💼 Management Samenvatting
Een volwassen threat intelligence-functie binnen Microsoft 365 vormt de ruggengraat van de Nederlandse Baseline voor Veilige Cloud. Het verbindt beleidsmatige risicosturing, operationele detectie en bestuurlijke besluitvorming in één continu proces dat statelijke dreigingen, cybercriminaliteit en insiderscenario's vroegtijdig herkent en neutraliseert.
Aanbeveling
IMPLEMENT
Risico zonder
Very High
Risk Score
9/10
Implementatie
0u
Van toepassing op:
✓ Nederlandse ministeries
✓ ZBO's en agentschappen
✓ Vitale aanbieders
✓ Gemeentelijke samenwerkingen
✓ SOC- en CSIRT-teams
✓ ZBO's en agentschappen
✓ Vitale aanbieders
✓ Gemeentelijke samenwerkingen
✓ SOC- en CSIRT-teams
Zonder geïntegreerde threat intelligence blijft securityreactief, versnipperd over losse teams en afhankelijk van toevallige meldingen. Dat leidt tot trage respons, mislukte incidentcommunicatie en onvoldoende verantwoording richting toezichthouders zoals Agentschap Telecom of Auditdienst Rijk. Een programmatische aanpak levert juist voorspelbaarheid, herhaalbare use-cases en aantoonbare compliance met BIO, Wbni en NIS2.
PowerShell Modules Vereist
Primary API: Microsoft Graph Security API, Microsoft Defender XDR API, Microsoft Sentinel API, Microsoft Purview API
Connection:
Required Modules: Microsoft.Graph, Az.Accounts, Az.SecurityInsights, ExchangeOnlineManagement
Connection:
Connect-MgGraph, Connect-AzAccount, Connect-IPPSSessionRequired Modules: Microsoft.Graph, Az.Accounts, Az.SecurityInsights, ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe Nederlandse publieke organisaties een end-to-end threat intelligence operating model opzetten binnen Microsoft 365. We behandelen strategische governance, de inrichting van telemetry en datastromen, automatisering richting detectie en respons, en de borging van kwaliteit, auditability en prestatie-indicatoren. Elk onderdeel sluit aan op het ondersteunende PowerShell-script dat randvoorwaarden valideert in lijn met lokale debugvereisten.
Strategische regie en operating model voor Microsoft 365 threat intelligence
Een effectief threat intelligence-programma start met strategische regie die direct is verankerd in de bestuursstructuur. Bestuurlijke opdrachtgevers bepalen het mandaat, de budgetten en de vrijstellingen die nodig zijn om informatie vanuit NAVO, NCSC en sectorale ISAC's te ontvangen en te verwerken. Binnen Microsoft 365 betekent dit dat het Threat Intelligence Center toegang krijgt tot privileged werkplekken, geclassificeerde Teams-kanalen en Purview-labels waarmee de hele levenscyclus van indicatoren gecontroleerd blijft. Het operating model beschrijft welke rollen betrokken zijn bij intake, validatie, distributie en evaluatie. De CISO stelt prioriteiten op basis van dreigingsscenario's en risico-acceptaties, terwijl het SOC uitvoering geeft aan operationele playbooks en het Chief Data Office toezicht houdt op datakwaliteit en bewaartermijnen. Door deze rollen expliciet toe te wijzen ontstaat eigenaarschap en worden investeringen in Microsoft 365 securityfunctionaliteit doelgericht ingezet.
Het operating model vertaalt geopolitieke signalen naar concrete use-cases voor Microsoft 365. Bijvoorbeeld: spanningen rond verkiezingen leiden tot verscherpte monitoring van Outlook-regels, Teams-live events en SharePoint-publicaties, terwijl diplomatieke crises juist extra focus vragen op toegang tot vertrouwelijke kanalen en de inzet van multi-factor authenticatie op basis van FIDO2. Deze scenario's worden opgenomen in een threat intelligence roadmap die per kwartaal vastlegt welke datasets moeten worden ontsloten, welke detectieregels worden ontwikkeld en welke awareness-campagnes volgen. Elke roadmap-item kent een SMART-formulering, gekoppeld aan de relevante NIS2- of BIO-paragraaf, zodat compliance vanaf het begin is geïntegreerd. Microsoft Planner of Azure DevOps fungeert als backlog waarin taken automatisch worden gelinkt aan de corresponderende Sentinel-use cases en Defender XDR hunts, waardoor traceerbaarheid ontstaat van strategische keuze tot technische implementatie.
Een Nederlandse context vraagt bovendien om ketenafspraken. Veel beleidsprocessen lopen over meerdere departementen en uitvoeringsorganisaties, waardoor threat intelligence zich niet kan beperken tot één tenant. Het operating model beschrijft daarom hoe indicatoren worden gedeeld via beveiligde Teams-kanalen, hoe gated communities worden ingericht voor gemeenten binnen één veiligheidsregio en hoe leveranciers worden betrokken via Microsoft Entra B2B. Tegelijkertijd borgt het model dat de verantwoordelijkheid voor classificatie en bewaarbeleid nooit wordt uitbesteed: de ontvangende partij bevestigt ontvangst, verrijkt indicatoren met lokale context en rapporteert binnen afgesproken termijnen terug. Deze afspraken worden vastgelegd in een multi-lateraal memorandum of understanding dat verwijst naar de Nederlandse Baseline voor Veilige Cloud en de Archiefwet, zodat auditors exact weten welke regels van toepassing zijn.
Tot slot moet het operating model aantoonbaar leren van fouten en successen. Na elk incident of oefening worden lessons learned vastgelegd in een Purview-record, gekoppeld aan de betreffende Sentinel-incidenten en Teams-besluiten. Het governanceboard beoordeelt per kwartaal of indicatoren daadwerkelijk hebben geleid tot snellere detectie, of dat datastromen moeten worden aangepast. KPI's omvatten bijvoorbeeld de gemiddelde tijd tussen indicatorontvangst en detectieregel, het aantal community feeds dat actief wordt gebruikt, en de mate waarin beleidsmaatregelen (zoals Conditional Access) daadwerkelijk zijn aangescherpt. Door deze feedbacklus ontstaat een cyclisch verbeterproces waarin threat intelligence onderdeel is van reguliere planning-and-control, niet van ad-hoc heldendaden.
Telemetry, datakwaliteit en analytics fabric voor threat intelligence
De kern van elke threat intelligence-capaciteit is een betrouwbare data fabric. Binnen Microsoft 365 bestaat die uit Microsoft Defender XDR, Microsoft Sentinel, Microsoft Purview en Microsoft Graph. Alle relevante logbronnen moeten minimaal 180 dagen beschikbaar zijn om dwell time van statelijke actoren te reconstrueren. Dat betekent dat SigninLogs, AuditLogs, Defender alerts en Purview data estate scans worden ingestroomd in een dedicated Log Analytics workspace die is afgeschermd met customer-managed keys en ingestelde data cap alerts. De architectuurdocumentatie beschrijft hoe data connectoren zijn geconfigureerd, welke datakwaliteitscontroles draaien en hoe fallback logging naar Azure Storage plaatsvindt wanneer verbindingsproblemen worden gedetecteerd. Hiermee wordt voorkomen dat indicatoren in het luchtledige vallen doordat basale telemetry ontbreekt.
Datakwaliteit vereist meer dan retentie alleen. Elk logtype krijgt een eigenaar die verantwoordelijk is voor volledigheid, tijdigheid en semantische correctheid. Binnen Purview Data Catalog worden datadomeinen beschreven en voorzien van kwaliteitsscores. Voor threat intelligence betekent dit bijvoorbeeld dat Defender for Office 365 logs worden verrijkt met DMARC- en SPF-statussen, terwijl Teams-lobbygebeurtenissen worden gelabeld met de betrokken organisatie en het gebruikte apparaat. Deze verrijking wordt gerealiseerd via Kusto-functions, Azure Functions of Logic Apps die context ophalen uit HR-systemen, asset registers of WAF-telemetry. Het resultaat is een samenhangende dataset waarin indicatoren direct kunnen worden gekoppeld aan personen, processen en applicaties. Nederlandse organisaties gebruiken deze verrijkte datasets ook om compliance te onderbouwen: per logtype is vastgelegd welke BIO-paragraaf wordt afgedekt en welke interne controles het bewijs leveren.
Analytics vormt de volgende laag en combineert twee benaderingen. Enerzijds zijn er rule-based detecties die indicatoren matchen tegen SigninLogs, DeviceEvents of EmailEvents. Anderzijds draait een advanced analytics-pijplijn met Machine Learning in Microsoft Sentinel of Fabric, waarin gedragsafwijkingen (bijvoorbeeld onmogelijk reisgedrag of plotselinge toename van OAuth-consent) worden gekoppeld aan de MITRE ATT&CK-taxonomie. Threat intelligence-teams gebruiken notebooks of KQL-hunting queries om hypotheses te testen en context toe te voegen voordat een indicator operationaliseert. Alle queries worden versiebeheerd in Git en gekoppeld aan het betreffende artikel binnen de Nederlandse Baseline voor Veilige Cloud. Hierdoor zien auditors exact welke logica hoort bij welk beleidsartikel, terwijl engineers weten welke documentatie moet worden bijgewerkt wanneer een query wijzigt.
De data fabric eindigt niet bij detection. Resultaten moeten worden gedeeld met bestuurders, beleidsmakers en ketenpartners in begrijpelijke taal. Power BI-rapportages in een beveiligde app workspace tonen trendanalyses van indicatoren, response-tijden en correlaties tussen community feeds en eigen incidenten. Deze rapportages zijn gekoppeld aan Microsoft Purview zodat gevoelige tabellen automatisch worden versleuteld en alleen beschikbaar zijn voor geautoriseerde doelgroepen. Voor internationale samenwerking worden exports gegenereerd in STIX 2.1 via Logic Apps, inclusief metadata over betrouwbaarheid, classificatie en verwijzing naar het onderliggende artikel van de Nederlandse Baseline. Zo blijft de gehele keten transparant, reproduceerbaar en controleerbaar.
Automatisering, detectie en respons op basis van threat intelligence
Gebruik PowerShell-script index.ps1 (functie Invoke-ThreatIntelligenceCapabilityAssessment) – Controleert of Graph-, Sentinel- en Purview-randvoorwaarden aanwezig zijn, valideert governance-artefacten en ondersteunt DebugMode-tests binnen 15 seconden..
Automatisering zorgt ervoor dat threat intelligence geen papieren proces blijft. Microsoft Sentinel playbooks importeren STIX/TAXII-feeds, dedupliceren indicatoren en publiceren ze naar de ThreatIntelligenceIndicator-tabel. Defender XDR automatiseert hunting-query's zodra een indicator is goedgekeurd, zodat endpoints, identiteiten en e-mailverkeer gelijktijdig worden onderzocht. Conditional Access policies kunnen automatisch worden aangescherpt wanneer een indicator een kritieke rol raakt; bijvoorbeeld het tijdelijk blokkeren van legacy-authenticatie of het verplichten van step-up MFA voor een specifieke functiegroep. Deze maatregelen worden niet blind uitgevoerd: het operating model definieert drempelwaarden, escalatiepaden en rollback-scenario's, zodat automatisering altijd onder bestuurlijke controle blijft.
Het PowerShell-script dat bij dit artikel hoort fungeert als kwaliteitscontrole. Het maakt in standaardmodus verbinding met Microsoft Graph, Sentinel en Purview en controleert of essentiële componenten aanwezig zijn: actieve data connectoren, voldoende auditlogretentie, toegepaste sensitivity labels en documentatiepaden binnen de repository. Dankzij de DebugMode-optie kan hetzelfde script lokaal worden getest zonder externe verbindingen, waarmee wordt voldaan aan de eis dat elke nieuwe of gewijzigde scriptlogica veilig moet kunnen worden gevalideerd binnen 15 seconden. Het script produceert een uniform object dat door CI/CD-pipelines, Sentinel automation rules of managementrapportages kan worden opgepakt. Zo ontstaat een herhaalbaar assessmentritme waarin technische metingen, governancebewijzen en documentatiereferenties consistent worden verzameld.
Responsprocessen sluiten naadloos aan op deze automatisering. Wanneer een indicator matcht met lokale telemetry wordt automatisch een Sentinel-incident aangemaakt dat via Teams wordt gedeeld met de relevante escalatiegroep. Playbooks voeren voorbereidende acties uit, zoals het isoleren van een apparaat, het intrekken van refresh tokens of het blokkeren van forwardingregels in Exchange Online. Parallel stuurt het systeem een notificatie naar het governanceboard zodat beleidsmatige besluiten (bijvoorbeeld openbaarmelding of contact met het NCSC) tijdig kunnen worden genomen. Elke stap wordt vastgelegd in de auditlog, inclusief wie welke beslissing nam, welke scriptversie draaide en welke indicator de aanleiding vormde. Deze volledige traceerbaarheid maakt het mogelijk om achteraf na te gaan waarom bepaalde maatregelen wel of niet zijn genomen en of verbeteringen nodig zijn.
Compliance, assurance en prestatiesturing
Threat intelligence heeft alleen waarde wanneer de organisatie kan aantonen dat processen onder controle zijn. Daarom combineert deze index assurance-methoden uit de BIO met continue monitoring. Elk procesonderdeel krijgt een control statement met bewijs: intake wordt onderbouwd door Teams-notulen en registraties in Microsoft Lists, validatie door Sentinel-hunts en Purview-labelrapporten, distributie door secure mail logs en archivering door Records Management-statistieken. Interne audit en externe toezichthouders kunnen zo direct koppelen tussen het beleid in dit artikel en de feitelijke implementatie. De assurance-cyclus omvat jaarlijkse onafhankelijke toetsing en kwartaalreviews waarin risk owners verklaren dat controls hebben gewerkt. Afwijkingen worden geregistreerd in Azure DevOps en gekoppeld aan verbeteracties met duidelijke deadlines en verantwoordelijken.
Compliance strekt zich uit tot gegevensbescherming en archiefwetgeving. Purview Data Loss Prevention scant alle threat intelligence-documenten op persoonsgegevens en staatsgeheime aanduidingen. Wanneer gevoelige data worden aangetroffen in een kanaal met externe toegang, blokkeert een automatische policy het delen totdat de verantwoordelijke analist de classificatie bevestigt. Voor archivering worden Records Management-labels toegepast die rekening houden met Wbni-rapportageverplichtingen en sectorale bewaartermijnen. Deze labels bepalen wanneer documenten automatisch worden vernietigd, welke bestuurslaag moet goedkeuren en hoe vernietigingsbewijzen worden opgeslagen. Op die manier blijft het threat intelligence-proces transparant, herleidbaar en in lijn met de Nederlandse regelgeving zonder dat analisten worden overladen met administratieve lasten.
Prestatiesturing vertaalt technische metrics naar bestuursinformatie. KPI's omvatten onder meer de gemiddelde detectietijd na indicatorpublicatie, het percentage indicatoren dat leidt tot concrete mitigatie, de hoeveelheid community feeds die actief wordt gebruikt en de mate waarin automation playbooks zonder handmatige interventie slagen. Deze KPI's worden wekelijks bijgewerkt in een Power BI-dashboard dat gevoed wordt door het assessmentscript en Sentinel-data. Bestuurlijke dashboards maken onderscheid tussen tactische metrics voor SOC-leads en strategische indicatoren voor CIO en Secretaris-Generaal, zodat iedere laag de juiste detailgraad ziet. Bij afwijkingen sturen automatische alerts een taak naar het governanceboard om correctieve maatregelen in te plannen.
Door assurance, compliance en prestatiesturing te bundelen ontstaat een zelfversterkend ecosysteem. Auditors leveren feedback die direct terugkomt in de roadmap, KPI's signaleren tijdig waar capaciteit tekortschiet en compliance-scans bewaken dat juridische kaders niet uit het oog worden verloren. De Nederlandse Baseline voor Veilige Cloud fungeert als gemeenschappelijke taal, waardoor beleidsmakers, technici en toezichthouders hetzelfde referentiekader gebruiken. Zo groeit threat intelligence uit tot een voorspelbare dienstverlening die aantoonbaar waarde levert aan kabinet, departementen en ketenpartners.
Compliance & Frameworks
- CIS M365: Control () - CIS Microsoft 365- en SOC-controls gericht op logging, threat hunting en incidentrespons.
- BIO: 12.01, 12.03, 14.04, 17.01 - BIO-controles rond logging, monitoring, informatiebeveiligingsorganisatie en continue verbetering van detectieprocessen.
- ISO 27001:2022: A.5.7, A.5.23, A.8.16, A.13.2 - ISO 27001-controles voor informatie-uitwisseling, monitoring en dagelijkse security-operations.
- NIS2: Artikel - NIS2-verplichtingen voor risicobeheer, incidentrespons en informatie-uitwisseling tussen essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Assessmentscript voor de Microsoft 365 threat intelligence-index binnen de Nederlandse Baseline voor Veilige Cloud.
.DESCRIPTION
Dit script controleert of de noodzakelijke randvoorwaarden aanwezig zijn om threat intelligence structureel te
operationaliseren in Microsoft 365. Het valideert Microsoft Graph-bereik, Sentinel-workspaces, Purview-labels,
auditlogretentie, automation playbooks en governance-documentatie. Met de parameter -DebugMode kan iedere wijziging
lokaal worden getest zonder externe verbindingen en blijft de uitvoering gegarandeerd onder de 15 seconden.
.NOTES
Filename : index.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Created : 2025-11-27
Version : 1.0
Gerelateerd JSON-artikel:
content/m365/threat-intelligence/index.json
.EXAMPLE
.\index.ps1 -Assessment -DebugMode
Voert een lokale validatie uit met gesimuleerde gegevens voor snelle tests.
.EXAMPLE
.\index.ps1 -Assessment
Voert alle controles uit tegen Microsoft Graph, Sentinel en Purview.
.EXAMPLE
.\index.ps1 -Assessment -Report -OutputPath .\threat-intel-index-report.txt
Combineert het assessment met een managementrapport.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer het threat intelligence assessment uit")]
[switch]$Assessment,
[Parameter(HelpMessage = "Genereer een managementrapportbestand")]
[switch]$Report,
[Parameter(HelpMessage = "Pad naar het rapport (vereist bij -Report)")]
[string]$OutputPath,
[Parameter(HelpMessage = "Lokale testmodus zonder externe verbindingen")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Initialize-ThreatIntelligenceConnections {
<#
.SYNOPSIS
Zet benodigde verbindingen op tenzij DebugMode actief is.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Verbose "DebugMode actief: Geen externe verbindingen nodig."
return
}
try {
$ctx = Get-MgContext -ErrorAction SilentlyContinue
if (-not $ctx) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes @(
"Directory.Read.All",
"SecurityEvents.Read.All",
"AuditLog.Read.All"
) -ErrorAction Stop | Out-Null
}
}
catch {
throw "Kon geen Microsoft Graph-verbinding tot stand brengen: $_"
}
if (Get-Module -ListAvailable -Name Az.Accounts) {
try {
if (-not (Get-AzContext -ErrorAction SilentlyContinue)) {
Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow
Connect-AzAccount -ErrorAction Stop | Out-Null
}
}
catch {
Write-Warning "Azure-verbinding kon niet worden opgezet: $_"
}
}
else {
Write-Warning "Az.Accounts module niet gevonden; Sentinel-controles worden beperkt uitgevoerd."
}
if (Get-Module -ListAvailable -Name ExchangeOnlineManagement) {
try {
if (-not (Get-PSSession | Where-Object { $_.ConfigurationName -eq 'Microsoft.Exchange' })) {
Write-Host "Verbinding maken met Purview/Compliance (Exchange Online)..." -ForegroundColor Yellow
Connect-IPPSSession -ErrorAction SilentlyContinue | Out-Null
}
}
catch {
Write-Warning "Kon geen compliance-verbinding maken: $_"
}
}
else {
Write-Warning "ExchangeOnlineManagement module niet gevonden; Purview-labelcontroles worden overgeslagen."
}
}
function Test-ThreatIntelligenceCapability {
<#
.SYNOPSIS
Voert de feitelijke controles uit en retourneert een resultaatobject.
.OUTPUTS
PSCustomObject
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Host "DebugMode: gesimuleerd resultaat wordt teruggegeven." -ForegroundColor Yellow
return [PSCustomObject]@{
TenantId = "00000000-0000-0000-0000-000000000000"
HasGraphContext = $true
HasSentinelWorkspace = $true
HasThreatIntelConnector = $false
HasPurviewSensitivityLabels = $true
HasUnifiedAuditLogRetention = $true
HasAutomationPlaybooks = $false
HasGovernanceDocumentation = $false
Issues = @(
"Geen actieve Sentinel threat intelligence connector gevonden (Debug-simulatie).",
"Governance-documentatie ontbreekt in de repository."
)
Recommendations = @(
"Configureer een TAXII-connector in Microsoft Sentinel voor community feeds.",
"Leg governance vast in documentatie\\threat-intelligence\\governance."
)
Timestamp = Get-Date
}
}
$result = [PSCustomObject]@{
TenantId = $null
HasGraphContext = $false
HasSentinelWorkspace = $null
HasThreatIntelConnector = $null
HasPurviewSensitivityLabels = $null
HasUnifiedAuditLogRetention = $null
HasAutomationPlaybooks = $null
HasGovernanceDocumentation = $false
Issues = @()
Recommendations = @()
Timestamp = Get-Date
}
try {
$ctx = Get-MgContext -ErrorAction Stop
$result.TenantId = $ctx.TenantId
$result.HasGraphContext = $true
}
catch {
$result.Issues += "Geen geldige Microsoft Graph-context. Voer Connect-MgGraph uit met Directory.Read.All en AuditLog.Read.All."
return $result
}
# Sentinel-workspace controleren
try {
if (Get-Module -ListAvailable -Name Az.OperationalInsights) {
$workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction Stop
}
elseif (Get-Module -ListAvailable -Name Az.Accounts) {
$workspaces = Get-AzResource -ResourceType "Microsoft.OperationalInsights/workspaces" -ErrorAction Stop
}
else {
$workspaces = $null
}
if ($workspaces -and $workspaces.Count -gt 0) {
$result.HasSentinelWorkspace = $true
}
elseif ($workspaces -eq $null) {
$result.HasSentinelWorkspace = $null
$result.Issues += "Sentinel-workspace kon niet worden gecontroleerd omdat Az-modules ontbreken."
}
else {
$result.HasSentinelWorkspace = $false
$result.Issues += "Geen Azure Log Analytics workspace aangetroffen voor Sentinel."
$result.Recommendations += "Implementeer minimaal één Sentinel-workspace voor threat intelligence correlatie."
}
}
catch {
$result.HasSentinelWorkspace = $null
$result.Issues += "Fout bij het ophalen van Sentinel-workspaces: $_"
}
# Threat intelligence connectorindicatie
try {
if (Get-Module -ListAvailable -Name Az.SecurityInsights) {
$workspace = Get-AzSentinelWorkspace -ErrorAction Stop | Select-Object -First 1
if ($workspace) {
$connectors = Get-AzSentinelDataConnector -ResourceGroupName $workspace.ResourceGroupName -WorkspaceName $workspace.Name -ErrorAction Stop |
Where-Object { $_.Kind -like "*ThreatIntelligence*" -or $_.Name -match "TI" }
if ($connectors) {
$result.HasThreatIntelConnector = $true
}
else {
$result.HasThreatIntelConnector = $false
$result.Issues += "Geen actieve threat intelligence data connector in Sentinel gevonden."
$result.Recommendations += "Activeer een TAXII of Microsoft Defender threat intelligence connector."
}
}
else {
$result.HasThreatIntelConnector = $null
$result.Issues += "Geen Sentinel-workspace gevonden voor connectorcontrole."
}
}
}
catch {
$result.HasThreatIntelConnector = $null
$result.Issues += "Kon threat intelligence connector niet verifiëren: $_"
}
# Purview sensitivity labels
try {
if (Get-Command -Name Get-Label -ErrorAction SilentlyContinue) {
$labels = Get-Label -ErrorAction Stop | Where-Object { $_.DisplayName -match "Threat|Intelligence|Vertrouwelijk" }
$result.HasPurviewSensitivityLabels = [bool]$labels
if (-not $result.HasPurviewSensitivityLabels) {
$result.Issues += "Geen Purview sensitivity labels gevonden voor threat intelligence-content."
$result.Recommendations += "Maak Purview-labels aan die distributie en bewaartermijnen afdwingen."
}
}
else {
$result.HasPurviewSensitivityLabels = $null
$result.Issues += "Get-Label niet beschikbaar; Purview-labels konden niet worden gecontroleerd."
}
}
catch {
$result.HasPurviewSensitivityLabels = $null
$result.Issues += "Fout bij controleren Purview-labels: $_"
}
# Auditlogretentie (indicatief via sign-ins)
try {
$signIns = Get-MgAuditLogSignIn -Top 1 -ErrorAction Stop
$result.HasUnifiedAuditLogRetention = [bool]$signIns
if (-not $result.HasUnifiedAuditLogRetention) {
$result.Issues += "Unified Audit Log lijkt niet actief; controleer Microsoft Purview auditinstellingen."
}
}
catch {
$result.HasUnifiedAuditLogRetention = $false
$result.Issues += "Kon auditlogstatus niet verifiëren: $_"
}
# Automation playbooks (indicatief via repository)
$repoRoot = Split-Path -Parent (Split-Path -Parent $PSScriptRoot)
$playbookPath = Join-Path $repoRoot "automation\sentinel\playbooks"
if (Test-Path -Path $playbookPath) {
$jsonPlaybooks = Get-ChildItem -Path $playbookPath -Filter "*.json" -ErrorAction SilentlyContinue
$result.HasAutomationPlaybooks = [bool]$jsonPlaybooks
if (-not $result.HasAutomationPlaybooks) {
$result.Recommendations += "Ontwikkel Sentinel-playbooks voor threat intelligence operationalisatie."
}
}
else {
$result.HasAutomationPlaybooks = $false
$result.Issues += "Geen playbookpad gevonden in automation\\sentinel\\playbooks."
$result.Recommendations += "Leg automatisering vast binnen de repository voor traceerbaarheid."
}
# Governance documentatie
$govPath = Join-Path $repoRoot "documentatie\threat-intelligence\governance"
if (Test-Path -Path $govPath) {
$result.HasGovernanceDocumentation = $true
}
else {
$result.HasGovernanceDocumentation = $false
$result.Recommendations += "Documenteer governance in documentatie\\threat-intelligence\\governance."
}
return $result
}
function Invoke-ThreatIntelligenceCapabilityAssessment {
[CmdletBinding()]
param()
Initialize-ThreatIntelligenceConnections
Write-Host ""
Write-Host "Threat Intelligence Index Assessment" -ForegroundColor Cyan
Write-Host "====================================" -ForegroundColor Cyan
$assessment = Test-ThreatIntelligenceCapability
if (-not $assessment) {
throw "Assessment resulteerde in geen gegevens."
}
Write-Host ("TenantId: {0}" -f ($assessment.TenantId ?? "Onbekend")) -ForegroundColor White
Write-Host ("Graph context actief: {0}" -f $assessment.HasGraphContext) -ForegroundColor White
Write-Host ("Sentinel workspace aanwezig: {0}" -f ($assessment.HasSentinelWorkspace ?? "Niet gecontroleerd")) -ForegroundColor White
Write-Host ("Threat intelligence connector: {0}" -f ($assessment.HasThreatIntelConnector ?? "Niet gecontroleerd")) -ForegroundColor White
Write-Host ("Purview labels aanwezig: {0}" -f ($assessment.HasPurviewSensitivityLabels ?? "Niet gecontroleerd")) -ForegroundColor White
Write-Host ("Unified Audit Log actief: {0}" -f ($assessment.HasUnifiedAuditLogRetention ?? "Onbekend")) -ForegroundColor White
Write-Host ("Automation playbooks aanwezig: {0}" -f ($assessment.HasAutomationPlaybooks ?? "Onbekend")) -ForegroundColor White
Write-Host ("Governance-documentatie aanwezig: {0}" -f $assessment.HasGovernanceDocumentation) -ForegroundColor White
if ($assessment.Issues.Count -gt 0) {
Write-Host "`nAandachtspunten:" -ForegroundColor Yellow
$assessment.Issues | ForEach-Object { Write-Host (" - {0}" -f $_) -ForegroundColor Yellow }
}
if ($assessment.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Green
$assessment.Recommendations | ForEach-Object { Write-Host (" - {0}" -f $_) -ForegroundColor Green }
}
return $assessment
}
function Invoke-ThreatIntelligenceReport {
<#
.SYNOPSIS
Genereert een managementrapportbestand.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[pscustomobject]$Result,
[Parameter(Mandatory = $true)]
[string]$Path
)
$lines = @()
$lines += "Nederlandse Baseline voor Veilige Cloud – Threat Intelligence Index"
$lines += "Assessment uitgevoerd op: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')"
$lines += ""
$lines += "TenantId: $($Result.TenantId ?? 'Onbekend')"
$lines += "Graph context actief: $($Result.HasGraphContext)"
$lines += "Sentinel workspace aanwezig: $($Result.HasSentinelWorkspace ?? 'Niet gecontroleerd')"
$lines += "Threat intelligence connector: $($Result.HasThreatIntelConnector ?? 'Niet gecontroleerd')"
$lines += "Purview labels aanwezig: $($Result.HasPurviewSensitivityLabels ?? 'Niet gecontroleerd')"
$lines += "Unified Audit Log actief: $($Result.HasUnifiedAuditLogRetention ?? 'Onbekend')"
$lines += "Automation playbooks aanwezig: $($Result.HasAutomationPlaybooks ?? 'Onbekend')"
$lines += "Governance-documentatie aanwezig: $($Result.HasGovernanceDocumentation)"
$lines += ""
if ($Result.Issues -and $Result.Issues.Count -gt 0) {
$lines += "Bevindingen:"
$Result.Issues | ForEach-Object { $lines += " - $_" }
$lines += ""
}
if ($Result.Recommendations -and $Result.Recommendations.Count -gt 0) {
$lines += "Aanbevelingen:"
$Result.Recommendations | ForEach-Object { $lines += " - $_" }
$lines += ""
}
$lines += "Volgende stappen:"
$lines += "1. Verifieer bevindingen binnen 5 werkdagen."
$lines += "2. Prioriteer aanbevelingen op basis van risico en compliance."
$lines += "3. Plan implementatie en automation-updates binnen 30 dagen."
$lines += "4. Documenteer resultaten in documentatie\\threat-intelligence\\governance."
$directory = Split-Path -Parent $Path
if ($directory -and -not (Test-Path -Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$lines | Out-File -FilePath $Path -Encoding UTF8
Write-Host "Rapport opgeslagen op $Path" -ForegroundColor Cyan
}
if (-not $Assessment -and -not $Report) {
Write-Host "Geen acties opgegeven. Gebruik -Assessment en/of -Report." -ForegroundColor Yellow
return
}
$assessmentResult = $null
if ($Assessment) {
$assessmentResult = Invoke-ThreatIntelligenceCapabilityAssessment
}
if ($Report) {
if (-not $assessmentResult) {
$assessmentResult = Invoke-ThreatIntelligenceCapabilityAssessment
}
if (-not $OutputPath) {
throw "Parameter -OutputPath is verplicht wanneer -Report is gebruikt."
}
Invoke-ThreatIntelligenceReport -Result $assessmentResult -Path $OutputPath
}