Defender Voor Identity

Nederlandse overheidsorganisaties moeten laterale beweging, privilege-escalatie en credentialdiefstal proactief detecteren om te voldoen aan de BIO, de AVG en de Rijksoverheidsbrede inlogstandaarden, zeker nu er nog jarenlang kritieke on-premises workloads blijven draaien.

Implementatie

Door sensoren op alle domeincontrollers en andere tier-0 identiteitscomponenten te plaatsen, gebeurtenisstromen te analyseren en de inzichten te koppelen aan Microsoft Sentinel, ontstaat een continue monitoringketen die zowel governance- als responseprocessen voedt.

Vereisten

Een succesvolle inzet van Defender voor Identity begint met een grondige analyse van de hybride identiteitsomgeving. Alle forests, trusts, resource-domains en tier-0 componenten worden in kaart gebracht, inclusief verouderde applicaties die nog NTLM of LDAP over onversleutelde kanalen gebruiken. De organisatie verifieert of iedere gebruiker die via deze infrastructuur authenticatie uitvoert beschikt over een geldige Microsoft 365 E5-, E5 Security- of Defender voor Identity-licentie. Daarbij hoort een licentie-matrix waarin exact staat welke business units onder welke contractvorm vallen, zodat externe auditors eenvoudig kunnen toetsen of de coverage volledig is. Tegelijkertijd worden hardware-eisen geborgd: elke domeincontroller moet voldoende CPU-reserves en beschikbare schijfruimte hebben zodat de sensor geen vertraging introduceert in de Kerberos-ticketafhandeling of directoryreplicatie.

Daarna volgt de netwerkvoorbereiding. Voor iedere domeincontroller wordt vastgesteld of ingebouwde events voldoende zijn of dat port mirroring naar een standalone sensor nodig is. Netwerkteams reserveren SPAN- of ERSPAN-poorten, controleren of poort 444 en 443 richting de Microsoft Defender-service zijn toegestaan en leggen vast op welke proxy's uitzonderingen moeten worden gemaakt zodat TLS-inspectie het verkeer niet onderbreekt. Iedere sensor krijgt een eigen gMSA met alleen-leesrechten op de benodigde Active Directory-attributen en een lokaal subnet waarin geen andere applicaties draaien. Tijdens deze fase worden ook monitoringtools zoals System Center of Azure Monitor ingericht om resourceverbruik van de sensoren te volgen, zodat tijdig kan worden opgeschaald wanneer de belasting toeneemt.

Informatiebeveiliging en privacy spelen een even grote rol. Het functioneel ontwerp beschrijft welke loggegevens worden opgehaald, hoe pseudonimisering wordt toegepast en welke bewaartermijnen gelden om te voldoen aan AVG-artikel 32 en de BIO-paragrafen over detectie. De Functionaris Gegevensbescherming beoordeelt of het gebruik van honeytoken-accounts, serviceaccountlabels en sessiegegevens proportioneel is en welke gebruikers moeten worden geïnformeerd. Vooruitlopend op audits wordt een controleregister opgesteld waarin per maatregel staat welke logbron bewijs levert en hoe de integriteit daarvan wordt geborgd. Deze documentatie vormt achteraf de basis voor ENSIA- of DigiD-assessments.

Tot slot moeten teams, processen en middelen worden gereserveerd. Het project vereist minimaal een half FTE identity engineer, een kwart FTE SOC-analist en ondersteuning van netwerk- en serverbeheer. Trainingen voor alle betrokken rollen worden ingepland, inclusief scenario-oefeningen waarin men leert hoe een Pass-the-Hash-alert eruit ziet of hoe een sensorstoring wordt opgelost. Er wordt een communicatieplan opgezet voor servicedesk en change boards, zodat iedereen weet welke meldingen verwacht mogen worden en welke onderhoudsvensters nodig zijn. Door deze organisatorische voorbereiding te combineren met technische checks ontstaat een stabiele basis voor de daadwerkelijke implementatie en voorkomt de organisatie vertraging zodra de sensoren uitgerold worden.

Een aanvullende voorwaarde betreft de gegevensscheiding tussen productie-, test- en opleidingsomgevingen. Overheidsorganisaties leggen vast hoe zij sampledata anonimiseren, hoe lab-sensoren worden geüpdatet zonder productie te beïnvloeden en hoe kennisdeling met ketenpartners zoals het RijksSOC veilig wordt georganiseerd. Contracten met externe leveranciers bevatten clausules die toestaan dat Defender voor Identity-sensoren hun infrastructuur benaderen en dat logbestanden op verzoek beschikbaar worden gesteld. Door deze juridische en organisatorische randvoorwaarden vooraf te regelen, verloopt de audit achteraf frictieloos en staat niets een snelle implementatie in de weg.

Implementatie

De implementatie start met een zorgvuldig ontworpen pilotfase. Er wordt een representatieve set domeincontrollers geselecteerd waarin zowel centrale datacenters als regionale locaties vertegenwoordigd zijn, inclusief een omgeving met beperkte bandbreedte. Binnen deze pilot bevestigt het team de technische randvoorwaarden: de meest recente sensorversie wordt vanuit het Defender-portaal gedownload, gMSA-accounts worden toegewezen, en alle benodigde Windows-updates worden toegepast om compatibiliteit te garanderen. Met PowerShell-tests wordt gecontroleerd of poort 444 en 443 naar *.atp.azure.com bereikbaar zijn. Vervolgens wordt de sensor geïnstalleerd via een gescripte procedure, waarbij logging direct naar een beveiligde storageaccount wordt geschreven. Zodra de installatie gereed is, controleert het team de health dashboards om te bevestigen dat de heartbeat binnen de verwachte intervallen plaatsvindt en dat authenticatie-evenementen zoals 4624, 4768 en 4776 succesvol worden opgehaald.

Wanneer de pilot succesvol is, volgt de productiewave. Domeincontrollers worden gegroepeerd op basis van gebruiksprofiel en replicatiebandbreedte zodat telkens een beheersbare set wordt aangepakt. Installaties verlopen vanuit een privileged access workstation dat voldoet aan de richtlijnen voor tier-0 beheer. Iedere installatie resulteert in geautomatiseerde validatiestappen: services worden gecontroleerd, sensoren registreren zich in de Defender-portal, en health alerts worden nagezien. Tegelijkertijd wordt er gewerkt aan de integratielaag: de Defender voor Identity-data connector in Microsoft Sentinel wordt ingericht, en detecties worden direct gelabeld zodat ze in bestaande incidentcategorieën landen. SOC-analisten ontvangen training tijdens de rollout, inclusief live demonstraties van Pass-the-Hash-simulaties zodat zij de gegenereerde alerts herkennen.

Vlak na de installatie volgt een hardening- en tuningfase. Honeytoken-accounts worden aangemaakt en toegewezen aan kritieke groepen, serviceaccounts krijgen tags zodat ze eenvoudig te filteren zijn, en sensoren worden gekoppeld aan syslog-collectoren om redundante logging te realiseren. Detectieregels worden verfijnd door bekende beheerhandelingen te onderdrukken of juist extra context toe te voegen. Het team definieert scenario's voor automatische respons, bijvoorbeeld door via een Sentinel-playbook direct een Conditional Access-blokkade te activeren wanneer een DCSync-alert binnenkomt. Tegelijkertijd worden prestatie- en stabiliteitsmetingen uitgevoerd om vast te stellen dat het extra CPU-gebruik onder vijf procent blijft en dat replicatie geen merkbare vertraging oploopt.

De implementatie wordt afgerond met een formele overdracht naar operations. Alle runbooks, change templates, escalatielijsten en lessons learned worden opgeslagen in het centrale kennisportaal. Er wordt een onderhoudskalender opgesteld voor sensorupdates en een fallback-procedure beschreven voor het scenario waarin een domeincontroller moet worden hersteld vanuit back-up. Tot slot worden periodieke controlemetingen gepland waarin testaanvallen opnieuw worden uitgevoerd, zodat kan worden aangetoond dat detecties nog altijd binnen de afgesproken servicetijden zichtbaar worden. Met deze gestructureerde aanpak wordt Defender voor Identity niet alleen succesvol uitgerold, maar ook duurzaam geborgd in de beheerprocessen.

Gedurende het gehele project loopt change- en releasemanagement als rode draad. Elke wave wordt tijdig ingediend bij het CAB, inclusief een rollback-plan en impactanalyse. Stakeholders in de business ontvangen updates via nieuwsbrieven en korte videobriefings waarin de voordelen en eventuele tijdelijke verstoringen worden uitgelegd. Daarnaast worden lessons learned uit andere overheidsorganisaties actief gedeeld via communities of practice, zodat fouten niet worden herhaald en investeringen maximaal worden benut.

Gebruik PowerShell-script defender-identity.ps1 (functie Invoke-Monitoring) – Het script automatiseert installatie- en healthchecks, controleert gMSA-permissies, vergelijkt sensorversies met de baseline en publiceert de resultaten als JSON-rapport voor het change-dossier..

Monitoring

Operationele monitoring begint bij het bewaken van de sensorgezondheid. Iedere ochtend controleert het SOC of de heartbeat van alle sensoren zichtbaar is, of agentversies overeenkomen met de referentiestack en of de benodigde Windows-services actief blijven na patches of herstarts. Gezondheidsmeldingen worden automatisch naar het ITSM-platform gestuurd zodat storingen direct worden toegewezen aan identity-engineers. Door een drempelwaarde op te nemen voor CPU- en geheugenverbruik wordt voorkomen dat een zwaar belaste domeincontroller onopgemerkt uitvalt. Deze technische checks worden aangevuld met netwerkmetingen die verifieren of poort 444 en 443 nog steeds worden doorgelaten via proxies en firewalls.

Detectieanalyse vormt de tweede laag. Elk alerttype wordt ingedeeld in impactcategorieën zodat duidelijk is welke runbooks starten bij brute-force, Pass-the-Ticket of DCSync-signalen. Analisten verrijken waarschuwingen direct met context uit Azure AD Identity Protection, Defender for Endpoint en CMDB-gegevens zodat zichtbaar is of het om een serviceaccount, een hoog geprivilegieerde beheerder of een uitzonderingsaccount gaat. Via Kusto Query Language-queries in Microsoft Sentinel worden patronen gedetecteerd zoals opeenvolgende Kerberos pre-authentication failures of plotselinge LDAP-enumeratie vanaf een nieuw subnet. Deze dashboards zijn voorzien van labels voor vitale ketens zoals DigiD, BRP of financiële processen, waardoor de impactanalyse binnen minuten beschikbaar is.

Automatisering zorgt ervoor dat monitoring schaalbaar blijft. Sentinel-playbooks verrijken waarschuwingen, starten isolatieacties op beheerwerkplekken of forceren een wachtwoordreset wanneer honeytoken-accounts benaderd worden. Tegelijk blijft menselijke toetsing verplicht: elke automatische maatregel vraagt via Microsoft Teams Adaptive Cards om goedkeuring van een senior analist om te voorkomen dat een kritieke dienst onbedoeld wordt stilgezet. Dashboards in Power BI combineren SOC-statistieken met managementinformatie, zoals gemiddelde detectietijd, ratio tussen echte en valse positieven en voortgang op afgesproken servicelevels. Deze rapportages worden gedeeld tijdens het wekelijkse overleg tussen SOC, identity-beheer en de CISO-office.

Tenslotte is er continue verbetering. Elke maand wordt een hunt uitgevoerd waarbij analisten historische data terugkijken om te bepalen of er signalen gemist zijn. Lessons learned worden vertaald naar aangepaste detectieregels, extra logging of aanvullende training voor beheerders. Bij structurele wijzingen in de omgeving, zoals het uitfaseren van een forest of het migreren naar cloud-only authenticatie, wordt een herkwalificatie uitgevoerd om te bepalen welke sensoren kunnen vervallen of juist uitgebreid moeten worden. Hiermee blijft monitoring afgestemd op de dynamiek van de organisatie en wordt aantoonbaar dat identiteitsdreigingen vroegtijdig en betrouwbaar worden gezien.

Om vaardigheden op niveau te houden organiseert het SOC ieder kwartaal een purple-team-oefening. Redteamers simuleren realistische aanvalsketens, van credential dumping tot het misbruiken van onveilige trusts, terwijl blueteams aantonen dat Defender voor Identity-waarschuwingen tijdig worden opgepakt. De oefening eindigt met een gezamenlijke evaluatie waarin meetbare verbeteracties worden vastgelegd, bijvoorbeeld het toevoegen van nieuwe honeytoken-accounts of het aanscherpen van escalatietijden naar het bestuur.

Alle ervaringen worden vastgelegd in een centrale kennisbank die toegankelijk is voor SOC, identity-beheer en architectuurteams. Hierin staan runbooks, tuningbesluiten, voorbeeldanalyses en verwijzingen naar relevante BIO-controles. Nieuwe medewerkers krijgen tijdens hun onboarding gerichte opdrachten om deze kennisbank te raadplegen, zodat het institutioneel geheugen behouden blijft en monitoring niet afhankelijk is van individuele experts.

Gebruik PowerShell-script defender-identity.ps1 (functie Invoke-Monitoring) – De functie verzamelt sensorhealth-gegevens, verwerkingsstatistieken en lopende alerts en publiceert deze als statusrapport voor het SOC-dashboard..

Remediatie

Wanneer Defender voor Identity een waarschuwing genereert, start een strak geregisseerd responsproces dat is afgestemd op de processen van Rijks- en gemeentelijke SOC’s. Het begint met een triage waarin de analist de waarschuwing verrijkt met context uit de CMDB, Azure AD audit logs en endpointtelemetrie. Daarna wordt de waarschijnlijkheid van een echte aanval bepaald via een combinatie van indicatoren, zoals de herkomst van het verzoek, het betrokken account en de link met actuele dreigingsinformatie van het NCSC. Indien het incident zich in Tier-0 afspeelt, wordt direct een war room ingericht waarin identity-beheerders, SOC-analisten en communicatieadviseurs samenwerken. Besluiten zoals het blokkeren van een serviceaccount of het isoleren van een domeincontroller worden vastgelegd in het incidentlogboek zodat elke actie auditbaar blijft.

Na de initiële containment volgt een forensische analyse die de aanvalsketen reconstrueert. Defender voor Identity biedt inzicht in welke accounts zijn misbruikt, welke laterale beweging is waargenomen en of er pogingen waren om replicatorrechten te verkrijgen. Deze gegevens worden gecombineerd met geheugenopnamen en Sysmon-logs om te bepalen of er sprake is van geavanceerde technieken zoals Kerberoasting of Golden Ticket-constructies. De organisatie heeft voor elk scenario vooraf beslispunten gedefinieerd, bijvoorbeeld wanneer er een beroep moet worden gedaan op het overheidscertificeringsteam of wanneer de politie moet worden ingelicht. Alle stappen worden gespiegeld aan de AVG-vereisten zodat melding aan de Autoriteit Persoonsgegevens tijdig plaatsvindt als er persoonsgegevens zijn geraakt.

Zodra de situatie onder controle is, wordt gewerkt aan structureel herstel. Dit omvat het resetten van referenties, het heruitgeven van smartcards, het patchen van kwetsbare systemen en het doorvoeren van configuratiewijzigingen in Active Directory. Lessons learned worden vertaald naar verbetermaatregelen zoals het aanscherpen van administratieve scheiding, het verminderen van legacy-protocollen en het toevoegen van extra detectieregels in Sentinel. De CISO ontvangt een post-incidentrapport met een heldere tijdlijn, impactbepaling en aanbevelingen die prioriteit krijgen in het security verbeterprogramma. Door deze cyclus consequent te volgen wordt de organisatie steeds veerkrachtiger tegen identiteitsaanvallen.

Om het remediatieproces scherp te houden worden er periodieke oefeningen georganiseerd. Hierbij worden realistische scenario’s als een geslaagde Golden Ticket-aanval of een combinatie van on-premises en cloudcompromittering nagebootst. Teams oefenen het gebruik van runbooks, evalueren of escalatieroutes naar het RijksSOC goed functioneren en actualiseren de communicatietemplates voor bestuurders en woordvoerders. De uitkomsten van deze oefeningen worden verwerkt in trainingsmodules voor nieuwe medewerkers en in updates van de crisisdraaiboeken, waardoor het herstelproces een lerend karakter krijgt.

In situaties waarin vitale processen of persoonsgegevens van burgers in het geding zijn, worden privacy officers, juristen en communicatieprofessionals onmiddellijk aangesloten. Zij toetsen of melding bij de Autoriteit Persoonsgegevens, het NCSC en ketenpartners noodzakelijk is en leggen vast welke details openbaar mogen worden gemaakt zonder het onderzoek te schaden. Indien een strafbaar feit vermoed wordt, worden bewijzen veiliggesteld volgens de forensische standaard: hashwaarden, chain-of-custody formulieren en verklaringen van betrokken beheerders worden verzameld zodat de zaak standhoudt bij een eventuele rechtsgang.

Na elk incident wordt een verbeterprogramma opgesteld waarin zowel structurele als snelle acties een eigenaar en deadline krijgen. Denk aan het herindelen van tier-0 beheerwerkplekken, het versneld uitfaseren van onveilige legacyprotocollen of het realiseren van extra sensoren op DMZ-domeincontrollers. De voortgang wordt bewaakt in het reguliere security-portfoliooverleg en gerapporteerd aan de CIO en CISO, zodat remediatie tastbare verbeteringen oplevert.

Gebruik PowerShell-script defender-identity.ps1 (functie Invoke-Remediation) – De functie voert vooraf gedefinieerde containmentacties uit zoals het blokkeren van betrokken accounts, het exporteren van incidenttelemetrie en het synchroniseren van statusupdates met het ticketsysteem zodat herstelacties reproduceerbaar en controleerbaar blijven..

Compliance en Auditing

Compliance begint met het aantoonbaar maken dat Defender voor Identity is ingebed in het stelsel van de BIO-paragraaf 14.02 over detectie van beveiligingsdreigingen. Dit vereist dat elke sensorinstallatie is voorzien van een goedgekeurde change, een verwijzing naar het risicoregister en bewijs dat de configuratie is getoetst aan de Rijksoverheidsbaseline voor Windows Server. Daarnaast wordt in het verwerkingsregister beschreven welke events persoonsgegevens bevatten, hoe lang ze worden bewaard en onder welke grondslag zij worden verwerkt. Door DPIA’s te actualiseren en specifieke beheersmaatregelen te koppelen aan AVG-artikelen ontstaat een sluitende privacy-onderbouwing.

Voor auditdoeleinden bewaart de organisatie configuratie-exports van het Defender-portaal, sensorhealth-rapporten, Sentinel-connectorinstellingen en runbookversies op een afgeschermde SharePoint-site of in een beveiligde archiefkluis. Jaarlijks wordt een control self assessment uitgevoerd waarin steekproefsgewijs wordt gecontroleerd of alle domeincontrollers nog steeds een actuele sensor draaien, of gMSA’s tijdig zijn verlengd en of privileges van serviceaccounts zijn beperkt tot wat strikt noodzakelijk is. De resultaten worden gedeeld met de auditdienst en vormen input voor de paragraaf Beveiliging in de jaarrekening.

Omdat veel ketenpartners afhankelijk zijn van dezelfde identiteitsvoorziening, richt de organisatie een communicatieproces in waarmee gemeenten, uitvoeringsdiensten of leveranciers inzicht krijgen in de detectie- en responscapaciteit zonder dat gevoelige details worden gedeeld. Denk aan een halfjaarlijkse rapportage waarin trends, verbeteracties en lessons learned staan beschreven, afgestemd op het Rijksbrede security governance model. Daarnaast worden retentieperioden bewaakt: ruwe sensorlogs worden na negentig dagen opgeschoond, terwijl geaggregeerde incidentrapportages drie jaar beschikbaar blijven voor audits zoals bepaald in de beleidsregels informatiebeveiliging Rijk. Door deze werkwijze blijft de organisatie aantoonbaar in-control en is zij voorbereid op zowel interne als externe toetsen.

Tot slot wordt compliance geborgd via opleiding en onafhankelijke toetsing. Nieuwe beheerders volgen een verplichte training waarin zij leren hoe Defender voor Identity-logs worden geïnterpreteerd, hoe privacy-by-design wordt toegepast en welke documentatie moet worden bijgewerkt na elke wijziging. Externe auditors krijgen toegang tot een speciaal auditworkspace met geschoonde datasets zodat zij analyses kunnen uitvoeren zonder privacyregels te schenden. Bevindingen uit deze audits worden gekoppeld aan het verbeteringprogramma en krijgen duidelijke deadlines. Zo ontstaat een continue verbetercyclus waarin technische maatregelen, governance en documentatie elkaar versterken.

Daarnaast ziet een governanceboard toe op de uitvoering van maatregelen. In dit overleg zitten CISO’s, privacy officers, vertegenwoordigers van het SOC en proceseigenaren uit de business. Zij bewaken Key Risk Indicators, beoordelen uitzonderingsverzoeken en zorgen dat elke maatregel uit het verbeterplan budget en capaciteit krijgt. Verslagen van deze sessies vormen aanvullend bewijs dat de organisatie aantoonbaar in control is.

Ook leveranciers en ketenpartners worden contractueel verplicht om logging beschikbaar te stellen, incidenten binnen afgesproken termijnen te melden en mee te werken aan ENSIA- of DigiD-toetsen. Door deze afspraken onderdeel te maken van service level agreements blijft de organisatie eigenaar van haar complianceketen, zelfs wanneer uitbestede onderdelen betrokken zijn. Eventuele tekortkomingen bij leveranciers worden vastgelegd in het risicoregister en krijgen corrigerende maatregelen conform de Nederlandse Baseline voor Veilige Cloud.

Tot besluit wordt een metriekenset onderhouden die laat zien hoe volwassen de naleving is. Denk aan indicatoren als het percentage sensoren met recente health-checks, het aantal tijdig afgeronde verbeteracties en de doorlooptijd van auditbevindingen. Deze cijfers worden opgenomen in managementrapportages en vormen de basis voor budgetaanvragen, waardoor compliance aantoonbaar onderdeel blijft van de reguliere sturingscyclus.

Compliance & Frameworks

• BIO: 14.02 - BIO Baseline Informatiebeveiliging Overheid - 14.02 - Detectie van beveiligingsdreigingen

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Defender voor Identity levert diepgaande detectie van klassieke Active Directory-aanvallen met behulp van sensoren die op alle domeincontrollers draaien, brede integraties met Microsoft Sentinel en Defender XDR en een runbookgedreven responsproces. De oplossing vraagt om Microsoft 365 E5 of een afzonderlijke licentie, een zorgvuldig ingericht gMSA-model en een samenwerking tussen identity-beheer, SOC en compliance. Implementatie verloopt gefaseerd, omvat validatie van netwerk- en systeemvereisten en resulteert in een aantoonbaar gecontroleerde monitoringketen die essentieel is voor de Nederlandse Baseline voor Veilige Cloud.

• Implementatietijd: 56 uur
• FTE required: 0.5 FTE