L1 BIO 12.01 ISO A.8.16

Microsoft Defender Voor Endpoint: Geavanceerde Functies En Configuratie

📅 2025-01-15
⏱️ 30 minuten lezen
🟢 Advanced

💼 Management Samenvatting

Microsoft Defender voor Endpoint biedt uitgebreide geavanceerde beveiligingsfuncties die organisaties beschermen tegen moderne cyberbedreigingen zoals ransomware, fileless malware, zero-day exploits en geavanceerde persistente bedreigingen (APTs). Deze geavanceerde functies omvatten Attack Surface Reduction (ASR), Advanced Hunting, Threat Analytics, Automated Investigation and Response (AIR), Behavioral Analytics, Network Protection, Controlled Folder Access, Exploit Protection, Custom Indicators en Threat Intelligence integratie. Het correct configureren en beheren van deze functies is essentieel voor effectieve endpointbeveiliging en compliance met moderne security frameworks.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
56u (tech: 24u)
Van toepassing op:
Microsoft 365 E5
Microsoft Defender voor Endpoint Plan 2
Microsoft Defender XDR

Moderne cyberaanvallen zijn steeds geavanceerder en gebruiken technieken die traditionele antivirusoplossingen omzeilen. Fileless malware voert kwaadaardige code direct in het geheugen uit zonder detecteerbare bestanden achter te laten, waardoor signature-based antivirus deze aanvallen volledig mist. Ransomware versleutelt bestanden binnen enkele minuten na infectie en kan zich lateraal door het netwerk verspreiden zonder detectie door basisbeveiligingsmaatregelen. Zero-day exploits maken gebruik van onbekende kwetsbaarheden die nog niet door antivirussoftware worden gedetecteerd. Geavanceerde persistente bedreigingen (APTs) opereren maandenlang onder de radar door gebruik te maken van geautoriseerde tools en technieken die legitiem lijken. Living-off-the-land aanvallen gebruiken legitieme systeemgereedschappen zoals PowerShell, WMI en PsExec om kwaadaardige activiteiten te verbergen. Zonder geavanceerde endpointbeveiligingsfuncties blijven deze bedreigingen onopgemerkt totdat significante schade is aangericht, wat leidt tot data breaches met gemiddelde kosten van €4.5 miljoen per incident volgens IBM's Cost of a Data Breach Report. Deze geavanceerde functies zijn essentieel voor detectie en preventie van moderne bedreigingen en zijn vereist voor compliance met frameworks zoals NIS2, BIO en ISO 27001.

PowerShell Modules Vereist
Primary API: Microsoft Graph Security API, Microsoft Defender for Endpoint API
Connection: Connect-MgGraph, Connect-MicrosoftDefender
Required Modules: Microsoft.Graph, Microsoft.Graph.Security, Microsoft.Graph.Identity.SignIns

Implementatie

Deze controle behandelt de implementatie en configuratie van geavanceerde beveiligingsfuncties binnen Microsoft Defender voor Endpoint. Attack Surface Reduction (ASR) rules beperken de aanvalsoppervlakte door kwaadaardige activiteiten te blokkeren voordat ze kunnen worden uitgevoerd, zoals het blokkeren van Office-macro's, het voorkomen van scriptexecutie door e-mailclients en het beperken van wscript/cscript uitvoering. Advanced Hunting biedt een krachtige query-taal (KQL) waarmee security analisten proactief kunnen jagen op bedreigingen door query's uit te voeren over endpointtelemetrie van maximaal 30 dagen. Threat Analytics biedt gedetailleerde analyses van actieve bedreigingscampagnes met praktische begeleiding voor detectie en mitigatie. Automated Investigation and Response (AIR) automatiseert de analyse van waarschuwingen en voert gepaste responsacties uit zonder menselijke tussenkomst. Behavioral Analytics gebruikt machine learning om afwijkende gedragspatronen te detecteren die wijzen op gecompromitteerde endpoints, zelfs wanneer traditionele detectiemethoden falen. Network Protection blokkeert toegang tot malafide URLs en IP-adressen via browserextensies en applicaties. Controlled Folder Access beschermt kritieke mappen tegen ransomware door onbevoegde wijzigingen te blokkeren. Exploit Protection biedt mitigatie tegen geheugen-gebaseerde aanvallen zoals Return-Oriented Programming (ROP) en Data Execution Prevention (DEP) bypasses. Custom Indicators (IOCs) maken het mogelijk om specifieke bestanden, IP-adressen, URLs en domeinen toe te voegen aan de blokkeringslijst voor proactieve bescherming. Threat Intelligence integratie maakt het mogelijk om externe threat intelligence feeds te integreren voor uitgebreide bedreigingsdetectie. Deze functies worden geconfigureerd via de Microsoft 365 Defender portal en kunnen worden beheerd via PowerShell en Microsoft Graph API voor geautomatiseerde implementatie en monitoring.

Vereisten en Voorbereiding

Voor het implementeren van geavanceerde Defender voor Endpoint functies zijn verschillende vereisten en voorbereidingen noodzakelijk. Ten eerste is Microsoft Defender voor Endpoint Plan 2 of Microsoft 365 E5 licentie vereist voor toegang tot alle geavanceerde functies. Plan 1 biedt basis EDR-functionaliteit maar mist geavanceerde features zoals Advanced Hunting, Threat Analytics en uitgebreide Automated Investigation and Response. Alle endpoints moeten correct zijn onboarded naar Defender voor Endpoint via verschillende methoden zoals Group Policy, Microsoft Endpoint Manager (Intune), Script-based onboarding, of Mobile Device Management (MDM) voor mobiele apparaten. Endpoints moeten minimaal Windows 10/11 versie 1809 of hoger zijn, of Windows Server 2019/2022 met de Microsoft Defender voor Endpoint sensor geïnstalleerd.

Organisatorisch moet er een duidelijk security operations proces zijn gedefinieerd dat beschrijft hoe geavanceerde functies worden gebruikt voor bedreigingsdetectie en respons. Security analisten moeten worden getraind in het gebruik van Advanced Hunting queries, het interpreteren van Threat Analytics rapporten, het configureren van ASR rules, en het beheren van Automated Investigation and Response workflows. Er moeten duidelijke richtlijnen zijn over wanneer ASR rules moeten worden geactiveerd, welke blocking modes moeten worden gebruikt (Block, Audit, Warn), en hoe uitzonderingen moeten worden geconfigureerd voor business-kritieke applicaties. Voor productieomgevingen is het aanbevolen om te beginnen met Audit mode voor ASR rules om het effect te observeren voordat Block mode wordt geactiveerd, waardoor false positives worden geminimaliseerd en business continuity wordt gegarandeerd.

Vanuit compliance perspectief moeten alle geavanceerde functie configuraties worden gedocumenteerd en regelmatig worden gereviewed. Dit vereist dat configuratie-as-code benaderingen worden gebruikt waarbij alle settings worden beheerd via version control en geautomatiseerde deployment pipelines. Incident response procedures moeten worden bijgewerkt om geavanceerde functies te integreren, waarbij wordt beschreven hoe Advanced Hunting wordt gebruikt voor threat hunting, hoe Threat Analytics wordt gebruikt voor bedreigingsinformatie, en hoe Automated Investigation and Response workflows worden beheerd. Tot slot moet er een monitoring en reporting proces zijn opgezet om de effectiviteit van geavanceerde functies te meten, inclusief metrics zoals aantal geblokkeerde bedreigingen, aantal false positives, tijd tot detectie (MTTD), en tijd tot respons (MTTR).

Implementatie van Geavanceerde Functies

Gebruik PowerShell-script advanced-features.ps1 (functie Invoke-Remediation) – PowerShell script voor het configureren van geavanceerde Defender voor Endpoint functies inclusief ASR rules, Advanced Hunting setup, Threat Analytics configuratie en monitoring.

De implementatie van geavanceerde Defender voor Endpoint functies begint met het configureren van Attack Surface Reduction (ASR) rules via de Microsoft 365 Defender portal. Navigeer naar security.microsoft.com en selecteer Settings → Endpoints → Advanced features → Attack surface reduction rules. Hier zijn verschillende ASR rules beschikbaar die kunnen worden geconfigureerd in drie modes: Block (blokkeert kwaadaardige activiteiten), Audit (logt activiteiten zonder te blokkeren), en Warn (toont waarschuwingen aan gebruikers). Aanbevolen ASR rules voor productieomgevingen omvatten: Block executable content from email client and webmail (voorkomt dat kwaadaardige bestanden worden uitgevoerd vanuit e-mailclients), Block Office applications from creating child processes (voorkomt dat Office-macro's PowerShell of andere processen starten), Block JavaScript or VBScript from launching downloaded executable content (voorkomt script-gebaseerde aanvallen), Block execution of potentially obfuscated scripts (blokkeert gecodeerde scripts die vaak door malware worden gebruikt), en Block Win32 API calls from Office macros (voorkomt dat macro's directe systeemaanroepen doen). Voor initiële implementatie is het aanbevolen om te starten met Audit mode voor alle rules om het effect te observeren, waarna rules geleidelijk kunnen worden overgezet naar Block mode voor kritieke bedreigingsscenario's.

Network Protection wordt geconfigureerd via Settings → Endpoints → Advanced features → Network protection. Deze functie blokkeert toegang tot malafide URLs en IP-adressen via browserextensies en applicaties, waardoor gebruikers worden beschermd tegen phishing-aanvallen en malafide downloads. Network Protection kan worden geconfigureerd in Block mode (volledig blokkeren), Audit mode (alleen loggen), of Disabled mode. Voor productieomgevingen is Block mode aanbevolen om maximale bescherming te bieden. Controlled Folder Access wordt geconfigureerd via Settings → Endpoints → Advanced features → Controlled folder access en beschermt kritieke mappen zoals Documents, Pictures, en Desktop tegen ransomware door onbevoegde wijzigingen te blokkeren. Standaard worden Windows system folders en belangrijke gebruikersmappen beschermd, maar organisaties kunnen custom folders toevoegen. Applicaties die toegang tot beschermde folders nodig hebben moeten expliciet worden toegevoegd aan de allowed apps lijst. Exploit Protection wordt geconfigureerd via Windows Security → App & browser control → Exploit protection settings en biedt mitigatie tegen geheugen-gebaseerde aanvallen. Windows 10/11 bevat standaard exploit protection configuraties, maar organisaties kunnen custom configuraties toepassen via Group Policy of Microsoft Endpoint Manager.

Advanced Hunting is beschikbaar via security.microsoft.com → Hunting → Advanced hunting en biedt een krachtige query-taal (KQL) waarmee security analisten proactief kunnen jagen op bedreigingen. Advanced Hunting queries kunnen worden uitgevoerd over endpointtelemetrie van maximaal 30 dagen en kunnen worden opgeslagen als saved queries voor herhaald gebruik. Queries kunnen worden geautomatiseerd via de Microsoft Graph Security API en kunnen worden gebruikt om custom detection rules te maken die automatisch alerts genereren wanneer specifieke voorwaarden worden gedetecteerd. Threat Analytics is beschikbaar via security.microsoft.com → Threat analytics en biedt gedetailleerde analyses van actieve bedreigingscampagnes met praktische begeleiding voor detectie en mitigatie. Elke threat analytics rapport bevat informatie over de bedreiging, impact op de organisatie, detectie queries, en mitigatie stappen. Organisaties moeten regelmatig Threat Analytics rapporten reviewen om op de hoogte te blijven van nieuwe bedreigingen en om proactieve maatregelen te nemen.

Custom Indicators (IOCs) kunnen worden geconfigureerd via security.microsoft.com → Settings → Endpoints → Indicators → Files, IPs/URLs/Domains. Organisaties kunnen specifieke bestanden, IP-adressen, URLs en domeinen toevoegen aan de blokkeringslijst voor proactieve bescherming. IOCs kunnen worden geconfigureerd met verschillende severity levels (Informational, Low, Medium, High, Critical) en verschillende actions (Alert, Warn, Block). Threat Intelligence integratie kan worden geconfigureerd via Settings → Threat intelligence → Threat intelligence indicators, waarbij externe threat intelligence feeds kunnen worden geïmporteerd voor uitgebreide bedreigingsdetectie. Microsoft Defender voor Endpoint ondersteunt integratie met verschillende threat intelligence providers via TAXII feeds en API-verbindingen.

Na configuratie moeten alle geavanceerde functies worden getest om te verifiëren dat ze correct functioneren. Dit kan worden gedaan door test bedreigingen te genereren (bijvoorbeeld door een test malware sample te downloaden of door een test phishing-URL te bezoeken) en te observeren hoe de geavanceerde functies deze bedreigingen detecteren en blokkeren. Tijdens de testperiode moeten alle gebeurtenissen worden gereviewed door security analisten om te verifiëren dat de configuraties correct zijn en dat false positives worden geminimaliseerd. Op basis van deze reviews kunnen de configuraties worden verfijnd om de effectiviteit te verbeteren.

Advanced Hunting en Threat Hunting

Advanced Hunting vormt een kerncomponent van proactieve bedreigingsdetectie binnen Microsoft Defender voor Endpoint door security analisten in staat te stellen om uitgebreide query's uit te voeren over endpointtelemetrie. De KQL (Kusto Query Language) biedt toegang tot een rijke dataset die informatie bevat over processen, netwerkverbindingen, bestandsacties, registry-wijzigingen, authenticatiegebeurtenissen en vele andere endpointactiviteiten. Deze telemetrie wordt automatisch verzameld door de Defender voor Endpoint sensor en wordt bewaard voor maximaal 30 dagen, waardoor analisten historische analyses kunnen uitvoeren om bedreigingspatronen te identificeren. Advanced Hunting queries kunnen worden gebruikt voor verschillende doeleinden zoals het identificeren van verdachte processen die abnormale netwerkverbindingen maken, het detecteren van PowerShell-aanvallen door het analyseren van command-line argumenten, het vinden van laterale beweging door het correleren van authenticatiegebeurtenissen tussen verschillende endpoints, en het identificeren van data exfiltratie door het monitoren van grote bestandsoverdrachten naar externe locaties.

Effectieve Advanced Hunting vereist dat security analisten vertrouwd zijn met KQL syntax en de beschikbare datatabellen binnen Defender voor Endpoint. Belangrijke tabellen omvatten DeviceProcessEvents (procesuitvoering), DeviceNetworkEvents (netwerkverbindingen), DeviceFileEvents (bestandsacties), DeviceRegistryEvents (registry-wijzigingen), DeviceLogonEvents (authenticatiegebeurtenissen), en DeviceImageLoadEvents (DLL-loading). Analisten moeten ook begrijpen hoe deze tabellen kunnen worden gecorreleerd om complexe bedreigingsscenario's te identificeren, bijvoorbeeld door processen te correleren met netwerkverbindingen om command-and-control communicatie te detecteren, of door authenticatiegebeurtenissen te correleren met procesuitvoering om privilege escalation te identificeren. Microsoft biedt uitgebreide documentatie en voorbeeldqueries in de Advanced Hunting interface die analisten kunnen gebruiken als startpunt voor hun eigen queries.

Saved queries en custom detection rules maken Advanced Hunting schaalbaar door queries te automatiseren en alerts te genereren wanneer specifieke voorwaarden worden gedetecteerd. Saved queries kunnen worden gedeeld met andere analisten en kunnen worden gebruikt als basis voor nieuwe queries. Custom detection rules kunnen worden gemaakt op basis van Advanced Hunting queries en worden automatisch uitgevoerd om alerts te genereren wanneer de queryvoorwaarden worden voldaan. Deze rules kunnen worden geconfigureerd met verschillende severity levels en kunnen worden toegewezen aan specifieke security analisten voor follow-up. Dit maakt het mogelijk om proactief te jagen op bedreigingen zonder constant handmatig queries uit te voeren, waardoor security teams efficiënter kunnen werken en sneller kunnen reageren op bedreigingen.

Monitoring en Effectiviteit Meting

Gebruik PowerShell-script advanced-features.ps1 (functie Invoke-Monitoring) – Controleert de status van geavanceerde Defender voor Endpoint functies en rapporteert over configuratie, detectie statistieken en effectiviteit metrics.

Continue monitoring van geavanceerde Defender voor Endpoint functies is essentieel om te verifiëren dat het systeem correct functioneert, om de effectiviteit te meten, en om de configuratie te optimaliseren. De primaire monitoring interface is het Microsoft 365 Defender portal onder Security → Endpoints → Advanced features, waar een overzicht wordt getoond van alle geconfigureerde functies en hun status. Het Security Operations dashboard toont key metrics zoals aantal geblokkeerde bedreigingen, aantal gedetecteerde incidenten, gemiddelde tijd tot detectie (MTTD), gemiddelde tijd tot respons (MTTR), en het percentage endpoints dat is beschermd door geavanceerde functies. Deze metrics geven inzicht in de effectiviteit van de beveiligingsmaatregelen en helpen bij het identificeren van verbeterpunten.

Voor gedetailleerde analyse van individuele bedreigingen en detecties kunnen security analisten inzoomen op specifieke alerts via het Incident detail scherm. Hier wordt een tijdlijn getoond van alle gebeurtenissen die verband houden met een incident, inclusief wanneer de bedreiging werd gedetecteerd, welke geavanceerde functies de bedreiging hebben geblokkeerd, welke endpoints zijn getroffen, en welke remediatieacties zijn uitgevoerd. Analisten kunnen ook de verzamelde telemetrie reviewen, bijvoorbeeld door Advanced Hunting queries uit te voeren om aanvullende context te verzamelen, of door Threat Analytics rapporten te raadplegen voor informatie over de bedreiging. Deze detailweergave is essentieel voor het begrijpen van hoe geavanceerde functies bedreigingen detecteren en mitigeren en voor het identificeren van false positives of gemiste bedreigingen.

Naast het monitoren van individuele detecties is het belangrijk om trends en patronen te identificeren over langere perioden. Het Security Operations dashboard biedt verschillende rapportage-opties waarmee organisaties kunnen analyseren welke typen bedreigingen het meest voorkomen, welke ASR rules het meest effectief zijn, en welke endpoints het meest worden aangevallen. Deze data kan worden gebruikt om de configuratie te optimaliseren, bijvoorbeeld door ASR rules aan te passen voor bepaalde scenario's, of door extra custom indicators toe te voegen voor bedreigingen die regelmatig worden gedetecteerd. Organisaties kunnen ook custom reports genereren voor management en compliance doeleinden, waarbij wordt getoond hoe geavanceerde functies bijdragen aan de overall security posture en hoeveel bedreigingen worden geblokkeerd.

Een kritiek aspect van monitoring is het identificeren en corrigeren van false positives. Wanneer geavanceerde functies een legitieme activiteit blokkeren of als bedreiging markeren, moet deze false positive worden gedocumenteerd en geanalyseerd om te voorkomen dat soortgelijke activiteiten in de toekomst opnieuw worden geblokkeerd. Het Defender voor Endpoint systeem leert van deze feedback, maar organisaties kunnen ook expliciet uitzonderingen configureren voor specifieke scenario's via Settings → Endpoints → Advanced features → Exceptions. Daarnaast moeten organisaties regelmatig reviewen of geavanceerde functies alle relevante bedreigingen detecteren. Wanneer security analisten handmatig bedreigingen detecteren die door geavanceerde functies niet zijn opgepikt, moet worden geanalyseerd waarom dit is gebeurd en of de configuratie moet worden aangepast om deze bedreigingen in de toekomst wel automatisch te detecteren.

Voor compliance en audit doeleinden moeten alle geavanceerde functie configuraties en detecties worden gelogd en bewaard. De Microsoft 365 Defender portal biedt uitgebreide logging mogelijkheden, maar organisaties moeten ook zorgen dat deze logs worden geëxporteerd naar een centraal logging systeem zoals een SIEM voor langetermijn opslag en correlatie met andere security events. Audit logs moeten informatie bevatten over wanneer bedreigingen werden gedetecteerd, welke geavanceerde functies de detectie hebben veroorzaakt, welke endpoints zijn getroffen, en welke remediatieacties zijn uitgevoerd. Deze logs zijn essentieel voor het aantonen van compliance met NIS2 vereisten voor bedreigingsdetectie en voor het ondersteunen van interne en externe audits.

Remediatie en Troubleshooting

Gebruik PowerShell-script advanced-features.ps1 (functie Invoke-Remediation) – Configureert geavanceerde Defender voor Endpoint functies volgens best practices of herstelt ontbrekende configuraties.

Wanneer problemen optreden met geavanceerde Defender voor Endpoint functies zijn verschillende remediatiestrategieën beschikbaar. Een veelvoorkomend probleem is dat ASR rules legitieme applicaties blokkeren, wat leidt tot false positives en gebruikersfrustratie. Dit kan worden opgelost door uitzonderingen te configureren via Settings → Endpoints → Advanced features → Attack surface reduction rules → Exceptions. Uitzonderingen kunnen worden geconfigureerd op basis van bestandspaden, procesnamen, of gebruikersgroepen. Het is belangrijk om uitzonderingen zorgvuldig te configureren om te voorkomen dat security wordt verzwakt, en om regelmatig te reviewen of uitzonderingen nog steeds nodig zijn.

Een ander veelvoorkomend probleem is dat endpoints niet correct zijn onboarded naar Defender voor Endpoint, waardoor geavanceerde functies niet beschikbaar zijn. Dit kan worden geverifieerd via Settings → Endpoints → Onboarding, waar een overzicht wordt getoond van alle onboarded endpoints en hun status. Endpoints die niet correct zijn onboarded moeten worden heronboarded via de juiste onboarding methode (Group Policy, Intune, Script, of MDM). Het monitoring script kan helpen bij het identificeren van endpoints die niet correct zijn onboarded en kan aanbevelingen doen voor remediatie.

Wanneer geavanceerde functies niet correct werken kan dit wijzen op configuratieproblemen, licentieproblemen, of sensorproblemen. Configuratieproblemen kunnen worden geïdentificeerd door de configuratie-instellingen te reviewen in de portal en te verifiëren dat alle vereiste settings correct zijn geconfigureerd. Licentieproblemen kunnen worden geïdentificeerd door te controleren of de juiste licenties zijn toegewezen aan gebruikers en endpoints. Sensorproblemen kunnen worden geïdentificeerd door de sensor status te controleren via Settings → Endpoints → Device inventory, waar de health status van elke endpoint wordt getoond. Endpoints met sensorproblemen moeten worden gerepareerd door de sensor opnieuw te installeren of door de endpoint opnieuw op te starten.

Voor problemen met Advanced Hunting queries die niet de verwachte resultaten opleveren, moet worden gecontroleerd of de query syntax correct is, of de juiste tabellen worden gebruikt, en of de tijdsperiode correct is ingesteld. Microsoft biedt uitgebreide documentatie en voorbeeldqueries die kunnen worden gebruikt als referentie. Voor problemen met Threat Analytics die niet actueel zijn, moet worden gecontroleerd of Threat Intelligence feeds correct zijn geconfigureerd en of er voldoende licentie-rechten zijn om toegang te krijgen tot Threat Analytics rapporten.

Compliance en Framework Mapping

Geavanceerde Defender voor Endpoint functies zijn essentieel voor compliance met verschillende security frameworks. Voor CIS Microsoft 365 Foundations Benchmark is dit relevant voor control 7.1 (Security monitoring - Advanced threat detection capabilities), control 7.2 (Incident response - Automated investigation en remediation), en control 8.1 (Endpoint protection - Advanced endpoint detection and response). Deze controls vereisen dat organisaties geavanceerde endpointbeveiligingsfuncties hebben die moderne bedreigingen detecteren en mitigeren, inclusief fileless malware, zero-day exploits, en geavanceerde persistente bedreigingen.

Voor de BIO Baseline Informatiebeveiliging Overheid zijn geavanceerde functies relevant voor Thema 12.01 (Endpoint protection - Geavanceerde bedreigingsdetectie), Thema 12.03 (Security operations - Threat hunting en investigation), en Thema 17.1 (Incident management - Geautomatiseerde detectie en response). BIO vereist dat organisaties proactief bedreigingen detecteren en snel reageren, waarbij geavanceerde tools zoals Advanced Hunting, Threat Analytics en Automated Investigation and Response essentieel zijn om aan deze vereisten te voldoen, vooral gezien de schaal van moderne omgevingen en het volume van security events.

ISO 27001:2022 vereist in A.8.16 (Monitoring activities - Security event monitoring en analysis), A.5.26 (Information security event response - Geautomatiseerde response capabilities), en A.12.6.1 (Technical vulnerability management - Advanced threat protection) dat organisaties security events monitoren en automatisch reageren op bedreigingen. Geavanceerde Defender voor Endpoint functies voldoen aan deze vereisten door continu endpoints te monitoren, automatisch bedreigingen te detecteren via behavioral analytics en machine learning, en gepaste remediatieacties uit te voeren. De uitgebreide logging van alle activiteiten ondersteunt ook A.12.4.1 (Logging - Security event logging) door alle detecties en acties te documenteren voor audit doeleinden.

Voor NIS2 zijn geavanceerde functies essentieel voor Artikel 23 (Incident handling - Snelle detectie en response), Artikel 21 (Cybersecurity risicobeheer - Geavanceerde bedreigingsdetectie), en Artikel 10 (Beveiligingsmaatregelen - Endpoint security en monitoring). NIS2 vereist dat essentiële en belangrijke entiteiten security incidenten binnen strikte termijnen detecteren en reageren, waarbij geavanceerde endpointbeveiligingstools kritiek zijn om aan deze vereisten te voldoen. De automatische detectie van bedreigingen via behavioral analytics en de snelle remediatie die geavanceerde functies bieden, helpen organisaties om de MTTR te verkorten en de impact van incidenten te beperken, wat essentieel is voor NIS2 compliance.

Tot slot ondersteunen geavanceerde functies ook AVG compliance door snel te reageren op security incidenten die kunnen leiden tot datalekken. Artikel 33 (Meldplicht datalekken) vereist dat organisaties datalekken binnen 72 uur melden aan de toezichthouder, waarbij snelle detectie en containment essentieel zijn. Geavanceerde functies helpen bij het snel detecteren en mitigeren van bedreigingen die kunnen leiden tot datalekken, waardoor organisaties beter kunnen voldoen aan de meldplicht. Daarnaast ondersteunt de uitgebreide logging van alle activiteiten ook Artikel 30 (Register van verwerkingsactiviteiten) door alle security events en response acties te documenteren die relevant zijn voor gegevensbescherming.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Microsoft Defender voor Endpoint: Geavanceerde Functies en Configuratie .DESCRIPTION Configureert geavanceerde Defender voor Endpoint functies inclusief Attack Surface Reduction (ASR) rules, Advanced Hunting setup, Threat Analytics configuratie, Network Protection, Controlled Folder Access, Exploit Protection, Custom Indicators en Threat Intelligence integratie. Implementeert geavanceerde endpointbeveiligingsfuncties voor moderne bedreigingsdetectie. .NOTES Filename: advanced-features.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/m365/defender-endpoint/advanced-features.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\advanced-features.ps1 -Monitoring Controleert of geavanceerde Defender voor Endpoint functies correct zijn geconfigureerd .EXAMPLE .\advanced-features.ps1 -Remediation Configureert geavanceerde Defender voor Endpoint functies volgens best practices #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph, Microsoft.Graph.Security [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Configuratie $ASRAuditModeEnabled = $true $NetworkProtectionEnabled = $true $ControlledFolderAccessEnabled = $true $AdvancedHuntingEnabled = $true function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Controleren van Microsoft Graph verbinding..." try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes "SecurityEvents.ReadWrite.All", "SecurityActions.ReadWrite.All", "ThreatHunting.Read.All" -ErrorAction Stop Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Microsoft Graph: $_" throw } Write-Verbose "Controleren van Microsoft Defender voor Endpoint verbinding..." try { # Check if Microsoft Defender for Endpoint module is available $defenderModule = Get-Module -ListAvailable -Name "Microsoft.Graph.Security" -ErrorAction SilentlyContinue if ($defenderModule) { Write-Verbose "Microsoft Graph Security module beschikbaar" } else { Write-Warning "Microsoft Graph Security module niet gevonden - sommige checks kunnen falen" } } catch { Write-Warning "Kon Defender voor Endpoint verbinding niet controleren: $_" } } function Test-AdvancedFeaturesConfiguration { <# .SYNOPSIS Test of geavanceerde Defender voor Endpoint functies correct zijn geconfigureerd .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van geavanceerde Defender voor Endpoint functies configuratie..." $results = @{ IsCompliant = $false ASRConfigured = $false NetworkProtectionEnabled = $false ControlledFolderAccessEnabled = $false AdvancedHuntingEnabled = $false ThreatAnalyticsEnabled = $false CustomIndicatorsConfigured = $false Issues = @() Recommendations = @() } try { Write-Host "`n Geavanceerde Defender voor Endpoint Functies:" -ForegroundColor Cyan # Check if tenant has required licenses try { $orgInfo = Get-MgOrganization -ErrorAction Stop Write-Verbose "Tenant: $($orgInfo.DisplayName)" Write-Host " ✅ Microsoft Graph: Verbonden" -ForegroundColor Green } catch { Write-Warning "Kon tenant informatie niet ophalen: $_" $results.Issues += "Kon tenant informatie niet ophalen: $_" } # Check Advanced Hunting availability via Graph API try { # Note: Advanced Hunting is primarily accessed via the portal # Graph API access requires specific permissions and may be limited Write-Verbose "Controleren van Advanced Hunting beschikbaarheid..." Write-Host " ⚠️ Advanced Hunting: Vereist portal verificatie (security.microsoft.com → Hunting)" -ForegroundColor Yellow $results.Recommendations += "Verifieer Advanced Hunting toegang in security.microsoft.com → Hunting → Advanced hunting" } catch { Write-Warning "Kon Advanced Hunting status niet controleren: $_" $results.Issues += "Kon Advanced Hunting status niet controleren: $_" } # Check Threat Analytics availability try { Write-Verbose "Controleren van Threat Analytics beschikbaarheid..." Write-Host " ⚠️ Threat Analytics: Vereist portal verificatie (security.microsoft.com → Threat analytics)" -ForegroundColor Yellow $results.Recommendations += "Verifieer Threat Analytics toegang in security.microsoft.com → Threat analytics" } catch { Write-Warning "Kon Threat Analytics status niet controleren: $_" $results.Issues += "Kon Threat Analytics status niet controleren: $_" } # Provide recommendations based on best practices Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan Write-Host " 1. Verifieer ASR rules in security.microsoft.com → Settings → Endpoints → Advanced features → Attack surface reduction" -ForegroundColor Yellow Write-Host " 2. Configureer Network Protection in Settings → Endpoints → Advanced features → Network protection" -ForegroundColor Yellow Write-Host " 3. Configureer Controlled Folder Access in Settings → Endpoints → Advanced features → Controlled folder access" -ForegroundColor Yellow Write-Host " 4. Verifieer Advanced Hunting toegang en configureer saved queries" -ForegroundColor Yellow Write-Host " 5. Review Threat Analytics rapporten regelmatig voor actieve bedreigingen" -ForegroundColor Yellow Write-Host " 6. Configureer Custom Indicators voor proactieve bescherming" -ForegroundColor Yellow $results.Recommendations += "Start met Audit mode voor ASR rules voordat Block mode wordt geactiveerd" $results.Recommendations += "Configureer Network Protection in Block mode voor maximale bescherming" $results.Recommendations += "Voeg kritieke folders toe aan Controlled Folder Access protected folders" $results.Recommendations += "Maak Advanced Hunting saved queries voor veelvoorkomende threat hunting scenario's" $results.Recommendations += "Configureer Threat Intelligence feeds voor uitgebreide bedreigingsdetectie" # Simplified compliance check # In production, implement actual configuration checks via appropriate APIs $results.IsCompliant = $results.Issues.Count -eq 0 } catch { Write-Error "Fout tijdens geavanceerde functies configuratie check: $_" $results.Issues += "Fout tijdens configuratie check: $_" $results.IsCompliant = $false } return $results } function Invoke-Monitoring { <# .SYNOPSIS Monitort de status van geavanceerde Defender voor Endpoint functies #> [CmdletBinding()] param() Write-Host "`nMonitoring: Geavanceerde Defender voor Endpoint Functies" -ForegroundColor Yellow Write-Host "=========================================================" -ForegroundColor Yellow $result = Test-AdvancedFeaturesConfiguration Write-Host "`nResultaten:" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host " Status: ✅ BASISCONFIGURATIE OK" -ForegroundColor Green } else { Write-Host " Status: ⚠️ VERIFICATIE VEREIST" -ForegroundColor Yellow } if ($result.Issues.Count -gt 0) { Write-Host "`n Gevonden problemen:" -ForegroundColor Red foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Red } } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " - $recommendation" -ForegroundColor Yellow } } Write-Host "`n Let op:" -ForegroundColor Yellow Write-Host " Geavanceerde Defender voor Endpoint functies worden primair beheerd via de portal." -ForegroundColor Yellow Write-Host " Navigeer naar security.microsoft.com → Settings → Endpoints → Advanced features" -ForegroundColor Yellow Write-Host " om de volledige configuratie te verifiëren en aan te passen." -ForegroundColor Yellow Write-Host "`n Monitoring Metrics:" -ForegroundColor Cyan Write-Host " - Controleer ASR rules blocking statistieken in het Security Operations dashboard" -ForegroundColor White Write-Host " - Review Network Protection geblokkeerde URLs en IP-adressen" -ForegroundColor White Write-Host " - Analyseer Controlled Folder Access gebeurtenissen en uitzonderingen" -ForegroundColor White Write-Host " - Review Advanced Hunting query resultaten en custom detection rules" -ForegroundColor White Write-Host " - Monitor Threat Analytics rapporten voor actieve bedreigingscampagnes" -ForegroundColor White Write-Host " - Analyseer Custom Indicators effectiviteit en false positives" -ForegroundColor White Write-Host " - Meet MTTD (Mean Time To Detect) en MTTR (Mean Time To Respond)" -ForegroundColor White if ($result.IsCompliant) { Write-Host "`n✅ Geavanceerde functies basischecks geslaagd" -ForegroundColor Green Write-Host " Verifieer volledige configuratie in de portal voor details" -ForegroundColor Yellow exit 0 } else { Write-Host "`n⚠️ Verificatie vereist - Controleer geavanceerde functies configuratie in de portal" -ForegroundColor Yellow exit 1 } } function New-AdvancedFeaturesConfiguration { <# .SYNOPSIS Configureert geavanceerde Defender voor Endpoint functies volgens best practices #> [CmdletBinding()] param() Write-Verbose "Configureren van geavanceerde Defender voor Endpoint functies..." Write-Host "`nRemediatie: Geavanceerde Defender voor Endpoint Functies Configuratie" -ForegroundColor Yellow Write-Host "====================================================================" -ForegroundColor Yellow Write-Host "`n Belangrijke opmerking:" -ForegroundColor Yellow Write-Host " Geavanceerde Defender voor Endpoint functies configuratie wordt primair" -ForegroundColor White Write-Host " beheerd via de Microsoft 365 Defender portal (security.microsoft.com)." -ForegroundColor White Write-Host " PowerShell automatisering voor directe configuratie is beperkt." -ForegroundColor White Write-Host "" Write-Host " Configuratiestappen via Portal:" -ForegroundColor Cyan Write-Host "" Write-Host " 1. ATTACK SURFACE REDUCTION (ASR) RULES:" -ForegroundColor White Write-Host " - Navigeer naar security.microsoft.com → Settings → Endpoints → Advanced features" -ForegroundColor Gray Write-Host " - Selecteer 'Attack surface reduction rules'" -ForegroundColor Gray Write-Host " - Configureer aanbevolen rules in Audit mode initieel" -ForegroundColor Gray Write-Host " - Aanbevolen rules:" -ForegroundColor Gray Write-Host " • Block executable content from email client and webmail" -ForegroundColor Gray Write-Host " • Block Office applications from creating child processes" -ForegroundColor Gray Write-Host " • Block JavaScript or VBScript from launching downloaded executable content" -ForegroundColor Gray Write-Host " • Block execution of potentially obfuscated scripts" -ForegroundColor Gray Write-Host " • Block Win32 API calls from Office macros" -ForegroundColor Gray Write-Host "" Write-Host " 2. NETWORK PROTECTION:" -ForegroundColor White Write-Host " - Navigeer naar Settings → Endpoints → Advanced features → Network protection" -ForegroundColor Gray Write-Host " - Configureer in Block mode voor maximale bescherming" -ForegroundColor Gray Write-Host " - Test eerst in Audit mode om het effect te observeren" -ForegroundColor Gray Write-Host "" Write-Host " 3. CONTROLLED FOLDER ACCESS:" -ForegroundColor White Write-Host " - Navigeer naar Settings → Endpoints → Advanced features → Controlled folder access" -ForegroundColor Gray Write-Host " - Activeer Controlled Folder Access" -ForegroundColor Gray Write-Host " - Voeg kritieke folders toe aan protected folders lijst" -ForegroundColor Gray Write-Host " - Voeg business-kritieke applicaties toe aan allowed apps lijst" -ForegroundColor Gray Write-Host "" Write-Host " 4. ADVANCED HUNTING:" -ForegroundColor White Write-Host " - Navigeer naar security.microsoft.com → Hunting → Advanced hunting" -ForegroundColor Gray Write-Host " - Maak saved queries voor veelvoorkomende threat hunting scenario's" -ForegroundColor Gray Write-Host " - Configureer custom detection rules op basis van queries" -ForegroundColor Gray Write-Host " - Gebruik Microsoft voorbeeldqueries als startpunt" -ForegroundColor Gray Write-Host "" Write-Host " 5. THREAT ANALYTICS:" -ForegroundColor White Write-Host " - Navigeer naar security.microsoft.com → Threat analytics" -ForegroundColor Gray Write-Host " - Review regelmatig actieve bedreigingscampagnes" -ForegroundColor Gray Write-Host " - Implementeer mitigaties zoals beschreven in rapporten" -ForegroundColor Gray Write-Host "" Write-Host " 6. CUSTOM INDICATORS (IOCs):" -ForegroundColor White Write-Host " - Navigeer naar Settings → Endpoints → Indicators → Files/IPs/URLs/Domains" -ForegroundColor Gray Write-Host " - Voeg specifieke bestanden, IP-adressen, URLs en domeinen toe" -ForegroundColor Gray Write-Host " - Configureer severity levels en actions (Alert, Warn, Block)" -ForegroundColor Gray Write-Host "" Write-Host " 7. THREAT INTELLIGENCE INTEGRATIE:" -ForegroundColor White Write-Host " - Navigeer naar Settings → Threat intelligence → Threat intelligence indicators" -ForegroundColor Gray Write-Host " - Configureer externe threat intelligence feeds (TAXII, API)" -ForegroundColor Gray Write-Host " - Importeer IOCs van vertrouwde threat intelligence providers" -ForegroundColor Gray Write-Host "" Write-Host " Aanbevolen implementatievolgorde:" -ForegroundColor Cyan Write-Host " 1. Start met Network Protection en Controlled Folder Access (minder invasief)" -ForegroundColor White Write-Host " 2. Configureer ASR rules in Audit mode en monitor voor 2-4 weken" -ForegroundColor White Write-Host " 3. Analyseer Audit logs voor false positives en business impact" -ForegroundColor White Write-Host " 4. Converteer ASR rules geleidelijk naar Block mode voor kritieke scenario's" -ForegroundColor White Write-Host " 5. Configureer Advanced Hunting queries en custom detection rules" -ForegroundColor White Write-Host " 6. Review Threat Analytics regelmatig en implementeer mitigaties" -ForegroundColor White Write-Host " 7. Voeg Custom Indicators toe voor proactieve bescherming" -ForegroundColor White Write-Host "" if ($WhatIf) { Write-Host " [WhatIf] Zou configuratie-instructies genereren" -ForegroundColor Yellow Write-Host " [WhatIf] Zie bovenstaande stappen voor handmatige configuratie" -ForegroundColor Yellow return } Write-Host " PowerShell ondersteuning:" -ForegroundColor Cyan Write-Host " Dit script kan de configuratie niet direct aanpassen via PowerShell." -ForegroundColor White Write-Host " Gebruik de bovenstaande stappen voor handmatige configuratie in de portal." -ForegroundColor White Write-Host "" Write-Host " Alternatief: Microsoft Graph API" -ForegroundColor Cyan Write-Host " Voor geavanceerde automatisering kan de Microsoft Graph Security API" -ForegroundColor White Write-Host " worden gebruikt voor bepaalde configuraties, maar dit vereist uitgebreide API-integratie." -ForegroundColor White Write-Host " Zie documentatie: https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview" -ForegroundColor White Write-Host "" Write-Host "✅ Configuratie-instructies gegenereerd" -ForegroundColor Green Write-Host " Volg de bovenstaande stappen om geavanceerde functies handmatig te configureren in de portal" -ForegroundColor Yellow exit 0 } function Invoke-Remediation { <# .SYNOPSIS Configureert geavanceerde Defender voor Endpoint functies #> [CmdletBinding()] param() New-AdvancedFeaturesConfiguration } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Geavanceerde Defender voor Endpoint Functies" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Connect to services Connect-RequiredServices # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Compliance check $result = Test-AdvancedFeaturesConfiguration Write-Host "`n Geavanceerde Defender voor Endpoint Functies Status:" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "`n✅ BASISCONFIGURATIE OK" -ForegroundColor Green Write-Host " Verifieer volledige configuratie in security.microsoft.com" -ForegroundColor Yellow } else { Write-Host "`n⚠️ VERIFICATIE VEREIST" -ForegroundColor Yellow Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation voor configuratie-instructies" -ForegroundColor Yellow } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " • $recommendation" -ForegroundColor White } } return $result } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder geavanceerde Defender voor Endpoint functies blijven moderne cyberbedreigingen zoals fileless malware, ransomware, zero-day exploits en geavanceerde persistente bedreigingen onopgemerkt totdat significante schade is aangericht. Gemiddeld duurt detectie van geavanceerde bedreigingen zonder EDR tools 207 dagen, terwijl geavanceerde functies dit reduceert tot minuten. Dit verschil is kritiek voor het beperken van de impact van security incidenten, wat gemiddeld €4.5 miljoen per data breach incident kost. Geavanceerde functies zijn essentieel voor compliance met NIS2, BIO en ISO 27001 vereisten.

Management Samenvatting

Implementeer geavanceerde Defender voor Endpoint functies inclusief Attack Surface Reduction, Advanced Hunting, Threat Analytics, Automated Investigation and Response, Behavioral Analytics, Network Protection, Controlled Folder Access, Exploit Protection, Custom Indicators en Threat Intelligence integratie. Deze functies detecteren en blokkeren moderne bedreigingen zoals fileless malware, ransomware en zero-day exploits, reduceren MTTD/MTTR van dagen naar minuten, en voldoen aan NIS2/BIO/ISO 27001 vereisten. Implementatie: 24 uur technisch + 32 uur voor governance, testing en training. CRITICAL voor moderne endpointbeveiliging.