het Nationaal Cyber Security Centrum of sectorale CERT's.
Implementatie
De implementatie van endpointmonitoring begint met een gezamenlijke blauwdruksessie waarin security, operations en compliance hun behoeften vastleggen. Hier wordt bepaald welke gegevens als kroonjuwelen worden gezien, welke bedreigingsscenario's prioriteit krijgen en hoe bestaande processen voor change- en releasebeheer de monitoringcomponenten kunnen ondersteunen. Door architectuurprincipes, namingconventies en taggingstrategieën vooraf vast te leggen ontstaat een helder kader waarbinnen onboarding, automatisering en rapportage kunnen worden uitgevoerd zonder dat verschillende teams elkaar tegenwerken of dat telemetrie onnodig gefragmenteerd raakt.
Het onboarden van alle Windows-, macOS-, Linux-, iOS- en Android-apparaten in Microsoft Defender voor Endpoint wordt uitgevoerd met een combinatie van Intune deploymentprofielen, configuratieprofielen voor legacy domeinapparaten en geautomatiseerde scripts voor bijzondere omgevingen zoals laboratoria of OT-segmenten. Voor iedere beheerstraat wordt vastgelegd hoe het onboardingcertificaat wordt beheerd, hoe het statusrapport aan het SOC wordt teruggekoppeld en hoe uitzonderingen voor tijdelijk uitgesloten systemen worden gemotiveerd en gelogd.
Na onboarding volgt de fijnafstemming van telemetrie. Per apparaattype worden de datacollectielagen, privacy-instellingen, aanvalsvlakreductieregels en EDR-blokkeermodi afgestemd op het risicoprofiel. AIR wordt ingeschakeld met duidelijke richtlijnen over welke acties autonoom mogen worden uitgevoerd en wanneer een analyst toestemming moet geven. Hierdoor ontstaat een evenwicht tussen snelle mitigatie en gecontroleerde uitvoering in gevoelige productieomgevingen.
Vervolgens wordt de Defender-telemetrie gekoppeld aan de centrale Log Analytics-werkruimte via de native data connector. DeviceEvents, netwerkgebeurtenissen, procesinformatie, bestandstoegang en SecurityAlerts worden gestroomlijnd, waarbij per datastroom de benodigde retentie en kosten worden doorgerekend. Er worden dataverzamelingsregels opgezet om piekbelasting te voorkomen en er worden alerts gebouwd die direct melden wanneer de dagelijkse ingestie lager uitvalt dan het historische patroon.
Het detectiedeel bestaat uit een mix van Microsoft-analyses en maatwerkqueries in KQL. Voor iedere use case worden de corresponderende MITRE ATT&CK-technieken vastgelegd, samen met de bron van bewijs en de verwachte responsmaatregelen. Door deze documentatie in de use-casecatalogus van het SOC te plaatsen, ontstaat een eenduidige referentie die auditors en analisten gebruiken om te beoordelen of de dekking volledig is en of lessons learned zijn verwerkt.
Tot slot wordt Microsoft Sentinel gekoppeld zodat endpointtelemetrie kan worden gecorreleerd met identiteiten, cloudbronnen, netwerkcomponenten en eventuele derde partijen. De organisatie definieert welke incidenttypen automatisch een Logic Apps-playbook activeren, hoe escalaties naar incidentmanagementtools plaatsvinden en op welke momenten de communicatoren voor AVG- of NIS2-meldingen worden geïnformeerd. Door deze end-to-end keten te automatiseren wordt tijdverlies tussen detectie en containment voorkomen.
Gebruik PowerShell-script endpoint-monitoring.ps1 (functie Invoke-Monitoring) – Script dat configuratie-afwijkingen, ontbrekende telemetrie en ingestievertragingen opspoort en direct rapporteert.
monitoring
Nadat de technische componenten draaien, verschuift de aandacht naar het bewaken van de monitoringketen zelf. Elk onderdeel, van sensor tot SIEM, wordt gemeten op beschikbaarheid, volledigheid en kwaliteit. Het SOC definieert service level indicators voor ingestietijden, kwaliteitsratio's van meldingen, responstijden van analisten en de dekking van endpoints per organisatieonderdeel. Door deze indicatoren dagelijks te evalueren ontstaat een feedbacklus waarmee knelpunten snel worden opgespoord en verbeteringen gericht kunnen worden uitgevoerd, bijvoorbeeld door policywijzigingen in Intune, aanpassingen in firewallregels of het bijschaven van detectielogica.
Het Security Operations-dashboard in Microsoft 365 Defender fungeert als primaire cockpit voor realtime meldingen. Hier worden incidenttrends, escalaties en statusupdates vastgelegd, inclusief automatische correlaties met identiteits- en e-mailtelemetrie. Dashboardkaarten zijn afgestemd op Nederlandse rapporteringsplichten, waardoor direct zichtbaar is of melding aan de Autoriteit Persoonsgegevens of het NCSC noodzakelijk is.
De device health-rapportages bewaken of alle sensors nog actief zijn, of definities up-to-date blijven en of communicatie met de Defender-service veilig verloopt via TLS 1.2 of hoger. Eventuele achterstanden worden gekoppeld aan Intune-compliancebeleid zodat apparaten automatisch in quarantaine gaan totdat de sensor betrouwbaar data levert.
Binnen Log Analytics draaien query's die ingestiepiekjes en -dalingen detecteren. Een afwijking van meer dan tien procent ten opzichte van het weekgemiddelde activeert een waarschuwing richting het SOC en richting het platformteam dat verantwoordelijk is voor netwerk- en proxyconfiguraties, zodat eventuele blokkades snel worden opgeheven.
Alertkwaliteitsmetingen combineren gegevens over valse positieven, mean-time-to-acknowledge en mean-time-to-contain. Door deze statistieken per use case bij te houden wordt duidelijk welke regels moeten worden bijgesteld, welke extra context nodig is voor analisten en welke use cases juist als best practices kunnen worden opgeschaald naar andere onderdelen van de rijksoverheid.
Dekkingsrapportages tonen het percentage onboarded endpoints per departement, per locatie en per type apparaat. De rapporten maken inzichtelijk welke onderdelen structureel achterlopen en koppelen deze bevindingen aan managementmaatregelen, bijvoorbeeld het verplicht stellen van Defender voor externe leveranciers of het opnemen van monitoring in service level agreements.
Key performance indicators voor threat hunting registreren hoeveel hypothese-gedreven onderzoeken zijn uitgevoerd, welke dreigingen buiten reguliere alerting zijn ontdekt en hoe lang het duurde voordat verbeterde detecties werden uitgerold. Hiermee toont de organisatie aan dat monitoring niet alleen reactief is, maar ook proactief bijdraagt aan risicoreductie.
Gebruik PowerShell-script endpoint-monitoring.ps1 (functie Invoke-Monitoring) – Voert geautomatiseerde health checks uit op sensorstatus, ingestievolumes en analyticsprestaties.
Remediatie
Zelfs met een volwassen monitoringarchitectuur ontstaan er momenten waarop telemetrie wegvalt of regels niet langer aansluiten op het actuele dreigingsbeeld. Een effectief remediatieproces begint daarom met een duidelijke prioritering: welke hiaten vormen direct risico voor tijdige detectie en welke kunnen binnen een geplande change worden opgelost? Het SOC werkt met draaiboeken waarin technische stappen worden gekoppeld aan communicatiemomenten, zodat CISO, FG en bedrijfsvoering weten wanneer aanvullende maatregelen nodig zijn. Elke afwijking resulteert bovendien in een post-incidentreview, zodat structurele oorzaken worden aangepakt.
Via Intune-proactieve remediering worden scripts uitgerold die controleren of services draaien, of registratiesleutels intact zijn en of netwerkverbindingen op de juiste poorten beschikbaar zijn. Wanneer afwijkingen worden gevonden, herstart het script de benodigde componenten en rapporteert het resultaat terug aan het SOC zodat het herstel traceerbaar is.
Als een sensor structureel ongezond blijft, volgt een her-onboardingprocedure met heruitgifte van onboardingpakketten, controle op dubbele device-id's en validatie in de Defender-portal. Voor kritieke systemen wordt daarbij een change met terugvalscenario voorbereid zodat bedrijfscontinuïteit gewaarborgd blijft.
Wanneer telemetrie niet langer de cloud bereikt, wordt een gestandaardiseerd netwerkonderzoeksproces gestart. Dit omvat het controleren van firewallregels, TLS-inspectieprofielen, proxyauthenticatie en eventuele lokale security-appliances die verkeer inspecteren. Bevindingen worden gedeeld met netwerkbeheer zodat toekomstige blokkades preventief kunnen worden voorkomen.
Alert-tuning vindt plaats op basis van gemeten valse positieven. Analisten documenteren welke context ontbrak, voegen aanvullende entiteiten toe aan KQL-query's en testen wijzigingen eerst in een gecontroleerde omgeving voordat zij in productie gaan. Hierdoor blijven waarschuwingen relevant en behouden analisten vertrouwen in het systeem.
Wanneer sensorproblemen het gevolg lijken van productfouten, wordt Microsoft Support vroegtijdig ingeschakeld. Het dossier bevat logpakketten, tijdlijnen en reeds uitgevoerde stappen zodat ondersteuning doelgericht advies kan geven of hotfixes kan leveren die passen bij de Nederlandse compliance-eisen.
Per kwartaal vindt een structurele herziening van detectieregels plaats waarbij lessons learned uit incidenten, ontwikkelingen in het dreigingslandschap en nieuwe verplichtingen uit bijvoorbeeld NIS2 worden meegenomen. De resultaten worden gepubliceerd in het verbeterregister van de CISO-organisatie.
Gebruik PowerShell-script endpoint-monitoring.ps1 (functie Invoke-Remediation) – Activeert gerichte herstelacties voor sensoren, netwerkconnectiviteit en alerttuning en logt alle stappen voor auditdoeleinden.
Compliance en Auditing
Endpointmonitoring binnen de Nederlandse publieke sector staat nooit op zichzelf; elk logbestand is potentieel juridisch bewijsmateriaal en moet daarom voldoen aan strikte normen voor integriteit, bewaartermijnen en toegangscontrole. De compliance-architectuur beschrijft hoe gegevens worden gelabeld, hoe ze worden versleuteld met sleutels onder Nederlands beheer en hoe auditoren kunnen vaststellen dat de volledige keten betrouwbaar werkt. Daarnaast is het essentieel om duidelijke procedures vast te leggen voor AVG-verzoeken, bijvoorbeeld wanneer betrokkenen inzage vragen in loggegevens die ook informatie over medewerkers bevatten. Door de monitoringprocessen expliciet te koppelen aan wettelijke kaders ontstaat transparantie richting toezichthouders en wordt aantoonbaarheid geborgd.
De Algemene Verordening Gegevensbescherming vereist dat beveiligingsincidenten binnen 72 uur worden gemeld. Endpointmonitoring levert het bewijs dat detectie tijdig plaatsvond en dat passende maatregelen zijn getroffen. Daarom worden logbestanden voorzien van betrouwbare tijdstempels, wordt de toegang tot logopslag beperkt tot geautoriseerde personen en worden rapportages opgesteld die direct kunnen worden gedeeld met de Functionaris Gegevensbescherming.
NIS2 schrijft voor dat essentiële en belangrijke entiteiten aantoonbaar beschikken over detectie- en meldcapaciteiten. Het endpointmonitoringprogramma documenteert welke use cases aan deze verplichting voldoen, hoe escalaties richting CSIRT's verlopen en hoe binnen 24 uur een eerste melding kan worden gedaan met feitelijke, forensisch onderbouwde informatie.
De BIO eist in hoofdstuk 16.01 dat gebeurtenissen volledig, accuraat en controleerbaar worden vastgelegd. De organisatie borgt dit door loggingrichtlijnen vast te leggen, regelmatig steekproeven te laten uitvoeren door interne auditors en de resultaten te rapporteren aan het CIO-beraad, zodat verbetermaatregelen bestuurlijk kunnen worden gevolgd.
ISO 27001:2022 control A.12.4 verlangt dat logging- en monitoringprocessen worden gepland, geïmplementeerd en bewaakt. Endpointmonitoring voorziet in deze eis door formele procedures, rollen en verantwoordelijkheden vast te leggen en door aantoonbaar te maken dat logbestanden worden beschermd tegen manipulatie via role-based access control en versleuteling.
Bewaartermijnen variëren van één jaar voor algemene overheidslogs tot zeven jaar voor financiële ketens of onderzoeken waarbij bewijswaarde centraal staat. De organisatie hanteert daarom gelaagde opslag: operationele data in Log Analytics voor snelle analyse en gearchiveerde data in immutable storage-accounts zodat zowel performance als compliance zijn gegarandeerd.
Tot slot rapporteert het SOC periodiek over de effectiviteit van monitoring, inclusief dekkingsratio's, auditbevindingen en verbeteracties. Deze attesteringsrapporten worden gedeeld met bestuur, auditcommissies en ketenpartners, zodat iedereen kan zien dat de monitoringketen volwassen is en aansluit op nationale richtlijnen zoals de Nederlandse Baseline voor Veilige Cloud.
Compliance & Frameworks
- CIS M365: Control 8.2, 8.5, 8.11 (L1) - CIS Controls v8 benadrukt het beheren van auditlogboeken, het centraliseren van loggegevens en het structureel onderhouden van beveiligingsmonitoring
- BIO: 16.01 - De BIO vereist in thema 16.01 dat gebeurtenislogboeken gebruikersactiviteiten, uitzonderingen, fouten en beveiligingsincidenten registreren, bewaren en periodiek laten beoordelen als bewijsmateriaal
- ISO 27001:2022: A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4 - ISO 27001:2022 schrijft voor dat gebeurtenissen en audittrails worden geregistreerd, dat loggegevens worden beschermd, dat beheerdersactiviteiten traceerbaar zijn en dat tijdsynchronisatie aantoonbaar is
- NIS2: Artikel - NIS2 vereist adequate incident detectie en 24-hour significant incident reporting capabilities
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Endpoint Monitoring Design
.DESCRIPTION
Implementation for Endpoint Monitoring Design
.NOTES
Filename: endpoint-monitoring.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/endpoint-monitoring.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Endpoint Monitoring Design"
$BIOControl = "16.01"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "endpoint-monitoring"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder geïntegreerde endpointmonitoring blijven aanvallen vaak maandenlang onzichtbaar, groeit de kans op datalekken en ransomware-uitval, en wordt niet voldaan aan de meldplichten uit AVG en NIS2. Onderzoek laat zien dat organisaties met volwassen monitoring 54% sneller detecteren en 41% minder herstelkosten hebben. Het restrisico zonder deze voorziening is daarom onacceptabel hoog.
Management Samenvatting
Koppel Microsoft Defender voor Endpoint, Azure Monitor, Log Analytics en Microsoft Sentinel zodat procesuitvoering, netwerkverkeer en bestandsactiviteit centraal beschikbaar komen. Gebruik gestandaardiseerde analyticsregels, MITRE ATT&CK-mapping en geautomatiseerde playbooks om apparaten te isoleren, processen te blokkeren en onderzoekspakketten te verzamelen. Onboard alle apparaten, activeer de Sentinel-connector en verfijn detecties met KQL-jachtmogelijkheden. Defender Plan 2 is inbegrepen in Microsoft 365 E5; extra kosten komen uit logingestie in Sentinel. Deze aanpak is nodig voor BIO 16.01- en NIS2-conformiteit en vormt de basis voor snelle detectie en respons.
- Implementatietijd: 120 uur
- FTE required: 0.75 FTE