đź’Ľ Management Samenvatting
Een volwassen incidentresponsplan beschrijft hoe een organisatie beveiligingsincidenten tijdig detecteert, beheerst, oplost en daarvan herstelt, zodat de continuĂŻteit van kritieke processen en de vertrouwelijkheid van gegevens geborgd blijven.
Aanbeveling
IMPLEMENTEER INCIDENT RESPONSE
Risico zonder
Critical
Risk Score
9/10
Implementatie
120u (tech: 40u)
Van toepassing op:
âś“ M365
âś“ Azure
âś“ Security
âś“ Azure
âś“ Security
Snelle en effectieve incidentrespons beperkt de impact van een datalek of cyberaanval, verkort de tijd dat een aanvaller onopgemerkt actief kan blijven, reduceert gegevensverlies en downtime, en voorkomt hoge herstelkosten en reputatieschade. Onder kaders zoals de NIS2‑richtlijn, de BIO en ISO 27001 zijn organisaties bovendien verplicht om ernstige incidenten binnen strikte termijnen te melden en aantoonbare processen voor incidentbeheer in te richten. Zonder een uitgewerkt incidentresponsplan ontstaat bij een aanval al snel ad‑hoc crisismanagement: verantwoordelijkheden zijn onduidelijk, beslissingen worden te laat genomen, bewijs raakt verloren en fouten in communicatie richting bestuur, toezichthouders en burgers vergroten de schade aanzienlijk.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Een goede incidentresponsarchitectuur bestaat uit een multidisciplinair Computer Security Incident Response Team (CSIRT) met helder vastgelegde rollen en verantwoordelijkheden, een uniform proces voor classificatie van incidenten naar ernst en impact, en duidelijke afspraken over detectiebronnen zoals Microsoft Sentinel, Defender XDR, audit‑logs en meldingen vanuit eindgebruikers of leveranciers. Daarnaast omvat het plan concrete draaiboeken voor containmentmaatregelen, bijvoorbeeld het isoleren van getroffen endpoints, het intrekken van sessies en toegangsrechten en het blokkeren van kwaadaardige IP‑adressen of domeinen. Er zijn procedures nodig voor eradicatie, zoals het verwijderen van malware, het dichten van kwetsbaarheden en het herstellen van configuraties, gevolgd door gecontroleerde herstelstappen op basis van betrouwbare back‑ups. Na ieder incident wordt een gestructureerde post‑incidentanalyse uitgevoerd waarin oorzaken, leerpunten en verbetermaatregelen worden vastgelegd. Tot slot beschrijft het plan een communicatie‑ en escalatiestructuur richting bestuur, lijnmanagement, communicatieafdeling en externe toezichthouders, en voorziet het in periodieke trainingen en simulaties zodat betrokkenen weten wat er van hen wordt verwacht wanneer een echt incident zich voordoet.
Vereisten
Een effectieve inrichting van incidentrespons binnen de Nederlandse Baseline voor Veilige Cloud begint met een aantal randvoorwaarden die zowel organisatorisch als technisch moeten worden ingevuld voordat er op daadwerkelijke incidenten kan worden gereageerd. Allereerst is een formeel benoemd en mandaat‑gedragen Computer Security Incident Response Team (CSIRT) noodzakelijk. Dit team bestaat doorgaans uit een incidentmanager, technische specialisten op het gebied van Microsoft 365, Azure en netwerkbeveiliging, vertegenwoordigers van informatiebeveiliging en privacy, en waar nodig juridische ondersteuning en communicatie. Voor kleinere organisaties kan een extern Security Operations Center (SOC) een deel van deze rol vervullen, mits de verantwoordelijkheden, responstijden en escalatiepaden contractueel en praktisch zijn vastgelegd. Zonder duidelijk CSIRT is het in de praktijk onduidelijk wie beslissingen mag nemen over bijvoorbeeld het isoleren van systemen of het informeren van toezichthouders, wat kostbare vertraging oplevert. Naast het CSIRT is een solide detectie‑capaciteit een tweede cruciale voorwaarde. In een Microsoft‑georiënteerde omgeving betekent dit dat een centrale oplossing zoals Microsoft Sentinel of een vergelijkbare SIEM‑oplossing wordt ingericht om loggegevens uit onder meer Microsoft 365, Azure, endpoints, firewalls en identiteitsplatformen te verzamelen en te correleren. Defender‑producten voor identiteit, endpoint en e‑mail leveren aanvullende signalen waarmee verdachte patronen en bekende aanvalstechnieken worden gedetecteerd. De inrichting van deze detectiebronnen moet afgestemd zijn op de risicoprofiel van de organisatie en sluit aan op de BIO‑ en NIS2‑eisen rondom logging en monitoring. Zonder goede logging en correlatie is het vrijwel onmogelijk om incidenten tijdig te herkennen, laat staan om achteraf aan auditors te laten zien wat er is gebeurd. Een derde vereiste is het beschikken over uitgewerkte en afgestemde incidentresponsdraaiboeken. Dit zijn praktische beschrijvingen van de stappen die gevolgd worden bij specifieke scenario’s, zoals ransomware, compromittering van een beheerdersaccount, datalekken in samenwerkingsomgevingen of misbruik van een cloudapplicatie. De draaiboeken beschrijven zowel technische acties, zoals het blokkeren van accounts, het intrekken van sessies en het terugzetten van back‑ups, als organisatorische acties, zoals het informeren van de CISO, het betrekken van communicatie en het voorbereiden van meldingen bij de Autoriteit Persoonsgegevens. Waar mogelijk worden deze draaiboeken ondersteund door geautomatiseerde workflows, bijvoorbeeld Logic Apps in combinatie met Microsoft Sentinel, zodat standaardacties snel, consistent en reproduceerbaar kunnen worden uitgevoerd. Tot slot zijn periodieke oefeningen een randvoorwaarde om de incidentresponsfunctie echt werkend te krijgen. Minimaal elk kwartaal dient de organisatie tabletop‑oefeningen of gesimuleerde incidenten uit te voeren waarin het CSIRT, management en betrokken ondersteunende functies een realistisch scenario doorlopen. Tijdens deze oefeningen wordt niet alleen de technische detectie getest, maar vooral ook de besluitvorming, communicatie en samenwerking tussen teams. De uitkomsten worden vastgelegd als leerpunten die leiden tot aanpassingen in processen, draaiboeken en tooling. Door deze oefeningen systematisch te plannen en te evalueren, groeit de organisatie van een reactieve naar een proactieve en weerbare incidentresponsorganisatie die voldoet aan zowel wettelijke verplichtingen als de verwachtingen van burgers en ketenpartners.
Implementatie
Gebruik PowerShell-script incident-response.ps1 (functie Invoke-Remediation) – IR setup.
De implementatie van incidentrespons binnen een Microsoft 365‑ en Azure‑omgeving verloopt idealiter in gestructureerde fasen, zodat zowel techniek, processen als organisatie in samenhang worden opgebouwd. In de eerste fase wordt het bestaande landschap in kaart gebracht: welke workloads draaien in Microsoft 365, welke kritieke applicaties en gegevens staan in Azure, en welke koppelingen bestaan er met on‑premises omgeving en andere cloudplatformen. Op basis van deze inventarisatie wordt een risicobeoordeling uitgevoerd waarbij bepaald wordt welke typen incidenten de grootste impact hebben op de organisatie, bijvoorbeeld verstoring van kritieke dienstverlening, verlies van gevoelige persoonsgegevens of aantasting van de integriteit van financiële gegevens. Deze analyse vormt de basis voor de prioritering van detectieregels, draaiboeken en responscapaciteit. Vervolgens wordt het CSIRT formeel ingericht. Dit betekent dat er functieprofielen en rollen worden gedefinieerd, vervanging bij afwezigheid wordt geregeld en bereikbaarheid buiten kantooruren wordt georganiseerd. Voor iedere rol wordt vastgelegd welke bevoegdheden aanwezig zijn, zoals het tijdelijk uitschakelen van accounts, het isoleren van systemen of het stopzetten van delen van de dienstverlening. Tegelijkertijd wordt een governance‑structuur ingericht waarin de CISO, CIO en proceseigenaren op de hoogte worden gehouden van de voortgang en beslissingen tijdens een incident. Het PowerShell‑script dat in deze configuratie wordt gebruikt, ondersteunt onder meer het consistent uitrollen van benodigde instellingen, het activeren van relevante logging en het configureren van notificaties richting het CSIRT. Daarna wordt de technische infrastructuur voor detectie en respons opgebouwd. Microsoft Sentinel wordt geconfigureerd als centrale SIEM‑oplossing, waarbij dataconnectors worden ingericht voor onder andere Entra ID, Microsoft Defender producten, Azure‑resources en eventueel on‑premises logbronnen. Op basis van best‑practice analytics rules en organisatie‑specifieke dreigingsmodellen worden maatregels gedefinieerd die verdachte activiteiten automatisch detecteren en incidenten aanmaken. In deze fase worden ook automatische responsacties ingericht via playbooks, bijvoorbeeld om bij een hoogrisicodetectie een apparaat direct in quarantaine te plaatsen, risicovolle sessies te beëindigen of verdachte tokens in te trekken. Door gebruik te maken van standaardisatie in scripts en beleidsconfiguraties wordt de kans op menselijke fouten verkleind en kan de organisatie sneller en consistenter reageren. De implementatiefase wordt afgerond met uitgebreide testen en gefaseerde ingebruikname. Allereerst worden alle configuraties en playbooks technisch gevalideerd in een test‑ of acceptatieomgeving. Vervolgens worden gecontroleerde simulaties uitgevoerd in de productieomgeving, bijvoorbeeld door het genereren van testincidenten via ingebouwde veiligheidstests of gesimuleerde aanvallen. Tijdens deze simulaties wordt niet alleen gekeken of alerts correct worden gegenereerd, maar ook of de automatische en handmatige responsacties het gewenste effect hebben en geen onbedoelde neveneffecten veroorzaken. Alle bevindingen worden vastgelegd in een implementatierapport en verwerkt in verbeterde draaiboeken. Pas wanneer zowel techniek als organisatie aantoonbaar functioneren, wordt de oplossing formeel in beheer genomen en opgenomen in de reguliere change‑ en releasekalender van de organisatie.
monitoring
Gebruik PowerShell-script incident-response.ps1 (functie Invoke-Monitoring) – Controleren.
Zodra incidentrespons is ingericht, verschuift de aandacht naar continue monitoring en verbetering van de effectiviteit van de maatregelen. Monitoring gaat hierbij verder dan alleen technische bewaking van systemen; het omvat ook het structureel meten van procesprestaties en het analyseren van trends in dreigingen. In de context van Microsoft 365 en Azure betekent dit dat dashboards in Microsoft Sentinel en Defender worden ingericht waarin het CSIRT realtime inzicht heeft in het aantal openstaande incidenten, de ernst van meldingen en de verdeling over verschillende aanvalstypen. Door deze informatie te combineren met gegevens over bedrijfsprocessen kan worden bepaald welke incidenten prioriteit krijgen bij afhandeling en welke onderdelen van de organisatie structureel extra kwetsbaar zijn. Een belangrijk onderdeel van monitoring is het vastleggen en analyseren van kernprestatie‑indicatoren voor incidentrespons. Voorbeelden hiervan zijn de gemiddelde tijd tussen detectie en eerste triage, de tijd die nodig is om een incident onder controle te brengen, de totale hersteltijd totdat dienstverlening weer volledig beschikbaar is, en het percentage meldingen dat achteraf een vals positief blijkt te zijn. Deze indicatoren worden periodiek geëvalueerd in overleg tussen CSIRT, CISO‑office en lijnmanagement. Wanneer bijvoorbeeld blijkt dat de tijd tot containment structureel te hoog is, kan dat een aanwijzing zijn dat playbooks onvoldoende geautomatiseerd zijn of dat het CSIRT niet direct beschikt over de juiste bevoegdheden. Een hoge mate van valse positieven kan erop duiden dat detectieregels te generiek zijn of niet goed aansluiten op het risicoprofiel van de organisatie. Het PowerShell‑script dat voor monitoring wordt gebruikt, ondersteunt het periodiek controleren van de configuratiestatus van logging, alerting en playbooks. Hiermee kan automatisch worden gesignaleerd of essentiële logbronnen onverwacht zijn uitgeschakeld, of dat wijzigingen in de omgeving ertoe hebben geleid dat bepaalde detectieregels geen data meer ontvangen. De resultaten van deze controles worden gebruikt om afwijkingen snel te corrigeren en te voorkomen dat er blinde vlekken ontstaan in de beveiligingsmonitoring. Door deze technische controles te combineren met periodieke procesreviews en lessons learned uit echte incidenten ontstaat een cyclisch verbeterproces. Tot slot maakt volwassen monitoring ook gebruik van rapportages richting bestuur en externe toezichthouders. In periodieke managementrapportages wordt samengevat hoeveel incidenten hebben plaatsgevonden, welke trends zichtbaar zijn, welke verbetermaatregelen zijn doorgevoerd en in hoeverre de organisatie voldoet aan relevante normen zoals BIO, ISO 27001 en NIS2. Deze rapportages helpen bestuurders om geïnformeerde beslissingen te nemen over investeringen in beveiliging en geven auditors inzicht in de mate van beheersing. Door monitoring structureel te verankeren in de reguliere governance ontstaat een continue feedbacklus waarmee de organisatie haar incidentresponsfunctie stap voor stap kan verfijnen en professionaliseren.
Compliance en Auditing
Incidentrespons is niet alleen een technische of operationele aangelegenheid, maar vormt ook een kernonderdeel van de naleving van wettelijke en normatieve verplichtingen voor overheidsorganisaties. Binnen de Europese Unie verplicht de NIS2‑richtlijn essentiële en belangrijke entiteiten om significante incidenten binnen strikte termijnen te melden aan de bevoegde toezichthouders. Dit betekent dat organisaties in staat moeten zijn om snel te beoordelen of een incident meldingsplichtig is, om de impact op vertrouwelijkheid, integriteit en beschikbaarheid van systemen en gegevens te bepalen en om tijdig een eerste melding, vervolgrapportage en eindrapport aan te leveren. Zonder een gestructureerd incidentresponsproces is het vrijwel onmogelijk om deze informatie binnen 24 tot 72 uur betrouwbaar te verzamelen en te documenteren, wat kan leiden tot sancties en reputatieschade. De Baseline Informatiebeveiliging Overheid (BIO) bevat eveneens concrete eisen op het gebied van incidentbeheer. In hoofdstuk 16 wordt onder andere voorgeschreven dat verantwoordelijkheden en procedures voor het melden, registreren, beoordelen en afhandelen van beveiligingsincidenten formeel moeten zijn vastgelegd en dat deze periodiek moeten worden getoetst. Dit houdt in dat er een centraal incidentregister aanwezig is, dat classificatiecriteria zijn gedefinieerd en dat processen zijn ingericht voor escalatie richting CISO, proceseigenaren en bestuur. De implementatie van Microsoft‑gebaseerde incidentresponsvoorzieningen, zoals Sentinel, Defender en bijbehorende playbooks, ondersteunt organisaties bij het aantoonbaar invullen van deze BIO‑eisen doordat incidenten uniform worden geregistreerd, gelogd en gerapporteerd. Ook internationale normen zoals ISO 27001 en specifiek de Annex‑controls rond incidentbeheer leggen de nadruk op duidelijke rollen, procedures en communicatie tijdens incidenten. Organisaties die gecertificeerd zijn of certificering nastreven, moeten kunnen aantonen dat beveiligingsincidenten systematisch worden geïdentificeerd, dat passende corrigerende maatregelen worden genomen en dat lessen uit incidenten worden gebruikt in het continu verbeterproces van het managementsysteem voor informatiebeveiliging. In de praktijk betekent dit dat incidentresponsdocumentatie, logbestanden, rapportages van oefeningen en evaluaties van echte incidenten bewaard moeten blijven en beschikbaar moeten zijn voor interne en externe audits. Voor de Nederlandse Baseline voor Veilige Cloud betekent naleving dat incidentrespons niet als losstaand project wordt gezien, maar als integraal onderdeel van het bredere informatiebeveiligings‑ en privacybeleid. De inrichting van tooling en processen wordt afgestemd op andere governance‑componenten, zoals risicomanagement, change‑beheer en business continuity management. Door deze samenhang ontstaat een consistent geheel waarin incidenten niet alleen worden opgelost, maar ook worden gebruikt als input voor herziening van beleid, aanscherping van toegangsbeheer, verfijning van monitoring en verbetering van opleidingsprogramma’s. Op deze manier draagt een volwassen incidentresponsfunctie rechtstreeks bij aan duurzame compliance en aantoonbare verantwoording richting burgers, bestuur en toezichthouders.
Remediatie
Gebruik PowerShell-script incident-response.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie vormt de fase waarin een organisatie na detectie en containment van een incident de onderliggende oorzaak structureel aanpakt en de omgeving gecontroleerd terugbrengt naar een veilige en stabiele toestand. In een Microsoft‑cloudomgeving bestaat remediatie vaak uit een combinatie van technische herstelacties, structurele configuratiewijzigingen en aanvullende organisatorische maatregelen. Technisch gezien omvat dit onder andere het verwijderen van malware of ongewenste software, het herstellen of opnieuw uitrollen van getroffen virtuele machines of werkplekken, het intrekken en opnieuw genereren van sleutels, certificaten en secrets en het afdwingen van wachtwoordresets of herauthenticatie voor betrokken accounts. Waar back‑ups worden gebruikt om gegevens of systemen terug te zetten, moet zorgvuldig worden gecontroleerd dat deze back‑ups vrij zijn van malware en dat de teruggezette configuraties aansluiten op de actuele beveiligingsrichtlijnen. Het PowerShell‑script dat in dit ontwerp wordt genoemd, ondersteunt remediatie door gestandaardiseerde herstelacties uit te voeren, bijvoorbeeld het herconfigureren van beveiligingsinstellingen, het opnieuw inschakelen van logging of het afdwingen van strictere beleidsregels na een incident. Door deze taken te automatiseren wordt voorkomen dat er per incident ad‑hoc wijzigingen worden doorgevoerd die niet worden gedocumenteerd of getest. Tegelijkertijd blijft menselijke beoordeling essentieel: het CSIRT en de betrokken beheerteams bepalen op basis van een forensische analyse welke systemen en accounts als compromitterd moeten worden beschouwd en welke scope aan herstelmaatregelen nodig is. Tijdens dit proces wordt nauw samengewerkt met proceseigenaren om de impact op bedrijfsvoering te beperken en waar nodig tijdelijke mitigerende maatregelen te nemen, zoals het inzetten van alternatieve werkprocessen of het opschalen van ondersteuning voor eindgebruikers. Een belangrijk onderdeel van remediatie is het borgen dat de onderliggende kwetsbaarheid of fout die het incident mogelijk maakte, daadwerkelijk wordt weggenomen. Dit kan betekenen dat technische maatregelen worden aangescherpt, zoals het verplicht stellen van meervoudige authenticatie voor beheerders, het beperken van netwerktoegangen, het verwijderen van overbodige privileges of het aanscherpen van e‑mailbeveiligingsinstellingen. Het kan ook gaan om processen en menselijk gedrag, bijvoorbeeld het verbeteren van change‑procedures, het versterken van leveranciersbeheer of het intensiveren van bewustwordingscampagnes. De uitkomsten van de post‑incidentanalyse worden vertaald naar concrete acties die worden opgenomen in verbeterplannen en opgevolgd via de reguliere governance. Na afronding van de remediatie wordt het incident formeel gesloten. Hierbij hoort het actualiseren van documentatie, zoals draaiboeken, architectuurdocumenten en risicoregisters, en het archiveren van relevante logbestanden en correspondentie voor eventuele toekomstige audits of onderzoeken. In managementrapportages wordt vastgelegd welke maatregelen zijn getroffen, welke lessen zijn geleerd en welke structurele verbeteringen zijn doorgevoerd. Door remediatie op deze manier te benaderen, zorgt de organisatie ervoor dat elk incident niet alleen een verstoring is, maar ook een concrete stap in de verdere professionalisering van de beveiliging en de weerbaarheid van de cloudomgeving.
Compliance & Frameworks
- BIO: 16.01.01, 16.01.05 - incidentbeheer en response
- ISO 27001:2022: A.16.1.1, A.16.1.2 - incidentbeheer
- NIS2: Artikel - Incident notification binnen 24-72 uur
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Incident Response Design
.DESCRIPTION
Implementation for Incident Response Design
.NOTES
Filename: incident-response.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/security/incident-response.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Incident Response Design"
$BIOControl = "16.01"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "incident-response"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder IR plan = NIS2 violations (24-72 uur notification mandatory - €10M boetes), prolonged dwell time (200+ dagen average zonder IR vs 30 dagen with IR), escalating breach impact (containment delays = more data stolen), chaotic response (no procedures = mistakes). Het risico is KRITIEK - NIS2 mandatory.
Management Samenvatting
Incident Response Plan: CSIRT team (roles - incident manager, technical leads, communications), Playbooks (ransomware, phishing, data breach response procedures), Detection (Sentinel SIEM + Defender XDR alerts), Containment (isolate devices, revoke access, block IPs), Eradication (remove malware, patch vulnerabilities), Recovery (restore from backup), Lessons learned (post-incident review). Quarterly tabletop exercises. Activatie: Create IR plan → Form CSIRT → Deploy Sentinel → Quarterly drills. Kosten: Sentinel + CSIRT time. Verplicht NIS2 Article 23 (24-72 uur), BIO 16.01, ISO 27001 A.16.1. Implementatie: 40-120 uur (plan + CSIRT + playbooks + testing). CRITICAL NIS2 requirement - mandatory incident response capability.
- Implementatietijd: 120 uur
- FTE required: 0.3 FTE