L1 CIS Email Security

Defender Email Bescherming

πŸ“… 2025-10-30
β€’
⏱️ 10 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Defender voor Office 365 vormt de primaire verdedigingslaag tegen doelgerichte mailaanvallen binnen Microsoft 365 en combineert geautomatiseerde analyse met beleidsgestuurde maatregelen om risicovolle berichten voor aflevering te neutraliseren.

Aanbeveling
Activeer en beheer Defender voor Office 365 tenantbreed met Safe Links, Safe Attachments, anti-phishing en Zero-hour Auto Purge als verplicht onderdeel van de Nederlandse Baseline voor Veilige Cloud.
Risico zonder
Critical
Risk Score
9/10
Implementatie
40u (tech: 24u)
Van toepassing op:
βœ“ Defender voor Office 365

E-mail blijft de meest gebruikte toegangspoort voor credential phishing, ransomware en business email compromise in Nederlandse overheidsorganisaties, waardoor een verkeerd doorgezette mail onmiddellijk gevolgen heeft voor de continuiteit en de wettelijke meldplicht bij datalekken.

PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

De oplossing bundelt Safe Links met klikmomentcontrole, Safe Attachments met detonatie in een sandbox, geavanceerde anti-phishingregels, Zero-hour Auto Purge en trainingsscenario's die naadloos integreren met rapportages voor BIO en NIS2.

Vereisten

Een effectieve inzet van Defender voor Office 365 begint met een duidelijk mandaat vanuit CISO- en CIO-niveau dat e-mailbeveiliging wordt behandeld als essentieel onderdeel van de Nederlandse Baseline voor Veilige Cloud. Dit betekent dat elke tenant een actuele dreigingsanalyse heeft, dat de rolverdeling tussen functioneel beheer, beveiliging en SOC helder is en dat er budget is gereserveerd voor licenties, monitoring en training. Zonder dit fundament blijven beleidsdocumenten abstract en worden geavanceerde functies nooit geactiveerd, terwijl aanvallers profiteren van onvolledig uitgerolde bescherming. Het vereiste volwassenheidsniveau sluit aan op BIO-paragraaf 12 en de ENSIA-verantwoording, waarin expliciet wordt gevraagd naar gedocumenteerde maatregelen voor e-mailbescherming. Licentietechnisch moeten alle gebruikers die externe e-mail kunnen ontvangen minimaal over Defender voor Office 365 Plan 1 beschikken, terwijl accounts met verhoogde risico's, gedeelde mailboxen bij publiekscontactcenters en escalatiegroepen Plan 2 toegewezen krijgen voor automatisering en geavanceerde jagersfunctionaliteit. De basis Exchange Online-omgeving draait op moderne authenticatie met Conditional Access, zodat beleidsupdates afdwingbaar zijn. Verder is een Power Platform- of Azure Automation-account nodig om de scripts in code/design/security/defender-email-bescherming.ps1 volgens het afgesproken changewindow uit te voeren. Omdat deze scripts ExchangeOnlineManagement gebruiken, moet er een serviceaccount met rolscheiding zijn dat enkel de noodzakelijke RBAC-rollen Security Administrator en Quarantine Administrator toegewezen krijgt. Technisch gezien vereist de oplossing een goedgekeurd domeinportfolio met geldige SPF-, DKIM- en DMARC-records, TLS 1.2 of hoger voor alle mailflow-connectors en een centrale loggingarchitectuur waarin zowel Defender-waarschuwingen als Message Trace-gegevens minimaal 180 dagen beschikbaar blijven voor forensisch onderzoek. Integratie met Microsoft Defender XDR en het bestaande SIEM, bijvoorbeeld Azure Sentinel of Splunk, zorgt ervoor dat waarschuwingen niet in afzonderlijke silo's terechtkomen. Daarnaast moeten API-throttlinglimieten en service health-meldingen worden bijgehouden, zodat het SOC weet wanneer detecties tijdelijk beperkt kunnen zijn. Voor hybride omgevingen moeten Edge Transport-servers en derde partij secure mail gateways op dezelfde manier beleid doorgeven om inconsistenties te voorkomen. Procesmatig vraagt een volwassen configuratie om een wijzigingskalender, een testtenant en goedgekeurde sjablonen voor beleid, communicatie en uitzonderingen. Functioneel beheerders documenteren iedere beleidswijziging met een motivatie, verwachte impact en fallbackscenario. Het SOC heeft afgesproken doorlooptijden voor analyseresultaten, inclusief een protocol om mogelijk legitieme berichten snel uit quarantaine te halen voor bestuursorganen en griffies. Medewerkers krijgen periodieke training in het herkennen van phishing en in het melden van verdachte berichten via de ingebouwde Report Message-knop. De awarenesscampagnes zijn afgestemd op het taalgebruik en de processen van Nederlandse gemeenten, uitvoeringsorganisaties en ministeries, zodat voorbeelden herkenbaar zijn. Tot slot moeten organisaties rekening houden met aanvullende verplichtingen vanuit de AVG en de Wet beveiliging netwerk- en informatiesystemen. Alle logging en gerelateerde persoonsgegevens worden opgeslagen binnen de EU en vallen onder een bewaartermijn die overeenkomt met het gemeentelijke selectiedocument, doorgaans drie tot vijf jaar. Budgettair wordt uitgegaan van minimaal 0,3 fte voor implementatie, 0,2 fte voor beheer en aparte middelen voor licentieverhogingen bij verkiezings- of piekperioden. Pas wanneer deze organisatorische en technische voorwaarden aantoonbaar zijn geborgd, kan de implementatie daadwerkelijk waarde leveren en kunnen auditors eenvoudig vaststellen dat e-mailbeveiliging op BIO-niveau 2 of hoger opereert.

Implementatie

De implementatie start met het opstellen van een detailontwerp dat beschrijft hoe Defender voor Office 365 de bestaande mailstroom raakt, welke domeinen worden beschermd en welke uitzonderingen tijdelijk blijven bestaan. Dit ontwerp wordt afgestemd in het beveiligingsberaad met vertegenwoordigers van CISO-office, functioneel beheer, SOC en juridische advies. Door vooraf een duidelijk referentiediagram te maken van transportregels, connectors, derde partij oplossingen en archivering, wordt voorkomen dat Safe Links- en Safe Attachments-acties onverwacht worden overschreven. Het document beschrijft ook de fallbackstrategie waarbij verkeer tijdelijk naar de standaard Exchange Online-beveiliging kan terugvallen zonder dat e-mails verloren gaan. Begin met het valideren van de bestaande antispam- en antimalwarepolicies en breng ze onder in een centraal Email Protection Baseline-beleid. Activeer hierin functies zoals Enhanced Filtering for Connectors, spoof intelligence en mailbox intelligence, maar voer ze gefaseerd door met change windows per organisatieonderdeel. Gebruik de PowerShell-functies uit code/design/security/defender-email-bescherming.ps1 om huidige instellingen te exporteren, te vergelijken met de gewenste staat en gecontroleerd wijzigingen door te voeren. Iedere wijziging wordt vooraf getest in een representatieve testtenant of pilotgroep met maximaal tien mailboxen die zowel interne als externe mail ontvangen. Voor Safe Links worden twee lagen ingericht: een tenantbrede standaardpolicy met geblokkeerde URL-lijsten op basis van politie- en NBIP-signalen, en een elevated policy voor bestuurders en accounts met toegang tot gevoelige BIO-klasse 4 gegevens. Activeer URL rewrite voor alle Exchange-workloads, inclusief Microsoft Teams en Office-apps, en verplicht klikmomentcontrole zodat gebruikers ook bij doorgestuurde of offline geopende berichten worden beschermd. Documenteer uitzonderingen, bijvoorbeeld voor burgerportalen die dynamische callback-URL's gebruiken, en onderbouw waarom een uitzondering tijdelijk noodzakelijk is. Communiceer proactief naar gebruikers dat URL's herschreven worden en leg uit hoe zij de originele bestemming kunnen controleren via de ingebouwde linkinformatie. Safe Attachments wordt geconfigureerd met dynamic delivery, zodat gebruikers de tekst van een e-mail alvast zien terwijl bijlagen in een sandbox worden gedetoneerd. Voor ketenpartners met grote bijlagen, zoals omgevingsdiensten en zorgaanbieders, wordt een vooraf geteste transportregel ingericht die berichten naar een aparte wachtrij leidt als de scanning langer dan vijf minuten duurt. Maak een apart beleid voor geautomatiseerde berichten, zodat applicatiemails niet onnodig vertraagd worden maar wel minimaal een beveiligingscontrole doorlopen. Log alle detonatieresultaten naar het SIEM en koppel ze aan incidenttickets, zodat forensici later kunnen aantonen welke payload tegen welke mailbox is ingezet. De anti-phishingconfiguratie combineert impersonation protection met aangepaste waarschuwingen voor bestuurders, griffies en teams die veel met burgers communiceren. Voeg minimaal vijf interne domeinen en een lijst met VIP's toe aan de impersonation settings en activeer mailbox intelligence zodat afwijkende communicatiepatronen sneller worden opgemerkt. Spoof intelligence wordt ingesteld op automatisch blokkeren, maar er wordt een workflow ingericht voor leveranciers die nog geen moderne authenticatie toepassen; zij leveren een expliciete onderbouwing voordat ze op de toegestaan-lijst komen. Attack Simulation Training wordt ingezet om de effectiviteit van de policies te toetsen en medewerkers bekend te maken met de nieuwe meldprocedures. Na configuratie controleert het team de end-to-endketen via synthetische tests: veilige en malafide berichten worden ingestuurd vanuit een gecontroleerd lab en de verwerkingstijd wordt vastgelegd. De PowerShell-scriptfunctie Invoke-Monitoring uit hetzelfde bestand valideert dagelijks of policies nog actief zijn, of quarantaine-instellingen per mailbox afwijken en of rapportagejobs zijn uitgevoerd. Resultaten worden automatisch gepubliceerd in het interne dashboard en vormen het startpunt voor SOC-analyses. Documenteer elke stap in het implementatielogboek, inclusief datum, verantwoordelijke en eventuele afwijkingen, zodat auditors duidelijk kunnen volgen hoe de tenant naar de gewenste staat is gebracht.

Gebruik PowerShell-script defender-email-bescherming.ps1 (functie Invoke-Monitoring) – Baseline-implementatie en policy-export.

Monitoring

Gebruik PowerShell-script defender-email-protection.ps1 (functie Invoke-Monitoring) – Dagelijkse validatie en rapportage.

Monitoring is een proactieve discipline waarbij Defender voor Office 365 continu wordt afgezet tegen de dreigingen die specifiek zijn voor Nederlandse bestuursorganisaties. Het SOC definieert duidelijke usecases, zoals het detecteren van spearphishing richting wethouders, credential-harvestingcampagnes met Nederlandstalige lokinzendingen en pogingen tot business email compromise. De scriptfunctie Invoke-Monitoring in code/design/security/defender-email-protection.ps1 haalt iedere nacht configuratie- en dreigingsstatistieken op en vergelijkt ze met drempelwaarden die in overleg met de CISO zijn vastgesteld. Hierdoor kan het team binnen een dashboard zien waar maatregelen verzwakken of waar uitzonderingen mogelijk misbruikt worden. Alle relevante telemetrie wordt centraal verzameld: realtime detections, Explorer- en Advanced Hunting-query's, Message Trace-data, Secure Score-ontwikkelingen en feedback van de Report Message-add-in. Voor iedere datastroom is vastgelegd wie eigenaar is, hoe vaak de gegevens worden opgehaald en welke bewaartermijn geldt. De gegevens worden opgeslagen in een Log Analytics-workspace binnen een Nederlandse regio en gedeeld met het gemeentelijk of rijksbreed SOC via beveiligde API-koppelingen. Door telemetrie te correleren met andere Defender-workloads, bijvoorbeeld Endpoint en Identity, ontstaat een integraal beeld van aanvalsketens en kunnen waarschuwingen sneller worden geprioriteerd. Het operationele dashboard bevat KPI's als percentage berichten dat Safe Links herschrijft, aantal sandboxdetonaties dat malware opleverde, reactietijd op phishingmeldingen en aantal vrijgegeven berichten. Iedere KPI heeft een doelwaarde die is afgeleid van BIO-controle 14.02 en de eigen risicobereidheid. Wanneer een waarde afwijkt, genereert het systeem automatisch een ticket in het ITSM-platform met de benodigde context, zodat analisten niet handmatig hoeven te zoeken. Maandelijkse rapportages worden gedeeld met bestuurders, inclusief trendanalyses en concrete verbeteracties, waardoor budgetaanvragen en beleidskeuzes met feiten kunnen worden onderbouwd. Naast kwantitatieve signalen is er aandacht voor kwalitatieve beoordeling. Het monitoringproces omschrijft hoe verdachte berichten worden onderzocht, welke stappen een analist volgt voordat hij een bericht vrijgeeft en hoe communicatie richting gebruikers plaatsvindt. Gedetailleerde runbooks beschrijven hoe Threat Explorer-filters worden toegepast, hoe headers worden geanalyseerd en hoe men bewaartermijnen naleeft bij het exporteren van berichtinhoud. Elk incident wordt geevalueerd op rootcause, waardoor lessons learned direct worden verwerkt in nieuwe beleidssjablonen of awarenesscampagnes en herhaling wordt voorkomen. Om het monitoringprogramma volwassen te houden plant het SOC elk kwartaal een threathuntingcyclus waarin nieuwe TTP's uit Nederlandse CSIRT-rapportages worden vertaald naar Defender-query's. De resultaten worden vergeleken met penetratietesten of redteam-oefeningen, zodat men zeker weet dat detecties daadwerkelijk werken. Daarnaast worden rapportages gedeeld met leveranciers en ketenpartners, waardoor gezamenlijke casuistiek ontstaat en foute configuraties sneller worden opgespoord. Alle bevindingen worden teruggekoppeld naar opleidingsplannen; analisten volgen verdiepende trainingen in KQL, terwijl functioneel beheerders leren hoe zij beleidswijzigingen vooraf kunnen simuleren. Zo ontstaat een continue verbetercyclus waarin monitoringdata de motor is voor governance, techniek en menselijk handelen.

Remediatie

Gebruik PowerShell-script defender-email-protection.ps1 (functie Invoke-Remediation) – Geautomatiseerde opruimacties en IOC-export.

Remediatie binnen Defender voor Office 365 is gericht op het zo snel mogelijk neutraliseren van malafide berichten en het herstellen van vertrouwen in de mailketen zonder onnodige verstoring. Zodra monitoring een verdacht bericht detecteert, wordt automatisch een incident aangemaakt waarin prioriteit, betrokken mailboxen en de vermoedelijke TTP zijn vastgelegd. Het responsplan volgt de BIO-cyclus detectie, analyse, herstel en evaluatie en schrijft voor dat een analist binnen dertig minuten beoordeelt of aanvullende containment noodzakelijk is, bijvoorbeeld het blokkeren van afzenderdomeinen of het intrekken van refreshtokens van getroffen accounts. Deze aanpak voorkomt dat gerichte phishing zich verder kan verspreiden naar ketenpartners. Quarantaine wordt actief beheerd: standaard krijgen alleen SOC-leden rechten om berichten vrij te geven, terwijl communicatiemedewerkers via een separaat proces prioriteit kunnen aanvragen voor bijvoorbeeld persvoorlichting of crisiscommunicatie. De procedures beschrijven per scenario of Zero-hour Auto Purge moet worden geforceerd, of dat berichten juist selectief moeten worden verwijderd om legitieme campagnes niet te raken. Het rapport Released Items wordt dagelijks gecontroleerd om patronen van misbruik te herkennen en om te voorkomen dat kwaadwillenden via social engineering druk uitoefenen op servicedesks. Wanneer het risico zeer hoog is, wordt een tenantbrede waarschuwingsbanner geactiveerd die eindgebruikers informeert over actuele phishingpogingen in begrijpelijke taal. De functie Invoke-Remediation uit code/design/security/defender-email-protection.ps1 automatiseert handelingen zoals het zoeken naar gerelateerde berichten, het toevoegen van kwaadaardige URL's aan de blocklist en het genereren van forensische exports inclusief headers, body en bijlagen. Het script draait onder gecontroleerde omstandigheden en logt elke actie zodat auditors kunnen herleiden welke stappen zijn genomen en welke accounts tijdelijke rechten kregen. Indien het script een fout detecteert, bijvoorbeeld een ontbrekende RBAC-rol of een onverwachte throttlingmelding, wordt het proces onmiddellijk afgebroken en ontvangt het SOC een notificatie via Teams en e-mail. Hierdoor blijft het herstelproces betrouwbaar en reproduceerbaar. Tegelijkertijd wordt duidelijke communicatie richting gebruikers en ketenpartners georganiseerd. Impacted medewerkers ontvangen een bericht waarin staat welk type aanval is gedetecteerd, of zij vervolgstappen moeten uitvoeren en hoe zij kunnen controleren of gegevens zijn misbruikt. Parallel wordt forensisch onderzoek gestart: logbestanden worden veiliggesteld, Message Trace-gegevens worden geexporteerd en indicatoren van compromis worden gedeeld met het Nationaal Cyber Security Centrum of het gemeentelijk SOC indien de aanval mogelijk meerdere organisaties treft. Deze informatie stroomt ook terug naar dreigingsmodellen en helpt bij het bijwerken van Safe Links- en Safe Attachments-configuraties. Na elke remediatie vindt een postincidentreview plaats waarin oorzaken, doorlooptijden en verbeteracties worden vastgelegd. Het resultaat kan zijn dat aanvullende training nodig is, dat uitzonderingen worden ingetrokken of dat het licentiemodel moet worden opgeschaald tijdens verkiezingsperiodes. Rapportages worden gedeeld met bestuurders zodat zij inzicht hebben in de effectiviteit van de beveiligingsmaatregelen en eventuele resterende risico's. Door deze structurele evaluatie blijft het remediatieproces aansluiten op de kaders van de Nederlandse Baseline voor Veilige Cloud en kunnen auditors zien dat de organisatie aantoonbaar lerend vermogen heeft.

Compliance en Auditing

Compliance en auditing rond Defender voor Office 365 draaien om het aantonen dat alle beleidskeuzes herleidbaar zijn naar wettelijke normen zoals de BIO, AVG, Wbni en de rijksbrede cloudstrategie. Elke organisatie legt in haar securityplan vast welke dreigingen worden afgedekt en koppelt functionaliteiten zoals Safe Links en Safe Attachments aan concrete BIO-maatregelen, bijvoorbeeld 12.1.4 en 14.02. Door deze mapping in zowel technische documentatie als managementrapportages te herhalen ontstaat een eenduidige lijn tussen beleid, uitvoering en verantwoording richting gemeenteraad, provinciale staten of ministeries. Alle configuraties, wijzigingsaanvragen en incidentrapportages worden opgeslagen in een versiebeheersysteem of GRC-platform zodat auditors de volledige wijzigingsgeschiedenis kunnen volgen. Het scriptlog van code/design/security/defender-email-protection.ps1 wordt dagelijks gearchiveerd en gekoppeld aan het changerecord. Voor ENSIA-rapportages is een standaardexport beschikbaar die laat zien welke policies actief zijn, hoeveel berichten zijn geblokkeerd en hoe vaak afwijkingen zijn gedetecteerd. Door deze informatie maandelijks te actualiseren kan de organisatie tijdens een auditperiode direct bewijsmateriaal overhandigen zonder adhocdataverzameling. Omdat e-mailinhoud persoonsgegevens bevat, is het essentieel dat privacy-impactanalyses expliciet beschrijven hoe detectiecontent wordt behandeld. Quarantainebeheerders hebben alleen toegang tot berichten zolang dat nodig is voor analyse, en alle exports worden versleuteld opgeslagen. De organisatie benoemt een functionaris gegevensbescherming of privacy officer die steekproefsgewijs controleert of bewaartermijnen worden nageleefd en of eindgebruikers tijdig worden geinformeerd wanneer hun mailbox onderdeel was van een incident. Deze controles worden geregistreerd als auditevidence en ondersteunen de naleving van AVG-artikelen 5, 6 en 32. Extern wordt vastgelegd hoe leveranciers worden beoordeeld op hun eigen e-mailbeveiliging, vooral wanneer zij namens de organisatie e-mails versturen of toegang hebben tot gedeelde mailboxen. Contracten bevatten clausules over het verplicht toepassen van SPF, DKIM en DMARC en over het melden van phishingpogingen binnen 24 uur. Intern zijn er procedures om informatieverzoeken van toezichthouders te beantwoorden: het proces beschrijft wie de lead neemt, welke data wordt verzameld en hoe het antwoord wordt afgestemd met communicatieadviseurs. Hierdoor kan men aantonen dat de organisatie grip heeft op de volledige keten. Tot slot wordt compliance geen papieren exercitie maar een continu verbeterproces. Elk kwartaal worden de controles getoetst tijdens een gezamenlijke sessie van CISO, privacy officer, functioneel beheer en SOC. Afwijkingen leiden tot concrete acties, zoals het aanscherpen van exceptions, het uitbreiden van het trainingportfolio of het aanpassen van de rapportage-indeling zodat bestuurders sneller inzicht krijgen. Door deze cyclus consequent te documenteren, bijvoorbeeld in het ENSIA-werkplan of het gemeentelijk jaarverslag, toont de organisatie aan dat Defender voor Office 365 integraal onderdeel is van de Nederlandse Baseline voor Veilige Cloud en niet slechts een technische voorziening.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Defender Email Protection Design .DESCRIPTION Implementation for Defender Email Protection Design .NOTES Filename: defender-email-protection.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/security/defender-email-protection.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Defender Email Protection Design" $CISControl = "2.x" $BIOControl = "12.02" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "defender-email-protection" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder deze bescherming blijft e-mail de eenvoudigste route voor ransomware, business email compromise en datalekken; een geslaagde phishingcampagne leidt gemiddeld tot 100.000 tot 500.000 euro aan herstelkosten, langdurige uitval van gemeentelijke loketten en onderzoeken door Autoriteit Persoonsgegevens en Agentschap Telecom. Aanvallers misbruiken beleidsgaten binnen minuten en pivotten naar SharePoint, Teams en identiteiten, waardoor continuiteit en vertrouwen direct onder druk staan.

Management Samenvatting

Defender voor Office 365 combineert klikmomentcontrole via Safe Links, sandboxdetonatie via Safe Attachments, impersonationbescherming, automatische retroactieve verwijdering (ZAP) en attacksimulationtraining. Plan 1 dekt kernbescherming voor circa twee euro per gebruiker per maand, Plan 2 levert geautomatiseerde respons en Threat Explorer rond vijf euro. Implementatie vraagt twaalf tot twintig uur voor beleid en testen plus structurele monitoring via het aangehaakte script. Hiermee voldoet de organisatie aan BIO 14.02 en NIS2-normen en wordt meer dan 99 procent van bekende phishingpogingen geblokkeerd voordat ze de inbox bereiken.