L1 BIO 12.05 ISO A.8.16

Threat Intelligence Integratie: Real-time Bedreigingsinformatie Voor Email Security

📅 2025-01-15
⏱️ 20 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Threat Intelligence integratie in Microsoft Defender voor Office 365 verbindt real-time bedreigingsinformatie feeds met email security policies om emerging threats proactief te detecteren en te blokkeren voordat ze gebruikers bereiken. Deze integratie combineert Microsoft's eigen threat intelligence met externe feeds, custom indicators of compromise (IOCs), en threat hunting queries om een comprehensive threat detection en response capability te creëren die organisaties beschermt tegen zowel bekende als onbekende dreigingen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
28u (tech: 12u)
Van toepassing op:
M365
Exchange Online
Defender voor Office 365
Microsoft 365 Defender
Azure Sentinel

Cybercriminelen ontwikkelen continu nieuwe attack techniques en gebruiken polymorphic malware, zero-day exploits, en geavanceerde social engineering om traditionele signature-based security controls te omzeilen. Zonder real-time threat intelligence integratie missen organisaties cruciale informatie over emerging threats, waardoor nieuwe attack vectors ongedetecteerd blijven totdat ze al zijn uitgevoerd. Dit leidt tot extended dwell times waarbij aanvallers weken of maanden onopgemerkt in netwerken blijven, data exfiltration zonder detectie, ransomware distributie via nieuwe malware families die nog geen signatures hebben, en business email compromise aanvallen die gebruikmaken van nieuwe impersonation techniques. Threat intelligence integratie lost dit op door real-time threat feeds te verbinden met email security policies, waardoor emerging threats automatisch worden gedetecteerd en geblokkeerd op basis van IOCs zoals malicious IP addresses, domains, URLs, file hashes, en sender patterns. Microsoft's threat intelligence network analyseert dagelijks triljoenen security signals van miljoenen endpoints wereldwijd, identificeert nieuwe attack patterns, en deelt deze informatie real-time via Microsoft 365 Defender. Daarnaast kunnen organisaties custom threat intelligence feeds integreren van externe providers zoals NCSC, sector-specifieke threat intelligence, en eigen threat hunting discoveries. Deze integratie zorgt ervoor dat email security policies automatisch worden geüpdatet met nieuwe threat indicators, waardoor organisaties beschermd zijn tegen emerging threats zonder handmatige policy updates. Voor Nederlandse overheidsorganisaties is dit essentieel voor compliance met NIS2 Artikel 21 dat vereist dat organisaties technische maatregelen implementeren om cyberdreigingen te detecteren en te voorkomen, ISO 27001 controle A.8.16 voor security event monitoring en threat detection, en BIO richtlijn 12.05 voor threat intelligence en security operations.

PowerShell Modules Vereist
Primary API: Microsoft Graph Security API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Security, ExchangeOnlineManagement

Implementatie

Threat Intelligence integratie configureert een comprehensive threat detection en response systeem dat real-time threat feeds verbindt met email security policies. De configuratie omvat zes primaire componenten: (1) Microsoft Threat Intelligence Feed - activeert automatische integratie met Microsoft's global threat intelligence network die dagelijks triljoenen security signals analyseert en nieuwe threat indicators identificeert, waarbij deze indicators automatisch worden toegevoegd aan email security policies voor real-time blocking van emerging threats, (2) Custom Threat Indicators - configureert custom IOCs zoals malicious IP addresses, domains, URLs, file hashes, en sender email addresses die moeten worden geblokkeerd, met support voor bulk import via CSV, API integratie, en manual entry, waarbij custom indicators worden geïntegreerd in anti-phishing, anti-malware, en safe links policies, (3) Threat Intelligence API Integratie - configureert verbindingen met externe threat intelligence providers zoals NCSC feeds, sector-specifieke threat intelligence platforms, en commercial threat intelligence services via REST API, waarbij threat indicators automatisch worden gesynchroniseerd en toegevoegd aan security policies, (4) Threat Hunting Queries - configureert custom hunting queries in Microsoft 365 Defender Advanced Hunting die proactief zoeken naar attack patterns, unusual behavior, en threat indicators in email traffic, waarbij discovered threats automatisch worden geconverteerd naar IOCs en toegevoegd aan blocking policies, (5) Automated Response Actions - configureert automatische response acties wanneer threat indicators worden gedetecteerd, zoals quarantining emails met malicious IOCs, blocking sender IP addresses, en alerting security teams, met support voor custom playbooks via Microsoft Sentinel, en (6) Threat Intelligence Reporting - configureert dashboards en reports die threat intelligence effectiveness meten, IOC detection rates tonen, en emerging threat trends visualiseren. Alle configuraties worden gedaan via Microsoft 365 Defender portal onder Threat management → Threat intelligence, of via PowerShell met Microsoft.Graph.Security module. De integratie werkt samen met andere Defender components waarbij threat intelligence IOCs worden gebruikt door anti-phishing policies om impersonation te detecteren, door safe links om malicious URLs te blokkeren, door safe attachments om malware te identificeren, en door anti-malware policies om known bad files te blokkeren. Deze comprehensive integratie zorgt voor proactieve threat detection en response die organisaties beschermt tegen emerging threats voordat ze impact hebben.

Vereisten en Voorbereiding

Voor het configureren van threat intelligence integratie zijn de volgende voorwaarden en voorbereidingen vereist: Microsoft Defender voor Office 365 Plan 2 licentie (onderdeel van M365 E5 of standalone licentie) voor toegang tot geavanceerde threat intelligence features en custom IOC management, Security Administrator of Global Administrator rol voor threat intelligence configuratie en IOC management, PowerShell 5.1+ met Microsoft.Graph.Security module versie 1.0 of hoger en ExchangeOnlineManagement module voor automation en bulk IOC import, threat intelligence strategy documentatie die beschrijft welke threat sources worden gebruikt (Microsoft feeds, NCSC, sector-specifieke feeds, commercial providers), IOC management procedures die definiëren hoe threat indicators worden geïdentificeerd, gevalideerd, en toegevoegd aan security policies, threat intelligence feed inventory met overzicht van alle externe feeds die worden geïntegreerd inclusief update frequenties en IOC formats, security operations center (SOC) procedures voor hoe threat intelligence wordt gebruikt in incident response en threat hunting, IOC validation proces om te voorkomen dat false positives worden toegevoegd die legitieme business communications blokkeren, threat intelligence sharing agreements met partners en sector-organisaties voor gedeelde threat intelligence, testing plan om te valideren dat threat intelligence IOCs correct worden gedetecteerd en geblokkeerd zonder false positives, incident response playbooks die beschrijven hoe security teams reageren op threat intelligence alerts en detected IOCs, quarterly review proces voor evaluatie van threat intelligence effectiveness, IOC detection rates, en emerging threat trends, en compliance mapping documentatie die beschrijft hoe threat intelligence integratie voldoet aan NIS2, ISO 27001, BIO en AVG requirements.

Daarnaast is het essentieel om vooraf een threat intelligence governance framework te ontwikkelen dat definieert welke threat sources betrouwbaar zijn, hoe IOCs worden gevalideerd voordat ze worden toegevoegd aan blocking policies, en wie verantwoordelijk is voor IOC management. Het framework moet ook beschrijven hoe threat intelligence wordt gedeeld met partners en sector-organisaties, hoe false positives worden geïdentificeerd en gecorrigeerd, en hoe threat intelligence wordt gebruikt in threat hunting en incident response. Ook moet worden bepaald welke IOC types prioriteit hebben (bijvoorbeeld file hashes voor malware detection, domains voor phishing detection, IP addresses voor botnet detection) en hoe deze worden geïntegreerd in verschillende email security policies.

Implementatie van Threat Intelligence Integratie

Gebruik PowerShell-script threat-intelligence-integration.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische configuratie van threat intelligence integratie met Microsoft feeds, custom IOCs, externe feed integratie en automated response actions.

Implementatie van threat intelligence integratie via Microsoft 365 Defender portal begint met het navigeren naar security.microsoft.com → Threat management → Threat intelligence. Hier wordt een overzicht getoond van alle geconfigureerde threat intelligence sources, custom IOCs, en threat intelligence alerts. Configureer vervolgens de zes primaire integratiecomponenten:

Stap 1: Microsoft Threat Intelligence Feed - Microsoft's global threat intelligence network is standaard geactiveerd en levert automatisch threat indicators aan email security policies. Verifieer dat Microsoft threat intelligence is ingeschakeld door te navigeren naar Threat management → Threat intelligence → Microsoft threat intelligence, waar een overzicht wordt getoond van alle actieve threat indicators die automatisch worden gebruikt door Defender policies. Deze feed bevat IOCs van bekende malware families, phishing campaigns, botnet infrastructure, en emerging threats die zijn geïdentificeerd door Microsoft's security research teams. Geen handmatige configuratie is vereist voor Microsoft's feed, maar monitoring is essentieel om te verifiëren dat indicators correct worden gebruikt.

Stap 2: Custom Threat Indicators - Voor het toevoegen van custom IOCs navigeer naar Threat management → Threat intelligence → Indicators. Klik op 'Add' om een nieuwe indicator toe te voegen. Selecteer het IOC type: File hash (SHA256, MD5, of SHA1) voor malware detection, URL of Domain voor phishing en malicious website detection, IP address voor botnet en command & control server detection, of Email address voor sender-based blocking. Voer de IOC waarde in (bijvoorbeeld een malicious domain zoals example-malware.com), selecteer de expiration date (aanbevolen: 90 dagen voor tijdelijke IOCs, of no expiration voor persistent threats), en configureer de action: Block voor high-confidence threats die direct moeten worden geblokkeerd, Alert voor suspicious indicators die monitoring vereisen, of Allow voor false positives die moeten worden whitelisted. Selecteer de scope: Email voor email-specific blocking, of All voor comprehensive blocking across alle Microsoft 365 services. Klik op 'Create' om de indicator toe te voegen. Voor bulk import van IOCs gebruik de 'Import indicators' functie die CSV bestanden ondersteunt met kolommen voor IOC type, waarde, action, en expiration date.

Stap 3: Threat Intelligence API Integratie - Voor integratie met externe threat intelligence providers gebruik de Microsoft Graph Security API. Configureer API connections via PowerShell met Microsoft.Graph.Security module: Verbind met Microsoft Graph via Connect-MgGraph met SecurityEvents.ReadWrite.All en ThreatIndicators.ReadWrite.OwnedBy permissions, gebruik New-MgSecurityTiIndicator cmdlet om IOCs programmatisch toe te voegen vanuit externe feeds, configureer scheduled scripts die regelmatig externe threat intelligence APIs pollen voor nieuwe IOCs, en synchroniseer IOCs automatisch naar Microsoft 365 Defender. Voor NCSC threat intelligence feeds kan een custom connector worden ontwikkeld die NCSC's threat intelligence API integreert en IOCs automatisch synchroniseert. Voor commercial threat intelligence providers zoals Recorded Future, ThreatConnect, of Anomali gebruik hun API connectors of ontwikkel custom integraties via Microsoft Graph Security API.

Stap 4: Threat Hunting Queries - Configureer proactieve threat hunting via Microsoft 365 Defender Advanced Hunting. Navigeer naar security.microsoft.com → Hunting → Advanced hunting. Gebruik KQL (Kusto Query Language) queries om te zoeken naar attack patterns en unusual behavior in email traffic. Voorbeelden van threat hunting queries: Zoek naar emails van suspicious sender domains die lijken op company domains (domain impersonation detection), identificeer emails met unusual attachment types die vaak worden gebruikt voor malware distribution, detecteer emails met links naar known malicious IP ranges, en analyseer sender patterns om compromised accounts te identificeren. Wanneer threat hunting queries threats identificeren, converteer deze automatisch naar IOCs en voeg toe aan blocking policies via de Threat intelligence → Indicators interface.

Stap 5: Automated Response Actions - Configureer automatische response acties wanneer threat indicators worden gedetecteerd. Navigeer naar security.microsoft.com → Automation → Playbooks. Maak een nieuwe playbook aan die wordt geactiveerd wanneer een threat intelligence IOC wordt gedetecteerd. Configureer de playbook stappen: Detect IOC in email via threat intelligence alert, Quarantine email met detected IOC automatisch, Block sender IP address of domain via threat intelligence indicator, Alert security team via email of Microsoft Teams notification, en Log incident in Microsoft Sentinel voor further analysis. Voor geavanceerde automation gebruik Microsoft Sentinel playbooks met Logic Apps connectors die complexe response workflows kunnen uitvoeren, zoals het isoleren van endpoints, het blokkeren van network connections, en het starten van incident response procedures.

Stap 6: Threat Intelligence Reporting - Configureer dashboards en reports voor threat intelligence effectiveness monitoring. Navigeer naar security.microsoft.com → Reports → Threat intelligence. Hier worden automatisch reports getoond van: Aantal detected IOCs per dag/week/maand met breakdown per IOC type (file hash, URL, domain, IP address), IOC detection rates die tonen hoeveel emails zijn geblokkeerd op basis van threat intelligence indicators, Top threat sources die identificeren welke threat intelligence feeds de meeste value leveren, False positive rates die meten hoeveel legitieme emails false positive zijn geblokkeerd, en Emerging threat trends die visualiseren welke nieuwe threat types worden gedetecteerd. Exporteer reports regelmatig voor trendanalyse en deel met security team en management voor threat intelligence program effectiveness evaluatie.

Na configuratie moet de threat intelligence integratie worden getest om te valideren dat IOCs correct worden gedetecteerd en geblokkeerd. Test met safe test IOCs (bijvoorbeeld test domains die niet worden gebruikt in productie), verifieer dat custom IOCs correct worden toegevoegd aan blocking policies, test externe feed integraties om te valideren dat IOCs automatisch worden gesynchroniseerd, en monitor threat intelligence alerts tijdens de eerste weken na implementatie om false positives te identificeren en IOC settings te tunen indien nodig.

Monitoring en Effectiviteit Meting

Gebruik PowerShell-script threat-intelligence-integration.ps1 (functie Invoke-Monitoring) – Controleert of threat intelligence integratie is geconfigureerd en rapporteert status van Microsoft feeds, custom IOCs, externe feed integraties en IOC detection rates.

Continue monitoring van threat intelligence integratie is essentieel om de effectiviteit te meten, IOC detection rates te tracken, en emerging threat trends te identificeren. Start met het Microsoft 365 Defender portal dashboard onder Threat management → Threat intelligence → Overview, waar een overzicht wordt getoond van alle geconfigureerde threat intelligence sources, actieve IOCs, en recente threat intelligence alerts. Review threat intelligence indicators regelmatig via security.microsoft.com → Threat management → Threat intelligence → Indicators, filter op IOC type (file hash, URL, domain, IP address) om specifieke indicator types te analyseren, review expiration dates om te verifiëren dat IOCs up-to-date zijn en niet verlopen zijn, en analyseer IOC detection statistics om te zien hoeveel emails zijn geblokkeerd op basis van elke indicator.

Gebruik Threat Explorer voor gedetailleerde analyse van threat intelligence detections: Navigate naar security.microsoft.com → Threat Explorer, filter op 'Threat intelligence' om alle emails te zien die zijn geblokkeerd op basis van threat intelligence IOCs, analyseer IOC types om trends te identificeren (bijvoorbeeld welke IOC types de meeste detections genereren), review sender patterns om te zien welke threat actors actief zijn, en exporteer data voor trendanalyse over meerdere maanden. Monitor threat intelligence alerts via security.microsoft.com → Incidents → Threat intelligence, waar alerts worden getoond wanneer threat intelligence IOCs worden gedetecteerd, met details over welke IOCs zijn geactiveerd, welke emails zijn geblokkeerd, en welke response actions zijn uitgevoerd.

Analyseer externe feed integraties door te verifiëren dat IOCs automatisch worden gesynchroniseerd: Check API connection status voor externe threat intelligence providers, verifieer dat nieuwe IOCs uit externe feeds correct worden toegevoegd aan blocking policies, monitor sync errors en failed API calls, en valideer dat IOC expiration dates correct worden beheerd. Review false positives regelmatig door threat intelligence alerts te analyseren en te identificeren welke IOCs false positive zijn gemarkeerd. Update IOC settings door action te wijzigen van Block naar Alert voor suspicious maar niet-confirmed threats, of verwijder false positive IOCs volledig. Meet threat intelligence effectiveness door detection rates te tracken: Aantal detected IOCs per maand met breakdown per IOC type en threat source, percentage van threat intelligence alerts die daadwerkelijk threats waren (versus false positives), aantal geblokkeerde emails op basis van threat intelligence IOCs, en time-to-detection metrics die meten hoe snel nieuwe threats worden geïdentificeerd en geblokkeerd.

Voer quarterly reviews uit waarbij threat intelligence program effectiveness wordt geëvalueerd: Evalueer welke threat intelligence sources de meeste value leveren en welke kunnen worden geoptimaliseerd, review IOC management procedures om te verifiëren dat IOCs correct worden gevalideerd voordat ze worden toegevoegd, analyseer emerging threat trends om te identificeren welke nieuwe attack techniques worden gebruikt, en update threat intelligence strategy op basis van lessons learned en changing threat landscape. Document alle bevindingen in een threat intelligence effectiveness rapport dat wordt gedeeld met security team, management en compliance officers.

Remediatie en Troubleshooting

Gebruik PowerShell-script threat-intelligence-integration.ps1 (functie Invoke-Remediation) – Herstelt ontbrekende threat intelligence integratie of configureert comprehensive threat intelligence setup volgens best practices.

Voor problemen met threat intelligence integratie zijn verschillende remediatiestrategieën beschikbaar. Bij ontbrekende Microsoft threat intelligence feed moet worden gecontroleerd of Microsoft Defender voor Office 365 Plan 2 licentie actief is, waarna Microsoft threat intelligence automatisch beschikbaar is. Verifieer dat threat intelligence indicators worden gebruikt door email security policies via het monitoring script, en test met known IOCs om te valideren dat detection werkt zoals verwacht.

Bij ontbrekende custom IOCs moeten threat indicators worden toegevoegd via Threat management → Threat intelligence → Indicators. Voor bulk import gebruik de CSV import functie, en verifieer dat IOCs correct zijn geformatteerd (bijvoorbeeld SHA256 hashes moeten 64 karakters zijn, domains moeten geldige FQDN format hebben). Test IOCs na toevoeging om te valideren dat detection werkt, en monitor false positives om IOC settings te tunen indien nodig.

Voor externe feed integratie problemen moet API connectivity worden gecontroleerd: Verifieer API credentials en permissions voor externe threat intelligence providers, test API connections met test requests, check sync logs voor errors en failed synchronisaties, en valideer dat IOC formats compatibel zijn met Microsoft Graph Security API requirements. Voor threat hunting query problemen moeten KQL queries worden gevalideerd op syntax errors, test queries met sample data om te verifiëren dat ze correct werken, en converteer discovered threats naar IOCs via de Threat intelligence → Indicators interface.

Bij false positive blocking moeten threat intelligence alerts worden gereviewd om legitieme emails te identificeren die false positive zijn geblokkeerd. Update IOC action van Block naar Alert voor suspicious maar niet-confirmed threats, verwijder false positive IOCs volledig indien ze niet meer relevant zijn, of voeg legitieme senders toe aan whitelist via threat intelligence exceptions. Document false positives in een log voor IOC validation en threat intelligence program improvement.

Compliance en Framework Mapping

Threat intelligence integratie vormt een critical component van security operations en is essentieel voor compliance met verschillende security frameworks. CIS Microsoft 365 Foundations Benchmark - control 2.7 (Zorg ervoor dat Threat Intelligence integratie is geconfigureerd), control 2.8 (Custom IOCs zijn geconfigureerd voor known threats), en control 2.9 (Threat hunting queries zijn actief voor proactieve threat detection). BIO Baseline Informatiebeveiliging Overheid - Thema 12.05 (Threat intelligence en security operations - Real-time threat feeds en IOC management), Thema 13.02.01 (Email beveiligingscontroles - Threat intelligence gebaseerde email blocking), en Thema 12.03 (Security monitoring - Threat intelligence alerts en response). ISO 27001:2022 A.8.16 (Security event monitoring - Threat intelligence integratie voor threat detection), A.12.4.1 (Logging - Threat intelligence event logging), en A.16.1.1 (Information security incident management - Threat intelligence gebaseerde incident detection). NIS2 Artikel 21 (Cybersecurity risicobeheer - Threat intelligence maatregelen voor threat detection en prevention) en Artikel 23 (Incident response - Threat intelligence capabilities voor incident detection en response). AVG Artikel 32 (Beveiliging van verwerking - Threat intelligence voor bescherming tegen data breaches). Threat intelligence integratie moet worden behandeld als critical security control die regelmatig wordt gereviewd, getest en geüpdatet op basis van emerging threats. Alle IOC wijzigingen moeten worden gelogd voor audit doeleinden en threat intelligence effectiveness moet worden gemeten via IOC detection rates, false positive rates, en time-to-detection metrics.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Threat Intelligence Integratie: Real-time Bedreigingsinformatie voor Email Security .DESCRIPTION Configureert threat intelligence integratie in Microsoft Defender voor Office 365 inclusief Microsoft threat intelligence feeds, custom IOCs, externe feed integratie, threat hunting queries en automated response actions voor comprehensive threat detection. .NOTES Filename: threat-intelligence-integration.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/m365/defender-email/threat-intelligence-integration.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\threat-intelligence-integration.ps1 -Monitoring Controleert of threat intelligence integratie is geconfigureerd .EXAMPLE .\threat-intelligence-integration.ps1 -Remediation Configureert comprehensive threat intelligence integratie volgens best practices #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph.Security, ExchangeOnlineManagement [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Verbinding maken met Microsoft Graph..." try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context -or $context.Scopes -notcontains "SecurityEvents.ReadWrite.All") { Connect-MgGraph -Scopes "SecurityEvents.ReadWrite.All", "ThreatIndicators.ReadWrite.OwnedBy" -NoWelcome -ErrorAction Stop Write-Verbose "Verbonden met Microsoft Graph" } else { Write-Verbose "Al verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Microsoft Graph: $_" throw } Write-Verbose "Verbinding maken met Exchange Online..." try { $exoSession = Get-ConnectionInformation -ErrorAction SilentlyContinue if (-not $exoSession) { Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Verbose "Verbonden met Exchange Online" } else { Write-Verbose "Al verbonden met Exchange Online" } } catch { Write-Error "Kon niet verbinden met Exchange Online: $_" throw } } function Test-ThreatIntelligenceIntegration { <# .SYNOPSIS Test of threat intelligence integratie correct is geconfigureerd .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van threat intelligence integratie..." try { Connect-RequiredServices $results = @{ IsCompliant = $false MicrosoftFeedEnabled = $false CustomIOCsCount = 0 ActiveIOCsCount = 0 ExpiredIOCsCount = 0 IOCDetails = @() MissingFeatures = @() } Write-Host "`n Threat Intelligence Integratie:" -ForegroundColor Cyan # Check Microsoft threat intelligence feed (always enabled with Defender for Office 365 Plan 2) Write-Host " Microsoft Threat Intelligence Feed:" -ForegroundColor Cyan Write-Host " ✅ Automatisch ingeschakeld met Defender voor Office 365 Plan 2" -ForegroundColor Green $results.MicrosoftFeedEnabled = $true # Check custom IOCs via Microsoft Graph Security API Write-Host "`n Custom Threat Indicators:" -ForegroundColor Cyan try { $indicators = Get-MgSecurityTiIndicator -ErrorAction Stop $results.CustomIOCsCount = $indicators.Count if ($indicators.Count -eq 0) { Write-Host " ⚠️ Geen custom IOCs geconfigureerd" -ForegroundColor Yellow $results.MissingFeatures += "Geen custom threat indicators geconfigureerd" } else { Write-Host " ✅ $($indicators.Count) custom IOCs gevonden" -ForegroundColor Green $activeIOCs = $indicators | Where-Object { $expiration = $_.ExpirationDateTime if ($expiration) { $expiration -gt (Get-Date) } else { $true } } $expiredIOCs = $indicators | Where-Object { $expiration = $_.ExpirationDateTime if ($expiration) { $expiration -le (Get-Date) } else { $false } } $results.ActiveIOCsCount = $activeIOCs.Count $results.ExpiredIOCsCount = $expiredIOCs.Count Write-Host " Actieve IOCs: $($activeIOCs.Count)" -ForegroundColor Green if ($expiredIOCs.Count -gt 0) { Write-Host " Verlopen IOCs: $($expiredIOCs.Count)" -ForegroundColor Yellow $results.MissingFeatures += "$($expiredIOCs.Count) verlopen IOCs moeten worden verwijderd of bijgewerkt" } # Show IOC breakdown by type $iocTypes = $indicators | Group-Object -Property IndicatorType Write-Host "`n IOC Breakdown:" -ForegroundColor Gray foreach ($type in $iocTypes) { Write-Host " $($type.Name): $($type.Count)" -ForegroundColor Gray } # Show sample IOCs Write-Host "`n Sample IOCs:" -ForegroundColor Gray $sampleIOCs = $indicators | Select-Object -First 5 foreach ($ioc in $sampleIOCs) { $action = switch ($ioc.Action) { "block" { "Block" } "alert" { "Alert" } "allow" { "Allow" } default { $ioc.Action } } $expiration = if ($ioc.ExpirationDateTime) { $ioc.ExpirationDateTime.ToString("yyyy-MM-dd") } else { "No expiration" } Write-Host " - $($ioc.IndicatorType): $($ioc.Value) [$action, expires: $expiration]" -ForegroundColor Gray } foreach ($ioc in $indicators) { $results.IOCDetails += @{ Type = $ioc.IndicatorType Value = $ioc.Value Action = $ioc.Action Expiration = $ioc.ExpirationDateTime IsActive = if ($ioc.ExpirationDateTime) { $ioc.ExpirationDateTime -gt (Get-Date) } else { $true } } } } } catch { Write-Host " ❌ Fout bij ophalen van custom IOCs: $_" -ForegroundColor Red $results.MissingFeatures += "Kan custom threat indicators niet ophalen: $_" } # Determine compliance $hasRequiredFeatures = $results.MicrosoftFeedEnabled -and ($results.ActiveIOCsCount -gt 0 -or $results.CustomIOCsCount -eq 0) # Note: Custom IOCs are optional but recommended if ($results.CustomIOCsCount -eq 0) { Write-Host "`n ⚠️ Aanbeveling: Configureer custom IOCs voor known threats" -ForegroundColor Yellow } $results.IsCompliant = $hasRequiredFeatures return $results } catch { Write-Error "Fout bij controleren van threat intelligence integratie: $_" throw } } function Invoke-Monitoring { <# .SYNOPSIS Monitort de compliance status van threat intelligence integratie #> [CmdletBinding()] param() Write-Host "`nMonitoring: Threat Intelligence Integratie" -ForegroundColor Yellow Write-Host "===========================================" -ForegroundColor Yellow $result = Test-ThreatIntelligenceIntegration Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Microsoft Threat Intelligence Feed: $(if ($result.MicrosoftFeedEnabled) { '✅ Ingeschakeld' } else { '❌ Uitgeschakeld' })" -ForegroundColor $(if ($result.MicrosoftFeedEnabled) { "Green" } else { "Red" }) Write-Host " Totaal custom IOCs: $($result.CustomIOCsCount)" -ForegroundColor Cyan Write-Host " Actieve IOCs: $($result.ActiveIOCsCount)" -ForegroundColor $(if ($result.ActiveIOCsCount -gt 0) { "Green" } else { "Yellow" }) Write-Host " Verlopen IOCs: $($result.ExpiredIOCsCount)" -ForegroundColor $(if ($result.ExpiredIOCsCount -eq 0) { "Green" } else { "Yellow" }) if ($result.MissingFeatures.Count -gt 0) { Write-Host "`n Aandachtspunten:" -ForegroundColor Yellow foreach ($feature in $result.MissingFeatures) { Write-Host " - $feature" -ForegroundColor Yellow } } if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Threat intelligence integratie is correct geconfigureerd" -ForegroundColor Green if ($result.CustomIOCsCount -eq 0) { Write-Host " Aanbeveling: Overweeg custom IOCs toe te voegen voor known threats" -ForegroundColor Yellow } exit 0 } else { Write-Host "`n❌ NON-COMPLIANT - Actie vereist voor threat intelligence integratie" -ForegroundColor Red Write-Host " Gebruik -Remediation om threat intelligence te configureren volgens best practices" -ForegroundColor Yellow exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Configureert comprehensive threat intelligence integratie volgens best practices #> [CmdletBinding()] param() Write-Host "`nRemediatie: Threat Intelligence Integratie Configureren" -ForegroundColor Yellow Write-Host "=========================================================" -ForegroundColor Yellow try { Connect-RequiredServices Write-Host "`nThreat Intelligence Integratie Status:" -ForegroundColor Cyan # Microsoft threat intelligence feed is always enabled with Defender for Office 365 Plan 2 Write-Host " ✅ Microsoft Threat Intelligence Feed: Automatisch ingeschakeld" -ForegroundColor Green # Check for existing custom IOCs try { $existingIOCs = Get-MgSecurityTiIndicator -ErrorAction Stop Write-Host " Custom IOCs: $($existingIOCs.Count) gevonden" -ForegroundColor Cyan } catch { Write-Host " Custom IOCs: Geen gevonden (nieuwe setup)" -ForegroundColor Gray } Write-Host "`n Configuratie instructies:" -ForegroundColor Cyan Write-Host " 1. Microsoft Threat Intelligence Feed:" -ForegroundColor Yellow Write-Host " ✅ Automatisch ingeschakeld met Defender voor Office 365 Plan 2" -ForegroundColor Green Write-Host " Geen handmatige configuratie vereist" -ForegroundColor Gray Write-Host "`n 2. Custom Threat Indicators toevoegen:" -ForegroundColor Yellow Write-Host " Security.microsoft.com > Threat management > Threat intelligence > Indicators" -ForegroundColor Gray Write-Host " > Add > Selecteer IOC type (File hash, URL, Domain, IP address, Email)" -ForegroundColor Gray Write-Host " > Voer IOC waarde in > Configureer action (Block/Alert/Allow)" -ForegroundColor Gray Write-Host " > Stel expiration date in > Create" -ForegroundColor Gray Write-Host "`n 3. Bulk IOC Import:" -ForegroundColor Yellow Write-Host " > Import indicators > Upload CSV bestand met kolommen:" -ForegroundColor Gray Write-Host " - IndicatorType (FileHash, Url, DomainName, IpAddress, EmailAddress)" -ForegroundColor Gray Write-Host " - Value (IOC waarde)" -ForegroundColor Gray Write-Host " - Action (Block, Alert, Allow)" -ForegroundColor Gray Write-Host " - ExpirationDateTime (optioneel, format: yyyy-MM-ddTHH:mm:ssZ)" -ForegroundColor Gray Write-Host "`n 4. Externe Threat Intelligence Feed Integratie:" -ForegroundColor Yellow Write-Host " Gebruik Microsoft Graph Security API:" -ForegroundColor Gray Write-Host " Connect-MgGraph -Scopes 'ThreatIndicators.ReadWrite.OwnedBy'" -ForegroundColor Gray Write-Host " New-MgSecurityTiIndicator -IndicatorType <type> -Value <value> -Action Block" -ForegroundColor Gray Write-Host " Ontwikkel scheduled scripts voor automatische IOC synchronisatie" -ForegroundColor Gray Write-Host "`n 5. Threat Hunting Queries:" -ForegroundColor Yellow Write-Host " Security.microsoft.com > Hunting > Advanced hunting" -ForegroundColor Gray Write-Host " Gebruik KQL queries om threats te identificeren" -ForegroundColor Gray Write-Host " Converteer discovered threats naar IOCs via Threat intelligence > Indicators" -ForegroundColor Gray Write-Host "`n 6. Automated Response Actions:" -ForegroundColor Yellow Write-Host " Security.microsoft.com > Automation > Playbooks" -ForegroundColor Gray Write-Host " Maak playbooks aan die worden geactiveerd bij threat intelligence alerts" -ForegroundColor Gray Write-Host " Configureer automatische email quarantine en security team notifications" -ForegroundColor Gray Write-Host "`n PowerShell voorbeeld - Custom IOC toevoegen:" -ForegroundColor Cyan Write-Host " Connect-MgGraph -Scopes 'ThreatIndicators.ReadWrite.OwnedBy'" -ForegroundColor Gray Write-Host " `$ioc = @{" -ForegroundColor Gray Write-Host " IndicatorType = 'DomainName'" -ForegroundColor Gray Write-Host " Value = 'malicious-domain.com'" -ForegroundColor Gray Write-Host " Action = 'Block'" -ForegroundColor Gray Write-Host " ExpirationDateTime = (Get-Date).AddDays(90)" -ForegroundColor Gray Write-Host " }" -ForegroundColor Gray Write-Host " New-MgSecurityTiIndicator @ioc" -ForegroundColor Gray Write-Host "`n✅ Threat intelligence integratie configuratie instructies getoond" -ForegroundColor Green Write-Host " Let op: Voeg custom IOCs toe via Security portal of PowerShell" -ForegroundColor Yellow Write-Host " Monitor threat intelligence alerts regelmatig voor effectiveness" -ForegroundColor Yellow exit 0 } catch { Write-Error "Fout bij configureren van threat intelligence integratie: $_" Write-Host " Handmatige configuratie: Security Admin Center > Threat management > Threat intelligence" -ForegroundColor Yellow exit 2 } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Threat Intelligence Integratie" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Compliance check $result = Test-ThreatIntelligenceIntegration if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT" -ForegroundColor Green if ($result.CustomIOCsCount -eq 0) { Write-Host " Aanbeveling: Overweeg custom IOCs toe te voegen voor known threats" -ForegroundColor Yellow } } else { Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation om threat intelligence te configureren" -ForegroundColor Yellow } return $result } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder threat intelligence integratie missen organisaties cruciale informatie over emerging threats, waardoor nieuwe attack vectors ongedetecteerd blijven totdat ze al zijn uitgevoerd. Dit leidt tot extended dwell times, data exfiltration zonder detectie, ransomware distributie, en business email compromise aanvallen. Zonder adequate threat intelligence slagen deze aanvallen regelmatig met catastrofale gevolgen: financiële verliezen, data breaches, en reputatieschade.

Management Samenvatting

Configureer comprehensive threat intelligence integratie met Microsoft's global threat intelligence feed, custom IOCs voor known threats, externe threat intelligence feed integratie (NCSC, sector-specifieke feeds), threat hunting queries voor proactieve detection, en automated response actions. Implementeer real-time IOC management en threat intelligence reporting. Voldoet aan CIS 2.7-2.9 (L1), BIO 12.05, ISO 27001 A.8.16/A.12.4.1/A.16.1.1, NIS2, AVG Artikel 32. Implementatie: 12 uur technisch + 16 uur voor governance, IOC management en documentatie. CRITICAL voor proactieve threat detection.