BIO 9.3.1 ISO A.5.7

Anti-phishing Beleid Voor Microsoft 365 In De Nederlandse Overheid

📅 2025-11-27
⏱️ 46 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Anti-phishing beleid binnen Microsoft 365 vormt de ruggengraat van e-mailbeveiliging voor Nederlandse overheidsorganisaties. Het beleid verbindt de beleidsmatige eisen van de Nederlandse Baseline voor Veilige Cloud aan concrete configuraties in Microsoft Defender for Office 365 en Exchange Online Protection, zodat spear phishing, business email compromise en spoofing structureel worden tegengegaan.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
0u
Van toepassing op:
Microsoft 365 E5
Microsoft Defender for Office 365 Plan 2
Exchange Online
Microsoft Entra ID
Microsoft Purview

Aanvallen op ministeries, uitvoeringsorganisaties en gemeenten starten vrijwel altijd met een geraffineerde phishingmail die zich voordoet als een interne bestuurder of betrouwbare leverancier. Wanneer anti-phishing beleid niet eenduidig wordt ingericht, ontstaan gaten in bescherming van prioritaire accounts, blijven domeinen onbeschermd en wordt het SOC overspoeld met valse positieven. Dit schaadt de auditbaarheid richting BIO, AVG en NIS2, verhoogt het risico op datalekken en maakt het onmogelijk om richting Tweede Kamer of toezichthouders te onderbouwen dat e-mailverkeer aantoonbaar veilig is. Een volwassen anti-phishing programma vertaalt beleidskeuzes naar meetbare instellingen, borgt verantwoordelijkheid tussen CISO, werkplekbeheer en SOC, en maakt zichtbaar welke onderdelen nog aandacht nodig hebben.

PowerShell Modules Vereist
Primary API: Exchange Online Protection en Microsoft Defender for Office 365
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

Dit artikel helpt security officers, Microsoft 365 beheerders en SOC-analisten om anti-phishing beleid end-to-end te ontwerpen. We bespreken eerst de strategische governance, inclusief prioritering van kroonjuwelen, ketenpartners en reporting naar bestuurders. Daarna volgt een diepgaande uitleg van Microsoft Defender for Office 365 instellingen zoals impersonation protection, mailbox intelligence, DMARC-validatie en spoowf handling, aangevuld met het bijbehorende PowerShell-script. Tot slot behandelen we monitoring, rapportage en remediatie, zodat afwijkingen binnen 24 uur zichtbaar worden en direct kunnen worden gecorrigeerd.

Strategische context en governance voor anti-phishing

Elke Nederlandse overheidstoepassing staat onder druk van sociaal-technische aanvallen waarbij criminelen zich bedienen van overtuigende e-mails, Teams-berichten of documenten met schadelijke links. Een strategisch anti-phishing beleid begint daarom met een helder begrip van de bedrijfsprocessen die het meest kwetsbaar zijn. Denk aan subsidiebesluiten, aanbestedingen, crisiscommunicatie en vertrouwelijke onderhandelingen met ketenpartners. Door deze processen expliciet te koppelen aan dreigingsscenario's ontstaat een prioriteitenlijst die bestuurders en CISO's kunnen goedkeuren. Het beleid benoemt de rol van prioritaire accounts, definieert welke domeinen als kroonjuweel gelden en beschrijft hoe ketenpartners toegang krijgen tot communicatiekanalen. Zo ontstaat bestuurlijke dekking om sterke beveiligingsmaatregelen af te dwingen, ook wanneer dat extra inspanning vraagt van gebruikers of leveranciers.

Het governance-model verbindt beleid met uitvoering. Iedere organisatie wijst een product owner voor anti-phishing aan die zowel technische expertise als mandaat heeft. Deze eigenaar onderhoudt een register van beschermde identiteiten, zorgt voor periodieke actualisatie en documenteert goedkeuringen door de change board. De Nederlandse Baseline voor Veilige Cloud schrijft voor dat beleid traceerbaar moet zijn naar concrete instellingen. Daarom wordt elk anti-phishing besluit vastgelegd in een beleidsdossier waarin staat welk risico wordt afgedekt, welke Microsoft 365 componenten worden gewijzigd en welke auditbewijzen beschikbaar zijn. Dezelfde dossierstructuur bevat escalatiepaden richting FG, Chief Legal Officer en communicatieafdelingen, zodat bij een aanval duidelijk is wie beslist over maatregelen zoals het tijdelijk blokkeren van inkomend verkeer of het informeren van ketenpartners.

Een volwassen governance-aanpak houdt ook rekening met de keten. Gemeenten, uitvoeringsorganisaties en semi-publieke instellingen delen vaak dezelfde leveranciers en serviceorganisaties. Wanneer een ketenpartner gehackt wordt, volgen spoofingcampagnes waarbij lookalike domeinen worden gebruikt om vertrouwen te winnen. Het anti-phishing beleid verplicht daarom tot een gezamenlijke domeinboekhouding. Alle partnerdomeinen worden centraal geregistreerd met informatie over DMARC-status, hostingpartij en contactpersoon voor incidenten. Deze inventaris wordt gekoppeld aan Microsoft Defender for Office 365 zodat impersonation protection direct kan reageren op afwijkende domeinen en mailbox intelligence relevante context heeft. Door ketenpartners actief te betrekken en gezamenlijke oefeningen uit te voeren, wordt sociaal vertrouwen aangevuld met technische zekerheden.

Governance eindigt niet bij procedures; het vereist meetbare prestaties. Anti-phishing KPI's moeten aansluiten op bestuurlijke dashboards en compliance-reporting. Voorbeelden zijn het percentage prioritaire accounts met afzonderlijke policies, de gemiddelde tijd tussen detectie van een spoofingdomein en blokkade, of de mate waarin DMARC aligned verkeer wordt afgedwongen. Deze indicatoren worden maandelijks besproken in het security- of risicocomité en vormen input voor FAB analyses (Findings, Actions, Benefits). Door KPI's te koppelen aan budget en capaciteitsplannen wordt anti-phishing geen losse technische activiteit maar een continu verbeterprogramma dat aantoonbaar waarde levert.

Tot slot is er aandacht voor juridische en communicatieve borging. Het beleid beschrijft hoe privacy wordt beschermd wanneer berichten of headers worden geanalyseerd, hoe lang telemetrie wordt bewaard en onder welke voorwaarden gegevens worden gedeeld met NCSC of opsporingsdiensten. Communicatieplannen zorgen dat medewerkers tijdig geïnformeerd worden over wijzigingen, zoals strengere quarantaineacties of uitbreiding van impersonation protection. Deze transparantie vergroot het draagvlak en verkleint de kans op shadow IT die beleid ondermijnt. Daarmee is de strategische basis gelegd voor een technisch solide implementatie in Microsoft Defender for Office 365.

Technische configuratie van Microsoft Defender for Office 365

De technologische kern van het anti-phishing programma wordt gevormd door Microsoft Defender for Office 365. Start met het inventariseren van bestaande Anti-Phish policies en bijbehorende rules. Elk beleid krijgt een heldere scope: organisatiebreed, prioritaire accounts of specifieke ketenpartners. Gebruik naming conventions zoals "NBVC-AntiPhish-Core" en "NBVC-AntiPhish-Exec" om het beheer overzichtelijk te houden. Zorg dat policies zijn gekoppeld aan dynamische Entra ID-groepen die automatisch worden bijgewerkt wanneer functies of organisatieonderdelen wijzigen. Zo blijft de bescherming actueel zonder handmatig werk. Tijdens de configuratie wordt gecontroleerd of de tenant uitsluitend moderne authenticatie toestaat, zodat legacy protocollen geen achterdeur vormen voor bypasses.

Gebruik PowerShell-script anti-phishing-policies.ps1 (functie Invoke-AntiPhishAssessment) – Controleert of impersonation protection, mailbox intelligence, spoof intelligence en DMARC-acties actief zijn voor alle relevante policies en levert een gestructureerd rapport voor CAB en audit..

De configuratie gaat verder dan het simpelweg inschakelen van een policy. User impersonation protection krijgt een lijst met topbestuurders, projectdirecties en kritieke sprekersteams. Domain impersonation gebruikt zowel organisatie-eigen domeinen als hoogrisico ketenpartners. Mailbox intelligence wordt aangezet zodat Defender zelf leert welke contactpatronen normaal zijn en afwijkingen direct signaleert. Voor high confidence phishing wordt Quarantine ingesteld met notificaties naar het SOC, terwijl reguliere phishing eveneens naar quarantaine gaat maar met mogelijkheid voor gecontroleerde release. Spoof intelligence wordt geconfigureerd om automatisch spoilende domeinen te blokkeren en rapportages naar security@-postvakken te sturen. Safety tips voor lookalike gebruikers en domeinen worden aangezet zodat eindgebruikers duidelijke visuele signalen ontvangen zonder overload aan waarschuwingen.

DMARC, DKIM en SPF vormen de fundering voor betrouwbare e-mailauthenticatie. Het anti-phishing beleid schrijft voor dat alle organisatie- en dienstendomeinen DMARC met p=reject hanteren zodra monitoring stabiel is. Microsoft Defender for Office 365 gebruikt deze gegevens in combination met spoof intelligence om strenger te handelen tegen ongeautoriseerde afzenders. Configureer daarom DMARC-rapportages richting een centraal mailbox of SIEM zodat afwijkende patronen vroegtijdig zichtbaar zijn. Voor ketenpartners die nog geen DMARC hebben, wordt een tijdelijke uitzondering ingericht met aanvullende monitoring via Defender's advanced delivery policies. Deze combinatie van standaarden zorgt ervoor dat impersonation-aanvallen minder kans krijgen om de infrastructuur überhaupt binnen te komen.

Het beleid verlangt ook dat integraties met Microsoft Purview DLP en Sensitivity Labels worden benut. Door een label zoals "NBVC-Vertrouwelijk" te koppelen aan e-mailtransportregels kunnen berichten met gevoelige inhoud automatisch hogere inspectie krijgen. Wanneer een bericht met een hoog label binnenkomt, kan het SOC een aanvullende review uitvoeren voordat het bij de ontvanger arriveert. Deze integratie voorkomt dat aanvallers via gekaapte accounts geloofwaardig verkeer uitsturen. Alle configuratiewijzigingen worden vastgelegd in Git of Azure DevOps, inclusief exported JSON van het PowerShell-script. Dit maakt rollback mogelijk en creëert een audit trail die bijdraagt aan compliance met BIO en NIS2.

Tot slot wordt testen standaard opgenomen in het implementatiepad. Proof-of-concepts worden uitgevoerd in een aparte testtenant of in een gecontroleerde subset van gebruikers met behulp van Attack Simulation Training. Resultaten worden vergeleken met baseline metrics. Alleen wanneer false positive percentages acceptabel zijn en de CAB akkoord geeft, wordt beleid opgeschaald naar productie. Deze iteratieve aanpak voorkomt onverwachte verstoringen en bewijst aan stakeholders dat anti-phishing instellingen zorgvuldig en aantoonbaar zijn ingericht.

Operationele monitoring, rapportage en respons

Gebruik PowerShell-script anti-phishing-policies.ps1 (functie Invoke-AntiPhishMonitoring) – Levert realtime inzicht in compliance van anti-phishing policies, rapporteert issues naar CI/CD of Azure Automation en biedt DebugMode voor lokale testruns binnen 15 seconden..

Monitoring is alleen effectief wanneer data dicht op de bron worden verzameld en vertaald naar acties. Het PowerShell-script draait geautomatiseerd via Azure Automation of GitHub Actions en haalt iedere nacht alle Anti-Phish policies en rules op. Het script vergelijkt configuratie met de gewenste instellingen, controleert of prioritaire accounts nog beschermd zijn en of DMARC-acties consistent blijven. De output wordt als JSON naar Log Analytics geschreven zodat dashboards in Microsoft Sentinel en Power BI de status kunnen tonen. Bij afwijkingen levert het script exitcodes die deployment-pijplijnen blokkeren totdat configuraties weer compliant zijn. Dankzij DebugMode kan hetzelfde script lokaal worden getest zonder verbinding te maken, wat ontwikkelteams in staat stelt wijzigingen veilig voor te bereiden.

Het SOC gebruikt drie niveaus van rapportage. Operationeel wordt er dagelijks gekeken naar quarantainestatistieken, spoof intelligence alerts en user reported phish meldingen. Tactisch worden wekelijkse rapporten opgesteld waarin trends worden geanalyseerd, bijvoorbeeld een plotselinge stijging in impersonation pogingen of ketenpartners die nog geen DMARC hebben geactiveerd. Strategisch ontvangt het bestuur een maandelijkse samenvatting waarin KPI's uit het governance deel worden gekoppeld aan risico-indicatoren. Deze rapportages combineren gegevens uit het PowerShell-script, Microsoft Defender, Microsoft Purview en externe threat intelligence. Door die bronnen samen te brengen ontstaat een compleet beeld van de effectiviteit van het anti-phishing programma.

Wanneer monitoring een issue signaleert, beschrijft het runbook exact welke remediatiestappen worden uitgevoerd. Voor ontbrekende assignments wordt eerst gecontroleerd of de onderliggende Entra ID-groep nog bestaat of recent is opgeschoond. Als een policy onterecht is uitgeschakeld, herstelt het script deze status automatisch wanneer -Remediation wordt gebruikt, mits het change window dat toestaat. Fouten in DMARC of spoof intelligence leiden tot een gestandaardiseerd onderzoek waarbij contact wordt opgenomen met de domeineigenaar en waarbij tijdelijk strengere transportregels worden toegepast. Alle acties worden vastgelegd in ITSM-tickets zodat er een audit trail ontstaat die terug te voeren is op de initiële detectie.

Respons gaat verder dan techniek. Het beleid verplicht dat communicatie met medewerkers en ketenpartners direct wordt opgestart wanneer een aanval wordt bevestigd. Kant-en-klare berichten liggen klaar in meerdere talen en verwijzen naar trainingsmateriaal binnen Microsoft Viva of intranet. Tijdens incidenten worden Teams-crisiskanalen geactiveerd waarin SOC, CISO, communicatie en juridische teams samenwerken. Het PowerShell-script speelt hierbij een rol doordat het actuele statusinformatie levert over welke policies in werking zijn en welke uitzonderingen actief zijn. Dit voorkomt misverstanden terwijl de druk hoog is en maakt het mogelijk om richting NCSC en toezichthouders feitelijke informatie te delen over getroffen maatregelen.

Continue verbetering sluit de cirkel. Iedere afwijking of aanval resulteert in een post-incident review waarin wordt geëvalueerd of detectie snel genoeg was, of medewerkers de waarschuwingen begrepen en of beleid moet worden aangescherpt. Lessons learned worden direct doorgevoerd in het PowerShell-script als nieuwe controles of waarschuwingen. Daarnaast worden nieuwe dreigingstechnieken vertaald naar Attack Simulation scenario's om medewerkers scherp te houden. Zo blijft het anti-phishing programma in beweging en past het zich aan het steeds veranderende dreigingslandschap aan.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Anti-phishing beleid: assessment, monitoring en remediatie voor Microsoft 365. .DESCRIPTION Controleert Microsoft Defender for Office 365 anti-phishing policies op kritieke instellingen zoals impersonation protection, mailbox intelligence, spoof intelligence en DMARC-acties. Script ondersteunt monitoring, assessment, remediatie en export en bevat een DebugMode voor lokale tests zonder verbinding met Microsoft 365 (conform Nederlandse Baseline voor Veilige Cloud). .NOTES Project : Nederlandse Baseline voor Veilige Cloud Author : Nederlandse Baseline voor Veilige Cloud Team Created : 2025-11-27 Version : 1.0.0 JSON : content/m365/threat-protection/anti-phishing-policies.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\anti-phishing-policies.ps1 -Monitoring Controleert alle anti-phishing policies, schrijft bevindingen naar de console en zet een exitcode. .EXAMPLE .\anti-phishing-policies.ps1 -Assessment Geeft een uitgebreid overzicht inclusief aanbevelingen voor CAB en audit. .EXAMPLE .\anti-phishing-policies.ps1 -Remediation -WhatIf Laat zien welke configuraties zouden worden toegepast zonder wijzigingen door te voeren. .EXAMPLE .\anti-phishing-policies.ps1 -Monitoring -DebugMode Voert een lokale testrun uit met voorbeelddata (duurt <15 seconden, geen cloudverbinding). #> [CmdletBinding()] param( [switch]$Monitoring, [switch]$Assessment, [switch]$Remediation, [switch]$Export, [string]$OutputPath, [switch]$WhatIf, [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $script:ExchangeConnected = $false function Write-NbvcHeader { Write-Host "" Write-Host "===============================================" -ForegroundColor Cyan Write-Host "Anti-phishing policies – Nederlandse Baseline" -ForegroundColor Cyan Write-Host (Get-Date).ToString("yyyy-MM-dd HH:mm:ss") -ForegroundColor Cyan Write-Host "===============================================" -ForegroundColor Cyan } function Test-ModuleAvailability { if ($DebugMode) { Write-Verbose "DebugMode actief: modulecontrole wordt overgeslagen." return } if (-not (Get-Module -ListAvailable -Name ExchangeOnlineManagement)) { throw "ExchangeOnlineManagement module ontbreekt. Installeer met Install-Module ExchangeOnlineManagement -Scope CurrentUser." } } function Connect-AntiPhishService { if ($DebugMode -or $script:ExchangeConnected) { return } Test-ModuleAvailability try { Write-Verbose "Verbinding maken met Exchange Online..." Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop | Out-Null $script:ExchangeConnected = $true } catch { throw "Kon niet verbinden met Exchange Online: $($_.Exception.Message)" } } function Get-DebugAntiPhishSnapshot { $policies = @( [pscustomobject]@{ Identity = "NBVC-AntiPhish-Core" Enabled = $true EnableTargetedUserProtection = $true EnableTargetedDomainsProtection = $true EnableOrganizationDomainsProtection = $true EnableMailboxIntelligence = $true EnableMailboxIntelligenceProtection = $true EnableSpoofIntelligence = $true EnableSimilarUsersSafetyTips = $true EnableSimilarDomainsSafetyTips = $true EnableUnusualCharactersSafetyTips = $true HighConfidencePhishAction = "Quarantine" PhishAction = "Quarantine" SpoofAction = "Quarantine" PhishThresholdLevel = 2 PriorityAccounts = @("minister@rijksoverheid.nl","cio@provincie.nl") ProtectedDomains = @("rijksoverheid.nl","provincie.nl") }, [pscustomobject]@{ Identity = "NBVC-AntiPhish-Exec" Enabled = $true EnableTargetedUserProtection = $true EnableTargetedDomainsProtection = $true EnableOrganizationDomainsProtection = $true EnableMailboxIntelligence = $true EnableMailboxIntelligenceProtection = $true EnableSpoofIntelligence = $true EnableSimilarUsersSafetyTips = $true EnableSimilarDomainsSafetyTips = $true EnableUnusualCharactersSafetyTips = $false HighConfidencePhishAction = "Quarantine" PhishAction = "Quarantine" SpoofAction = "Quarantine" PhishThresholdLevel = 1 PriorityAccounts = @("sg@ministerie.nl","dg@ministerie.nl") ProtectedDomains = @("ministerie.nl","rijksoverheid.nl") } ) $rules = @( [pscustomobject]@{ Identity = "NBVC-AntiPhish-Core-Rule" Enabled = $true AntiPhishPolicy = "NBVC-AntiPhish-Core" RecipientDomainIs = @("rijksoverheid.nl","provincie.nl") }, [pscustomobject]@{ Identity = "NBVC-AntiPhish-Exec-Rule" Enabled = $true AntiPhishPolicy = "NBVC-AntiPhish-Exec" RecipientDomainIs = @("rijksoverheid.nl") } ) return [pscustomobject]@{ Policies = $policies Rules = $rules DmarcRejectDomains = 2 } } function Get-AntiPhishSnapshot { if ($DebugMode) { Write-Verbose "DebugMode: retourneren van voorbeelddataset." return Get-DebugAntiPhishSnapshot } Connect-AntiPhishService $policies = Get-AntiPhishPolicy -ErrorAction Stop $rules = Get-AntiPhishRule -ErrorAction Stop $dmarcReject = 0 try { $acceptedDomains = Get-AcceptedDomain -ErrorAction Stop foreach ($domain in $acceptedDomains) { $dnsRecord = Resolve-DnsName -Name ("_dmarc." + $domain.DomainName) -Type TXT -ErrorAction SilentlyContinue if ($dnsRecord -and ($dnsRecord.Strings -join ";") -match "p=reject") { $dmarcReject++ } } } catch { Write-Verbose "Kon DMARC status niet bepalen voor alle domeinen: $($_.Exception.Message)" } return [pscustomobject]@{ Policies = $policies Rules = $rules DmarcRejectDomains = $dmarcReject } } function Test-AntiPhishBaseline { $snapshot = Get-AntiPhishSnapshot $result = [ordered]@{ Timestamp = Get-Date PoliciesEvaluated = 0 EnabledPolicies = 0 UserImpersonationCoverage = 0 DomainImpersonationCoverage = 0 MailboxIntelligenceCoverage = 0 SpoofIntelligenceCoverage = 0 SafetyTipsCoverage = 0 QuarantineCoverage = 0 DmarcRejectDomains = $snapshot.DmarcRejectDomains Issues = @() Warnings = @() Details = @() } $policies = $snapshot.Policies $rules = $snapshot.Rules if (-not $policies -or $policies.Count -eq 0) { $result.Issues += "Er zijn geen anti-phishing policies gevonden in de tenant." return [pscustomobject]$result } $result.PoliciesEvaluated = $policies.Count foreach ($policy in $policies) { $detail = [ordered]@{ Name = $policy.Identity Enabled = $policy.Enabled UserImpersonation = [bool]$policy.EnableTargetedUserProtection DomainImpersonation = [bool]($policy.EnableTargetedDomainsProtection -or $policy.EnableOrganizationDomainsProtection) MailboxIntelligence = [bool]($policy.EnableMailboxIntelligence -or $policy.EnableMailboxIntelligenceProtection) SpoofIntelligence = [bool]$policy.EnableSpoofIntelligence SafetyTips = [bool]($policy.EnableSimilarUsersSafetyTips -or $policy.EnableSimilarDomainsSafetyTips -or $policy.EnableUnusualCharactersSafetyTips) HighConfidenceAction = $policy.HighConfidencePhishAction PhishAction = $policy.PhishAction SpoofAction = $policy.SpoofAction Threshold = $policy.PhishThresholdLevel } if ($policy.Enabled) { $result.EnabledPolicies++ } else { $result.Issues += "Policy '$($policy.Identity)' is uitgeschakeld." } if ($detail.UserImpersonation) { $result.UserImpersonationCoverage++ } else { $result.Issues += "User impersonation staat uit in '$($policy.Identity)'." } if ($detail.DomainImpersonation) { $result.DomainImpersonationCoverage++ } else { $result.Issues += "Domain impersonation ontbreekt in '$($policy.Identity)'." } if ($detail.MailboxIntelligence) { $result.MailboxIntelligenceCoverage++ } else { $result.Warnings += "Mailbox intelligence is niet ingeschakeld voor '$($policy.Identity)'." } if ($detail.SpoofIntelligence) { $result.SpoofIntelligenceCoverage++ } else { $result.Issues += "Spoof intelligence is uitgeschakeld in '$($policy.Identity)'." } if ($detail.SafetyTips) { $result.SafetyTipsCoverage++ } else { $result.Warnings += "Safety tips staan uit bij '$($policy.Identity)'." } if ($detail.HighConfidenceAction -ne "Quarantine") { $result.Issues += "High confidence phishing actie is niet Quarantine in '$($policy.Identity)'." } else { $result.QuarantineCoverage++ } $result.Details += [pscustomobject]$detail } if (-not $rules -or ($rules | Where-Object { $_.Enabled }).Count -eq 0) { $result.Issues += "Er zijn geen actieve Anti-Phish rules gevonden. Policies hebben geen effect." } $missingAssignments = @() foreach ($rule in $rules) { if (-not $rule.Enabled) { $result.Warnings += "Rule '$($rule.Identity)' is uitgeschakeld." } if (-not $rule.RecipientDomainIs -or $rule.RecipientDomainIs.Count -eq 0) { $missingAssignments += $rule.Identity } } if ($missingAssignments.Count -gt 0) { $result.Issues += "Rules zonder domeintoewijzing: " + ($missingAssignments -join ", ") } if ($result.DmarcRejectDomains -eq 0) { $result.Warnings += "Geen enkel geaccepteerd domein heeft een DMARC p=reject record." } return [pscustomobject]$result } function Write-IssueList { param( [string]$Title, [System.Collections.IEnumerable]$Items, [ConsoleColor]$Color = [ConsoleColor]::Yellow ) if (-not $Items -or $Items.Count -eq 0) { return } Write-Host "" Write-Host $Title -ForegroundColor $Color foreach ($item in $Items) { Write-Host (" - {0}" -f $item) -ForegroundColor $Color } } function Export-AntiPhishReport { param( [Parameter(Mandatory)] [pscustomobject]$Result ) $resolvedPath = if ($OutputPath) { $OutputPath } else { Join-Path -Path (Get-Location) -ChildPath "anti-phishing-policies-report.json" } $Result | ConvertTo-Json -Depth 5 | Out-File -FilePath $resolvedPath -Encoding UTF8 Write-Host "Rapport opgeslagen op $resolvedPath" -ForegroundColor Cyan } function Invoke-AntiPhishMonitoring { $analysis = Test-AntiPhishBaseline Write-Host "" Write-Host "Policystatus: $($analysis.EnabledPolicies)/$($analysis.PoliciesEvaluated) actief" -ForegroundColor Cyan Write-Host "User impersonation coverage : $($analysis.UserImpersonationCoverage)" -ForegroundColor Cyan Write-Host "Domain impersonation coverage : $($analysis.DomainImpersonationCoverage)" -ForegroundColor Cyan Write-Host "Mailbox intelligence coverage : $($analysis.MailboxIntelligenceCoverage)" -ForegroundColor Cyan Write-Host "Spoof intelligence coverage : $($analysis.SpoofIntelligenceCoverage)" -ForegroundColor Cyan Write-Host "Safety tips coverage : $($analysis.SafetyTipsCoverage)" -ForegroundColor Cyan Write-Host "Policies met Quarantine : $($analysis.QuarantineCoverage)" -ForegroundColor Cyan Write-Host "DMARC p=reject domeinen : $($analysis.DmarcRejectDomains)" -ForegroundColor Cyan Write-IssueList -Title "Kritieke issues" -Items $analysis.Issues -Color Red Write-IssueList -Title "Waarschuwingen" -Items $analysis.Warnings -Color Yellow if (($analysis.Issues | Measure-Object).Count -eq 0 -and ($analysis.Warnings | Measure-Object).Count -eq 0) { Write-Host "`n✅ Anti-phishing policies voldoen aan de baseline." -ForegroundColor Green if ($Export) { Export-AntiPhishReport -Result $analysis } exit 0 } else { Write-Host "`n⚠️ Afwijkingen gevonden – raadpleeg log of voer -Remediation uit." -ForegroundColor Yellow if ($Export) { Export-AntiPhishReport -Result $analysis } exit 1 } } function Invoke-AntiPhishAssessment { $analysis = Test-AntiPhishBaseline Write-Host "`n== Samenvatting ==" -ForegroundColor Cyan Write-Host ("Policies geëvalueerd : {0}" -f $analysis.PoliciesEvaluated) Write-Host ("Enabled policies : {0}" -f $analysis.EnabledPolicies) Write-Host ("User impersonation cover : {0}" -f $analysis.UserImpersonationCoverage) Write-Host ("Domain impersonation : {0}" -f $analysis.DomainImpersonationCoverage) Write-Host ("Mailbox intelligence : {0}" -f $analysis.MailboxIntelligenceCoverage) Write-Host ("Spoof intelligence : {0}" -f $analysis.SpoofIntelligenceCoverage) Write-Host ("Safety tips : {0}" -f $analysis.SafetyTipsCoverage) Write-Host ("DMARC p=reject domeinen : {0}" -f $analysis.DmarcRejectDomains) Write-IssueList -Title "Kritieke issues" -Items $analysis.Issues -Color Red Write-IssueList -Title "Waarschuwingen" -Items $analysis.Warnings -Color Yellow Write-Host "`n== Detail per policy ==" -ForegroundColor Cyan foreach ($detail in $analysis.Details) { Write-Host ("{0} | Enabled:{1} | User:{2} | Domain:{3} | Mailbox:{4} | Spoof:{5} | Tips:{6} | HC:{7}" -f ` $detail.Name, $detail.Enabled, $detail.UserImpersonation, $detail.DomainImpersonation, $detail.MailboxIntelligence, $detail.SpoofIntelligence, $detail.SafetyTips, $detail.HighConfidenceAction) -ForegroundColor Gray } if ($Export) { Export-AntiPhishReport -Result $analysis } } function Invoke-AntiPhishRemediation { if ($DebugMode) { Write-Host "`nDebugMode: remediatie wordt gesimuleerd, er worden geen wijzigingen gemaakt." -ForegroundColor Yellow } else { Connect-AntiPhishService } $policyName = "NBVC-AntiPhish-Core" $ruleName = "NBVC-AntiPhish-Core-Rule" $protectedDomains = @() if (-not $DebugMode) { $protectedDomains = (Get-AcceptedDomain -ErrorAction Stop | Select-Object -ExpandProperty DomainName) } else { $protectedDomains = @("rijksoverheid.nl","provincie.nl") } if ($DebugMode) { Write-Host "Zou policy '$policyName' aanmaken of bijwerken met volledige beveiliging." -ForegroundColor Gray } else { $policy = Get-AntiPhishPolicy -Identity $policyName -ErrorAction SilentlyContinue if ($policy) { Write-Host "Bijwerken van bestaand beleid $policyName..." -ForegroundColor Cyan Set-AntiPhishPolicy -Identity $policyName ` -EnableTargetedUserProtection $true ` -EnableTargetedDomainsProtection $true ` -EnableOrganizationDomainsProtection $true ` -EnableMailboxIntelligence $true ` -EnableMailboxIntelligenceProtection $true ` -EnableSpoofIntelligence $true ` -EnableSimilarUsersSafetyTips $true ` -EnableSimilarDomainsSafetyTips $true ` -EnableUnusualCharactersSafetyTips $true ` -HighConfidencePhishAction Quarantine ` -PhishAction Quarantine ` -SpoofAction Quarantine ` -PhishThresholdLevel 2 ` -Enable $true ` -WhatIf:$WhatIf ` -ErrorAction Stop } else { Write-Host "Aanmaken van policy $policyName..." -ForegroundColor Cyan New-AntiPhishPolicy -Name $policyName ` -EnableTargetedUserProtection $true ` -EnableTargetedDomainsProtection $true ` -EnableOrganizationDomainsProtection $true ` -EnableMailboxIntelligence $true ` -EnableMailboxIntelligenceProtection $true ` -EnableSpoofIntelligence $true ` -EnableSimilarUsersSafetyTips $true ` -EnableSimilarDomainsSafetyTips $true ` -EnableUnusualCharactersSafetyTips $true ` -HighConfidencePhishAction Quarantine ` -PhishAction Quarantine ` -SpoofAction Quarantine ` -PhishThresholdLevel 2 ` -Enable $true ` -WhatIf:$WhatIf ` -ErrorAction Stop | Out-Null } } if ($DebugMode) { Write-Host "Zou rule '$ruleName' aanmaken met domeinen: $($protectedDomains -join ', ')" -ForegroundColor Gray } else { $rule = Get-AntiPhishRule -Identity $ruleName -ErrorAction SilentlyContinue if ($rule) { Write-Host "Bijwerken van rule $ruleName..." -ForegroundColor Cyan Set-AntiPhishRule -Identity $ruleName ` -AntiPhishPolicy $policyName ` -RecipientDomainIs $protectedDomains ` -Enabled $true ` -Priority 0 ` -WhatIf:$WhatIf ` -ErrorAction Stop | Out-Null } else { Write-Host "Aanmaken van rule $ruleName..." -ForegroundColor Cyan New-AntiPhishRule -Name $ruleName ` -AntiPhishPolicy $policyName ` -RecipientDomainIs $protectedDomains ` -Enabled $true ` -Priority 0 ` -WhatIf:$WhatIf ` -ErrorAction Stop | Out-Null } } Write-Host "`nRemediatie voltooid. Controleer CAB-notulen en DMARC-rapportages om compliance te bevestigen." -ForegroundColor Green } try { Write-NbvcHeader if ($Remediation) { Invoke-AntiPhishRemediation } elseif ($Monitoring) { Invoke-AntiPhishMonitoring } elseif ($Assessment) { Invoke-AntiPhishAssessment } elseif ($Export) { $analysis = Test-AntiPhishBaseline Export-AntiPhishReport -Result $analysis } else { Invoke-AntiPhishAssessment } } catch { Write-Host "`n❌ Fout: $($_.Exception.Message)" -ForegroundColor Red exit 2 } finally { if ($script:ExchangeConnected -and -not $DebugMode) { Disconnect-ExchangeOnline -Confirm:$false | Out-Null } Write-Host "`n===============================================" -ForegroundColor Cyan }