💼 Management Samenvatting
Dreigingsinformatie krijgt pas waarde wanneer meerdere organisaties dezelfde signalen binnen minuten kunnen interpreteren en vertalen naar maatregelen. Community collaboration binnen Microsoft 365 zorgt dat SOC-teams, CISO-offices en ketenpartners vanuit hetzelfde platform werken met gedeelde context, uniforme taal en gecontroleerde kanalen. Hierdoor worden inzichten uit Defender XDR, Sentinel en Entra ID razendsnel gekoppeld aan governanceafspraken binnen de Nederlandse Baseline voor Veilige Cloud.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
0u
Van toepassing op:
✓ Microsoft 365 E5
✓ Microsoft Teams
✓ Microsoft Defender XDR
✓ Microsoft Sentinel
✓ Microsoft Teams
✓ Microsoft Defender XDR
✓ Microsoft Sentinel
Zonder georganiseerde samenwerking blijft dreigingsinformatie gefragmenteerd en ontstaat een herhalend patroon van vertraagde response. Statelijke actoren kunnen dezelfde aanval in meerdere bestuurslagen uitvoeren omdat indicatoren, anomalieën en playbooks niet tijdig worden gedeeld. Dit leidt tot langere dwell times, hogere forensische kosten en het risico dat toezichthouders vaststellen dat NIS2- en BIO-eisen niet aantoonbaar worden nageleefd. Door community collaboration centraal te zetten ontstaat een gedeeld beeld van risico’s, krijgt crisiscommunicatie betrouwbare input en kunnen bestuurders laten zien dat zij structureel samenwerken met ketenpartners en het NCSC.
PowerShell Modules Vereist
Primary API: Microsoft Graph Groups API, Microsoft Graph Security API
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Dit artikel beschrijft hoe u community collaboration ontwerpt en beheert. Eerst behandelen we het strategische fundament en de governance die samenwerking legitimeert. Vervolgens werken we een operationeel model uit waarin signalering, analyse en besluitvorming naadloos op elkaar aansluiten. Tot slot tonen we hoe tooling en automatisering – inclusief een PowerShell-assessment – zorgen voor meetbare kwaliteit en naleving.
Strategische verankering van community collaboration
Een community gedijt alleen wanneer het mandaat stevig is. Begin met een charter waarin deelnemende organisaties vastleggen welke dreigingen, processen en sectoren worden bestreken. Koppel dit charter aan BIO-paragrafen, Wbni-vereisten en afspraken met het NCSC, zodat duidelijk is welke juridische grondslag geldt voor gegevensdeling. Het charter benoemt ook hoe sensitiviteitslabels uit Microsoft Purview worden toegepast op documenten, Teams-chats en dashboards. Door het document te laten bekrachtigen door CIO-beraden en bestuurders krijgt de community het politieke draagvlak om snel beslissingen te nemen tijdens een incident.
Daarna volgt een heldere rolverdeling. Elke deelnemer levert een operationeel aanspreekpunt, een strategische sponsor en een compliance-vertegenwoordiger. Escalatieregels beschrijven welke signalen binnen één uur gedeeld moeten worden en wanneer juridisch of bestuurlijk overleg vereist is. Deze regels worden digitaal ontsloten via een Teams-wiki en gekoppeld aan Planner of Azure DevOps, zodat bij iedere melding zichtbaar is wie verantwoordelijk is voor triage, validatie en communicatie naar bestuurders. Dit voorkomt dat waardevolle informatie verzandt in e-mailketens of vergaderingen zonder eigenaar.
Vertrouwen vraagt om technische borging. Community kanalen in Teams zijn voorzien van gevoeligheidslabels die encryptie, gasttoegang en device compliance afdwingen. Elk kanaal heeft een vaste structuur met een contextsectie, indicatorlogboek en besluitenregister. Gastgebruikers worden ontsloten via Entra ID Access Reviews zodat toegang automatisch wordt ingetrokken wanneer de samenwerking eindigt. SharePoint- en Loop-artefacten krijgen retentiebeleid dat aansluit op de Archiefwet, waardoor reconstructie en audits mogelijk blijven zonder dat gevoelige gegevens onbeperkt circuleren.
Strategische sturing komt tot leven wanneer resultaten meetbaar zijn. Stel KPI’s op zoals ‘tijd tussen detectie en community-distributie’, ‘aantal gezamenlijke hunts dat tot mitigaties leidde’ en ‘percentage meldingen dat in crisisoverleggen is besproken’. Visualiseer de uitkomsten in Power BI-dashboards die automatisch worden gevoed door Microsoft Lists en Sentinel-workbooks. Deze transparantie maakt het voor financiers duidelijk waar investeringen in licenties, logging of staffing direct toe leiden.
Tot slot blijft het strategische kader wendbaar via jaarlijkse herzieningen. Lessons learned uit oefeningen of echte incidenten worden verwerkt in nieuwe versies van het charter, waarbij wijzigingshistorie in dezelfde repository staat als scripts en policies. Hierdoor ontstaat een aantoonbare verbetercyclus die aansluit op de principes van de Nederlandse Baseline voor Veilige Cloud.
Operationeel werkmodel voor dagelijkse samenwerking
De operationele keten start met signalering. SOC-teams configureren Sentinel-connectoren voor Defender XDR, Entra ID en relevante SaaS-bronnen en markeren events als community-relevant zodra sectoroverstijgende impact wordt vermoed. Een Logic App stuurt deze meldingen naar een Teams-kanaal met een vaste template waarin actor, MITRE ATT&CK-technieken, potentiële kroonjuwelen en voorgestelde mitigaties staan. Door deze uniformiteit kunnen analisten direct bepalen welke configuraties of communication lines moeten worden aangescherpt.
Analyse gebeurt gezamenlijk met gedeelde KQL-query’s, hunting-scripts en onderzoeksnotities in Microsoft Loop. Elke query bevat documentatie over datavereisten, false positives en compliance-referenties, zodat deelnemers consistent werken. Tijdens virtuele war rooms worden bevindingen besproken, waarna beslissingen en onderbouwing in het besluitenregister worden opgenomen. Dit maakt het mogelijk om maanden later te reconstrueren waarom bepaalde maatregelen wel of niet zijn genomen.
Besluitvorming wordt ondersteund door playbooks die beschrijven hoe escalaties richting CISO’s, bestuurders en communicatieafdelingen verlopen. De playbooks zijn geïmplementeerd als Logic Apps of Power Automate-flows en creëren automatisch tickets in ServiceNow, Azure DevOps of TOPdesk. Wanneer meerdere organisaties betrokken zijn, wordt voor elke maatregel een eigenaar en deadline vastgelegd in Planner of Microsoft Lists. Zo blijft overzicht behouden en voldoen organisaties aan NIS2-eisen rondom opvolging.
Procesbewaking is cruciaal om de kwaliteit constant te houden. Een klein coördinatieteam voert wekelijks reviews uit op gedeelde indicatoren en hunts. Met Microsoft Lists of Dataverse-tabellen wordt vastgelegd hoe volledig een melding is, of de bron verifieerbaar is en of follow-up daadwerkelijk heeft plaatsgevonden. Partners die achterblijven krijgen gerichte ondersteuning, bijvoorbeeld in de vorm van een mini-workshop over KQL of hulp bij het inrichten van auditlogging.
Naast dagelijkse operaties organiseert de community periodieke oefeningen. Ten minste twee keer per jaar wordt een scenario doorlopen waarin een statelijke actor meerdere ketenpartners aanvalt. De oefening gebruikt dezelfde Teams-omgeving, dashboards en scripts als productie en levert lessons learned op die direct worden vertaald naar updates van policies en playbooks. Hierdoor groeit het vertrouwen en de paraatheid van alle betrokken partijen.
Tooling, automatisering en kwaliteitsbewaking
Gebruik PowerShell-script community-collaboration.ps1 (functie Invoke-CommunityCollaborationAssessment) – Controleert of community-groepen, Teams-koppelingen en auditlogging aanwezig zijn en of gevoeligheidslabels worden toegepast..
Microsoft Teams vormt de samenwerkingslaag en wordt ondersteund door SharePoint, Loop en OneNote voor documentatie. Elk Team krijgt een dedicated sensitivity label en Conditional Access-beleid zodat alleen compliant apparaten toegang hebben. Sentinel bevat watchlists en workbooks die indicatoren, KPI’s en acties consolideren. Door policies, scripts en dashboards in één repository te beheren ontstaat een traceerbaar verband tussen technologie en governance.
Automatisering houdt de community schaalbaar. Het PowerShell-script dat bij dit artikel hoort voert periodiek controles uit op het bestaan van community-groepen, de aanwezigheid van gekoppelde Teams en de beschikbaarheid van auditlogging. Resultaten worden opgeslagen als JSON of in een Microsoft List en voeden een kwaliteitsdashboard. Bij afwijkingen wordt automatisch een taak of work item aangemaakt zodat opvolging aantoonbaar is.
Indicatoren worden veilig gedeeld via Microsoft Graph Security API en Sentinel REST-endpoints. Geverifieerde IoC’s belanden direct in watchlists, terwijl ad-hoc meldingen via adaptive cards in Teams worden verspreid. Elke melding wordt gelogd via de Unified Audit Log, waardoor reconstructie bij audits of forensische onderzoeken mogelijk blijft. Deze aanpak combineert snelheid met volledige audittrail.
Kwaliteitsbewaking gebeurt met Key Quality Indicators zoals ‘percentage meldingen binnen SLA gedeeld’, ‘ratio tussen aangeleverde en geconsumeerde indicatoren’ en ‘gemiddelde tijd tot afronding van community-acties’. Power BI dashboards visualiseren deze data op basis van Lists, Sentinel en het PowerShell-script. Wanneer een KPI onder de norm zakt, ontstaat automatisch een verbeteractie met eigenaar, deadline en herbeoordeling.
Privacy- en compliance-eisen worden geïntegreerd in dezelfde tooling. Privacy officers toetsen elk kwartaal of gegevensstromen voldoen aan AVG, Archiefwet en sectorale kaders. Bevindingen worden gekoppeld aan het kwaliteitsdashboard en gedeeld binnen de community. Indien nodig volgen aanvullende waarborgen, zoals pseudonimisering van indicatoren of dual control voordat informatie buiten de EU wordt gedeeld. Zo ontstaat een duurzaam en verantwoord platform voor community collaboration.
Compliance & Frameworks
- CIS M365: Control (L2) - CIS-controles voor samenwerking, incidentrespons en threat intelligence sharing.
- BIO: 12.01, 12.03, 14.03, 16.01 - BIO-paragrafen voor monitoring, informatie-uitwisseling en ketenafspraken.
- ISO 27001:2022: A.5.7, A.5.24, A.8.16, A.5.31 - ISO 27001-controles rondom communicatie bij incidenten, samenwerking en continue verbetering.
- NIS2: Artikel - NIS2-artikelen voor operationele samenwerking, rapportage en informatie-uitwisseling met bevoegde instanties.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Valideert of Microsoft 365 klaar is voor veilige community collaboration rond dreigingsinformatie.
.DESCRIPTION
Dit script controleert of er geschikte Microsoft 365-groepen en Teams bestaan voor gedeelde threat intelligence,
of gevoeligheidslabels worden toegepast en of auditlogging beschikbaar is om wijzigingen in samenwerking te volgen.
De controles zijn read-only en sluiten aan op het artikel 'community-collaboration' binnen de Nederlandse Baseline
voor Veilige Cloud.
.NOTES
Filename : community-collaboration.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Created : 2025-11-27
Version : 1.0
Gerelateerd JSON-artikel:
content/m365/threat-intelligence/community-collaboration.json
.EXAMPLE
.\community-collaboration.ps1 -Assessment
Voert alle controles uit en toont de resultaten.
.EXAMPLE
.\community-collaboration.ps1 -Assessment -GroupPrefix "NCSC-"
Inspecteert alleen groepen waarvan de naam begint met "NCSC-".
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Assessment,
[Parameter()]
[ValidateNotNullOrEmpty()]
[string]$GroupPrefix = "TI-",
[Parameter()]
[ValidateRange(10, 500)]
[int]$MaxGroups = 150
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'SilentlyContinue'
function Connect-NbvvcGraphContext {
<#
.SYNOPSIS
Zorgt voor een geldige Microsoft Graph-verbinding.
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van bestaande Microsoft Graph-context..."
try {
$ctx = Get-MgContext -ErrorAction SilentlyContinue
if (-not $ctx) {
if ($WhatIf) {
Write-Host "WhatIf: zou Connect-MgGraph uitvoeren met Directory-, Group- en AuditLog-scopes." -ForegroundColor Yellow
return
}
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes @(
"Directory.Read.All",
"Group.Read.All",
"AuditLog.Read.All"
) -ErrorAction Stop
$ctx = Get-MgContext -ErrorAction Stop
Write-Host "Verbonden met Microsoft Graph tenant: $($ctx.TenantId)" -ForegroundColor Green
}
else {
Write-Verbose "Bestaande Microsoft Graph-context gevonden voor tenant $($ctx.TenantId)."
}
}
catch {
Write-Error "Kon geen geldige Microsoft Graph-context verkrijgen: $_"
throw
}
}
function Get-NbvvcCommunityGroups {
<#
.SYNOPSIS
Haalt groepen op die worden gebruikt voor threat intelligence-samenwerking.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$Prefix,
[Parameter(Mandatory)]
[int]$Top
)
Write-Verbose "Zoeken naar groepen met voorvoegsel '$Prefix' (max $Top)."
if ($WhatIf) {
Write-Host "WhatIf: zou Get-MgGroup uitvoeren met ConsistencyLevel=eventual." -ForegroundColor Yellow
return @()
}
$groups = Get-MgGroup -ConsistencyLevel eventual -CountVariable _ -Top $Top -Property @(
"id",
"displayName",
"securityEnabled",
"mailEnabled",
"visibility",
"resourceProvisioningOptions",
"assignedLabels",
"createdDateTime"
) -ErrorAction Stop
if ($Prefix) {
return $groups | Where-Object { $_.DisplayName -like "$Prefix*" }
}
return $groups
}
function Test-CommunityCollaborationReadiness {
<#
.SYNOPSIS
Voert de feitelijke controles uit.
.OUTPUTS
PSCustomObject met resultaten.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$Prefix,
[Parameter(Mandatory)]
[int]$Top
)
$result = [PSCustomObject]@{
TenantId = $null
GroupPrefix = $Prefix
GroupCount = 0
TeamsBackedGroups = 0
PrivateGroupRatio = 0
HasSensitivityLabels = $false
AuditLogAvailable = $null
CollaborationGroups = @()
Issues = @()
Recommendations = @()
}
$ctx = Get-MgContext -ErrorAction SilentlyContinue
if ($ctx) {
$result.TenantId = $ctx.TenantId
}
Write-Host "`nCommunity Collaboration Assessment" -ForegroundColor Cyan
Write-Host "====================================" -ForegroundColor Cyan
$groups = Get-NbvvcCommunityGroups -Prefix $Prefix -Top $Top
if ($groups.Count -eq 0) {
$result.Issues += "Geen groepen gevonden die beginnen met '$Prefix'."
Write-Warning "Geen community-groepen aangetroffen."
}
else {
$result.GroupCount = $groups.Count
$collabGroups = foreach ($group in $groups) {
$hasTeam = $false
if ($group.ResourceProvisioningOptions) {
$hasTeam = $group.ResourceProvisioningOptions -contains "Team"
}
$hasLabel = $false
if ($group.AssignedLabels -and $group.AssignedLabels.Count -gt 0) {
$hasLabel = $true
}
[PSCustomObject]@{
DisplayName = $group.DisplayName
Id = $group.Id
Visibility = $group.Visibility
HasTeam = $hasTeam
HasSensitivityLabel = $hasLabel
SecurityEnabled = [bool]$group.SecurityEnabled
MailEnabled = [bool]$group.MailEnabled
CreatedDate = $group.CreatedDateTime
}
}
$result.CollaborationGroups = $collabGroups
$result.TeamsBackedGroups = ($collabGroups | Where-Object { $_.HasTeam }).Count
$privateCount = ($collabGroups | Where-Object { $_.Visibility -eq "Private" }).Count
if ($collabGroups.Count -gt 0) {
$result.PrivateGroupRatio = [Math]::Round(($privateCount / $collabGroups.Count) * 100, 2)
}
$result.HasSensitivityLabels = ($collabGroups | Where-Object { $_.HasSensitivityLabel }).Count -gt 0
if (-not $result.HasSensitivityLabels) {
$result.Issues += "Geen van de community-groepen heeft een gevoeligheidslabel."
$result.Recommendations += "Koppel Microsoft Purview gevoeligheidslabels aan community-groepen om gegevensuitwisseling te beschermen."
}
if ($result.TeamsBackedGroups -eq 0) {
$result.Issues += "Geen enkele community-groep is gekoppeld aan een Microsoft Teams-werkruimte."
$result.Recommendations += "Creëer minimaal één Teams-omgeving voor realtime threat intelligence-samenwerking."
}
}
try {
if ($WhatIf) {
Write-Host "WhatIf: zou Get-MgAuditLogDirectoryAudit uitvoeren om auditlogging te verifiëren." -ForegroundColor Yellow
$result.AuditLogAvailable = $null
}
else {
$null = Get-MgAuditLogDirectoryAudit -Top 1 -Filter "Activity eq 'GroupUpdated'" -ErrorAction Stop
$result.AuditLogAvailable = $true
Write-Host " OK: Directory auditlogs voor groepswijzigingen zijn beschikbaar." -ForegroundColor Green
}
}
catch {
$result.AuditLogAvailable = $false
$result.Issues += "Kon directory auditlogs niet ophalen; controleer Unified Audit Log-configuratie."
$result.Recommendations += "Zorg voor AuditLog.Read.All en een bewaartermijn van minimaal 180 dagen zodat community-besluiten traceerbaar blijven."
Write-Warning "Auditlogtoegang niet beschikbaar."
}
Write-Host "`nSamenvatting:" -ForegroundColor Cyan
Write-Host " TenantId : $($result.TenantId)" -ForegroundColor White
Write-Host " Groepsvoorvoegsel : $($result.GroupPrefix)" -ForegroundColor White
Write-Host " Aantal groepen : $($result.GroupCount)" -ForegroundColor White
Write-Host " Groepen met Teams : $($result.TeamsBackedGroups)" -ForegroundColor White
Write-Host " Privé-groepen (%) : $($result.PrivateGroupRatio)" -ForegroundColor White
Write-Host " Labels aanwezig : $($result.HasSensitivityLabels)" -ForegroundColor White
Write-Host " Auditlog beschikbaar : $($result.AuditLogAvailable)" -ForegroundColor White
if ($result.Issues.Count -gt 0) {
Write-Host "`nAandachtspunten:" -ForegroundColor Yellow
foreach ($issue in $result.Issues) {
Write-Host " - $issue" -ForegroundColor Yellow
}
}
if ($result.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Green
foreach ($rec in $result.Recommendations) {
Write-Host " - $rec" -ForegroundColor Green
}
}
return $result
}
function Invoke-CommunityCollaborationAssessment {
<#
.SYNOPSIS
Publieke functie voor documentatie en automation.
#>
[CmdletBinding()]
param(
[Parameter()]
[string]$Prefix = $GroupPrefix,
[Parameter()]
[int]$Top = $MaxGroups
)
if (-not $WhatIf) {
Connect-NbvvcGraphContext
}
$assessment = Test-CommunityCollaborationReadiness -Prefix $Prefix -Top $Top
return $assessment
}
if ($Assessment) {
Invoke-CommunityCollaborationAssessment | Out-Null
}