💼 Management Samenvatting
UEBA vormt de brug tussen signalen van Microsoft Defender, Entra ID, applicatie-telemetrie en context uit gemeentelijke of rijksregisters. Door gedragspatronen te modelleren herkent de organisatie afwijkingen voordat ze uitgroeien tot incidenten die het vertrouwen van burgers aantasten.
Aanbeveling
IMPLEMENT
Risico zonder
Very High
Risk Score
9/10
Implementatie
280u (tech: 160u)
Van toepassing op:
✓ Microsoft Sentinel
✓ Microsoft Defender XDR
✓ Entra ID
✓ Microsoft 365
✓ Azure Data Explorer
✓ Microsoft Defender XDR
✓ Entra ID
✓ Microsoft 365
✓ Azure Data Explorer
Aanvallen op Nederlandse overheden combineren misbruik van gecompromitteerde identiteiten met laterale bewegingen via SaaS en legacy protocollen. Klassieke signature gebaseerde oplossingen missen deze trage, fijnmazige patronen. UEBA levert het bewijs dat nodig is om richting toezichthouders aan te tonen dat monitoring niet alleen reactief maar voorspellend is.
PowerShell Modules Vereist
Primary API: Microsoft Sentinel Incident API, Microsoft Graph Security
Connection:
Required Modules: Az.Accounts, Az.OperationalInsights, Microsoft.Graph, Microsoft.Graph.Security
Connection:
Connect-AzAccount; Connect-MgGraph -Scopes SecurityEvents.Read.AllRequired Modules: Az.Accounts, Az.OperationalInsights, Microsoft.Graph, Microsoft.Graph.Security
Implementatie
Dit artikel beschrijft hoe organisaties een volwassen UEBA programma opbouwen: van governance en datakwaliteit tot modelbeheer, operations, scripts en audittrail. Elke sectie levert concrete handvatten, inclusief het bijbehorende PowerShell script voor monitoring en remediatie.
Strategische urgentie en governance-inbedding
Nederlandse publieke diensten vertrouwen op digitale ketens waarin bevolkingsregistraties, vergunningenplatformen en zorgportalen met elkaar communiceren. Een afwijkend aanmeldpatroon van een behandelaar of een plotselinge export van dossiers kan weken onopgemerkt blijven wanneer monitoring alleen naar individuele alerts kijkt. UEBA voegt hier gedragscontext aan toe en vormt daarmee de eerste verdedigingslinie tegen geavanceerde dreigingen en insider risico’s. Door per entiteit normaal gedrag vast te leggen, kan het SOC binnen minuten aangeven waarom een signaal relevant is en welke wettelijke processen mogelijk geraakt worden. Dat voorkomt dat bestuurders of volksvertegenwoordigers pas tijdens een crisis horen dat signalen er wel waren, maar niet werden herkend.
Een volwassen UEBA programma begint met bestuurlijke verankering. Het CISO-office vertaalt de nationale veiligheidsagenda, NIS2 artikel 21 en de BIO naar concrete doelstellingen: iedere kritieke dienst moet realtime gedragsprofielen hebben, inclusief afspraken over wie afwijkingen beoordeelt en hoe escalaties worden vastgelegd. Deze doelstellingen worden opgenomen in het informatiebeveiligingsplan en gekoppeld aan de risicoparagraaf van de begroting. Door bestuurlijke opdracht vast te leggen in college- of ministerraadsbesluiten ontstaat het mandaat om gebruikerspopulaties te segmenteren, privacy by design te borgen en investeringen in data-infrastructuur voorrang te geven boven minder kritieke projecten.
Governance betekent dat juristen, privacy officers en functionarissen gegevensbescherming worden meegenomen vanaf het eerste architectuurontwerp. Zij bepalen welke logbronnen persoonsgegevens bevatten, hoe lang ze bewaard mogen worden en op welke grondslag gedragsprofielen zijn toegestaan. UEBA richt zich niet op individuele medewerkers, maar op risico’s voor diensten. Dit wordt vertaald naar verwerkingsregisters, DPIA’s en bewaartermijnen zodat audits achteraf niet hoeven te gissen naar de juridische basis. Tegelijkertijd is er een duidelijke scheiding tussen het ontwerpteam dat algoritmes ontwikkelt en het team dat feedback levert op bias, zodat de organisatie kan aantonen dat proportionaliteit en subsidiariteit aantoonbaar zijn meegewogen.
Een strategisch UEBA-programma vraagt om gedeelde taal met de business. Proceseigenaren beschrijven welke handelingen kritisch zijn, hoe vaak uitzonderingen voorkomen en welke indicatoren op misbruik wijzen. Deze informatie wordt vertaald naar gedragsfeatures, zoals snelheid van dossierinzage, volgorde van systeembezoeken of wijzigingen in machtigingen. Vervolgens wordt vastgelegd welke scenario’s het meest relevant zijn: het ongeoorloofd openen van dossierreeksen, het misbruiken van gastaccounts of het geleidelijk verhogen van privileges. Door scenario’s te prioriteren op impact en waarschijnlijkheid ontstaan roadmaps die het SOC, de architect en de producteigenaar aan elkaar koppelen.
Tot slot definieert de organisatie indicatoren waarmee bestuurders voortgang kunnen volgen. Denk aan het percentage kritieke processen met een volledig gedragspatroon, het aandeel alerts dat met context binnen drie minuten wordt verrijkt en het aantal beslissingen dat door tweede lijn is gevalideerd. Deze indicatoren worden onderdeel van de reguliere rapportages aan gemeenteraad, Tweede Kamer of toezichthouders. Het resultaat is dat UEBA niet langer een experimenteel project is, maar een structureel onderdeel van de Nederlandse Baseline voor Veilige Cloud waarmee verantwoording en veiligheid in dezelfde cyclus landen.
Datacollectie, modelbeheer en kwaliteitsborging
UEBA staat of valt met betrouwbare data. Microsoft Sentinel, Defender XDR en Entra ID leveren standaard telemetrie, maar publieke instellingen beschikken daarnaast over BRP transacties, zaaksystemen en autorisatiedatabases. Al deze bronnen worden via Azure Data Explorer of de Microsoft Graph Security API samengebracht in een dedicated lakehouse waarin lineage, classificatie en retentie zijn vastgelegd. Elke datastroom krijgt een eigenaar, een beschrijving van de inhoud en controles op volledigheid en latency. Zo kan een auditor achteraf exact zien welke bron een bepaald modellabel heeft gevoed, welke transformaties zijn doorlopen en waarom een specifieke score is toegekend.
Modelbeheer vereist dat data scientists, SOC-analisten en privacy experts samen een feature catalogus onderhouden. Hierin staat welke gedragskenmerken zijn toegestaan, welke normalisatie wordt toegepast en hoe bias wordt herkend. Voorbeelden zijn afwijkende inlogsnelheid, plotseling gebruik van niet-goedgekeurde protocollen of het massaal exporteren van dossiers buiten kantoortijd. Ieder kenmerk krijgt een drempelwaarde die via IaC-sjablonen wordt uitgerold zodat alle tenants, ook bij shared service centra, exact dezelfde instellingen gebruiken. Wanneer een drempel wordt aangepast, documenteert het team de reden, het verwachte effect en de datum waarop een review plaatsvindt. Zonder deze documentatie kan een toezichthouder immers niet beoordelen of het model zorgvuldig is beheerd.
Datakwaliteit wordt continu bewaakt via health-metrics: compleetheid per bron, percentage records met ontbrekende context en de tijd tussen gebeurtenis en opname in het lakehouse. Deze metrics worden gekoppeld aan change- en releaseprocessen. Als een bron onder de afgesproken drempel zakt, blokkeert het platform automatisch modelupdates zodat geen beslissingen worden genomen op basis van incomplete data. Parallel wordt een incidentticket aangemaakt voor het broneigen team, terwijl het SOC een bericht ontvangt dat specifieke scenario’s tijdelijk minder betrouwbaar zijn. Zo blijft de organisatie in control en wordt voorkomen dat gedragsscores tot valse geruststelling leiden.
Modelversies worden beheerd alsof het softwarecomponenten zijn. Iedere versie krijgt een semantische versie, geautomatiseerde validatie, testdata en een release note die uitlegt welke dreigingen beter worden gedetecteerd. Door GitOps toe te passen kunnen meerdere organisaties dezelfde repository gebruiken maar toch eigen configuraties publiceren. Reviews worden uitgevoerd door analisten die niet bij het ontwikkelteam horen, zodat vierogenprincipes aantoonbaar blijven. Het PowerShell script in deze repository kan lokaal worden gedraaid om modeldrift te berekenen op basis van voorbeelddata. In productie leest hetzelfde script via de Sentinel API’s de actuele metriek uit en schrijft het resultaten weg naar een auditbestendig pad.
Tot slot worden privacy en ethiek geborgd door periodieke beoordelingen van de gebruikte features en de impact op burgers. Het FG-team controleert of geanonimiseerde datasets echt niet herleidbaar zijn, of bewaartermijnen worden nageleefd en of burgers hun rechten kunnen uitoefenen. Wanneer nieuwe algoritmes worden geïntroduceerd, wordt eerst bepaald welke aanvullende communicatie richting ondernemingsraad of medezeggenschap nodig is. Zo wordt UEBA geen black box maar een transparant instrument waarin technische excellentie hand in hand gaat met rechtsstatelijke principes.
Operations, monitoring en responsketens
Gebruik PowerShell-script ueba-behavioral-analytics.ps1 (functie Invoke-UebaMonitoring) – Voert lokale of productiecontroles uit op modeldrift, foutpositiefpercentages, ontbrekende contextfeeds en responstijden. Ondersteunt DebugMode zodat teams binnen 15 seconden met voorbeelddata kunnen testen..
De operationele fase draait om voorspelbaarheid en uitlegbaarheid. Iedere UEBA alert wordt direct verrijkt met identiteit-, apparaat- en vergunningsinformatie, zodat een analist binnen het timeframe van de BIO kan beslissen of het incident escalatie vereist. Het SOC gebruikt playbooks die niet alleen technische controles uitvoeren, maar ook automatisch proceseigenaren informeren wanneer burgerdiensten risico lopen. Door responsbeslissingen te koppelen aan het risicoregister kan het CISO-office aantonen dat de organisatie niet willekeurig handelt, maar volgens vooraf goedgekeurde scenario’s. Wanneer een bestuurder om duiding vraagt, toont het UEBA-dashboard exact welke signalen, drempelwaarden en gegevensbronnen tot de melding hebben geleid.
Monitoring is geen losstaande activiteit maar een continue feedbacklus. Het PowerShell script verzamelt dagelijks het aantal high-risk entiteiten, gemiddelde analysetijd per alert, percentage alerts zonder contextdata en het aantal playbooks dat verouderde API-versies gebruikt. Indien waarden buiten de afgesproken bandbreedtes vallen, markeert het script deze direct en kan het optioneel een JSON-rapport naar een Teams-kanaal of SIEM uploaden. Teams die eerst lokaal willen testen, activeren DebugMode waardoor het script met ingebouwde sampledata werkt en nooit externe verbindingen opzet. Daardoor is het veilig om configuraties te oefenen binnen labomgevingen of op laptops zonder beheerrechten.
Een volwassen operationsmodel omvat naast techniek ook menskant. Analisten krijgen scenariohandboeken waarin staat welke vragen zij moeten beantwoorden voordat een alert wordt gesloten. Ook wordt vastgelegd wanneer tweede lijn of juridische experts worden betrokken, bijvoorbeeld bij vermoedens van ongeoorloofd datagebruik. Parallel loopt een programma waarin beheerders en data stewards worden getraind om wijzigingen in systemen tijdig door te geven zodat UEBA-modellen kunnen worden bijgewerkt. Door deze afspraken vast te leggen in het ISMS kan de organisatie aantonen dat procedures consistent worden gevolgd.
Operationele paraatheid wordt verder verhoogd door oefenscenario’s. Minimaal eens per kwartaal draait het team een dry-run waarbij bewust afwijkend gedrag wordt gesimuleerd via synthetische logevents. Het SOC beoordeelt de meldingen, het crisiscommunicatieteam oefent met bestuurlijke updates en het management valideert of besluiten aansluiten bij beleid. De resultaten worden teruggegeven aan het UEBA-programmateam dat drempelwaarden, playbooks en scripts waar nodig aanpast. Zo ontstaat een cyclische verbetering die naadloos aansluit op de Nederlandse Baseline voor Veilige Cloud.
Audittrail, remediatie en continue verbetering
Gebruik PowerShell-script ueba-behavioral-analytics.ps1 (functie Invoke-UebaRemediation) – Genereert een remediatieplan op basis van de gevonden afwijkingen met WhatIf-ondersteuning en schrijft elke actie weg naar het opgegeven artefactpad inclusief hashwaarde..
Audits vragen om reproduceerbaarheid. Iedere UEBA beslissing wordt daarom opgeslagen met de gebruikte modelversie, het volledige feature-profiel en de reden voor escalatie of afsluiting. Deze informatie wordt bewaard in een Purview-records managementsite met retentiebeleid van zeven jaar, zodat zowel interne audits als toezichthouders direct kunnen toetsen of beslissingen onderbouwd zijn. Het PowerShell script voegt aan elk rapport een SHA256-hash toe en slaat deze samen met tijdstempels op, zodat bewijsstukken forensisch houdbaar blijven. Hierdoor kan de organisatie aantonen dat rapportages niet achteraf zijn aangepast.
Remediatie is meer dan technische tuning. Wanneer het script of de monitoring aangeeft dat het foutpositiefpercentage te hoog is, wordt een multidisciplinair verbeterteam geactiveerd. Dit team beoordeelt de betreffende scenario’s, vergelijkt uitkomsten met historische incidenten en bepaalt of aanvullende contextdata, bijvoorbeeld HR-statussen of projectinformatie, moet worden ontsloten. Hetzelfde geldt wanneer blijkt dat bepaalde entiteiten consequent buiten scope vallen; dan wordt onderzocht of de autorisatieketen wel klopt. De remediatiefunctie van het script kan in WhatIf-modus draaien, zodat change boards exacte effecten zien voordat wijzigingen worden doorgevoerd.
Continue verbetering betekent dat UEBA onderdeel is van de portfoliosturing. Elk kwartaal beoordeelt het bestuur de maturity van gedragsanalyse aan de hand van KPI’s zoals mean time to acknowledge, kwaliteit van contextverrijking en percentage alerts dat automatisch kan worden afgehandeld. Deze cijfers worden afgezet tegen internationale benchmarks en aanbevelingen van NCSC en ENISA. Wanneer achterstand ontstaat, wordt budget verschoven naar data-engineering of analytische capaciteit. Door deze werkwijze vast te leggen in het strategisch informatieplan blijft UEBA een prioriteit, ook wanneer politieke aandacht verschuift.
Tot slot wordt ketensamenwerking geborgd. Veel Nederlandse organisaties delen dienstverlening via shared service centra of regionale samenwerkingen. UEBA-rapportages worden daarom afgestemd met ketenpartners zodat afwijkingen die zich over meerdere organisaties uitstrekken sneller worden herkend. Er worden afspraken gemaakt over informatie-uitwisseling, bijvoorbeeld via TLP Amber, en over gezamenlijke escalatie naar het NCSC. Door verbeterplannen, scripts en dashboards open te delen binnen de Baseline community ontstaat een lerend netwerk dat nieuwe dreigingen sneller absorbeert dan individuele organisaties ooit zouden kunnen.
Compliance & Frameworks
- CIS M365: Control 8.7 (L2) - CIS Control 8 schrijft voor dat afwijkend gedrag systematisch wordt geanalyseerd en dat waarschuwingen automatisch worden geprioriteerd.
- BIO: 9.01, 12.01, 12.03, 13.02 - UEBA levert aantoonbare invulling aan het BIO-drieluik detectie, logging en incidentafhandeling, inclusief de verplichting om risicovolle gebeurtenissen te monitoren.
- ISO 27001:2022: A.5.7, A.5.23, A.8.16 - Gedragsanalyse ondersteunt de ISO 27001-eisen voor continue bewaking, gebeurtenisanalyse en aantoonbare responsprocedures.
- NIS2: Artikel - NIS2 verlangt dat essentiële diensten geavanceerde detectie- en responsmaatregelen inzetten en de effectiviteit kunnen aantonen richting toezichthouders.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Valideert UEBA-configuraties en bewaakt gedragsanalyse voor SOC-teams.
.DESCRIPTION
Het script hoort bij content/security/ueba-behavioral-analytics.json binnen het project
"Nederlandse Baseline voor Veilige Cloud". Het controleert of kernindicatoren van
gebruikers- en entiteitsgedragsanalyse (UEBA) binnen afgesproken bandbreedtes vallen,
detecteert modeldrift en genereert een remediatieplan. In DebugMode wordt uitsluitend met
voorbeelddata gewerkt zodat lokale tests altijd binnen 15 seconden zijn afgerond zonder
cloudverbindingen.
.NOTES
Filename: ueba-behavioral-analytics.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Last Modified: 2025-11-27
Version: 1.0
Related JSON: content/security/ueba-behavioral-analytics.json
.LINK
https://github.com/microsoft/m365-tenant-best-practise
.EXAMPLE
.\ueba-behavioral-analytics.ps1 -Monitoring -DebugMode
Voert een snelle lokale controle uit met voorbeelddata.
.EXAMPLE
.\ueba-behavioral-analytics.ps1 -Remediation -WorkspaceName SentinelLawful -ResourceGroupName SOC-RG
Controleert een productie-werkruimte en toont aanbevolen acties. Gebruik -WhatIf om wijzigingen alleen te simuleren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$DebugMode,
[Parameter(Mandatory = $false)]
[switch]$WhatIf,
[Parameter(Mandatory = $false)]
[string]$WorkspaceName,
[Parameter(Mandatory = $false)]
[string]$ResourceGroupName,
[Parameter(Mandatory = $false)]
[string]$OutputPath = ".\artifacts\ueba-behavioral-analytics-report.json"
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'SilentlyContinue'
function Write-UebaBanner {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "UEBA Behavioral Analytics" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
}
function Test-UebaPrerequisites {
[CmdletBinding()]
param()
foreach ($module in @('Az.Accounts','Az.OperationalInsights','Microsoft.Graph','Microsoft.Graph.Security')) {
if (-not (Get-Module -ListAvailable -Name $module)) {
Write-Warning "Module $module is niet gevonden. Installeer deze module voordat u productiegegevens ophaalt."
}
}
}
function Connect-UebaTelemetry {
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Verbose "DebugMode actief: er worden geen cloudverbindingen gemaakt."
return
}
Write-Host "[INFO] Controleer of u reeds bent aangemeld met Connect-AzAccount en Connect-MgGraph -Scopes SecurityEvents.Read.All." -ForegroundColor Yellow
}
function Get-UebaSampleData {
[CmdletBinding()]
param()
return [PSCustomObject]@{
HighRiskEntities = 18
MediumRiskEntities = 74
FalsePositiveRate = 0.27
ModelVersions = 4
ModelsOutdated = 2
ContextCoverage = 0.81
AnalystReviewLagHours = 9
SignalsWithoutOwner = 5
SuppressedAlerts = 14
LastModelReview = (Get-Date).AddDays(-46)
}
}
function Get-UebaTelemetryData {
[CmdletBinding()]
param()
if ($DebugMode -or -not ($WorkspaceName -and $ResourceGroupName)) {
return Get-UebaSampleData
}
try {
$workspace = Get-AzOperationalInsightsWorkspace -Name $WorkspaceName -ResourceGroupName $ResourceGroupName -ErrorAction Stop
$query = @"
let WindowHours = 24;
BehaviorAnalytics
| where TimeGenerated > ago(WindowHours h)
| summarize HighRiskEntities = dcountif(UserPrincipalName, RiskLevel == "High"),
MediumRiskEntities = dcountif(UserPrincipalName, RiskLevel == "Medium"),
FalsePositiveRate = avg(todouble(FalsePositive)),
ModelsOutdated = max(tolong(ModelsOutdated)),
ContextCoverage = avg(todouble(ContextCoverage)),
AnalystReviewLagHours = avg(todouble(AnalystReviewLagHours)),
SignalsWithoutOwner = max(tolong(SignalsWithoutOwner)),
SuppressedAlerts = sum(tolong(SuppressedAlerts)),
LastModelReview = max(LastModelReview)
"@
$result = Invoke-AzOperationalInsightsQuery -WorkspaceId $workspace.CustomerId -Query $query -Timespan (New-TimeSpan -Hours 24)
if ($result.Results.Count -eq 0) {
Write-Warning "Geen resultaten ontvangen uit de werkruimte. Er wordt teruggevallen op voorbeelddata."
return Get-UebaSampleData
}
$row = $result.Results[0]
return [PSCustomObject]@{
HighRiskEntities = [int]$row.HighRiskEntities
MediumRiskEntities = [int]$row.MediumRiskEntities
FalsePositiveRate = [double]$row.FalsePositiveRate
ModelVersions = [int](if ($row.ModelVersions) { $row.ModelVersions } else { 1 })
ModelsOutdated = [int](if ($row.ModelsOutdated) { $row.ModelsOutdated } else { 0 })
ContextCoverage = [double]$row.ContextCoverage
AnalystReviewLagHours = [double]$row.AnalystReviewLagHours
SignalsWithoutOwner = [int]$row.SignalsWithoutOwner
SuppressedAlerts = [int]$row.SuppressedAlerts
LastModelReview = if ($row.LastModelReview) { [datetime]$row.LastModelReview } else { (Get-Date).AddDays(-60) }
}
}
catch {
Write-Warning "Kon productiegegevens niet ophalen: $($_.Exception.Message). Er wordt teruggevallen op voorbeelddata."
return Get-UebaSampleData
}
}
function Test-UebaAnalytics {
[CmdletBinding()]
param()
$data = Get-UebaTelemetryData
$issues = @()
if ($data.HighRiskEntities -gt 25) {
$issues += "Aantal high-risk entiteiten ($($data.HighRiskEntities)) ligt boven de bestuurlijk vastgestelde bandbreedte."
}
if ($data.FalsePositiveRate -gt 0.2) {
$issues += "Foutpositiefpercentage $([math]::Round($data.FalsePositiveRate*100,2))% overschrijdt de norm van 20%."
}
if ($data.ModelsOutdated -gt 0) {
$issues += "$($data.ModelsOutdated) modellen draaien op een niet-goedgekeurde versie; voer herdeploy uit."
}
if ($data.ContextCoverage -lt 0.9) {
$issues += "Contextdekking staat op $([math]::Round($data.ContextCoverage*100,1))% en moet minimaal 90% zijn."
}
if ($data.AnalystReviewLagHours -gt 6) {
$issues += "Analisten hebben gemiddeld $([math]::Round($data.AnalystReviewLagHours,1)) uur nodig om alerts te beoordelen; verkort wachttijden."
}
if ($data.SignalsWithoutOwner -gt 0) {
$issues += "$($data.SignalsWithoutOwner) signalen missen een toegewezen eigenaar in ITSM."
}
if ($data.SuppressedAlerts -gt 10) {
$issues += "$($data.SuppressedAlerts) alerts worden onderdrukt zonder documentatie; controleer suppressieregels."
}
if (((Get-Date) - $data.LastModelReview).TotalDays -gt 30) {
$issues += "Laatste modelreview is ouder dan 30 dagen."
}
[PSCustomObject]@{
ScriptName = 'ueba-behavioral-analytics.ps1'
Timestamp = Get-Date
Metrics = $data
Issues = $issues
IsCompliant = ($issues.Count -eq 0)
Recommendations = if ($issues.Count -eq 0) { @("UEBA-configuratie voldoet aan de ingestelde normen.") } else { $issues }
}
}
function Invoke-UebaMonitoring {
[CmdletBinding()]
param()
$result = Test-UebaAnalytics
$metrics = $result.Metrics
Write-Host "High-risk entiteiten : $($metrics.HighRiskEntities)" -ForegroundColor White
Write-Host "Medium-risk entiteiten : $($metrics.MediumRiskEntities)" -ForegroundColor White
Write-Host "Foutpositiefpercentage : $([math]::Round($metrics.FalsePositiveRate*100,2))%" -ForegroundColor White
Write-Host "Contextdekking : $([math]::Round($metrics.ContextCoverage*100,1))%" -ForegroundColor White
Write-Host "Gemiddelde reviewtijd (h) : $([math]::Round($metrics.AnalystReviewLagHours,1))" -ForegroundColor White
Write-Host "Signals zonder eigenaar : $($metrics.SignalsWithoutOwner)" -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`n[OK] UEBA-configuratie voldoet aan alle drempels." -ForegroundColor Green
}
else {
Write-Host "`n[WARN] Afwijkingen gevonden:" -ForegroundColor Yellow
$result.Recommendations | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
}
return $result
}
function Invoke-UebaRemediation {
[CmdletBinding()]
param()
$result = Test-UebaAnalytics
$actions = @()
if ($result.Recommendations -match "bandbreedte") {
$actions += "Herzie UEBA-risicomodellen en voer gerichte hunts uit voor de genoemde entiteiten."
}
if ($result.Recommendations -match "Foutpositiefpercentage") {
$actions += "Pas drempelwaarden aan en voeg aanvullende contextfeeds toe zodat het foutpositiefpercentage onder 20% komt."
}
if ($result.Recommendations -match "niet-goedgekeurde versie") {
$actions += "Deploy de laatste modelversie via IaC-pijplijnen en documenteer de wijziging in het ISMS."
}
if ($result.Recommendations -match "Contextdekking") {
$actions += "Activeer ontbrekende logbronnen of herstel connectiviteit met CMDB/HR-feeds."
}
if ($result.Recommendations -match "wachttijden") {
$actions += "Plan een capaciteitsreview met SOC en stel striktere SLA's in voor tweede lijn."
}
if ($result.Recommendations -match "ITSM") {
$actions += "Forceer ownership via automatisering: koppel alerts zonder eigenaar aan de proceseigenaar en log het besluit."
}
if ($result.Recommendations -match "onderdrukt") {
$actions += "Controleer suppressieregels en documenteer uitzonderingen opnieuw binnen het risicoregister."
}
if ($result.Recommendations -match "modelreview") {
$actions += "Plan direct een modelreview en leg uitkomsten vast inclusief bias-analyse."
}
if ($actions.Count -eq 0) {
Write-Host "Geen remediatie-acties nodig." -ForegroundColor Green
return $result
}
Write-Host "`nRemediatieplan:" -ForegroundColor Cyan
foreach ($action in $actions) {
if ($WhatIf) {
Write-Host "WhatIf: $action" -ForegroundColor Yellow
}
else {
Write-Host $action -ForegroundColor Gray
}
}
return $result
}
function Save-UebaReport {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[pscustomobject]$Data
)
$directory = Split-Path -Parent $OutputPath
if (-not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$jsonPayload = $Data | ConvertTo-Json -Depth 5
$sha256 = [System.Security.Cryptography.SHA256]::Create()
try {
$hashBytes = $sha256.ComputeHash([System.Text.Encoding]::UTF8.GetBytes($jsonPayload))
}
finally {
$sha256.Dispose()
}
$hashString = ($hashBytes | ForEach-Object { $_.ToString("x2") }) -join ""
$payload = [PSCustomObject]@{
Report = $Data
Hash = $hashString
Generated = Get-Date
Script = 'ueba-behavioral-analytics.ps1'
}
$payload | ConvertTo-Json -Depth 6 | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "`nRapport opgeslagen naar $OutputPath" -ForegroundColor Green
}
Write-UebaBanner
Test-UebaPrerequisites
Connect-UebaTelemetry
try {
$result = if ($Monitoring) {
Invoke-UebaMonitoring
}
elseif ($Remediation) {
Invoke-UebaRemediation
}
else {
Test-UebaAnalytics
}
Save-UebaReport -Data $result
return $result
}
catch {
Write-Error "Fout tijdens UEBA-evaluatie: $_"
exit 1
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Very High: Organisaties die geen UEBA inzetten, missen subtiele patronen van accountmisbruik en kunnen niet aantonen dat zij dreigingen proactief volgen. Een incident zal dan leiden tot politieke en juridische vragen waarom beschikbare data niet zijn benut.
Management Samenvatting
Investeer in governance, datakwaliteit en modelbeheer, automatiseer controles via het bijgeleverde PowerShell script en koppel de uitkomsten aan het risicoregister zodat UEBA aantoonbaar bijdraagt aan BIO, NIS2 en AVG naleving.
- Implementatietijd: 280 uur
- FTE required: 0.7 FTE