💼 Management Samenvatting
Het anti-phishingbeleid van Microsoft 365 Defender vormt een geavanceerde machine learning-gebaseerde verdedigingslaag die organisaties beschermt tegen gerichte spear-phishingaanvallen, identiteitsvervalsing, domeinvervalsing en geavanceerde e-mailbedreigingen. Door gebruik te maken van mailbox intelligence en spoof intelligence analyseert het systeem communicatiepatronen en detecteert het afwijkingen die wijzen op kwaadaardige intenties, waardoor security teams proactief kunnen reageren voordat gebruikers worden misleid.
Aanbeveling
DIRECT IMPLEMENTEREN
Risico zonder
Critical
Risk Score
10/10
Implementatie
10u (tech: 5u)
Van toepassing op:
✓ Microsoft 365 Defender voor Office 365
Phishing vormt wereldwijd de belangrijkste aanvalsvector voor cybercriminelen, waarbij onderzoeken aantonen dat meer dan negentig procent van alle beveiligingsincidenten begint met een phishing-e-mail. Voor Nederlandse overheidsorganisaties en vitale sectoren betekent dit dat elke dag zonder adequate anti-phishingbescherming een direct risico vormt voor dienstverlening, persoonsgegevens en vertrouwelijke informatie. Spear-phishingaanvallen zijn bijzonder gevaarlijk omdat ze specifiek gericht zijn op individuele personen of functies binnen een organisatie. CEO-fraude, waarbij aanvallers zich voordoen als bestuurders om medewerkers te manipuleren tot het uitvoeren van onbevoegde banktransacties, heeft Nederlandse organisaties al miljoenen euro's gekost. Andere veelvoorkomende technieken omvatten domeinvervalsing waarbij aanvallers domeinen gebruiken die sterk lijken op het legitieme domein van de organisatie, zoals het gebruik van c0mpany.com in plaats van company.com, of het gebruik van displaynaamvervalsing waarbij de weergavenaam van een vertrouwde persoon wordt gekopieerd terwijl het afzenderadres naar een kwaadaardig domein verwijst. Mailbox intelligence vormt een cruciale verdedigingslaag door gebruik te maken van machine learning om de normale communicatiepatronen van gebruikers te leren, waardoor het systeem automatisch afwijkingen kan detecteren die wijzen op impersonatie of verdacht gedrag, zelfs wanneer traditionele verificatiemethoden zoals SPF, DKIM en DMARC niet volledig betrouwbaar zijn.
Implementatie
Het anti-phishingbeleid van Microsoft 365 Defender combineert meerdere geavanceerde detectietechnieken om organisaties te beschermen tegen verschillende vormen van phishingaanvallen. Gebruikersimpersonatiebescherming voorkomt dat aanvallers e-mails kunnen verzenden die lijken te komen van belangrijke personen binnen de organisatie, zoals bestuurders, directeuren of andere leidinggevenden. Deze bescherming werkt door het analyseren van communicatiepatronen en het detecteren van afwijkingen in schrijfstijl, timing en context. Domeinimpersonatiebescherming blokkeert e-mails die afkomstig lijken te zijn van vergelijkbare domeinen, waarbij het systeem automatisch detecteert wanneer aanvallers proberen gebruikers te misleiden met domeinen die visueel sterk lijken op het legitieme domein van de organisatie. Mailbox intelligence maakt gebruik van machine learning om de normale communicatiepatronen van individuele gebruikers te leren, waardoor het systeem automatisch afwijkingen kan detecteren die wijzen op impersonatie of verdacht gedrag. Spoof intelligence verifieert de authenticiteit van inkomende e-mails door het controleren van SPF-, DKIM- en DMARC-records, waarbij e-mails die deze verificaties niet doorstaan automatisch worden gemarkeerd als verdacht. Wanneer een verdachte e-mail wordt gedetecteerd, kan het systeem verschillende acties ondernemen, waaronder het in quarantaine plaatsen van de e-mail, het verwijderen van de e-mail voordat deze de ontvanger bereikt, of het waarschuwen van de gebruiker met een duidelijke melding dat de e-mail mogelijk kwaadaardig is.
Vereisten
Voor het implementeren van het anti-phishingbeleid van Microsoft 365 Defender zijn specifieke licentievereisten en technische randvoorwaarden van toepassing die bepalen welke functionaliteiten beschikbaar zijn en hoe de implementatie moet worden aangepakt. De belangrijkste licentievereiste is dat organisaties beschikken over Microsoft 365 E5 of Defender voor Office 365 Plan 2, omdat deze licenties toegang bieden tot de geavanceerde machine learning-capaciteiten en mailbox intelligence-functionaliteiten die essentieel zijn voor effectieve anti-phishingbescherming. Organisaties met alleen Microsoft 365 E3 of basislicenties hebben beperkte toegang tot anti-phishingfunctionaliteiten en missen de geavanceerde detectiecapaciteiten die nodig zijn om moderne spear-phishingaanvallen te detecteren en te blokkeren.
Naast licentievereisten is het noodzakelijk dat Exchange Online actief is en correct is geconfigureerd, omdat het anti-phishingbeleid integreert met de Exchange Online-infrastructuur om e-mailstromen te analyseren en te filteren. Dit betekent dat organisaties die nog gebruik maken van on-premises Exchange-servers of hybride configuraties moeten zorgen voor correcte mail flow-routing en dat alle inkomende en uitgaande e-mailstromen via Exchange Online worden gerouteerd om volledige bescherming te garanderen. Voor organisaties met complexe mail flow-configuraties, zoals meerdere mailservers of externe mail gateways, is het belangrijk om te verifiëren dat alle e-mailstromen correct worden doorgestuurd naar Exchange Online zodat het anti-phishingbeleid alle berichten kan analyseren.
Bovendien vereist de implementatie van mailbox intelligence dat gebruikers regelmatig e-mail verzenden en ontvangen via hun Microsoft 365-mailboxen, zodat het machine learning-model voldoende data heeft om normale communicatiepatronen te leren. Voor nieuwe tenants of organisaties met beperkte e-mailactiviteit kan het enkele weken duren voordat mailbox intelligence volledig operationeel is, wat betekent dat aanvullende beschermingsmaatregelen zoals handmatige configuratie van impersonatiebescherming en domeinbescherming tijdens deze periode extra belangrijk zijn. Organisaties moeten ook beschikken over voldoende beheerdersrechten om anti-phishingbeleid te configureren, waarbij globale beheerders of beveiligingsbeheerders de benodigde rechten hebben om wijzigingen door te voeren in de Microsoft 365 Defender-portal.
Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO- en NIS2-vereisten is het belangrijk om te verifiëren dat de gekozen licentieconfiguratie voldoet aan de beveiligingsstandaarden die worden vereist voor de verwerking van vertrouwelijke en geheime informatie. Dit kan betekenen dat organisaties moeten overwegen om aanvullende compliance- of security-add-ons aan te schaffen, of dat specifieke configuratievereisten moeten worden nageleefd om te voldoen aan de eisen van interne auditdiensten of externe toezichthouders. Het is aan te raden om voorafgaand aan de implementatie een licentieaudit uit te voeren en te verifiëren dat alle benodigde functionaliteiten beschikbaar zijn, zodat het implementatietraject niet wordt vertraagd door ontbrekende licenties of technische beperkingen.
Implementatie
Gebruik PowerShell-script anti-phishing-policy-enabled.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van het anti-phishingbeleid begint met toegang tot de Microsoft 365 Defender-portal, waar beheerders navigeren naar de sectie E-mail en samenwerking, gevolgd door Beleid en regels, en vervolgens Bedreigingsbeleid. Binnen deze sectie selecteren beheerders de optie Anti-phishing, waarna een nieuw beleid kan worden aangemaakt of een bestaand beleid kan worden bewerkt. Tijdens het configuratieproces is het essentieel om alle beschikbare beschermingslagen in te schakelen, te beginnen met gebruikersimpersonatiebescherming die voorkomt dat aanvallers e-mails kunnen verzenden die lijken te komen van belangrijke personen binnen de organisatie. Deze functionaliteit vereist dat beheerders expliciet de gebruikers of groepen selecteren die extra bescherming nodig hebben, zoals bestuurders, directeuren, financieel verantwoordelijken en andere personen die regelmatig het doelwit zijn van spear-phishingaanvallen.
Vervolgens moet domeinimpersonatiebescherming worden geactiveerd, waarbij beheerders de legitieme domeinen van de organisatie configureren en het systeem automatisch detecteert wanneer aanvallers proberen gebruikers te misleiden met vergelijkbare domeinen. Deze bescherming werkt door het analyseren van visuele gelijkenissen tussen domeinen en het detecteren van typografische variaties die vaak worden gebruikt in phishingcampagnes. Mailbox intelligence moet worden ingeschakeld om het machine learning-model te activeren dat de normale communicatiepatronen van gebruikers leert, waardoor het systeem automatisch afwijkingen kan detecteren die wijzen op impersonatie of verdacht gedrag. Deze functionaliteit vereist dat gebruikers regelmatig e-mail verzenden en ontvangen via hun Microsoft 365-mailboxen, zodat het model voldoende data heeft om nauwkeurige patronen te leren.
Spoof intelligence vormt een cruciale aanvullende beschermingslaag door de authenticiteit van inkomende e-mails te verifiëren via SPF-, DKIM- en DMARC-records. Deze functionaliteit moet worden geactiveerd om te zorgen dat e-mails die deze verificaties niet doorstaan automatisch worden gemarkeerd als verdacht, zelfs wanneer andere detectiemethoden de bedreiging niet hebben geïdentificeerd. Voor de actie die wordt ondernomen wanneer een verdachte e-mail wordt gedetecteerd, wordt aanbevolen om te beginnen met quarantaine, waardoor beheerders de mogelijkheid hebben om verdachte berichten te controleren voordat ze worden vrijgegeven of permanent worden verwijderd. Deze aanpak biedt een balans tussen beveiliging en operationele flexibiliteit, waarbij legitieme e-mails die ten onrechte zijn gemarkeerd als verdacht kunnen worden vrijgegeven zonder dat gebruikers belangrijke berichten missen.
Na de initiële configuratie is het belangrijk om het beleid eerst in rapportagemodus te activeren, waardoor het systeem verdachte e-mails detecteert en rapporteert zonder daadwerkelijk actie te ondernemen. Deze periode van monitoring, die idealiter twee tot vier weken duurt, stelt beheerders in staat om te analyseren welke e-mails worden gedetecteerd, hoe vaak valse positieven voorkomen, en welke aanpassingen nodig zijn voordat het beleid volledig wordt geactiveerd. Tijdens deze periode moeten beheerders regelmatig de rapportages in de Microsoft 365 Defender-portal controleren, waarbij aandacht wordt besteed aan trends in detecties, patronen in valse positieven, en de impact op gebruikerservaring. Op basis van deze analyses kunnen beheerders de gevoeligheid van detecties aanpassen, uitzonderingen configureren voor legitieme scenario's, en de acties die worden ondernomen bij detectie optimaliseren voordat het beleid volledig wordt geactiveerd.
Voor Nederlandse overheidsorganisaties is het belangrijk om tijdens de implementatie rekening te houden met de specifieke communicatiepatronen en externe relaties die kunnen leiden tot legitieme e-mails die worden gemarkeerd als verdacht. Dit kan betekenen dat beheerders uitzonderingen moeten configureren voor specifieke externe partners, overheidsorganisaties, of andere vertrouwde entiteiten die regelmatig communiceren met de organisatie. Bovendien moet de implementatie worden gedocumenteerd in overeenstemming met BIO- en NIS2-vereisten, waarbij alle configuratiebeslissingen, uitzonderingen en testresultaten worden vastgelegd voor auditdoeleinden. Het is aan te raden om de implementatie te coördineren met de CISO-organisatie, de servicedesk, en communicatieafdelingen om te zorgen dat gebruikers tijdig worden geïnformeerd over de nieuwe beveiligingsmaatregelen en weten hoe ze moeten reageren wanneer ze een waarschuwing ontvangen over een verdachte e-mail.
Compliance
Het anti-phishingbeleid van Microsoft 365 Defender draagt direct bij aan de naleving van meerdere belangrijke beveiligingsstandaarden en regelgevingskaders die van toepassing zijn op Nederlandse overheidsorganisaties en vitale sectoren. Binnen het Baseline Informatiebeveiliging Overheid (BIO) kader voldoet de implementatie aan thema 12.02, dat specifiek gericht is op malwarebescherming en het voorkomen van kwaadaardige software die via e-mail wordt verspreid. Deze maatregel vormt een essentieel onderdeel van de technische beveiligingscontroles die organisaties moeten implementeren om te voldoen aan de zorgplicht die wordt vereist voor de verwerking van vertrouwelijke en geheime informatie. Door het blokkeren van phishing-e-mails die vaak de eerste stap vormen in malware-infecties, voorkomt het anti-phishingbeleid dat kwaadaardige software überhaupt de organisatie kan bereiken, waardoor de risico's op datalekken, systeemcompromittering en operationele verstoringen aanzienlijk worden verminderd.
Voor organisaties die certificering nastreven volgens ISO 27001:2022 wordt de controle A.12.2.1 (Beveiligingsmaatregelen tegen malware) ingevuld door de implementatie van het anti-phishingbeleid, waarbij de organisatie aantoonbaar beschikt over technische maatregelen die malware detecteren, blokkeren en verwijderen. Deze controle vereist dat organisaties regelmatig beveiligingssoftware bijwerken, malware-scans uitvoeren, en gebruikers trainen in het herkennen van verdachte e-mails, waarbij het anti-phishingbeleid een cruciale technische component vormt die automatisch bedreigingen detecteert en blokkeert voordat gebruikers worden blootgesteld. Bovendien draagt mailbox intelligence bij aan controle A.7.2.1 (Beheer van bevoorrechte toegangsrechten) door het detecteren van impersonatiepogingen die vaak worden gebruikt om bevoorrechte accounts te compromitteren, waardoor de organisatie aantoonbaar beschikt over mechanismen die onbevoegde toegang voorkomen.
Binnen het NIST Cybersecurity Framework wordt de implementatie van anti-phishingbescherming gekoppeld aan de controle SI-3 (Malicious Code Protection), die vereist dat organisaties technische controles implementeren om kwaadaardige code te detecteren, te blokkeren en te verwijderen. Het anti-phishingbeleid vult deze controle aan door te voorkomen dat kwaadaardige code überhaupt de organisatie bereikt via phishing-e-mails, waardoor de organisatie aantoonbaar beschikt over gelaagde beveiligingsmaatregelen die bedreigingen op meerdere niveaus aanpakken. Bovendien draagt de implementatie bij aan de PR.AC-5 (Network Integrity) controle door het verifiëren van de authenticiteit van e-mailcommunicatie via SPF-, DKIM- en DMARC-verificatie, waardoor de organisatie kan aantonen dat communicatiekanalen worden beschermd tegen manipulatie en vervalsing.
Voor organisaties die onder de NIS2-richtlijn vallen, vormt artikel 21 een belangrijke verplichting die vereist dat organisaties passende technische en organisatorische maatregelen implementeren om cybersecurity-risico's te beheersen. Het anti-phishingbeleid draagt direct bij aan deze verplichting door het implementeren van geavanceerde detectie- en preventiemaatregelen die specifiek gericht zijn op het voorkomen van phishingaanvallen, die een van de meest voorkomende vormen van cybercriminaliteit vormen. Bovendien vereist NIS2 artikel 21 dat organisaties beschikken over mechanismen voor incidentdetectie en respons, waarbij mailbox intelligence en de geautomatiseerde detectie van verdachte e-mails bijdragen aan de vroege detectie van potentiële beveiligingsincidenten, waardoor organisaties sneller kunnen reageren op bedreigingen voordat ze escaleren tot volledige beveiligingsincidenten.
Voor Nederlandse overheidsorganisaties is het belangrijk om te documenteren hoe het anti-phishingbeleid bijdraagt aan de naleving van deze verschillende standaarden, waarbij alle configuratiebeslissingen, testresultaten en monitoringgegevens worden vastgelegd voor auditdoeleinden. Dit betekent dat beheerders moeten zorgen voor uitgebreide documentatie die aantoont welke maatregelen zijn geïmplementeerd, hoe deze maatregelen worden gemonitord, en hoe de effectiviteit wordt gemeten. Bovendien moeten organisaties regelmatig compliance-audits uitvoeren om te verifiëren dat het anti-phishingbeleid correct is geconfigureerd en actief blijft, waarbij eventuele afwijkingen worden gedocumenteerd en gecorrigeerd in overeenstemming met de vereisten van interne auditdiensten en externe toezichthouders.
Monitoring
Gebruik PowerShell-script anti-phishing-policy-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van het anti-phishingbeleid vereist een gestructureerde aanpak waarbij beheerders regelmatig de configuratie, detectiestatistieken en effectiviteit van het beleid controleren om te zorgen dat de organisatie optimaal wordt beschermd tegen phishingaanvallen. Het monitoringproces begint met het regelmatig uitvoeren van het PowerShell-script dat de actuele configuratie van het anti-phishingbeleid verifieert, waarbij wordt gecontroleerd of alle beschermingslagen correct zijn ingeschakeld, of de configuratie overeenkomt met de beoogde instellingen, en of er geen onbevoegde wijzigingen zijn doorgevoerd. Dit script moet idealiter dagelijks worden uitgevoerd als onderdeel van de reguliere beveiligingsmonitoring, waarbij afwijkingen automatisch worden gemeld aan het security operations center of de CISO-organisatie voor verdere analyse en eventuele correctieve acties.
Naast technische configuratiemonitoring is het essentieel om regelmatig de detectiestatistieken te analyseren die beschikbaar zijn in de Microsoft 365 Defender-portal, waarbij aandacht wordt besteed aan trends in het aantal gedetecteerde phishing-e-mails, de effectiviteit van verschillende beschermingslagen, en patronen in valse positieven. Deze analyses helpen beheerders te begrijpen hoe goed het anti-phishingbeleid presteert, welke aanpassingen nodig zijn om de detectie te verbeteren, en of er nieuwe bedreigingstrends zijn die aanvullende configuratie vereisen. Beheerders moeten specifiek letten op het aantal e-mails dat wordt gedetecteerd door gebruikersimpersonatiebescherming, domeinimpersonatiebescherming, mailbox intelligence en spoof intelligence, waarbij wordt geanalyseerd welke beschermingslaag het meest effectief is en waar mogelijkheden zijn voor verbetering.
Voor Nederlandse overheidsorganisaties is het belangrijk om monitoringgegevens te koppelen aan compliance-rapportages die worden gebruikt voor BIO-audits, NIS2-rapportages en andere regelgevingsvereisten. Dit betekent dat beheerders moeten zorgen voor gestructureerde rapportages die aantonen hoeveel phishing-e-mails zijn gedetecteerd en geblokkeerd, hoe de effectiviteit van het anti-phishingbeleid zich ontwikkelt over tijd, en welke maatregelen zijn genomen om de bescherming te verbeteren. Deze rapportages moeten regelmatig worden gedeeld met de CISO-organisatie, interne auditdiensten en andere stakeholders die verantwoordelijk zijn voor beveiligingsgovernance, waarbij trends en ontwikkelingen worden besproken en beslissingen worden genomen over eventuele aanpassingen aan de configuratie of aanvullende maatregelen.
Bovendien moet de monitoring aandacht besteden aan gebruikerservaring en operationele impact, waarbij wordt geanalyseerd hoeveel legitieme e-mails ten onrechte worden gemarkeerd als verdacht, hoe vaak gebruikers contact opnemen met de servicedesk over geblokkeerde e-mails, en welke aanpassingen nodig zijn om de balans tussen beveiliging en gebruiksvriendelijkheid te optimaliseren. Deze analyses helpen beheerders te begrijpen of de configuratie te streng of te soepel is, of er uitzonderingen moeten worden geconfigureerd voor specifieke scenario's, en of gebruikers aanvullende training nodig hebben om te begrijpen hoe ze moeten reageren op waarschuwingen over verdachte e-mails. Door regelmatig gebruikersfeedback te verzamelen en te analyseren kunnen beheerders het anti-phishingbeleid continu verbeteren en zorgen dat de organisatie optimaal wordt beschermd zonder dat de productiviteit wordt belemmerd.
Remediatie
Gebruik PowerShell-script anti-phishing-policy-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of audits aantonen dat het anti-phishingbeleid niet correct is geconfigureerd, niet actief is, of niet voldoet aan de beoogde beveiligingsstandaarden, moet een gestructureerd herstelproces worden gevolgd om de configuratie te corrigeren en te zorgen dat de organisatie opnieuw optimaal wordt beschermd. Het herstelproces begint met het uitvoeren van het PowerShell-script dat automatisch de actuele configuratie analyseert, afwijkingen identificeert, en concrete aanbevelingen doet voor correctieve acties. Dit script moet worden uitgevoerd door beheerders met voldoende rechten om wijzigingen door te voeren in de Microsoft 365 Defender-configuratie, waarbij alle wijzigingen worden gedocumenteerd voor auditdoeleinden en compliance-rapportages.
Het herstelproces bestaat uit drie belangrijke fasen: detectie en analyse, correctie en verificatie. Tijdens de detectie- en analysefase worden alle afwijkingen geïdentificeerd en geclassificeerd op basis van hun impact op beveiliging, waarbij kritieke afwijkingen zoals uitgeschakelde beschermingslagen of ontbrekende configuratie-elementen prioriteit krijgen boven minder kritieke aanpassingen zoals optimalisaties van gevoeligheidsinstellingen. Beheerders moeten een risicoanalyse uitvoeren om te bepalen welke afwijkingen onmiddellijk moeten worden gecorrigeerd en welke kunnen worden gepland voor reguliere onderhoudsvensters, waarbij rekening wordt gehouden met de operationele impact van correctieve acties en de beschikbaarheid van technische resources.
Tijdens de correctiefase worden de geïdentificeerde afwijkingen daadwerkelijk gecorrigeerd, waarbij beheerders de Microsoft 365 Defender-portal gebruiken om ontbrekende configuratie-elementen toe te voegen, uitgeschakelde beschermingslagen te activeren, of configuratie-instellingen aan te passen om te voldoen aan de beoogde beveiligingsstandaarden. Voor complexe configuratiewijzigingen is het aan te raden om eerst een testomgeving te gebruiken om te verifiëren dat de wijzigingen het beoogde effect hebben zonder onbedoelde neveneffecten, waarna de wijzigingen kunnen worden doorgevoerd in de productieomgeving. Alle wijzigingen moeten worden gedocumenteerd, waarbij wordt vastgelegd welke configuratie-elementen zijn gewijzigd, waarom deze wijzigingen nodig waren, en wie verantwoordelijk was voor het doorvoeren van de wijzigingen.
Na de correctie moet een verificatiefase worden uitgevoerd om te bevestigen dat alle afwijkingen zijn gecorrigeerd en dat het anti-phishingbeleid opnieuw correct is geconfigureerd en actief is. Dit omvat het opnieuw uitvoeren van het monitoring-script om te verifiëren dat de configuratie overeenkomt met de beoogde instellingen, het analyseren van detectiestatistieken om te bevestigen dat het beleid effectief functioneert, en het uitvoeren van testscenario's om te verifiëren dat verschillende vormen van phishingaanvallen correct worden gedetecteerd en geblokkeerd. Voor Nederlandse overheidsorganisaties is het belangrijk om het herstelproces te documenteren in overeenstemming met BIO- en NIS2-vereisten, waarbij alle correctieve acties, testresultaten en verificatiegegevens worden vastgelegd voor auditdoeleinden en regelgevingsrapportages.
Bovendien moet het herstelproces aandacht besteden aan root cause analysis om te begrijpen waarom de afwijkingen zijn ontstaan en welke structurele verbeteringen nodig zijn om te voorkomen dat vergelijkbare problemen in de toekomst optreden. Dit kan betekenen dat beheerders moeten overwegen om aanvullende monitoring in te stellen, processen te verbeteren voor configuratiebeheer, of gebruikers te trainen in het correct configureren en onderhouden van het anti-phishingbeleid. Door regelmatig lessons learned-sessies te organiseren en verbeterpunten te documenteren kunnen organisaties het beheer van het anti-phishingbeleid continu verbeteren en zorgen dat de organisatie op lange termijn optimaal wordt beschermd tegen phishingaanvallen.
Compliance & Frameworks
- BIO: 12.02.01 -
- ISO 27001:2022: A.12.2.1 -
- NIS2: Artikel -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
M365 POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
M365 Defender: schakel in Anti-Phishing Policy
.DESCRIPTION
Implementeert, monitort en herstelt: M365 Defender: schakel in Anti-Phishing Policy
.NOTES
Filename: anti-phishing-policy-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: Microsoft 365
Category: defender-email
#>
#Requires -Version 5.1
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - M365 Defender: schakel in Anti-Phishing Policy" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "M365 Defender: schakel in Anti-Phishing Policy - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer monitoring logica voor M365 Defender: schakel in Anti-Phishing Policy
Write-Host "[INFO] Monitoring check voor M365 Defender: schakel in Anti-Phishing Policy" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "M365 Defender: schakel in Anti-Phishing Policy - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer remediation logica voor M365 Defender: schakel in Anti-Phishing Policy
Write-Host "[INFO] Remediation voor M365 Defender: schakel in Anti-Phishing Policy" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
Critical: KRITIEK: Phishing vormt wereldwijd de belangrijkste aanvalsvector voor cybercriminelen, waarbij meer dan negentig procent van alle beveiligingsincidenten begint met een phishing-e-mail. Zonder adequate anti-phishingbescherming blijven organisaties kwetsbaar voor CEO-fraude, diefstal van inloggegevens, en andere vormen van gerichte spear-phishingaanvallen die kunnen leiden tot datalekken, financiële schade en compromittering van systemen.
Management Samenvatting
Activeer het anti-phishingbeleid van Microsoft 365 Defender om organisaties te beschermen tegen gerichte spear-phishingaanvallen, identiteitsvervalsing en domeinvervalsing. Het beleid maakt gebruik van machine learning-gebaseerde detectie van impersonatiepogingen en analyseert communicatiepatronen om afwijkingen te detecteren die wijzen op kwaadaardige intenties. Voor de implementatie is Microsoft 365 E5 of Defender voor Office 365 Plan 2 vereist. De implementatie neemt ongeveer vijf tot tien uur in beslag, inclusief configuratie, testen en documentatie.
- Implementatietijd: 10 uur
- FTE required: 0.05 FTE