BIO 16.01 ISO A.12.4.1

SIEM Sentinel Design

đź“… 2025-10-30
•
⏱️ 14 minuten lezen
•
🟢 Should-Have

đź’Ľ Management Samenvatting

Microsoft Sentinel is het centrale SIEM/SOAR‑platform in Azure waarmee organisaties alle beveiligingsgebeurtenissen uit Microsoft 365, Azure, on‑premises en externe cloudomgevingen op één plek kunnen samenbrengen, analyseren en geautomatiseerd kunnen afhandelen.

Aanbeveling
Implementeer Microsoft Sentinel als centraal SIEM/SOAR‑platform voor de gehele organisatie en positioneer het als strategische voorziening binnen de Nederlandse Baseline voor Veilige Cloud.
Risico zonder
Medium
Risk Score
6/10
Implementatie
160u (tech: 120u)
Van toepassing op:
âś“ Microsoft Sentinel

Zonder een centraal SIEM zoals Microsoft Sentinel ontstaan versnipperde logs, trage incidentrespons en beperkte zichtbaarheid over de volledige keten. Voor Nederlandse overheidsorganisaties betekent dit concreet een verhoogde kans op datalekken, onopgemerkte aanvallen, onvolledige audittrails en mogelijke overtredingen van onder meer BIO, AVG en NIS2, met directe gevolgen voor continuĂŻteit, publieke dienstverlening en vertrouwen van burgers.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.SecurityInsights

Implementatie

Deze ontwerp­richtlijn beschrijft hoe Microsoft Sentinel op een beheerste en herhaalbare manier wordt ingericht: van onderliggende Azure‑architectuur en Log Analytics‑workspaces, via dataverbindingen met Microsoft 365, Azure‑resources en on‑premises bronnen, tot en met use‑cases, detectieregels, dashboards, playbooks en operationele processen. De nadruk ligt op een robuust fundament dat aansluit op de Nederlandse Baseline voor Veilige Cloud, zodat security monitoring, detectie en respons aantoonbaar voldoen aan de relevante compliance‑eisen.

Vereisten

Voor een succesvolle implementatie van Microsoft Sentinel als centraal SIEM/SOAR‑platform is een aantal randvoorwaarden essentieel. Allereerst is een geschikte Azure‑subscription nodig die eigendom is van of gecontroleerd wordt door de organisatie, met duidelijke afspraken over rollen, verantwoordelijkheden en kostenplaats. Binnen deze subscription wordt minimaal één Log Analytics‑workspace ingericht die specifiek is bestemd voor security logging; hierbij worden beslissingen genomen over regio, datalocatie, bewaartermijnen, scheiding tussen omgevingen (productie, test, ontwikkel) en de manier waarop BIO‑ en AVG‑eisen worden vertaald naar concrete configuraties. Daarnaast moeten de bronomgevingen die logs gaan aanleveren – zoals Microsoft 365, Azure‑platformdiensten, identiteitsbronnen (bijvoorbeeld Entra ID), netwerkcomponenten, firewalls en on‑premises servers – technisch geschikt zijn om hun loggegevens veilig en betrouwbaar naar Sentinel te sturen. Een tweede categorie vereisten betreft governance, eigenaarschap en processen. Er moet een duidelijk aangewezen eigenaar zijn voor het Sentinel‑platform (bijvoorbeeld de CISO‑organisatie of het SOC), met daaromheen functionele beheerders, technische beheerders en use‑case‑eigenaren. Rollen en rechten in Azure moeten zodanig zijn ingericht dat principle of least privilege wordt gevolgd: SOC‑analisten krijgen bijvoorbeeld toegang om incidenten te bekijken en te beheren, terwijl platformbeheerders verantwoordelijk zijn voor het wijzigen van workspace‑instellingen en data‑connectors. Daarnaast zijn afspraken nodig over wie verantwoordelijk is voor het interpreteren van alerts, het doorvoeren van verbeteringen in detectieregels en het periodiek evalueren van de effectiviteit van het platform. Zonder deze afspraken ontstaat snel een situatie waarin Sentinel wel data verzamelt, maar waarin niemand eindverantwoordelijk is voor opvolging en continue verbetering. Een derde set vereisten is gericht op integratie met bestaande security‑ en IT‑processen. Sentinel moet logisch aansluiten op het bestaande incidentmanagementproces (bijvoorbeeld gebaseerd op ITIL of een vergelijkbare standaard), inclusief escalatiepad naar lijn‑ en crisisorganisaties. Er moeten koppelvlakken zijn met ticketing‑systemen, identity‑beheer, change‑management en eventuele bestaande SIEM‑oplossingen. Ook moeten SOC‑werkprocessen worden beschreven, zoals triage, onderzoek, opschaling, rapportage en post‑incident evaluaties. Voor Nederlandse overheidsorganisaties is het hierbij belangrijk dat ook afspraken met externe partijen – zoals shared service centers, leveranciers of andere ketenpartners – worden vastgelegd, zodat helder is welke logging waar wordt verzameld en wie welke incidenten behandelt. Tot slot zijn er technische en organisatorische vereisten rondom kennis en opleiding. SOC‑analisten en beheerders moeten kunnen werken met Kusto Query Language (KQL), de Sentinel‑portals en het begrip van MITRE ATT&CK‑technieken, zodat zij eigen queries, jachtopdrachten (hunting) en maatwerkregels kunnen ontwikkelen. Er dienen trainingstrajecten en oefenscenario’s te worden ingericht om de organisatie vertrouwd te maken met het nieuwe SIEM‑platform. Zonder deze voorbereiding blijft Sentinel vaak onderbenut en worden slechts de standaardregels gebruikt, terwijl juist maatwerk‑use‑cases nodig zijn om specifieke risico’s binnen de Nederlandse publieke sector effectief te adresseren.

Implementatie

De implementatie van Microsoft Sentinel begint met het ontwerpen van de workspace‑architectuur. Bepaal eerst of er één centrale workspace komt voor de gehele organisatie, of dat er meerdere workspaces worden ingericht voor bijvoorbeeld verschillende organisatieonderdelen, vertrouwelijkheidsniveaus of omgevingen (productie, test, ontwikkel). Bij deze keuze spelen onder meer datalocatie, segregatie van verantwoordelijkheden, prestatie‑eisen en kostenbeheersing een rol. Vervolgens wordt de gekozen Log Analytics‑workspace aangemaakt, voorzien van de juiste tagging (zoals kostenplaats, eigenaar en classificatie) en gekoppeld aan de Sentinel‑resource. Standaardinstellingen voor retentie, toegangsbeheer en diagnostische instellingen worden direct afgestemd op de BIO‑ en AVG‑eisen, zodat vanaf de eerste dag sprake is van een compliant basis. Daarna worden de benodigde data‑connectors geconfigureerd. Voor Nederlandse overheidsorganisaties betekent dit meestal dat in ieder geval Microsoft 365 Defender, Entra ID‑sign‑in en auditlogs, Azure‑platformlogs (Activity Logs, Resource Logs), Defender for Cloud en eventuele on‑premises bronnen via de Log Analytics‑agent of Azure Monitor Agent worden aangesloten. Elke connector wordt zorgvuldig beoordeeld op relevantie, datavolume en toegevoegde waarde voor detectie‑scenario’s. Waar mogelijk worden standaard‑connectoren van Microsoft gebruikt om beheerlast te beperken, terwijl voor niche‑scenario’s eventueel gebruik kan worden gemaakt van custom log‑inname via bijvoorbeeld CEF, Syslog of REST‑API’s. Belangrijk is dat de innameketen end‑to‑end wordt getest, zodat duidelijk is dat logs volledig, tijdig en betrouwbaar binnenkomen. In de volgende stap worden analytics rules, incidentregels en use‑cases ingericht. Start met een set basisregels die aansluiten op veelvoorkomende dreigingen zoals verdachte aanmeldingen, privilege‑escalaties, verdachte e‑mailactiviteiten, afwijkingen in identiteit‑ en toegangsbeheer en verdachte activiteiten rond kritieke workloads. Waar mogelijk wordt gebruikgemaakt van de door Microsoft geleverde rule templates, maar deze worden altijd aangepast aan de context van de organisatie, logging‑bron en risicotolerantie. Tegelijkertijd worden playbooks (gebaseerd op Logic Apps) ontworpen voor geautomatiseerde of semi‑geautomatiseerde respons, zoals het automatisch blokkeren van een IP‑adres, het intrekken van sessies van een gecompromitteerd account of het informeren van een functionaris gegevensbescherming bij mogelijke datalekken. Tot slot wordt Sentinel ingebed in de dagelijkse operatie van het SOC. Dashboards en workbooks worden ingericht om de belangrijkste dreigingen, trends en Key Performance Indicators (zoals mean time to detect en mean time to respond) inzichtelijk te maken voor zowel operationele teams als management. SOC‑analisten krijgen duidelijke werkinstructies voor triage, prioritering en escalatie van incidenten in Sentinel. De implementatie wordt afgerond met een gecontroleerde overgang naar productie, inclusief een proefperiode waarin alerts en processen worden aangescherpt op basis van praktijkervaring. Door deze stapsgewijze aanpak ontstaat een robuuste SIEM‑omgeving die niet alleen technisch werkt, maar ook organisatorisch is verankerd in de bredere informatiebeveiligingsketen van de organisatie.

Gebruik PowerShell-script siem-sentinel.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Zodra Microsoft Sentinel in gebruik is genomen verschuift de nadruk naar continue monitoring en operationele bewaking. In de incidentenwachtrij komen alle door analytics rules gegenereerde meldingen samen. Deze meldingen worden automatisch verrijkt met context, zoals betrokken accounts, IP‑adressen, apparaten, gebruikte applicaties en eerdere gerelateerde incidenten. SOC‑analisten beoordelen de incidenten op ernst, waarschijnlijkheid en mogelijke impact voor de organisatie, en passen hierbij een vooraf afgesproken triagemodel toe (bijvoorbeeld op basis van ernstcategorieën en SLA’s). Door consequent te werken met duidelijke triage‑richtlijnen kan de organisatie aantoonbaar laten zien dat beveiligingsgebeurtenissen gestructureerd worden beoordeeld en afgehandeld. Naast de incidentenwachtrij speelt proactieve dreigingsjacht (hunting) een belangrijke rol. Met behulp van Kusto Query Language worden queries ontwikkeld die gericht zoeken naar afwijkend of verdacht gedrag dat niet of nauwelijks door standaardregels wordt afgevangen. Denk aan langzame laterale bewegingen, afwijkende administratieve activiteiten of subtiele misbruiksindicatoren in identiteits‑ en toegangslogs. Deze hunting queries worden periodiek uitgevoerd en vastgelegd in vaste draaiboeken, zodat kennis wordt geborgd en niet alleen in hoofden van individuele analisten blijft zitten. De resultaten van hunting worden gebruikt om nieuwe of verbeterde detectieregels te ontwikkelen, waardoor Sentinel zich in de loop van de tijd steeds beter aanpast aan het dreigingsbeeld van de organisatie. Workbooks en dashboards vormen de visuele laag van de monitoringfunctie. Zij geven real‑time inzicht in het aantal incidenten, de verdeling over type dreiging, de herkomst van aanvallen, de status van playbooks en de naleving van ingestelde SLA’s. Voor management en CISO‑organisatie worden aparte overzichten opgesteld die zich richten op trends, structurele risico’s en compliance‑indicatoren, zoals het percentage systemen dat onder Sentinel‑monitoring valt, of de dekking ten opzichte van BIO‑ en NIS2‑eisen. Voor operationele teams worden meer gedetailleerde weergaven gemaakt die helpen bij dagelijkse werkzaamheden, bijvoorbeeld overzichtspagina’s voor identity‑events, e‑mailbeveiliging of specifieke high‑value assets. Door monitoring op deze manier te structureren ontstaat een geïntegreerd beeld van de beveiligingspositie, waarin zowel tactische incidentafhandeling als strategische risicosturing wordt ondersteund. Cruciaal is dat monitoring in Sentinel niet wordt gezien als een eenmalige inrichting, maar als een continu verbeterproces. Periodieke evaluaties – bijvoorbeeld maandelijkse of kwartaalreviews – analyseren welke regels te veel ruis geven, waar blind spots zitten en welke nieuwe dreigingstrends moeten worden afgedekt. De uitkomsten daarvan leiden tot aanpassingen in use‑cases, dataverzamelingen en rapportages. Op die manier groeit Sentinel mee met de organisatie en blijft het platform relevant als kerncomponent binnen de Nederlandse Baseline voor Veilige Cloud.

Gebruik PowerShell-script siem-sentinel.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Effectieve remediatie binnen Microsoft Sentinel combineert geautomatiseerde acties met weloverwogen menselijke besluitvorming. Wanneer een incident wordt gedetecteerd, bepaalt de ingestelde use‑case of direct een playbook wordt gestart, of dat eerst een analist het incident beoordeelt en vervolgens handmatig het playbook activeert. Voor veelvoorkomende dreigingen – zoals phishingmails, verdachte aanmeldingen of malware op eindpunten – kunnen playbooks taken uitvoeren als het isoleren van een apparaat, het blokkeren van een IP‑adres of domein, het intrekken van actieve sessies of het tijdelijk uitschakelen van een gebruikersaccount. Deze acties worden altijd ontworpen binnen de kaders van bestaande processen en met aandacht voor de continuïteit van de dienstverlening, zodat de impact op kritieke processen beperkt blijft. Een goede remediatiestrategie begint met duidelijke scenario’s. Voor elk belangrijk risicogebied (bijvoorbeeld identiteitsmisbruik, datadiefstal, ransomware of misbruik van beheerdersrechten) wordt beschreven welke stappen automatisch kunnen worden uitgevoerd en welke beslissingen door een mens moeten worden genomen. Daarbij wordt rekening gehouden met escalatiepaden: wanneer een incident bijvoorbeeld mogelijk een datalek onder de AVG vormt, moet de functionaris gegevensbescherming tijdig worden geïnformeerd, en kan er een koppeling zijn met juridische of communicatieteams. Deze scenario’s worden vastgelegd in operationele runbooks, zodat SOC‑analisten precies weten welke acties in welke volgorde worden verwacht. Naast technische herstelacties is structurele opvolging essentieel. Na elk significant incident wordt een kort nagesprek (post‑incident review) gehouden om te beoordelen of de gebruikte detectieregels, playbooks en processen voldoende effectief waren. Waar nodig worden regels aangescherpt, aanvullende logging ingeschakeld of nieuwe controles toegevoegd in gerelateerde systemen, zoals identiteits‑ en toegangsbeheer of e‑mailbeveiliging. De lessen uit incidenten worden zo omgezet in blijvende verbeteringen van de beveiligingsarchitectuur. Voor Nederlandse overheidsorganisaties ondersteunt dit bovendien de aantoonbaarheid richting interne en externe toezichthouders dat men “leren en verbeteren” structureel heeft ingebed in de informatiebeveiligingscyclus. Tot slot wordt remediatie gekoppeld aan rapportage en documentatie. Elke uitgevoerde actie – zowel automatisch als handmatig – wordt vastgelegd in Sentinel, het ticketingsysteem en eventuele aanvullende logboeken. Dit levert een gedetailleerd spoor op dat gebruikt kan worden voor audits, forensisch onderzoek en interne verantwoording. Door deze combinatie van geautomatiseerde respons, goed beschreven runbooks en grondige dossiervorming ontstaat een remediatieproces dat niet alleen snel en effectief is, maar ook aantoonbaar voldoet aan de eisen van de Nederlandse Baseline voor Veilige Cloud.

Gebruik PowerShell-script siem-sentinel.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Microsoft Sentinel speelt een centrale rol in het aantoonbaar maken van compliance met normen als de BIO, ISO 27001 en NIS2. Door beveiligingsgebeurtenissen, configuratie‑wijzigingen en incidentafhandeling systematisch te loggen, ontstaat een rijk auditspoor dat laat zien hoe de organisatie haar beveiligingsproces in de praktijk uitvoert. Alle stappen in de keten – van eerste detectie via analytics rules, tot triage door SOC‑analisten en de daadwerkelijke remediatieacties – kunnen worden opgeslagen en teruggevonden. Dit maakt het mogelijk om tijdens interne en externe audits helder te illustreren welke maatregelen zijn getroffen, hoe incidenten worden behandeld en welke verbeteringen naar aanleiding van eerdere gebeurtenissen zijn doorgevoerd. Voor Nederlandse overheidsorganisaties is het daarnaast belangrijk dat bewaartermijnen en datalocatie aansluiten op wettelijke verplichtingen en interne beleidskaders. In Sentinel kunnen retentie‑instellingen per workspace worden geconfigureerd, zodat bijvoorbeeld incidentgerelateerde logs minimaal zeven jaar beschikbaar blijven in lijn met de BIO‑richtlijnen, terwijl minder kritieke logstromen korter worden bewaard om kosten en dataminimalisatie te waarborgen. Door bewaartermijnen expliciet vast te leggen, en deze keuzes te onderbouwen in beleid en risicobeoordelingen, ontstaat een transparant kader dat auditors en toezichthouders vertrouwen geeft. Verder kunnen exports naar langetermijnarchieven worden ingericht voor situaties waarin nog langere bewaring nodig is, bijvoorbeeld in het kader van juridische procedures. Auditing gaat echter verder dan alleen het bewaren van logbestanden. Met behulp van Sentinel‑workbooks en maatwerkrapportages kunnen organisaties periodiek rapporteren over compliance‑indicatoren, zoals de dekking van logging over kritieke systemen, het aantal en type beveiligingsincidenten, de gemiddelde responstijd, en de status van openstaande verbetermaatregelen. Deze rapportages kunnen worden afgestemd op verschillende doelgroepen: operationele teams, CISO‑organisatie, directie en externe toezichthouders. Door vaste rapportagelijnen in te richten wordt informatiebeveiliging een terugkerend onderwerp op bestuurlijke agenda’s, in plaats van een ad‑hoc activiteit na een incident. Tenslotte ondersteunt Sentinel de naleving van privacywetgeving zoals de AVG. Door inzicht te geven in welke bronnen persoonsgegevens kunnen bevatten, hoe deze worden gelogd en hoe toegang tot logs wordt beheerd, kan de organisatie aantonen dat zij zorgvuldig omgaat met persoonsgegevens in monitoring‑ en detectieprocessen. Toegangsrechten tot gevoelige loggegevens worden beperkt tot medewerkers met een aantoonbare taak, en alle raadplegingen kunnen desgewenst worden vastgelegd voor forensische of auditdoeleinden. Zo ontstaat een geïntegreerde aanpak waarin security monitoring, compliance en privacy elkaar versterken en samen invulling geven aan de Nederlandse Baseline voor Veilige Cloud.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS SIEM (Azure Sentinel) Design .DESCRIPTION Implementation for SIEM (Azure Sentinel) Design .NOTES Filename: siem-sentinel.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/security/siem-sentinel.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "SIEM (Azure Sentinel) Design" $BIOControl = "16.01" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "siem-sentinel" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
Medium: Wanneer Microsoft 365, Azure, on‑premises infrastructuur en externe clouddiensten ieder hun eigen, losstaande monitoring houden, blijven aanvalspatronen vaak onopgemerkt en duurt incidentrespons onnodig lang. Analisten moeten dan handmatig logs uit meerdere bronnen combineren, wat foutgevoelig en tijdrovend is. Dit vergroot het risico op succesvolle aanvallen, datalekken en onvoldoende audittraildekking. Daarnaast wordt het aantoonbaar voldoen aan BIO‑eisen rond logging en bewaartermijnen, alsmede NIS2‑ en ISO 27001‑verplichtingen, aanzienlijk lastiger zonder een centraal SIEM. Het restrisico bij het niet implementeren van een centraal Sentinel‑platform is daarom hoog voor zowel beveiliging als compliance.

Management Samenvatting

Microsoft Sentinel biedt een centraal logplatform voor Microsoft 365, Azure, on‑premises en externe bronnen, gecombineerd met krachtige detectie op basis van analytics rules die zijn uitgelijnd op MITRE ATT&CK‑technieken. Met geïntegreerde SOAR‑functionaliteit kunnen playbooks automatisch of semi‑automatisch acties uitvoeren, zoals het isoleren van apparaten, blokkeren van IP‑adressen en tijdelijk uitschakelen van gecompromitteerde accounts. SOC‑teams krijgen moderne dashboards, incidentbeheer, huntingmogelijkheden (via KQL) en integratie met threat intelligence. Kosten zijn vooral afhankelijk van het aantal verwerkte gigabytes per dag; door bewuste keuzes in dataverzameling en retentie kan dit beheersbaar worden gehouden. Implementatie bestaat uit het inrichten van een of meerdere workspaces, het koppelen van relevante data‑connectors, het ontwerpen van use‑cases en regels, en het trainen van SOC‑medewerkers. Voor Nederlandse overheidsorganisaties is Sentinel een kerncomponent om BIO 16.01, NIS2 en ISO 27001 praktisch in te vullen en security‑operaties te centraliseren.