💼 Management Samenvatting
Microsoft Secure Score fungeert als het objectieve kompas voor de Nederlandse Baseline voor Veilige Cloud en biedt bestuurders direct inzicht in de volwassenheid van hun Microsoft 365 tenant. Het instrument combineert technische telemetrie, beleidsafspraken en operationele KPI’s tot één begrijpelijke maatstaf die richting geeft aan investeringen en prioriteiten.
Aanbeveling
Veranker Secure Score als integraal besturingsmechanisme en koppel elke aanbeveling aan concrete verbeteracties met aantoonbaar eigenaarschap.
Risico zonder
Low
Risk Score
4/10
Implementatie
16u (tech: 8u)
Van toepassing op:
✓ Microsoft 365
✓ veilige Score
✓ veilige Score
Wanneer organisaties Secure Score niet structureel toepassen, ontstaat een blinde vlek in de beveiligingsketen: configuratiefouten blijven onopgemerkt, verbeteringen worden niet aantoonbaar vastgelegd en compliance-kaders zoals BIO en NIS2 kunnen niet onderbouwd worden. Daardoor nemen zowel het risico op incidenten als de kans op sancties door toezichthouders merkbaar toe.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Security
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Security
Implementatie
Deze maatregel beschrijft hoe Secure Score wordt ingebed in governance, processen en tooling: van licentievoorwaarden en rolverdeling tot het uitvoeren van scripts, het monitoren van trends en het koppelen van bevindingen aan compliance-eisen. Het resultaat is een voorspelbaar verbeterprogramma dat voortdurend zicht geeft op de beveiligingspositie van Microsoft 365.
Vereisten
Een volwassen inzet van Microsoft Secure Score begint met het beschikbaar hebben van de juiste licenties binnen Microsoft 365 E3 of E5, aangevuld met de beveiligingsbundels die Microsoft Defender, Entra ID P2 en Intune bevatten. Deze licenties moeten expliciet zijn toegewezen aan alle workloads die u wilt meten, zodat telemetrie uit Exchange Online, SharePoint, Teams, Entra ID en eindpunten volledig beschikbaar komt. Even belangrijk is het inrichten van afzonderlijke beheeraccounts: ten minste twee globale beheerders met meervoudige verificatie en een Security Reader rol voor auditors. Zonder deze rolverdeling kunnen aanbevelingen niet worden gevalideerd of goedgekeurd, waardoor de score snel stagneert. Daarnaast vraagt Secure Score om een betrouwbare gegevensbasis. Dat betekent dat audit logging in Microsoft 365 Defender is ingeschakeld, dat Unified Audit Logs minimaal 365 dagen bewaard worden en dat Intune compliance rapportages dagelijks worden gesynchroniseerd. Inventariseer vooraf welke tenants, abonnementen en werkplekken onder de scope vallen en leg ze vast in een configuratieregister. Zorg dat elke workload een eigenaar heeft die wijzigingen kan bevestigen, en dat service principals toegang hebben tot de Microsoft Graph scope SecurityEvents.Read.All zodat geautomatiseerde rapportages, zoals het script secure-score.ps1, zonder handmatige tussenkomst kunnen draaien. Ook organisatorische governance is een harde voorwaarde. Richt een multidisciplinair Secure Score overleg in met vertegenwoordigers van CISO-office, operations, architectuur en functioneel beheer. Definieer vooraf welke drempelwaarden horen bij het risicoprofiel van de organisatie en vertaal die naar concrete KPI’s, zoals een minimale score van 65 procent voor identiteitsmaatregelen en 80 procent voor apparaatbeveiliging. Beschrijf in een procedure hoe wijzigingen worden goedgekeurd, hoe uitzonderingen worden vastgelegd in het risicoregister en hoe voortgang wordt gerapporteerd aan bestuurders volgens het format van de Nederlandse Baseline voor Veilige Cloud. Tot slot moeten ondersteunende tools beschikbaar zijn. Denk aan een centraal rapportagedashboard in Power BI of Microsoft Sentinel, een beveiligde opslaglocatie voor audit-bewijs en een Team of SharePoint site voor besluitvorming. Plan tijd voor opleidingen zodat beheerders begrijpen hoe aanbevelingen zijn opgebouwd en hoe ze gecontroleerd kunnen worden. Reserveer minimaal zestien uur per kwartaal voor roadmapbeheer en borg dat leveranciers of outsourcers contractueel verplicht zijn om wijzigingen aan te leveren. Met deze fundamenten wordt Secure Score geen losse rapportage maar een gedragen stuurinstrument. Voor organisaties met meerdere tenants of fusiestructuren is het cruciaal om een federatief model op te zetten waarin elke dochterorganisatie eigen verantwoordelijkheid houdt terwijl de holding inzicht behoudt. Documenteer wie de tenant global reader is, welke adressen worden gebruikt voor meldingen en hoe escalaties verlopen buiten kantooruren. Vergeet niet dat Secure Score aanbevelingen soms afhankelijk zijn van basisconfiguraties, zoals Exchange transportregels of Azure AD PIM, dus plan technische readiness-checks voordat u verbeteracties wilt activeren. Neem deze checklist op in het onboardingproces van nieuwe projecten zodat de volwassenheid van Secure Score synchroon groeit met de digitale transformatie. Een vaak onderschat vereiste is de beschikbaarheid van betrouwbare configuratiegegevens buiten Microsoft 365. Voor verbindingen met on-premises Active Directory, firewalls of federatieve identiteitsproviders moet duidelijk zijn wie configuraties beheert en hoe wijzigingen worden teruggekoppeld. Beschrijf daarom in het Baseline Configuration Document welke integraties invloed hebben op Secure Score en hoe de gegevensstromen zijn beveiligd. Wanneer de organisatie gebruikmaakt van soevereine of sectorale clouds, valideer dan of de Secure Score API’s bereikbaar zijn en documenteer eventuele beperkingen. Deze voorbereidingen voorkomen dat meetwaarden onvolledig zijn en dat besluitvorming plaatsvindt op basis van een vertekend beeld.
Implementatie
De implementatie van Secure Score binnen de Nederlandse Baseline voor Veilige Cloud start met een gefaseerde aanpak die techniek en organisatie verbindt. Begin met een nulmeting waarbij u het script secure-score.ps1 uitvoert vanuit een gecontroleerde beheershell. Het script gebruikt Microsoft Graph om actuele aanbevelingen op te halen en plaatst de ruwe output in een werkmap binnen het team dat verantwoordelijk is voor beveiligingsarchitectuur. Leg het exacte tijdstip, de gebruikte accountcontext en de moduleversies vast zodat de resultaten reproduceerbaar blijven. Analyseer de verschillen tussen de huidige score en de maximaal haalbare score per categorie om direct te zien welke verbeteringen de hoogste impact hebben. Documenteer vervolgens elk geïdentificeerd verbeterpunt in een backlog die is afgestemd op de BIO, het Azure Security Benchmark en eventuele sectorspecifieke normen. Beschrijf per actie de technische taak, het verantwoordelijke team, de verwachte doorlooptijd en de afhankelijkheden. Gebruik categorieën als Identiteit, Apparaten, Gegevens, Apps en Infrastructuur om overlap met andere projecten te voorkomen. Voeg aan de backlog toe hoe de maatregel wordt gevalideerd, bijvoorbeeld via een Intune rapport, een Defender for Cloud instelling of een conditional access policy. Door deze structuur ontstaat een traceerbare keten van aanbeveling naar uitvoering, iets wat auditors nadrukkelijk verwachten. Na het vastleggen van de backlog volgt de configuratiefase. Construeer change scripts of policies in een ontwikkeltenant, voer peer reviews uit en automatiseer waar mogelijk met Infrastructure as Code. Bij identity-onderwerpen kan dat Azure AD Conditional Access templates betekenen; bij endpointmaatregelen zijn het vaak Intune device compliance policies. Verifieer iedere wijziging in een pilotgroep en documenteer de testresultaten, inclusief eventuele regressies. Pas het script secure-score.ps1 direct na implementatie toe om te controleren of de maatregel erkend wordt door Secure Score en noteer de scorewijziging als bewijsstuk in het wijzigingsdossier. Wanneer meerdere maatregelen samenkomen, richt u een sprint- of waveplanning in waarin technische teams en proceseigenaren synchroon werken. Bepaal per sprint een doelpercentage dat haalbaar is en plan tussentijdse kwaliteitscontroles. Gebruik Microsoft Planner of Azure DevOps om taken, blokkades en afhankelijkheden inzichtelijk te maken. Zorg dat elke wijziging een terugvalplan heeft: beschrijf hoe de oude configuratie kan worden hersteld, welke logbestanden nodig zijn en hoe eindgebruikers worden geïnformeerd. Deze discipline maakt het mogelijk om de Secure Score te verbeteren zonder de continuïteit van kritieke processen in gevaar te brengen. Sluit de implementatie af met een formele acceptatie. Stel een rapport op waarin u de oorspronkelijke score, de gerealiseerde score en de resterende aanbevelingen naast elkaar zet. Voeg schermafbeeldingen van dashboards, exports van het script en verwijzingen naar change tickets toe zodat auditors een volledig spoor hebben. Documenteer bovendien welke maatregelen bewust zijn uitgesteld, inclusief risicoanalyse en goedkeuring door het CISO-office. Deze transparantie maakt het voor bestuurders eenvoudig om prioriteit te geven aan de volgende iteratie en borgt dat Secure Score een integraal onderdeel van de bredere beveiligingsarchitectuur blijft. Vergeet niet om opleidings- en communicatieactiviteiten te plannen. Organiseer kennissessies voor servicemanagers, zodat zij begrijpen hoe Secure Score hun diensten raakt, en lever kant-en-klare berichten voor het intranet waarin u uitlegt welke verbeteringen gebruikers kunnen merken. Door implementatie en adoptie te combineren, voorkomt u weerstand en creëert u draagvlak voor toekomstige maatregelen.
Gebruik PowerShell-script secure-score.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Monitoring van Secure Score is meer dan het maandelijks openen van een dashboard; het is een continue kwaliteitsborging die operationele signalen verbindt met strategische doelen. Start met een vaste cadans: dagelijks geautomatiseerde controles voor kritieke identiteitsmaatregelen, wekelijks voor endpoints en maandelijks voor samenwerkingstools. Het script secure-score.ps1 wordt geautomatiseerd uitgevoerd via een Azure Automation runbook of een beveiligde on-premises taakplanner met gedefinieerde service principals. De resultaten worden opgeslagen in een centrale Log Analytics workspace, waardoor trends, afwijkingen en correlaties zichtbaar worden. Ontwerp een Power BI rapport of Defender werkmap waarin de score per categorie wordt afgezet tegen de afgesproken drempels. Voeg signaalindicatoren toe die rood worden wanneer een aanbeveling terugvalt naar de status Niet voltooid. Combineer deze data met operationele telemetrie, zoals Intune compliance rates en Entra ID sign-in risico's, zodat duidelijk wordt of een daling van de score voortkomt uit echte configuratiewijzigingen of uit meetproblemen. Leg filters vast waarmee auditors een specifieke datum kunnen selecteren en de bijbehorende bewijslast inzien. Naast dashboards is menselijke interpretatie essentieel. Organiseer een tweewekelijkse monitoring-review waarin security officers, product owners en servicemanagers de cijfers bespreken. Tijdens deze sessies wordt bepaald of afwijkingen direct moeten worden opgepakt of dat ze onderdeel worden van de reguliere roadmap. Documenteer beslissingen in een actielijst en koppel follow-up items aan change tickets. Wanneer een maatregel structureel terugvalt, voer dan een post mortem analyse uit en herzie de technische standaarden. Deze werkwijze zorgt ervoor dat monitoring niet verzandt in symptoombestrijding. Automatisering helpt om repetitieve controles betrouwbaar uit te voeren. Maak gebruik van Microsoft Graph subscriptions om notificaties te ontvangen zodra een Secure Score aanbeveling wijzigt. Koppel deze triggers aan Teams webhooks of Defender alerts zodat verantwoordelijken vrijwel real-time een melding krijgen. Combineer dit met compliance policies in Intune en DCR-regels in Microsoft Sentinel om dezelfde gegevensbron in meerdere toezichtlijnen te hergebruiken. Sla de output van secure-score.ps1 op in een beveiligde storage account met versiebeheer, zodat u altijd kunt aantonen welke score op welke datum gold. Gebruik daarnaast scenario-gebaseerde controles waarin security-analisten ieder kwartaal een paar realistische dreigingsscenario's doorlopen. Kies bijvoorbeeld voor het compromitteren van een beheerdersaccount, het massaal delen van gevoelige SharePoint-sites of het uitrollen van een kwaadaardige Outlook-invoegtoepassing. Simuleer welke Secure Score aanbevelingen deze scenario's zouden moeten voorkomen en controleer of de monitoringregels een duidelijke waarschuwing genereren. De inzichten uit deze oefeningen worden toegevoegd aan het verbeterplan en vormen input voor awareness-trainingen, zodat zowel technische teams als bestuurders begrijpen waarom de score belangrijk is. Tot slot hoort bij monitoring een duidelijke rapportagelijn richting bestuurders. Stel een maandelijks managementrapport op waarin u de trend over de afgelopen twaalf maanden, het effect van recente maatregelen en de prognose voor de komende kwartaalcyclus beschrijft. Vertaal technische termen naar bedrijfsimpact: leg uit hoe een lager identiteitspercentage het risico op accountmisbruik verhoogt en welke maatregelen gepland staan om dat te mitigeren. Door monitoring te combineren met context en besluitvorming blijft Secure Score een levend stuurinstrument in plaats van een cijfer zonder verhaal. Vergeet evenmin de lessons learned vast te leggen. Elke keer dat de score onverwacht daalt, moet worden geëvalueerd welke processtap ontbrak: was er geen change notificatie, is er een licentie verlopen of heeft een externe leverancier instellingen teruggedraaid? Door deze inzichten te documenteren en te delen in het kennisportaal van de Nederlandse Baseline voor Veilige Cloud, stijgt de voorspelbaarheid van het programma en kunnen andere teams profiteren van reeds opgedane ervaring.
Gebruik PowerShell-script secure-score.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie binnen Secure Score betekent dat aanbevelingen worden vertaald naar uitvoerbare verbeteracties met aantoonbaar resultaat. Begin met het prioriteren van acties op basis van risico, beschikbaar budget en afhankelijkheden. Zet de toprisico's — zoals het ontbreken van meervoudige verificatie voor beheerders of onvoldoende bescherming tegen phishing — bovenaan, zelfs als de puntenwinst kleiner lijkt. Beschrijf per actie welke configuraties aangepast worden, welke teams betrokken zijn en hoe het succes wordt gemeten. Sla elke aanbeveling op in een werkbaar artefact, bijvoorbeeld een Azure DevOps user story met duidelijke acceptatiecriteria. Voeg technische referenties toe zoals de relevante Microsoft Learn documentatie, beleidsnummers uit de Nederlandse Baseline voor Veilige Cloud en verwijzingen naar de BIO of NEN-ISO 27001 controls. Definieer voor elk item het verwachte effect op de Secure Score categorieën zodat later kan worden gevalideerd of de verbetering daadwerkelijk zichtbaar is. Koppel acties aan change management processen zodat CAB's tijdig worden geïnformeerd. Tijdens de uitvoering wordt het script secure-score.ps1 gebruikt als regressietest. Voer het script uit voordat u instellingen wijzigt om de uitgangssituatie vast te leggen, en herhaal dit na implementatie om de verbetering te bevestigen. Bewaar beide rapporten in een onveranderbare opslaglocatie en koppel ze aan het change ticket. Wanneer de score niet toeneemt, onderzoekt het team of extra configuratiestappen nodig zijn, of dat de aanbeveling afhankelijk is van andere maatregelen. Deze feedbackloop voorkomt dat acties als voltooid worden gemarkeerd terwijl de score gelijk blijft. Voor omvangrijke verbeteringen, zoals het afdwingen van moderne verificatie of het uitfaseren van legacy protocollen, is een gefaseerde aanpak cruciaal. Start met een beperkte pilot, communiceer helder met eindgebruikers en monitor service desk tickets op verstoringen. Betrek communicatieafdelingen om duidelijke handleidingen te leveren en plan service windows voor wijzigingen met mogelijk effect op kritieke processen. Documenteer lessons learned en pas de standaardwerkbeschrijvingen aan zodat volgende uitrolgolven sneller verlopen. Remediatie is pas afgerond wanneer de nieuwe configuratie bestendigd is in beleid, processen en tooling. Werk daarom de Intune baseline templates, Azure Policy initiatieven en handboeken voor beheerders bij. Controleer of monitoringregels, zoals Defender alerts en Sentinel analytics, eveneens de nieuwe situatie ondersteunen. Borg dat externe leveranciers contractueel gebonden zijn aan de nieuwe instellingen en dat continuous compliance scans de configuratie automatisch blijven toetsen. Door deze bestendiging wordt voorkomen dat de Secure Score kortstondig stijgt en daarna weer terugvalt. Om consistentie te bewaren, koppelt u remediatie aan architectuurprincipes en lifecyclemanagement. Werk alle standaardconfiguraties in Git-repositories bij, voeg tests toe die valideren of verplichte instellingen aanwezig zijn en zorg dat pull requests automatisch worden gecontroleerd op Secure Score impact. Wanneer afwijkingen noodzakelijk zijn, documenteer dan de businesscase, de duur van de uitzondering en de compenserende maatregelen. Deel dit overzicht maandelijks met de Chief Architect zodat technische schuld beperkt blijft. Gebruik bovendien maturity-metingen om de effectiviteit van remediatie zichtbaar te maken. Bepaal per categorie een volwassenheidsniveau op een schaal van één tot vijf en leg vast welke Secure Score acties nodig zijn om het volgende niveau te bereiken. Rapporteer deze maturity-scores naast de kwantitatieve punten zodat bestuurders begrijpen dat remediatie zowel kwaliteit als kwantiteit verhoogt. Koppel de scores aan budgetrondes en portfolio-overleggen, zodat financiële beslissingen direct aansluiten op de werkelijke risico's. Rapporteer de resultaten van iedere remediatiegolf aan het CISO-office met een duidelijke toelichting van de behaalde punten, de resterende risico's en de benodigde vervolgstappen. Gebruik visualisaties die laten zien hoe de maatregelen bijdragen aan het risicoregister en aan wettelijke kaders zoals de BIO, AVG en NIS2. Deze transparantie maakt het eenvoudiger om budget en capaciteit voor de volgende verbetercyclus veilig te stellen.
Gebruik PowerShell-script secure-score.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance en auditing rond Secure Score draait om aantoonbaarheid: kunnen we laten zien dat beleidsafspraken daadwerkelijk zijn uitgevoerd en bewaakt? Begin met het koppelen van iedere Secure Score categorie aan de relevante controls uit de Baseline Informatiebeveiliging Overheid, ISO/IEC 27001, CIS Controls en, waar van toepassing, NIS2. Documenteer deze mapping in het compliance register en verwijs naar het specifieke ID uit dit JSON-bestand, zodat auditors direct begrijpen welke sectie zij moeten beoordelen. Beschrijf tevens welke bewijsstukken beschikbaar zijn, zoals exports uit het Secure Score dashboard, Power BI rapportages en change logs. Voorzie elke aanbeveling van een standaard audit trail. Dat betekent dat de output van secure-score.ps1, screenshots van het Defender portaal en notulen van besluitvormingsvergaderingen worden opgeslagen in een WORM-opslaglocatie met minimaal één jaar retentie. Leg in een procedure vast wie toegang heeft tot deze opslag en hoe integriteit wordt gecontroleerd, bijvoorbeeld via hashwaardes. Wanneer gegevens buiten Microsoft 365 worden geëxporteerd, moet het dataclassificatielabel behouden blijven en moeten persoonsgegevens worden geanonimiseerd conform de AVG. Auditors willen inzicht in zowel de prestaties als het proces. Richt daarom een drielaagse rapportagestructuur in: operationele rapporten voor beheerders, tactische dashboards voor het middenmanagement en strategische samenvattingen voor bestuurders. Elk niveau bevat dezelfde brondata maar een andere mate van detail. Geef in het auditdossier aan wanneer rapportages zijn gedeeld, welke besluiten zijn genomen en hoe afwijkingen zijn opgevolgd. Documenteer eveneens hoe vaak een onafhankelijke review plaatsvindt, bijvoorbeeld door internal audit of een externe assessor. Een belangrijk compliance-aspect is het borgen van segregatie of duties. Noteer in het Identity Governance register wie wijzigingen aanbrengt in Secure Score gerelateerde instellingen, wie monitoring uitvoert en wie de resultaten accordeert. Gebruik waar mogelijk PIM om tijdelijke rechten uit te geven en log deze activeringen volledig. Wanneer auditors zien dat dezelfde persoon verantwoordelijk is voor alle stappen, zal de betrouwbaarheid van de rapportage in twijfel worden getrokken. Door rollen te scheiden blijft de integriteit van het programma overeind. Koppel Secure Score ook aan bredere wettelijke verplichtingen. Beschrijf hoe verbeteracties bijdragen aan de zorgplicht uit de NIS2-richtlijn, aan het risicogebaseerde toezicht van de Autoriteit Persoonsgegevens en aan sectorale normen zoals de BIO of het Normenkader IBP. Voeg aan het compliance dossier toe hoe Secure Score helpt bij het beantwoorden van klantvragen over assurance, bijvoorbeeld door de scoretrend in offertes op te nemen. Geef aan hoe afwijkingen worden gerapporteerd aan toezichthouders wanneer ze impact kunnen hebben op dienstverlening. Leg daarnaast vast hoe bewaartermijnen en privacy-eisen worden gerespecteerd. Bepaal per bewijstype hoe lang het moet worden bewaard, welk classificatielabel van toepassing is en welke encryptiestandaard wordt gebruikt voor opslag. Zorg dat het retentiebeleid aansluit op de wettelijke eisen uit de Archiefwet en de AVG, en leg vast hoe gegevens na afloop gecontroleerd worden verwijderd. Beschrijf in het auditplan hoe steekproeven plaatsvinden op deze retentie-eisen, zodat aantoonbaar is dat gegevens nooit langer worden bewaard dan strikt noodzakelijk. Betrek externe partijen proactief bij het auditproces. Wanneer een outsourcer of shared service center delen van de Microsoft 365 configuratie beheert, moet contractueel zijn vastgelegd dat Secure Score rapportages beschikbaar worden gesteld en dat bevindingen binnen afgesproken termijnen worden opgevolgd. Organiseer gezamenlijke auditsessies waarin zowel interne als externe teams hun bewijsstukken presenteren en stem af hoe gedeelde maatregelen worden geadministreerd. Dit voorkomt gaten in de keten van verantwoordelijkheid. Tot slot moet het auditproces zelf periodiek worden verbeterd. Voer jaarlijks een meta-audit uit waarin u beoordeelt of de vastgelegde procedures nog aansluiten op de realiteit en of de bewijsstukken voldoende detail bevatten. Verzamel feedback van auditors, pas templates aan en zorg dat de lessons learned worden verwerkt in de documentatie van de Nederlandse Baseline voor Veilige Cloud. Door deze continue verbetering blijft het programma toekomstbestendig en kunnen nieuwe regelgeving en technologieën snel worden ingepast.
Compliance & Frameworks
- CIS M365: Control Beveiligings beoordeling (L1) - CIS regelt v8 - beveiligingspositie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Microsoft Secure Score Design
.DESCRIPTION
Implementation for Microsoft Secure Score Design
.NOTES
Filename: secure-score.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/security/secure-score.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Microsoft Secure Score Design"
$BIOControl = "16.03"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "secure-score"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Low: Zonder Secure Score governance ontbreekt inzicht in configuratiefouten, blijft naleving van BIO en NIS2 ononderbouwd en ontstaat het risico dat kwetsbaarheden maandenlang onopgemerkt blijven, met incidenten en sancties tot gevolg.
Management Samenvatting
Secure Score levert een continu en kosteloos inzicht in de beveiligingspositie van Microsoft 365. Door het script secure-score.ps1 periodiek te draaien, aanbevelingen in een backlog te plaatsen en resultaten te rapporteren aan bestuurders, ontstaat een aantoonbare verbetercyclus die identiteiten, apparaten en data meetbaar beschermt.
- Implementatietijd: 16 uur
- FTE required: 0.1 FTE