💼 Management Samenvatting
Microsoft Defender voor Endpoint is het geavanceerde endpointdetectie- en responsplatform (EDR) van Microsoft. Het verzamelt continu gedragsdata van werkstations, laptops, servers en virtuele desktops, analyseert deze met behulp van cloudgebaseerde beveiligingsintelligentie en machine learning, en detecteert zo snel mogelijke aanwijzingen voor aanvallen die traditionele antivirusoplossingen niet zien.
Aanbeveling
Implementeer en configureer Microsoft Defender voor Endpoint als centraal EDR-platform voor alle werkplekken en servers binnen de organisatie.
Risico zonder
Critical
Risk Score
9/10
Implementatie
60u (tech: 40u)
Van toepassing op:
✓ Defender voor Endpoint
Voor Nederlandse overheidsorganisaties zijn endpoints nog steeds het primaire instappunt voor aanvallers. Ransomware, geavanceerde malware, fileless attacks en misbruik van legitieme tools richten zich allemaal op werkstations en servers. Zonder een goed geconfigureerde EDR-oplossing blijven laterale beweging, privilege escalation en gegevensdiefstal vaak onopgemerkt totdat de schade al groot is. Een zorgvuldig ingerichte Defender voor Endpoint-omgeving maakt het mogelijk om vroegtijdig indicatoren van compromittering te signaleren, automatisch in te grijpen en incidenten te beperken voordat bedrijfsvoering, dienstverlening aan burgers of vertrouwelijke gegevens ernstig worden geraakt.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Security
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Security
Implementatie
In deze richtlijn beschrijven we hoe je Microsoft Defender voor Endpoint inricht voor een overheidsomgeving: van licentie- en architectuurkeuzes tot het configureren van Defender-instellingen, Attack Surface Reduction (ASR)-regels, next-generation antivirus, EDR in blokkeerstand en Automated Investigation & Response (AIR). Daarnaast behandelen we hoe je monitoring, incidentafhandeling en rapportage structureert zodat de organisatie aantoonbaar voldoet aan de BIO en andere relevante kaders.
Vereisten
Voor een succesvolle implementatie van Microsoft Defender voor Endpoint in een overheidsorganisatie zijn zowel licentie-, platform- als organisatorische randvoorwaarden noodzakelijk. Allereerst is een passende licentie vereist, bij voorkeur Defender voor Endpoint Plan 2 zoals opgenomen in Microsoft 365 E5, of een gelijkwaardige standalone licentie die EDR, Attack Surface Reduction, Automated Investigation & Response (AIR) en Threat & Vulnerability Management (TVM) ondersteunt. Daarnaast moet de organisatie beschikken over een centrale Microsoft 365-tenant die eigendom is van de organisatie zelf, met duidelijke scheiding tussen productie-, test- en eventueel ontwikkelomgevingen. Aan de technische kant is het essentieel dat alle relevante endpoints worden ondersteund: moderne versies van Windows 10 en 11, Windows Server (bij voorkeur recent ondersteunde builds), en eventueel niet-Windows-platformen waarvoor Defender-clients beschikbaar zijn. Apparaten moeten kunnen communiceren met de Defender cloudservices via de vereiste uitgaande netwerkverbindingen; proxy- en firewallconfiguraties moeten dit expliciet toestaan op basis van de door Microsoft gedocumenteerde URL-lijsten. Voor organisaties die werken met streng gesegmenteerde netwerken kan dit betekenen dat er specifieke security zones en firewallregels worden ingericht voor beveiligings-telemetrie. Naast de technische basis is er een volwassen identity- en toegangsstructuur nodig. Beheeraccounts voor Defender en Microsoft 365 Defender dienen te zijn voorzien van sterk authenticatiebeleid (bijvoorbeeld meervoudige authenticatie, phishing-resistente methoden waar mogelijk) en Role Based Access Control (RBAC). Analisten hebben doorgaans lees- en incidentbevoegdheden nodig, terwijl een kleiner aantal senior beheerders configuratie- en onboardingrechten krijgt. Ook moet er een change- en releaseproces zijn waarin wijzigingen aan Defender-beleid worden getest, beoordeeld en gedocumenteerd voordat zij productie bereiken. Tenslotte zijn er organisatorische randvoorwaarden: een SOC- of incidentresponsfunctie die daadwerkelijk tijd kan besteden aan het opvolgen van meldingen, een governance-structuur waarin risicoacceptaties en uitzonderingen worden vastgelegd, en afspraken met leveranciers of hostingpartijen over de reikwijdte van endpointbescherming. Zonder deze randvoorwaarden leidt een krachtige EDR-oplossing al snel tot ongebruikte meldingen, onduidelijkheid over verantwoordelijkheden en frustratie bij beheerteams.
Implementatie
De implementatie van Defender voor Endpoint begint met het onboarden van apparaten en het ontwerpen van een beleid dat past bij de risico- en gebruikersprofielen van de organisatie. Start met een gefaseerde uitrol: onboard eerst een representatieve testgroep met verschillende typen endpoints (kantoorwerkplekken, beheersystemen, servers en eventueel VDI-omgevingen). Gebruik de Microsoft 365 Defender-portal om de onboarding-pakketten te genereren en integreer deze in bestaande beheerprocessen, zoals Intune-configuratieprofielen, Group Policy of beheerscripts. Zodra de eerste apparaten zijn aangesloten, controleer je of sensordata binnenkomt, basisbeveiliging actief is en alerts correct worden weergegeven. Vervolgens configureer je de kernonderdelen van de beveiligingsarchitectuur. Schakel Attack Surface Reduction (ASR)-regels in om veelvoorkomende aanvallen op het Windows-platform te blokkeren, zoals het misbruiken van Office-macro's, het uitvoeren van onbekende scripts of het stelen van referenties uit geheugen. Begin bij voorkeur met een auditmodus voor strenge regels om inzicht te krijgen in mogelijke impact en stel vervolgens, na analyse van de resultaten, de regels bij naar blokkeerstand. Parallel hieraan zorg je dat next-generation antivirus van Defender actief is als primaire engine of in een goed begrepen coexistence-scenario met overige oplossingen. Een cruciale stap is het activeren van EDR in blokkeerstand. Hiermee kan Defender preventief ingrijpen op basis van EDR-signalen, zelfs wanneer alleen passieve antivirusconfiguraties zijn ingeschakeld. Deze instelling is bijzonder relevant voor servers en kritieke systemen waar traditionele antivirusconfiguraties soms terughoudender zijn ingericht. Door EDR in blokkeerstand zorgvuldig te testen in de testgroep, kun je herkennen welke legitieme processen mogelijk worden beïnvloed en uitzonderingen registreren voordat je brede uitrol plaatsvindt. Tot slot richt je Automated Investigation & Response (AIR) in. AIR helpt om veelvoorkomende dreigingen automatisch te analyseren en, waar veilig, te remediëren. Definieer duidelijke beleidsregels over welke acties automatisch mogen worden uitgevoerd en wanneer menselijke goedkeuring vereist is, bijvoorbeeld bij het isoleren van apparaten of het beëindigen van kritieke processen. Leg deze keuzes vast in interne procedures en zorg dat SOC-analisten weten wanneer AIR ingrijpt, welke activiteiten worden gelogd en hoe zij de resultaten kunnen beoordelen. Door configuratie, test, tuning en uitrol gestructureerd te doorlopen, ontstaat een stabiele Defender voor Endpoint-implementatie die de BIO-vereisten ondersteunt zonder onnodige verstoring van de bedrijfsvoering.
Gebruik PowerShell-script defender-atp-configuration.ps1 (functie Invoke-Monitoring) – Monitoren.
monitoring
Effectieve monitoring in Defender voor Endpoint draait om een combinatie van realtime meldingen, overzichtelijke dashboards en gestructureerde werkprocessen. De centrale plek hiervoor is de Microsoft 365 Defender-portal, waar alle waarschuwingen, incidenten en geautomatiseerde onderzoeken samenkomen. Hier zie je niet alleen individuele alerts, maar ook geaggregeerde incidenten waarin meerdere signalen worden samengebracht tot één logisch beveiligingsverhaal. Dit helpt analisten om verbanden te leggen tussen bijvoorbeeld een verdachte e-mail, laterale beweging op endpoints en aanpassingen aan registry- of systeeminstellingen. Richt de incidentwachtrij zodanig in dat prioriteit wordt gegeven aan meldingen met de hoogste impact, zoals ransomware-indicaties, mogelijke datadiefstal of compromittering van beheerdersaccounts. Maak gebruik van filter- en taggingmogelijkheden om onderscheid te maken tussen productie- en testomgevingen, tussen hoog- en laagkritische systemen en tussen verschillende organisatieonderdelen. Koppel de incidentwachtrij aan bestaande SOC-processen, zoals een SIEM-oplossing, ticketingsysteem of ITSM-tool, zodat opvolgacties traceerbaar en toetsbaar zijn. Naast de incidentqueue zijn rapportages en dashboards belangrijk om trends te signaleren. Gebruik de ingebouwde rapportages om inzicht te krijgen in bijvoorbeeld de dekking van onboarded apparaten, de status van ASR-regels, het aantal geblokkeerde aanvallen en de gemiddelde responstijd op incidenten. Deze overzichten zijn een waardevolle input voor managementrapportages, periodieke risicobeoordelingen en de toetsing aan BIO- en NIS2-eisen. Tot slot moeten monitoringprocessen duidelijk zijn vastgelegd: wie beoordeelt meldingen buiten kantooruren, hoe worden escalaties naar CISO of lijnmanagement afgehandeld, en welke informatie wordt minimaal vastgelegd in een incidentdossier? Door monitoring niet te beperken tot het bekijken van een dashboard, maar te verankeren in processen, rollen en tooling, wordt Defender voor Endpoint een integraal onderdeel van de securityoperatie in plaats van slechts een technische sensor.
Gebruik PowerShell-script defender-atp-configuration.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie in Defender voor Endpoint begint bij een duidelijke triage van het incident: wat is er precies geconstateerd, welke systemen zijn geraakt en welke gegevens of accounts kunnen zijn blootgesteld? Analisten gebruiken de incidentweergave om de tijdlijn van gebeurtenissen te reconstrueren, inclusief procesketens, netwerkverbindingen en eventuele laterale beweging. Op basis daarvan wordt bepaald welke containmentmaatregelen nodig zijn, zoals het isoleren van een apparaat van het netwerk, het intrekken van sessietokens of het resetten van inloggegevens van betrokken accounts. De oplossing biedt verschillende geautomatiseerde remediatieacties via Automated Investigation & Response. Deze kunnen, mits goed geconfigureerd, zelfstandig kwaadaardige bestanden verwijderen, persistente registry-aanpassingen terugdraaien en verdachte services beëindigen. Voor overheidsomgevingen is het vaak wenselijk om een hybride model te hanteren: standaarddreigingen worden automatisch afgehandeld, terwijl ingrijpende acties (zoals het isoleren van bedrijfskritische servers) eerst een menselijke goedkeuring vereisen. Dit evenwicht tussen snelheid en controle is cruciaal om zowel beveiliging als continuïteit te waarborgen. Naast technische maatregelen is er aandacht nodig voor herstel van de bedrijfsvoering. Dat betekent dat betrokken applicatie-eigenaren, procesverantwoordelijken en eventueel privacy officers worden geïnformeerd, dat er wordt beoordeeld of er meldplichten richting toezichthouders of betrokkenen gelden, en dat eventuele back-ups gecontroleerd en, indien nodig, teruggezet worden. Documenteer alle genomen stappen, inclusief tijdstip, verantwoordelijke en onderbouwing, zodat achteraf gereconstrueerd kan worden waarom welke beslissing is genomen. Na afronding van de remediatie volgt een evaluatie: welke indicatoren hadden eerder gezien kunnen worden, welke regels of detecties moeten worden aangescherpt, en hoe kunnen vergelijkbare incidenten in de toekomst sneller worden herkend of voorkomen? De uitkomsten hiervan verwerk je in technische verbeteringen (bijvoorbeeld extra ASR-regels, aangepaste beleidsinstellingen of nieuwe detectieregels) én in organisatorische aanpassingen, zoals extra training voor beheerders of aangescherpte procedures. Zo groeit Defender voor Endpoint stap voor stap uit tot een lerend systeem dat niet alleen incidenten oplost, maar de algehele weerbaarheid van de organisatie structureel verhoogt.
Gebruik PowerShell-script defender-atp-configuration.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Een goed ingerichte Defender voor Endpoint-configuratie levert niet alleen technische beveiliging op, maar ondersteunt ook aantoonbare naleving van normen zoals de BIO, de AVG en in toenemende mate NIS2. Voor auditors en toezichthouders is met name van belang dat de organisatie kan laten zien welke maatregelen zijn getroffen, hoe deze zijn beheerd en hoe incidenten worden gedocumenteerd en opgevolgd. Dit betekent dat configuratie-instellingen, beleidsregels en uitzonderingen systematisch worden vastgelegd, bijvoorbeeld in een centraal configuratieregister of een architectuuroverzicht dat periodiek wordt bijgewerkt. Defender voor Endpoint en de Microsoft 365 Defender-portal genereren uitgebreide log- en rapportagegegevens. Maak gebruik van exportmogelijkheden naar een SIEM-omgeving of logarchief, zodat bewijsmateriaal over detecties, remediatieacties en wijzigingshistorie ook na langere tijd beschikbaar blijft. Dit is met name relevant in het licht van bewaartermijnen die voortvloeien uit de BIO en interne beleidseisen. Zorg er daarnaast voor dat change- en releaseprocessen rondom beveiligingsbeleid formeel zijn ingericht, inclusief goedkeuringen door CISO of security board wanneer beleidswijzigingen grote impact kunnen hebben op risico's of gebruikerservaring. Voor audits is het nuttig om standaardpakketten met auditbewijsmateriaal samen te stellen: een overzicht van alle geactiveerde Defender-componenten, documentatie van ASR- en antivirusbeleid, voorbeelden van incidentdossiers, rapportages over dekking en trendanalyses en beschrijvingen van rollen, verantwoordelijkheden en escalatiepaden. Combineer deze technische documentatie met procesbeschrijvingen waarin wordt uitgelegd hoe monitoring, incidentrespons en periodieke evaluaties zijn georganiseerd. Door techniek en proces op elkaar af te stemmen, kan de organisatie niet alleen aantonen dat Defender voor Endpoint correct is ingericht, maar ook dat het onderdeel is van een breed gedragen en volwassen beveiligings- en compliancekader.
Compliance & Frameworks
- BIO: 14.02 - BIO Baseline Informatiebeveiliging Overheid - 14.02 - Bescherming tegen malware
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Defender ATP Configuration Design
.DESCRIPTION
Implementation for Defender ATP Configuration Design
.NOTES
Filename: defender-atp-configuration.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/security/defender-atp-configuration.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Defender ATP Configuration Design"
$CISControl = "13.x"
$BIOControl = "12.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "defender-atp-configuration"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder een goed ingerichte Defender voor Endpoint-omgeving blijven geavanceerde aanvallen vaak langdurig onopgemerkt. Ransomware kan zich uren tot dagen voorbereiden voordat encryptie zichtbaar wordt, laterale beweging tussen systemen blijft onder de radar en fileless aanvallen omzeilen traditionele antivirus. Het gevolg is een hoog risico op langdurige compromittering, verstoring van primaire processen, verlies van vertrouwelijke gegevens en mogelijke meldplichten richting toezichthouders. Voor overheidsorganisaties, waar de continuïteit van dienstverlening en de bescherming van staats- en persoonsgegevens cruciaal zijn, is dit risico onacceptabel.
Management Samenvatting
Defender voor Endpoint biedt een geïntegreerde set beveiligingsfuncties voor endpoints: EDR-telemetrie met gedragsmonitoring van processen, netwerkverkeer, registry- en bestandsactiviteiten, Attack Surface Reduction-regels die onder andere kwaadaardige macro's, scripts en credential theft blokkeren, Automated Investigation & Response (AIR) voor automatische analyse en herstel, next-generation cloudgebaseerde antivirus, Threat & Vulnerability Management voor continue kwetsbaarheidssignalering en webbescherming tegen kwaadaardige websites. De implementatie bestaat uit het onboarden van apparaten, het configureren en gefaseerd inschakelen van ASR- en EDR-blokkeerbeleid, het inrichten van monitoring- en incidentprocessen en het borgen van logging en documentatie voor compliance (onder andere BIO 14.02 en NIS2). Met een gestructureerde uitrol in enkele tientallen uren wordt de endpointbeveiliging substantieel versterkt en sluit de organisatie beter aan op moderne dreigingsscenario's.
- Implementatietijd: 60 uur
- FTE required: 0.5 FTE