L1 BIO 12.04 ISO A.12.4.1 CIS 5.1.2

Content Search Configureren In Microsoft Purview

📅 2025-01-15
⏱️ 15 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Content Search in Microsoft Purview vormt een onmisbaar instrument voor Nederlandse overheidsorganisaties om op efficiënte en gecontroleerde wijze content te doorzoeken binnen Microsoft 365 omgevingen voor compliance-doeleinden, juridische onderzoeken en incident response. Zonder een goed geconfigureerde Content Search functionaliteit kunnen organisaties niet voldoen aan wettelijke verplichtingen zoals inzageverzoeken onder de AVG, kunnen interne onderzoeken niet tijdig worden uitgevoerd en ontbreekt essentiële capaciteit voor forensisch onderzoek naar beveiligingsincidenten. Voor Nederlandse overheidsorganisaties is Content Search niet alleen een technische tool, maar een fundamentele randvoorwaarde voor verantwoording, transparantie en aantoonbare naleving van frameworks zoals BIO, AVG en NIS2.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
45u (tech: 25u)
Van toepassing op:
M365

Content Search is essentieel omdat organisaties regelmatig behoefte hebben aan het doorzoeken van grote hoeveelheden content binnen Microsoft 365 omgevingen voor verschillende doeleinden. Onder de Algemene Verordening Gegevensbescherming (AVG) hebben burgers het recht om inzage te verkrijgen in hun persoonsgegevens, wat betekent dat organisaties moeten kunnen zoeken door alle systemen om te identificeren welke persoonsgegevens zij van een specifieke persoon bewaren. Zonder Content Search zou dit een manueel proces zijn waarbij beheerders handmatig door duizenden mailboxen, SharePoint sites en OneDrive accounts moeten zoeken, wat niet alleen tijdrovend is maar ook foutgevoelig en praktisch onhaalbaar voor grote organisaties. Daarnaast zijn organisaties verplicht om binnen redelijke termijnen te voldoen aan inzageverzoeken, wat betekent dat een efficiënt zoekproces essentieel is om niet in overtreding te komen met de AVG. Bij beveiligingsincidenten moeten security teams snel kunnen identificeren welke bestanden, e-mails of andere content mogelijk zijn gecompromitteerd, welke informatie is gelekt en welke gebruikers mogelijk betrokken zijn bij verdachte activiteiten. Zonder Content Search zou incident response een uiterst tijdrovend en complex proces zijn waarbij security analisten handmatig door systemen moeten zoeken, wat kan leiden tot vertragingen in het containen van incidenten en het voorkomen van verdere schade. Voor juridische onderzoeken en e-discovery moeten organisaties kunnen zoeken naar specifieke documenten, e-mails of andere content die relevant zijn voor een juridische zaak of intern onderzoek. Dit vereist geavanceerde zoekfunctionaliteit die kan zoeken door verschillende contenttypen heen, filters kan toepassen op basis van datumbereiken, afzenders, ontvangers en andere criteria, en resultaten kan exporteren op een manier die geschikt is voor juridische doeleinden. Content Search biedt deze capaciteiten in een geïntegreerde oplossing die specifiek is ontworpen voor compliance-doeleinden, met ingebouwde functionaliteit voor het beheren van zoekopdrachten, het exporteren van resultaten en het waarborgen van juridische integriteit van gevonden informatie.

PowerShell Modules Vereist
Primary API: Security & Compliance PowerShell
Connection: Connect-IPPSSession
Required Modules: ExchangeOnlineManagement

Implementatie

Dit artikel beschrijft hoe Nederlandse overheidsorganisaties Content Search in Microsoft Purview professioneel configureren, gebruiken en beheren. We behandelen de verschillende aspecten van Content Search, inclusief het opzetten van zoekopdrachten met behulp van de Purview-complianceportaal en PowerShell, het gebruik van zoekquery's en filters om gericht content te vinden, het exporteren van zoekresultaten op een manier die geschikt is voor juridische doeleinden en compliance-rapportage, en het beheren van zoekopdrachten en het waarborgen van juiste autorisaties. Daarnaast gaan we in op de praktische implementatie van Content Search voor verschillende use cases zoals AVG inzageverzoeken, incident response, e-discovery en interne audits. Het bijbehorende PowerShell-script `content-search.ps1` ondersteunt zowel monitoring van Content Search configuraties als het automatiseren van veelvoorkomende zoekopdrachten en het waarborgen dat zoekopdrachten correct worden uitgevoerd volgens organisatorische procedures.

Vereisten

Een effectieve inrichting van Content Search begint bij het vaststellen van de vereisten vanuit verschillende perspectieven. Vanuit governance moet het bestuur of de concerndirectie expliciet bepalen wanneer en onder welke omstandigheden Content Search mag worden gebruikt, wie geautoriseerd is om zoekopdrachten uit te voeren, en welke procedures moeten worden gevolgd om privacy en juridische integriteit te waarborgen. Deze beslissingen worden vastgelegd in het compliance-beleid en vormen de basis voor alle technische configuraties. Daarbij wordt onderscheid gemaakt tussen verschillende typen zoekopdrachten: routine searches voor AVG inzageverzoeken, incident response searches voor beveiligingsonderzoeken, en e-discovery searches voor juridische doeleinden. Elke categorie heeft specifieke vereisten met betrekking tot autorisaties, procedures en documentatie. Het is essentieel dat deze governance-vereisten expliciet worden gedocumenteerd en dat alle personen die Content Search gebruiken zijn getraind in deze procedures om te voorkomen dat privacy wordt geschonden of dat zoekopdrachten worden uitgevoerd zonder juiste autorisatie.

Juridische en compliance-vereisten vormen een tweede belangrijke pijler. De AVG vereist dat organisaties kunnen voldoen aan inzageverzoeken binnen dertig dagen, wat betekent dat er efficiënte processen moeten zijn voor het doorzoeken van content en het identificeren van persoonsgegevens. Daarnaast vereist de AVG dat organisaties het principe van dataminimalisatie toepassen, wat betekent dat alleen relevante content mag worden doorzocht en dat gevonden informatie alleen mag worden gebruikt voor het beoogde doel. De BIO norm 12.04 vereist dat organisaties gebeurtenissen loggen en audittrails bijhouden, wat betekent dat alle Content Search activiteiten moeten worden gelogd en gearchiveerd voor audit-doeleinden. De NIS2 richtlijn vereist dat essentiële en belangrijke entiteiten incidenten kunnen onderzoeken en rapporteren, wat adequate capaciteiten voor het doorzoeken van content impliceert. Het is essentieel dat deze juridische eisen expliciet worden geïnventariseerd en vertaald naar concrete procedures en technische configuraties, zodat Content Search kan worden gebruikt op een manier die voldoet aan alle relevante wet- en regelgeving.

Vanuit technisch perspectief zijn specifieke licenties en configuratiemogelijkheden nodig. Content Search is beschikbaar voor organisaties met Microsoft 365 E3 of E5 licenties, maar geavanceerde functionaliteit zoals Advanced eDiscovery is alleen beschikbaar met E5 licenties. Voor het uitvoeren van Content Search zoekopdrachten hebben beheerders specifieke rollen nodig zoals eDiscovery Manager of Compliance Search. De eDiscovery Manager rol biedt volledige toegang tot Content Search functionaliteit, inclusief het maken van zoekopdrachten, het exporteren van resultaten en het beheren van e-discovery cases. De Compliance Search rol biedt beperkte toegang, specifiek voor het uitvoeren van zoekopdrachten zonder de mogelijkheid om resultaten te exporteren. Deze rollen worden bij voorkeur toegekend via Privileged Identity Management (PIM) met Just-in-Time toegang om misbruikrisico's te beperken. Daarnaast is technische kennis nodig van PowerShell-cmdlets zoals New-ComplianceSearch, Start-ComplianceSearch en Get-ComplianceSearch uit de ExchangeOnlineManagement module voor geavanceerde automatisering en bulk-operaties.

Beheerders die Content Search willen configureren en gebruiken, hebben uitgebreide technische kennis nodig van Microsoft 365 architectuur, inclusief hoe content wordt opgeslagen in verschillende services zoals Exchange Online, SharePoint Online, OneDrive for Business en Microsoft Teams. Ze moeten begrijpen hoe zoekquery's werken, welke operators en filters beschikbaar zijn, en hoe zoekresultaten moeten worden geïnterpreteerd en geëxporteerd. Daarnaast moeten ze kunnen aantonen dat zij begrijpen welke impact verschillende zoekopdrachten hebben op system performance, dat zij weten hoe privacy moet worden gewaarborgd tijdens zoekopdrachten, en dat zij processen hebben geïmplementeerd voor het documenteren en archiveren van alle Content Search activiteiten. Voor complexe e-discovery cases kan aanvullende kennis nodig zijn van Advanced eDiscovery functionaliteit, inclusief hoe content wordt geanalyseerd, hoe relevante content wordt geïdentificeerd met behulp van machine learning, en hoe exports worden voorbereid voor externe reviewers.

Tot slot zijn procesmatige vereisten essentieel. Er moet een formeel proces zijn voor het aanvragen, beoordelen en goedkeuren van Content Search zoekopdrachten, waarbij verschillende stakeholders zoals CISO, Functionaris Gegevensbescherming (FG), juristen en proceseigenaren betrokken zijn. Voor AVG inzageverzoeken moet er een gestandaardiseerd proces zijn dat waarborgt dat zoekopdrachten correct worden uitgevoerd, dat gevonden informatie wordt geëvalueerd op relevantie en privacy, en dat resultaten worden gepresenteerd op een manier die voldoet aan de vereisten van het inzageverzoek. Voor incident response moet er een versneld proces zijn dat waarborgt dat security teams snel toegang krijgen tot Content Search functionaliteit zonder onnodige vertragingen, maar met voldoende controle om privacy te waarborgen. Daarnaast is periodieke evaluatie nodig om te verifiëren dat Content Search procedures nog steeds aansluiten bij actuele risico's, wetgeving en operationele behoeften. Zonder deze governance en processen lopen organisaties het risico dat Content Search wordt gebruikt op een manier die privacy schendt, dat zoekopdrachten niet worden gedocumenteerd of gecontroleerd, of dat resultaten niet correct worden geïnterpreteerd of gebruikt, wat kan leiden tot compliance-schendingen en reputatieschade.

Implementatie

De implementatie van Content Search in Microsoft Purview begint met een grondige inventarisatie van de huidige situatie en het vaststellen van de gewenste doelsituatie. Via het Microsoft Purview complianceportaal wordt de huidige configuratie gecontroleerd, inclusief welke rollen zijn toegekend, welke zoekopdrachten recent zijn uitgevoerd, en welke e-discovery cases actief zijn. Deze inventarisatie wordt vastgelegd in een document dat dient als nulmeting en referentiepunt voor toekomstige audits en verbeteringen. Tijdens deze inventarisatie wordt ook gecontroleerd of er processen zijn geïmplementeerd voor het aanvragen, goedkeuren en documenteren van Content Search activiteiten, en of deze processen voldoen aan organisatorische en wettelijke vereisten.

Vervolgens worden rollen en autorisaties geconfigureerd volgens het principe van least privilege. Beheerders die Content Search nodig hebben voor routine-taken zoals AVG inzageverzoeken krijgen de Compliance Search rol, die beperkte toegang biedt tot Content Search functionaliteit. Beheerders die volledige Content Search capaciteiten nodig hebben, zoals security teams voor incident response of juridische teams voor e-discovery, krijgen de eDiscovery Manager rol. Deze rollen worden bij voorkeur toegekend via Privileged Identity Management (PIM) met Just-in-Time toegang, waarbij beheerders alleen toegang krijgen wanneer dit nodig is en voor een beperkte periode. Daarnaast worden audit logging en monitoring geconfigureerd om alle Content Search activiteiten vast te leggen, inclusief wie welke zoekopdrachten heeft uitgevoerd, wanneer deze zijn uitgevoerd, en welke resultaten zijn gevonden. Deze logging is essentieel voor compliance-doeleinden en voor het waarborgen van verantwoording en transparantie.

Voor het opzetten van specifieke zoekopdrachten worden verschillende methoden gebruikt afhankelijk van de use case. Via het Microsoft Purview complianceportaal kunnen beheerders interactief zoekopdrachten maken met behulp van een gebruiksvriendelijke interface die filters biedt voor locaties, datumbereiken, trefwoorden en andere criteria. Deze methode is ideaal voor ad-hoc zoekopdrachten en voor beheerders die geen uitgebreide PowerShell-kennis hebben. Voor geautomatiseerde of herhaalde zoekopdrachten wordt PowerShell gebruikt met cmdlets zoals New-ComplianceSearch, waarbij zoekquery's worden gedefinieerd in Keyword Query Language (KQL). Deze methode is krachtiger en flexibeler, maar vereist meer technische kennis. Het bijbehorende PowerShell-script `content-search.ps1` biedt gestandaardiseerde functionaliteit voor het uitvoeren van veelvoorkomende zoekopdrachten, zoals AVG inzageverzoeken, incident response searches en compliance audits, met ingebouwde validatie en logging om te waarborgen dat zoekopdrachten correct worden uitgevoerd volgens organisatorische procedures.

Na het configureren van rollen en het opzetten van zoekopdrachten worden processen geïmplementeerd voor het beheren en documenteren van Content Search activiteiten. Er wordt een gestandaardiseerd proces opgezet voor het aanvragen van Content Search zoekopdrachten, waarbij requesters een formulier invullen met informatie over het doel van de zoekopdracht, de rechtmatige grondslag, en welke content moet worden doorzocht. Deze aanvragen worden beoordeeld door de Functionaris Gegevensbescherming (FG) of een andere aangewezen persoon, die verifieert dat de zoekopdracht noodzakelijk is, proportioneel is, en voldoet aan privacy-vereisten. Na goedkeuring wordt de zoekopdracht uitgevoerd door een geautoriseerde beheerder, worden resultaten geëvalueerd op relevantie en privacy, en worden resultaten gepresenteerd op een manier die geschikt is voor het beoogde doel. Alle stappen in dit proces worden zorgvuldig gedocumenteerd en gearchiveerd voor audit-doeleinden, inclusief de aanvraag, de goedkeuring, de uitgevoerde zoekopdracht, en de resultaten.

Voor complexe e-discovery cases wordt Advanced eDiscovery geconfigureerd als onderdeel van Content Search. Advanced eDiscovery biedt geavanceerde functionaliteit voor het analyseren van grote hoeveelheden content, het identificeren van relevante documenten met behulp van machine learning, en het voorbereiden van exports voor externe reviewers. Deze functionaliteit wordt gebruikt wanneer organisaties te maken hebben met juridische zaken waarbij grote hoeveelheden content moeten worden doorzocht en geanalyseerd. Advanced eDiscovery cases worden opgezet via het Microsoft Purview complianceportaal, waarbij een case wordt gemaakt, custodians worden geïdentificeerd, en zoekopdrachten worden uitgevoerd om relevante content te vinden. Vervolgens wordt Advanced eDiscovery gebruikt om gevonden content te analyseren, duplicaten te verwijderen, relevante content te identificeren met behulp van machine learning, en exports voor te bereiden voor externe reviewers. Deze exports kunnen worden gedownload als PST-bestanden of worden geüpload naar externe e-discovery platforms voor verdere analyse en review.

Tot slot wordt automatisering geïmplementeerd voor het monitoren en beheren van Content Search configuraties en activiteiten. Het bijbehorende PowerShell-script `content-search.ps1` controleert periodiek of rollen correct zijn geconfigureerd, of zoekopdrachten worden uitgevoerd volgens organisatorische procedures, en of alle Content Search activiteiten worden gelogd en gearchiveerd. Het script rapporteert afwijkingen wanneer zoekopdrachten worden uitgevoerd zonder juiste autorisatie, wanneer resultaten niet correct worden gedocumenteerd, of wanneer processen niet worden gevolgd. Door deze automatisering ontstaat een continu borgingsmechanisme dat waarborgt dat Content Search wordt gebruikt op een manier die voldoet aan organisatorische en wettelijke vereisten, en dat alle activiteiten worden gedocumenteerd voor compliance-doeleinden en audits.

Compliance en Naleving

Content Search is een fundamentele vereiste voor naleving van verschillende cybersecurity frameworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Zonder adequate Content Search capaciteiten kunnen organisaties niet voldoen aan de vereisten van internationale standaarden zoals CIS, ISO 27001 en sectorspecifieke regelgeving zoals de AVG, NIS2 richtlijn en de Baseline Informatiebeveiliging Overheid (BIO). Deze frameworks vereisen allemaal dat organisaties kunnen identificeren, vinden en analyseren van content binnen hun systemen voor verschillende doeleinden, waaronder compliance-verificaties, incident response en juridische onderzoeken.

De Baseline Informatiebeveiliging Overheid (BIO) norm 12.04 vereist dat organisaties gebeurtenissen loggen en audittrails bijhouden voor alle kritieke systemen en processen, waarbij adequate capaciteiten beschikbaar moeten zijn voor het doorzoeken en analyseren van gelogde informatie. Voor Microsoft 365 omgevingen betekent dit dat Content Search moet zijn geconfigureerd en dat organisaties kunnen aantonen dat zij in staat zijn om content te doorzoeken wanneer dit nodig is voor compliance-doeleinden, incident response of audits. Het ontbreken van adequate Content Search capaciteiten of het niet kunnen aantonen dat content kan worden doorzocht wanneer dit nodig is, kan leiden tot niet-naleving van de BIO, wat kan resulteren in negatieve audit findings en reputatieschade.

De ISO 27001 standaard, controle A.12.4.1, vereist eveneens logging van gebeurtenissen en het bijhouden van audittrails voor informatiebeveiligingsdoeleinden, waarbij organisaties moeten kunnen aantonen dat zij beschikken over adequate capaciteiten voor het doorzoeken en analyseren van gelogde informatie. Voor Microsoft 365 omgevingen betekent dit dat Content Search moet zijn geconfigureerd, dat rollen en autorisaties correct zijn ingesteld, en dat processen zijn geïmplementeerd voor het beheren en documenteren van Content Search activiteiten. Het niet implementeren van adequate Content Search capaciteiten of het niet periodiek evalueren van configuraties en processen kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade.

De Algemene Verordening Gegevensbescherming (AVG), Artikel 15, verplicht organisaties om binnen dertig dagen te voldoen aan inzageverzoeken van burgers die willen weten welke persoonsgegevens zij van hen bewaren. Dit vereist dat organisaties efficiënte processen hebben voor het doorzoeken van alle systemen waarin persoonsgegevens kunnen worden bewaard, inclusief Microsoft 365 omgevingen. Content Search is essentieel voor het uitvoeren van deze zoekopdrachten, omdat handmatige zoekprocessen niet haalbaar zijn voor grote organisaties met duizenden mailboxen, SharePoint sites en OneDrive accounts. Daarnaast vereist Artikel 5 van de AVG het principe van dataminimalisatie, wat betekent dat alleen relevante content mag worden doorzocht en dat gevonden informatie alleen mag worden gebruikt voor het beoogde doel. Het niet kunnen voldoen aan inzageverzoeken binnen de vereiste termijn of het niet toepassen van dataminimalisatie kan leiden tot niet-naleving van de AVG, wat kan resulteren in boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro.

De NIS2 richtlijn, Artikel 21, stelt specifieke eisen aan essentiële en belangrijke entiteiten met betrekking tot incident reporting en het kunnen onderzoeken van beveiligingsincidenten. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat zij beschikken over adequate capaciteiten om beveiligingsincidenten te detecteren, te onderzoeken en te rapporteren aan de bevoegde autoriteiten. Voor Microsoft 365 omgevingen betekent dit dat Content Search moet zijn geconfigureerd en dat security teams snel toegang moeten hebben tot Content Search functionaliteit voor het uitvoeren van incident response zoekopdrachten. Het niet implementeren van adequate Content Search capaciteiten of het niet kunnen uitvoeren van incident response zoekopdrachten binnen redelijke termijnen kan leiden tot niet-naleving van NIS2, wat kan resulteren in boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders.

Monitoring

Gebruik PowerShell-script content-search.ps1 (functie Invoke-Monitoring) – Controleert Content Search configuraties en verifieert dat rollen correct zijn geconfigureerd en dat alle activiteiten worden gelogd..

Effectieve monitoring van Content Search in Microsoft Purview is essentieel om te waarborgen dat zoekopdrachten correct worden uitgevoerd, dat privacy wordt gewaarborgd, en dat alle activiteiten worden gedocumenteerd voor compliance-doeleinden. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat Content Search wordt gebruikt op een manier die voldoet aan organisatorische en wettelijke vereisten, dat zoekopdrachten worden uitgevoerd door geautoriseerde personen, en dat resultaten correct worden geïnterpreteerd en gebruikt. Monitoring omvat het continu volgen van Content Search activiteiten, het controleren welke rollen zijn toegekend en of deze overeenkomen met organisatorische vereisten, het verifiëren dat alle zoekopdrachten worden gelogd en gearchiveerd, en het waarborgen dat processen worden gevolgd voor het aanvragen, goedkeuren en documenteren van Content Search activiteiten.

De basis van monitoring wordt gevormd door regelmatige verificatie van de huidige configuratie via PowerShell en het Microsoft Purview complianceportaal. Beheerders moeten maandelijks of ten minste per kwartaal controleren welke rollen zijn toegekend voor Content Search, welke zoekopdrachten recent zijn uitgevoerd, en of deze overeenkomen met organisatorische procedures. Deze verificatie kan worden geautomatiseerd via het bijbehorende PowerShell-script `content-search.ps1`, dat de huidige configuratie ophaalt, rollen controleert, recente zoekopdrachten analyseert en waarschuwingen genereert wanneer afwijkingen worden gedetecteerd. Het script ondersteunt lokale debug-modus voor veilige tests zonder live-verbinding, en live-modus voor daadwerkelijke controles in de tenant. De resultaten worden gerapporteerd in een gestructureerd formaat dat kan worden gebruikt voor audit-evidence en periodieke rapportages aan CISO, FG en andere stakeholders.

Naast het controleren van de configuratie zelf moeten organisaties ook monitoren of Content Search activiteiten correct worden uitgevoerd en gedocumenteerd. Dit betekent dat periodiek moet worden geverifieerd dat alle zoekopdrachten worden uitgevoerd door geautoriseerde personen, dat zoekopdrachten worden voorafgegaan door formele aanvragen en goedkeuringen, en dat resultaten correct worden gedocumenteerd en gearchiveerd. Daarnaast moeten organisaties monitoren of zoekopdrachten worden uitgevoerd volgens het principe van dataminimalisatie, waarbij alleen relevante content wordt doorzocht en gevonden informatie alleen wordt gebruikt voor het beoogde doel. Problemen met processen of documentatie kunnen leiden tot situaties waarin Content Search wordt gebruikt op een manier die privacy schendt of die niet voldoet aan organisatorische en wettelijke vereisten, wat kan resulteren in compliance-schendingen en reputatieschade.

Voor organisaties die gebruik maken van Advanced eDiscovery is het ook belangrijk om te monitoren of e-discovery cases correct worden beheerd, of custodians correct worden geïdentificeerd en geconfigureerd, en of exports correct worden voorbereid en gedocumenteerd. Advanced eDiscovery cases kunnen grote hoeveelheden content bevatten en complexe workflows vereisen, waardoor het essentieel is dat deze cases correct worden beheerd om te voorkomen dat relevante content wordt gemist of dat exports niet correct worden voorbereid. Organisaties moeten daarom processen implementeren voor het monitoren van e-discovery cases, het verifiëren dat workflows correct worden gevolgd, en het waarborgen dat alle stappen worden gedocumenteerd voor juridische doeleinden. Daarnaast moeten organisaties processen hebben voor het beheren van toegang tot e-discovery cases, om te waarborgen dat alleen geautoriseerde personen toegang hebben en dat alle toegang wordt gelogd voor audit-doeleinden.

Ten slotte moeten organisaties periodiek evalueren of Content Search configuraties en processen nog steeds aansluiten bij actuele risico's, wetgeving en operationele behoeften. Nieuwe dreigingsvormen, aangepaste normenkaders of ervaringen uit incidenten kunnen aanleiding zijn om Content Search procedures aan te passen. Daarnaast kunnen wijzigingen in licenties, nieuwe Microsoft 365 functionaliteiten of veranderde wettelijke vereisten impact hebben op de optimale configuratie en processen. Deze evaluaties worden minimaal jaarlijks uitgevoerd door CISO, FG, juristen en proceseigenaren, waarbij wordt beoordeeld of huidige configuraties en processen nog steeds passend zijn en of aanpassingen nodig zijn. De uitkomsten van deze evaluaties en de daarbij behorende besluiten worden zorgvuldig gedocumenteerd en vertaald naar aanpassingen in configuraties en processen, zodat de organisatie bij toekomstige audits kan laten zien hoe Content Search door de tijd heen is verbeterd en aangepast aan veranderende omstandigheden.

Remediatie

Gebruik PowerShell-script content-search.ps1 (functie Invoke-Remediation) – Configureert Content Search rollen en autorisaties om te waarborgen dat Content Search correct is geconfigureerd volgens organisatorische vereisten..

Remediatie van Content Search in Microsoft Purview omvat het configureren of aanpassen van rollen, autorisaties en processen wanneer geconfigureerde instellingen niet voldoen aan organisatorische of wettelijke vereisten. Het is belangrijk om te realiseren dat Content Search krachtige functionaliteit biedt die privacy kan schenden als deze niet correct wordt gebruikt, waardoor het essentieel is dat configuraties en processen correct zijn geïmplementeerd en beheerd. Wanneer monitoring aangeeft dat configuraties niet voldoen aan vereisten, moeten organisaties snel actie ondernemen om problemen op te lossen en te voorkomen dat Content Search wordt gebruikt op een manier die privacy schendt of die niet voldoet aan organisatorische en wettelijke vereisten.

Wanneer monitoring aangeeft dat rollen niet correct zijn geconfigureerd, wordt eerst geanalyseerd wat de oorzaak is van het probleem. Mogelijke oorzaken zijn: rollen zijn toegekend zonder juiste autorisatie, rollen zijn toegekend aan personen die geen toegang zouden moeten hebben, of rollen zijn niet geconfigureerd volgens het principe van least privilege. Op basis van deze analyse wordt een remediatieplan opgesteld dat beschrijft welke configuratiewijzigingen nodig zijn, welke stakeholders moeten worden geconsulteerd (zoals CISO en FG), en hoe de wijzigingen worden gevalideerd na implementatie.

Vervolgens worden de benodigde configuratiewijzigingen doorgevoerd. Rollen worden geconfigureerd via het Microsoft Purview complianceportaal of via PowerShell, waarbij zorgvuldig wordt gecontroleerd dat alleen geautoriseerde personen toegang krijgen en dat rollen worden toegekend volgens het principe van least privilege. Voor organisaties die Privileged Identity Management (PIM) gebruiken, worden rollen geconfigureerd met Just-in-Time toegang, waarbij beheerders alleen toegang krijgen wanneer dit nodig is en voor een beperkte periode. Na configuratie wordt de implementatie gevalideerd door te verifiëren dat rollen correct zijn geconfigureerd, dat toegang werkt zoals verwacht, en dat alle wijzigingen worden gelogd voor audit-doeleinden.

Voor organisaties die processen moeten verbeteren voor het beheren en documenteren van Content Search activiteiten, wordt een gestandaardiseerd proces geïmplementeerd dat waarborgt dat alle zoekopdrachten worden voorafgegaan door formele aanvragen en goedkeuringen, dat resultaten correct worden gedocumenteerd en gearchiveerd, en dat alle activiteiten worden gelogd voor compliance-doeleinden. Dit proces wordt geïmplementeerd in samenwerking met verschillende stakeholders zoals CISO, FG, juristen en proceseigenaren, waarbij zorgvuldig wordt gecontroleerd dat het proces voldoet aan organisatorische en wettelijke vereisten. Na implementatie wordt het proces getest en gevalideerd om te verifiëren dat het werkt zoals verwacht en dat alle stappen correct worden uitgevoerd en gedocumenteerd.

Voor organisaties die reeds problemen hebben gehad met Content Search configuraties of processen in het verleden, is het belangrijk om te documenteren wat er is gebeurd, welke problemen zijn geïdentificeerd en wat de impact is op compliance en privacy. Hoewel verloren privacy of compliance-schendingen niet altijd kunnen worden ongedaan gemaakt, kan deze documentatie helpen bij het rechtvaardigen van verbeteringen in de toekomst en bij het aantonen aan toezichthouders dat de organisatie heeft geleerd van het incident en passende maatregelen heeft genomen om herhaling te voorkomen. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van problemen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat problemen opnieuw optreden. Dit kan bijvoorbeeld betekenen dat beheerders moeten worden getraind in het belang van correcte Content Search configuraties en processen, dat configuratiewijzigingen moeten worden gereviewd voordat zij worden doorgevoerd, of dat aanvullende controles moeten worden geïmplementeerd om te voorkomen dat rollen onbedoeld worden toegekend of aangepast.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Content Search Configuration and Monitoring .DESCRIPTION Controleert en configureert Content Search functionaliteit in Microsoft Purview. Verifieert dat rollen correct zijn geconfigureerd en dat alle activiteiten worden gelogd. Kritiek voor compliance, AVG inzageverzoeken, incident response en e-discovery. .NOTES Filename: content-search.ps1 Author: Nederlandse Baseline voor Veilige Cloud Category: audit-compliance .EXAMPLE .\content-search.ps1 -Monitoring Controleer of Content Search rollen correct zijn geconfigureerd. .EXAMPLE .\content-search.ps1 -Remediation Configureer Content Search rollen volgens organisatorische vereisten. .PARAMETER MinimumRoleCount Minimale vereiste aantal personen met Content Search rollen. Default: 2 (voor redundancy). #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [Parameter(Mandatory = $false)] [switch]$WhatIf, [Parameter(Mandatory = $false)] [int]$MinimumRoleCount = 2, [Parameter(Mandatory = $false)] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Content Search" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Debug mode: genereer voorbeelddata zonder verbinding function Get-SampleContentSearchRoles { return @( [PSCustomObject]@{ Role = "eDiscovery Manager" Users = @("admin1@example.com", "admin2@example.com") Count = 2 Enabled = $true }, [PSCustomObject]@{ Role = "Compliance Search" Users = @("compliance1@example.com") Count = 1 Enabled = $true } ) } function Get-SampleRecentSearches { return @( [PSCustomObject]@{ Name = "AVG Inzageverzoek - Jan Jansen" CreatedBy = "compliance1@example.com" CreatedDate = (Get-Date).AddDays(-5) Status = "Completed" ItemsFound = 42 }, [PSCustomObject]@{ Name = "Incident Response - Ransomware" CreatedBy = "admin1@example.com" CreatedDate = (Get-Date).AddDays(-2) Status = "InProgress" ItemsFound = 0 } ) } function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met vereiste Microsoft 365 services #> try { if ($DebugMode) { Write-Host "[DEBUG MODE] Overslaan verbinding met Exchange Online." -ForegroundColor Yellow return $true } Write-Host "Verbinding maken met Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Verbinding maken met Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ErrorAction Stop Write-Host " [OK] Verbindingen succesvol geëstabeleerd" -ForegroundColor Green return $true } catch { Write-Host " [FAIL] Fout bij verbinden: $_" -ForegroundColor Red throw } } function Test-Compliance { <# .SYNOPSIS Test huidige compliance status en return gestructureerd resultaat #> try { if ($DebugMode) { Write-Host "[DEBUG MODE] Gebruik voorbeelddata voor lokale tests." -ForegroundColor Yellow $roles = Get-SampleContentSearchRoles $recentSearches = Get-SampleRecentSearches } else { Write-Host "Content Search rollen ophalen..." -ForegroundColor Gray # Haal eDiscovery Manager rollen op $ediscoveryManagers = @() try { $ediscoveryRoleGroup = Get-RoleGroup -Identity "eDiscovery Manager" -ErrorAction SilentlyContinue if ($ediscoveryRoleGroup) { $ediscoveryManagers = Get-RoleGroupMember -Identity "eDiscovery Manager" -ErrorAction SilentlyContinue } } catch { Write-Host " [INFO] eDiscovery Manager rol niet gevonden of geen toegang." -ForegroundColor Yellow } # Haal Compliance Search rollen op (via Compliance Security Filter) $complianceSearches = @() try { $complianceRoleGroup = Get-RoleGroup -Filter {Name -like "*Compliance*Search*"} -ErrorAction SilentlyContinue if ($complianceRoleGroup) { $complianceSearches = Get-RoleGroupMember -Identity $complianceRoleGroup.Name -ErrorAction SilentlyContinue } } catch { Write-Host " [INFO] Compliance Search rol niet gevonden of geen toegang." -ForegroundColor Yellow } # Haal recente Content Search activiteiten op $recentSearches = @() try { $recentSearches = Get-ComplianceSearch -ErrorAction SilentlyContinue | Select-Object -First 10 Name, CreatedBy, CreatedDateTime, Status, Items | Sort-Object CreatedDateTime -Descending } catch { Write-Host " [INFO] Geen Content Search activiteiten gevonden of geen toegang." -ForegroundColor Yellow } $roles = @( [PSCustomObject]@{ Role = "eDiscovery Manager" Users = if ($ediscoveryManagers) { $ediscoveryManagers.PrimarySmtpAddress } else { @() } Count = if ($ediscoveryManagers) { $ediscoveryManagers.Count } else { 0 } Enabled = $true }, [PSCustomObject]@{ Role = "Compliance Search" Users = if ($complianceSearches) { $complianceSearches.PrimarySmtpAddress } else { @() } Count = if ($complianceSearches) { $complianceSearches.Count } else { 0 } Enabled = $true } ) } $result = [PSCustomObject]@{ IsCompliant = $true RolesConfigured = $roles.Count TotalUsersWithRoles = ($roles | Measure-Object -Property Count -Sum).Sum MinimumRoleCountRequired = $MinimumRoleCount RecentSearchesCount = $recentSearches.Count Roles = $roles RecentSearches = $recentSearches Issues = @() } Write-Host "" Write-Host "=== Content Search Rollen ===" -ForegroundColor Cyan foreach ($role in $roles) { if ($role.Count -ge $MinimumRoleCount) { Write-Host " [OK] $($role.Role): $($role.Count) gebruikers geconfigureerd" -ForegroundColor Green foreach ($user in $role.Users) { Write-Host " - $user" -ForegroundColor Gray } } else { Write-Host " [WARN] $($role.Role): $($role.Count) gebruikers (minimaal $MinimumRoleCount vereist)" -ForegroundColor Yellow $result.IsCompliant = $false $result.Issues += "$($role.Role) heeft te weinig gebruikers geconfigureerd ($($role.Count) < $MinimumRoleCount)" } } Write-Host "" Write-Host "=== Recente Content Search Activiteiten ===" -ForegroundColor Cyan if ($recentSearches.Count -gt 0) { foreach ($search in $recentSearches) { $statusColor = switch ($search.Status) { "Completed" { "Green" } "InProgress" { "Yellow" } "Failed" { "Red" } default { "Gray" } } Write-Host " [$($search.Status)] $($search.Name)" -ForegroundColor $statusColor Write-Host " Door: $($search.CreatedBy), Datum: $($search.CreatedDate.ToString('yyyy-MM-dd HH:mm')), Items: $($search.ItemsFound)" -ForegroundColor Gray } } else { Write-Host " [INFO] Geen recente Content Search activiteiten gevonden" -ForegroundColor Yellow } # Compliance evaluatie Write-Host "" Write-Host "=== Compliance Evaluatie ===" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host " [OK] COMPLIANT" -ForegroundColor Green Write-Host " Content Search rollen zijn correct geconfigureerd" -ForegroundColor Green Write-Host " Minimum aantal gebruikers met rollen: $($result.TotalUsersWithRoles)" -ForegroundColor Green } else { Write-Host " [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host " Geïdentificeerde problemen:" -ForegroundColor Red foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Red } } return $result } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red throw } } function Invoke-Remediation { <# .SYNOPSIS Configureert Content Search rollen en autorisaties #> try { Write-Host "Remediatie wordt momenteel niet volledig ondersteund." -ForegroundColor Yellow Write-Host "Gebruik het Microsoft Purview complianceportaal of PowerShell om rollen handmatig te configureren:" -ForegroundColor Yellow Write-Host "" Write-Host "Voorbeeld PowerShell commando's:" -ForegroundColor Cyan Write-Host " # Voeg gebruiker toe aan eDiscovery Manager rol:" -ForegroundColor Gray Write-Host " Add-RoleGroupMember -Identity 'eDiscovery Manager' -Member 'user@example.com'" -ForegroundColor Gray Write-Host "" Write-Host " # Voeg gebruiker toe aan Compliance Search rol:" -ForegroundColor Gray Write-Host " New-ComplianceRoleGroup -Name 'Compliance Search' -Roles 'ComplianceSearch'" -ForegroundColor Gray Write-Host "" if ($WhatIf) { Write-Host "[WHATIF] Rollen zouden worden geconfigureerd volgens organisatorische vereisten" -ForegroundColor Cyan return } Write-Host "Voor automatische remediatie, configureer rollen handmatig via:" -ForegroundColor Yellow Write-Host " • Microsoft Purview complianceportaal > Permissions > Roles" -ForegroundColor Gray Write-Host " • Of via PowerShell zoals hierboven getoond" -ForegroundColor Gray exit 0 } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Monitoring { <# .SYNOPSIS Monitort Content Search status en genereert rapportage #> try { $result = Test-Compliance Write-Host "" Write-Host "=== Monitoring Rapportage ===" -ForegroundColor Cyan Write-Host " Totaal aantal rollen geconfigureerd: $($result.RolesConfigured)" -ForegroundColor Gray Write-Host " Totaal aantal gebruikers met rollen: $($result.TotalUsersWithRoles)" -ForegroundColor Gray Write-Host " Recente zoekopdrachten: $($result.RecentSearchesCount)" -ForegroundColor Gray Write-Host " Compliance status: $(if ($result.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' })" -ForegroundColor $(if ($result.IsCompliant) { 'Green' } else { 'Red' }) if (-not $result.IsCompliant) { Write-Host "" Write-Host "Aanbevolen acties:" -ForegroundColor Yellow foreach ($issue in $result.Issues) { Write-Host " • Oplossen: $issue" -ForegroundColor Yellow } } return $result } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red throw } } function Remove-PolicyConfiguration { <# .SYNOPSIS Verwijdert/reverts Content Search configuratie (NIET AANBEVOLEN!) #> try { Write-Host "WARNING: Verwijderen van Content Search configuratie is een SECURITY RISK!" -ForegroundColor Red Write-Host "Dit kan leiden tot niet-naleving van compliance-vereisten en onvermogen om AVG inzageverzoeken te voldoen`n" -ForegroundColor Red if ($WhatIf) { Write-Host "[WHATIF] Content Search configuratie zou worden verwijderd" -ForegroundColor Yellow return } Write-Host "Voor verwijdering van rollen, gebruik handmatig:" -ForegroundColor Yellow Write-Host " Remove-RoleGroupMember -Identity 'eDiscovery Manager' -Member 'user@example.com'" -ForegroundColor Gray exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { # Verbind met vereiste services $connected = Connect-RequiredServices if (-not $connected -and -not $DebugMode) { throw "Kan geen verbinding maken met vereiste services" } # Uitvoeren op basis van parameters if ($Revert) { Remove-PolicyConfiguration } elseif ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { Invoke-Remediation } else { # Standaard: compliance check $result = Test-Compliance exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Host "`n[FAIL] FATAL ERROR: $_" -ForegroundColor Red Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red Write-Host "Stack Trace: $($_.ScriptStackTrace)" -ForegroundColor Gray exit 2 } finally { if (-not $DebugMode) { try { Disconnect-ExchangeOnline -Confirm:$false -ErrorAction SilentlyContinue Disconnect-ExchangeOnline -Confirm:$false -ErrorAction SilentlyContinue } catch { # Negeer disconnect errors } } Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder adequate Content Search capaciteiten kunnen organisaties niet voldoen aan AVG inzageverzoeken, kunnen incident response niet tijdig worden uitgevoerd en ontbreekt essentiële capaciteit voor forensisch onderzoek en e-discovery. Dit kan leiden tot niet-naleving van compliance-frameworks zoals BIO, AVG en NIS2, boetes, reputatieschade en juridische aansprakelijkheid.

Management Samenvatting

Configureer Content Search in Microsoft Purview met adequate rollen, autorisaties en processen om te waarborgen dat content kan worden doorzocht voor compliance-doeleinden, incident response en e-discovery. Monitor Content Search activiteiten periodiek met het script `content-search.ps1` om te verifiëren dat configuraties en processen voldoen aan organisatorische en wettelijke vereisten.