💼 Management Samenvatting
Threat intelligence workbooks in Azure Sentinel vormen essentiële visualisatie- en analyse-instrumenten voor security teams die bedreigingsinformatie willen begrijpen, analyseren en gebruiken voor proactieve bedreigingsdetectie en incident response. Deze interactieve dashboards bieden een gestructureerde manier om threat intelligence-indicatoren (IOC's), dreigingsactoren, campagnes en correlaties te visualiseren, waardoor security analisten sneller inzicht krijgen in de dreigingslandschap en effectiever kunnen reageren op beveiligingsincidenten. Zonder adequate threat intelligence workbooks missen security teams cruciale inzichten in bedreigingsinformatie, wat kan leiden tot gemiste bedreigingen, trage incident response en onvolledige dreigingsanalyses.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
60u (tech: 40u)
Van toepassing op:
✓ Azure
Threat intelligence workbooks zijn essentieel voor effectieve bedreigingsinformatie-analyse omdat zij security teams in staat stellen om complexe threat intelligence-data te visualiseren en te analyseren op een manier die anders moeilijk te begrijpen zou zijn. Zonder deze workbooks moeten analisten handmatig door grote hoeveelheden threat intelligence-data navigeren, wat tijdrovend is, foutgevoelig kan zijn en niet schaalbaar is bij grote volumes aan indicatoren. Dit leidt tot situaties waarin belangrijke dreigingsinformatie over het hoofd wordt gezien, waarin correlaties tussen verschillende indicatoren niet worden geïdentificeerd, en waarin security teams niet proactief kunnen reageren op opkomende bedreigingen. Threat intelligence workbooks lossen dit probleem op door bedreigingsinformatie te presenteren in visuele, interactieve dashboards die analisten in staat stellen om snel patronen te identificeren, correlaties te ontdekken en inzicht te krijgen in de dreigingslandschap. Deze workbooks kunnen worden gebruikt voor verschillende doeleinden, zoals het monitoren van actieve bedreigingen, het analyseren van dreigingscampagnes, het identificeren van nieuwe IOC's, en het ondersteunen van threat hunting-activiteiten. Bovendien bieden threat intelligence workbooks een gestructureerde manier om bedreigingsinformatie te delen met andere teams en stakeholders, waardoor organisaties beter kunnen samenwerken aan beveiligingsinitiatieven. Voor Nederlandse overheidsorganisaties zijn threat intelligence workbooks ook belangrijk voor compliance-doeleinden, omdat zij kunnen worden gebruikt om aan te tonen dat organisaties proactief bedreigingsinformatie monitoren en analyseren, wat vereist is door frameworks zoals de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn en de AVG. Deze frameworks vereisen dat organisaties beschikken over adequate monitoring- en analyse-capaciteiten voor bedreigingsinformatie, en threat intelligence workbooks vormen een belangrijk onderdeel van deze capaciteiten.
PowerShell Modules Vereist
Primary API: Azure Security Insights, Azure Log Analytics
Connection:
Required Modules: Az.Accounts, Az.OperationalInsights, Az.SecurityInsights
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.OperationalInsights, Az.SecurityInsights
Implementatie
Azure Sentinel threat intelligence workbooks zijn interactieve dashboards die zijn gebouwd op Azure Monitor Workbooks en die bedreigingsinformatie visualiseren en analyseren op basis van data die is verzameld in Azure Sentinel. Deze workbooks maken gebruik van Kusto Query Language (KQL) om query's uit te voeren op threat intelligence-data die is opgeslagen in Log Analytics-workspaces, en presenteren de resultaten in visuele, interactieve visualisaties zoals tabellen, grafieken, kaarten en tijdlijnen. Threat intelligence workbooks kunnen verschillende soorten bedreigingsinformatie visualiseren, zoals indicatoren van compromittering (IOC's) zoals IP-adressen, domeinnamen, bestandshashes en URL's, dreigingsactoren en hun kenmerken, dreigingscampagnes en hun levenscyclus, en correlaties tussen verschillende indicatoren en bedreigingen. Deze workbooks kunnen worden aangepast aan de specifieke behoeften van de organisatie door query's te wijzigen, visualisaties aan te passen, en nieuwe secties toe te voegen. Azure Sentinel biedt ingebouwde threat intelligence workbook-templates die kunnen worden gebruikt als startpunt, maar organisaties kunnen ook volledig aangepaste workbooks ontwikkelen die zijn afgestemd op hun specifieke dreigingslandschap en analysebehoeften. Threat intelligence workbooks kunnen worden gedeeld met andere gebruikers en teams, waardoor organisaties bedreigingsinformatie kunnen delen en kunnen samenwerken aan beveiligingsinitiatieven. Daarnaast kunnen workbooks worden geïntegreerd met andere Azure Sentinel-functionaliteit, zoals analytics rules, playbooks en incidenten, waardoor bedreigingsinformatie kan worden gebruikt voor geautomatiseerde detectie en respons.
Vereisten en Architectuur
Voor het implementeren van threat intelligence workbooks in Azure Sentinel zijn specifieke technische vereisten, beheerdersbevoegdheden en architecturale overwegingen noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle implementatie van threat intelligence workbooks en zijn essentieel om te kunnen waarborgen dat workbooks correct functioneren, dat zij toegang hebben tot de benodigde threat intelligence-data, en dat zij voldoen aan compliance-vereisten zoals vastgelegd in de BIO, NIS2 richtlijn en de AVG. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat workbooks niet correct functioneren, dat zij geen toegang hebben tot bedreigingsinformatie, en dat zij niet kunnen voldoen aan compliance-vereisten.
De primaire technische vereiste voor threat intelligence workbooks is een Azure Sentinel-workspace die is geconfigureerd en actief is, met toegang tot threat intelligence-data. Azure Sentinel moet zijn ingeschakeld op een Log Analytics-workspace, en threat intelligence-connectors moeten zijn geconfigureerd om bedreigingsinformatie te verzamelen. Dit omvat de Microsoft Threat Intelligence-connector, die automatisch threat intelligence-indicatoren synchroniseert met Azure Sentinel, en eventuele externe threat intelligence-feeds die zijn geconfigureerd via STIX/TAXII-connectors of aangepaste connectors. Zonder actieve threat intelligence-connectors hebben workbooks geen data om te visualiseren, waardoor zij niet effectief kunnen zijn. Organisaties moeten verifiëren dat threat intelligence-connectors actief zijn en data verzamelen voordat zij threat intelligence workbooks implementeren. Daarnaast moeten organisaties overwegen om voldoende data-retentie te configureren in Log Analytics-workspaces, zodat historische threat intelligence-data beschikbaar is voor analyse in workbooks.
Naast Azure Sentinel-configuratie zijn specifieke beheerdersbevoegdheden vereist voor het maken, configureren en beheren van threat intelligence workbooks. De Azure Sentinel Contributor rol is de minimale rol die nodig is voor het maken en bewerken van workbooks, omdat deze rol toegang heeft tot Azure Sentinel-functionaliteit en de mogelijkheid heeft om workbooks te maken en te beheren. Voor workbooks die toegang vereisen tot gevoelige threat intelligence-data of die worden gedeeld met andere teams, kunnen aanvullende bevoegdheden nodig zijn, zoals de Log Analytics Reader rol voor het lezen van logdata, of de Security Reader rol voor het lezen van beveiligingsgegevens. Organisaties moeten een principe van least privilege toepassen bij het toewijzen van bevoegdheden aan workbook-gebruikers, waarbij gebruikers alleen de minimale bevoegdheden krijgen die nodig zijn voor hun specifieke functie. Dit kan worden bereikt door gebruik te maken van Azure RBAC om specifieke rollen toe te wijzen aan specifieke gebruikers of groepen, en door regelmatig te reviewen wie toegang heeft tot threat intelligence workbooks.
Architecturale overwegingen omvatten ook het ontwerpen van workbooks voor schaalbaarheid en prestaties. Threat intelligence workbooks moeten worden ontworpen om efficiënt te werken met grote hoeveelheden data, waarbij gebruik wordt gemaakt van geoptimaliseerde KQL-query's die alleen de benodigde data ophalen en die gebruik maken van indexering en caching waar mogelijk. Workbooks die complexe query's uitvoeren of grote hoeveelheden data verwerken, kunnen langzaam zijn of time-outs veroorzaken, wat de gebruikerservaring negatief beïnvloedt. Organisaties moeten overwegen om workbooks te optimaliseren door query's te vereenvoudigen, door gebruik te maken van samenvattingstabellen in plaats van ruwe data, en door paginering te implementeren voor grote datasets. Daarnaast moeten organisaties overwegen om workbooks te configureren met automatische refresh-intervallen, zodat data up-to-date blijft zonder dat gebruikers handmatig moeten vernieuwen. Voor kritieke workbooks moeten organisaties overwegen om redundantie te implementeren, waarbij meerdere exemplaren van workbooks worden geconfigureerd in verschillende Azure-regio's om beschikbaarheid te waarborgen.
Voor organisaties die geavanceerde threat intelligence workbooks willen implementeren, zijn aanvullende vereisten nodig. Dit omvat de beschikbaarheid van externe threat intelligence-feeds voor het verrijken van data, de beschikbaarheid van machine learning-capaciteiten voor geavanceerde analyses, en de beschikbaarheid van integraties met andere beveiligingssystemen voor het delen van bedreigingsinformatie. Organisaties moeten overwegen om geavanceerde threat intelligence workbooks te implementeren als onderdeel van hun beveiligingsstrategie, waarbij gebruik wordt gemaakt van geavanceerde visualisaties en analyses om complexe dreigingspatronen te identificeren. Het is cruciaal te realiseren dat zonder de juiste configuratie, bevoegdheden en architecturale overwegingen threat intelligence workbooks niet effectief kunnen worden geïmplementeerd en organisaties niet kunnen waarborgen dat zij beschikken over adequate visualisatie- en analyse-capaciteiten voor bedreigingsinformatie. Het ontbreken van adequate threat intelligence workbooks kan leiden tot situaties waarin security teams niet effectief kunnen werken met bedreigingsinformatie, wat kan resulteren in gemiste bedreigingen, trage incident response en niet-naleving van compliance-vereisten.
Implementatie van Threat Intelligence Workbooks
De implementatie van threat intelligence workbooks in Azure Sentinel vereist een gestructureerde aanpak die begint met het identificeren van gebruiksscenario's, gevolgd door het selecteren of ontwikkelen van geschikte workbook-templates, het configureren van query's en visualisaties, het testen en valideren van workbooks, en het implementeren van monitoring en onderhoud. Hoewel Azure Sentinel ingebouwde workbook-templates biedt voor veelvoorkomende threat intelligence-scenario's, is het essentieel om een doordachte implementatiestrategie te volgen die ervoor zorgt dat workbooks zijn afgestemd op de specifieke behoeften van de organisatie en dat zij voldoen aan compliance-vereisten.
De eerste stap in het implementatieproces is het identificeren van gebruiksscenario's voor threat intelligence workbooks. Dit begint met het analyseren van de behoeften van security teams en het identificeren van welke bedreigingsinformatie het belangrijkst is voor de organisatie. Veelvoorkomende gebruiksscenario's omvatten bijvoorbeeld het monitoren van actieve bedreigingen en IOC's, het analyseren van dreigingscampagnes en hun levenscyclus, het identificeren van nieuwe of opkomende bedreigingen, het ondersteunen van threat hunting-activiteiten, en het rapporteren van bedreigingsinformatie aan management en stakeholders. Voor elke use case moeten organisaties de verwachte voordelen documenteren, zoals verbeterde zichtbaarheid in bedreigingsinformatie, snellere identificatie van bedreigingen, of betere rapportage aan stakeholders. Daarnaast moeten organisaties overwegen wie de workbooks zullen gebruiken, wat hun technische vaardigheden zijn, en welke informatie zij nodig hebben om effectief te kunnen werken.
Na het identificeren van gebruiksscenario's volgt het selecteren of ontwikkelen van geschikte workbook-templates. Azure Sentinel biedt ingebouwde threat intelligence workbook-templates die kunnen worden gebruikt als startpunt, zoals templates voor het visualiseren van IOC's, het analyseren van dreigingsactoren, en het monitoren van dreigingscampagnes. Deze templates kunnen worden aangepast aan de specifieke behoeften van de organisatie door query's te wijzigen, visualisaties aan te passen, en nieuwe secties toe te voegen. Voor organisaties met specifieke behoeften of voor geavanceerde use cases kan het nodig zijn om volledig aangepaste workbooks te ontwikkelen vanaf nul. Dit omvat het schrijven van KQL-query's om threat intelligence-data op te halen, het configureren van visualisaties om data te presenteren, en het implementeren van interactieve elementen zoals filters en parameters. Tijdens de ontwikkeling moeten organisaties aandacht besteden aan prestaties, door query's te optimaliseren en door gebruik te maken van efficiënte visualisaties, en aan gebruiksvriendelijkheid, door workbooks te ontwerpen die intuïtief zijn en die de benodigde informatie snel presenteren.
De derde stap omvat het configureren van query's en visualisaties in workbooks. KQL-query's moeten worden geschreven om de benodigde threat intelligence-data op te halen uit Log Analytics-workspaces, waarbij gebruik wordt gemaakt van de ThreatIntelligenceIndicator-tabel die bedreigingsinformatie bevat. Query's moeten worden geoptimaliseerd voor prestaties, door gebruik te maken van indexering, door alleen de benodigde kolommen op te halen, en door filters toe te passen om de hoeveelheid data te beperken. Visualisaties moeten worden gekozen op basis van het type data en het doel van de visualisatie, waarbij tabellen geschikt zijn voor gedetailleerde data, grafieken geschikt zijn voor trends en patronen, en kaarten geschikt zijn voor geografische data. Daarnaast moeten workbooks worden geconfigureerd met interactieve elementen, zoals parameters voor het filteren van data, tijdselectors voor het selecteren van tijdsperioden, en drill-down-functionaliteit voor het verkennen van gedetailleerde informatie. Deze interactieve elementen maken workbooks gebruiksvriendelijker en stellen gebruikers in staat om snel de informatie te vinden die zij nodig hebben.
Gebruik PowerShell-script threat-intelligence-workbook.ps1 (functie Invoke-Implementation) – Controleert of threat intelligence workbooks correct zijn geconfigureerd en operationeel zijn.
Het PowerShell-script threat-intelligence-workbook.ps1 ondersteunt deze implementatie door automatisch te controleren of threat intelligence workbooks correct zijn geconfigureerd, of zij toegang hebben tot threat intelligence-data, en of zij voldoen aan best practices voor beveiliging en compliance. Het script maakt verbinding met Azure via Connect-AzAccount, haalt workbook-configuraties op via Azure Sentinel API's, controleert of workbooks zijn geconfigureerd met de juiste query's en visualisaties, en verifieert of threat intelligence-connectors actief zijn en data verzamelen. De uitvoer bevat zowel een totaalscore per tenant als een overzicht per workspace en per workbook, waardoor teams gericht acties kunnen uitzetten naar de eigenaar van de betreffende workbook. Het script kan herhaaldelijk worden gedraaid na configuratiewijzigingen om te verifiëren dat de verwachte configuratie inderdaad aanwezig is.
Na de ontwikkeling moeten workbooks worden getest voordat zij in productie worden genomen. Dit omvat het testen van workbooks met echte threat intelligence-data, het verifiëren dat query's correct functioneren en de verwachte resultaten opleveren, het controleren van prestaties en laadtijden, en het valideren dat visualisaties correct worden weergegeven. Organisaties moeten overwegen om een gestructureerd testproces te implementeren, waarbij workbooks worden getest door verschillende teamleden en waarbij testresultaten worden gedocumenteerd. Na succesvolle tests kunnen workbooks worden gedeeld met gebruikers en teams, waarbij organisaties moeten overwegen om toegangsbeheer te configureren om te waarborgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige bedreigingsinformatie. Daarnaast moeten organisaties processen implementeren voor het monitoren en onderhouden van workbooks, waarbij regelmatig wordt gecontroleerd of workbooks nog steeds correct functioneren en of zij up-to-date zijn met veranderende bedreigingslandschappen.
Compliance en Governance
Vanuit complianceperspectief vervullen threat intelligence workbooks een centrale rol als technische voorziening om te waarborgen dat organisaties proactief bedreigingsinformatie monitoren en analyseren, en als bron van bewijs dat de organisatie structureel voldoet aan gestelde normen. De Baseline Informatiebeveiliging Overheid (BIO) schrijft in hoofdstuk 12.04 voor dat beveiligingsrelevante gebeurtenissen moeten worden gemonitord, geanalyseerd en gekoppeld aan opvolgacties. Door threat intelligence workbooks te implementeren en de gebruik te documenteren, kan eenvoudig worden aangetoond dat bedreigingsinformatie proactief wordt gemonitord en geanalyseerd, en dat security teams beschikken over adequate tools voor het werken met bedreigingsinformatie. Tijdens ENSIA-audits en interne controles kunnen workbook-configuraties en gebruikerslogs rechtstreeks worden gebruikt als evidence dat bedreigingsinformatie-monitoring volwassen is ingericht en correct functioneert.
Ook de AVG en NIS2 stellen impliciete en expliciete eisen aan bedreigingsinformatie-monitoring en -analyse. AVG Artikel 32 verlangt passende technische en organisatorische maatregelen om onder meer de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens te waarborgen. Threat intelligence workbooks die proactief bedreigingen identificeren en analyseren vormen een belangrijke technische maatregel om deze vereisten na te komen. NIS2 en de Wet beveiliging netwerk- en informatiesystemen vragen bovendien om aantoonbaar en proportioneel bedreigingsmonitoring, inclusief proactieve detectie en analyse van bedreigingen. Een Azure Sentinel-omgeving waarin threat intelligence workbooks zijn geïmplementeerd en waarvan het gebruik wordt gemonitord en gedocumenteerd, vormt de basis om deze verplichtingen na te komen en om in rapportages richting toezichthouders overtuigend te laten zien dat bedreigingsinformatie-monitoring is geautomatiseerd en effectief functioneert.
Voor sectorale kaders, zoals de DigiD-beveiligingsrichtlijnen, de richtlijnen van het Nationaal Cyber Security Centrum (NCSC) of aanvullende eisen van toezichthouders in de gezondheidszorg en financiële sector, geldt eveneens dat proactieve bedreigingsinformatie-monitoring centraal staat. Azure Sentinel workbooks maken het mogelijk om maatwerkrapporten te definiëren waarin bijvoorbeeld alle geanalyseerde bedreigingen, de status van dreigingscampagnes, en correlaties tussen verschillende indicatoren in één overzicht worden samengebracht. Deze rapporten kunnen periodiek worden geëxporteerd en ondertekend, waardoor zij direct als auditstuk kunnen worden opgenomen in dossiers. Belangrijk is wel dat de workbook-configuraties en query's die hiervoor worden gebruikt onder versiebeheer staan, zodat auditteams kunnen controleren dat de gebruikte analyses consistent zijn en dat resultaten herhaalbaar zijn.
Transparantie en verantwoording blijven randvoorwaarden, ook bij threat intelligence workbooks. Organisaties moeten onderbouwen waarom bepaalde bedreigingsinformatie wordt gemonitord, welke analyses worden uitgevoerd, en hoe bedreigingsinformatie wordt gebruikt voor detectie en respons. Azure Sentinel ondersteunt deze verantwoording doordat workbook-configuraties worden gelogd en omdat alle query's en analyses traceerbaar zijn. Door deze configuraties te documenteren in het verwerkingsregister en in dataprotectie-effectbeoordelingen (DPIA's), kan worden aangetoond dat bedreigingsinformatie-monitoring proportioneel en doelgebonden is ingericht. Hiermee worden technische maatregelen direct gekoppeld aan juridische en organisatorische kaders, wat essentieel is binnen de Nederlandse Baseline voor Veilige Cloud.
Monitoring en Optimalisatie
Gebruik PowerShell-script threat-intelligence-workbook.ps1 (functie Invoke-Monitoring) – Monitort de status en prestaties van threat intelligence workbooks en identificeert verbeteringsmogelijkheden.
Effectieve monitoring van threat intelligence workbooks is essentieel om te waarborgen dat workbooks correct blijven functioneren, dat zij voldoen aan prestatievereisten, en dat problemen snel worden geïdentificeerd en opgelost. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat workbooks succesvol worden gebruikt, dat zij de verwachte voordelen opleveren, en dat er geen problemen zijn met workbook-configuraties die kunnen leiden tot onjuiste analyses of gemiste bedreigingen. Monitoring omvat het continu volgen van workbook-gebruik, het analyseren van prestaties en laadtijden, het identificeren van fouten en problemen, en het waarborgen dat workbooks up-to-date blijven met veranderende bedreigingslandschappen.
De basis van monitoring wordt gevormd door het regelmatig analyseren van workbook-gebruik en prestaties. Beheerders moeten wekelijks controleren hoeveel workbooks actief zijn, hoe vaak zij worden gebruikt, wat de gemiddelde laadtijden zijn, en of er fouten zijn opgetreden. Deze informatie kan worden gebruikt om trends te identificeren, zoals een toename van gebruik die kan wijzen op de waarde van workbooks, of een afname van gebruik die kan wijzen op problemen met workbooks of veranderende behoeften. Organisaties moeten overwegen om dashboards te maken die deze metrics weergeven, zodat teams snel kunnen zien hoe workbooks presteren en waar aandacht nodig is. Daarnaast moeten organisaties processen implementeren voor het monitoren van workbook-prestaties, waarbij maandelijks wordt gecontroleerd of workbooks binnen acceptabele laadtijden blijven en waarbij optimalisaties worden geïmplementeerd wanneer nodig.
Naast het monitoren van gebruik en prestaties moeten organisaties regelmatig de effectiviteit van workbooks evalueren door te analyseren of workbooks de verwachte voordelen opleveren. Dit omvat het meten van metrics zoals de tijd die analisten nodig hebben om bedreigingsinformatie te analyseren, het aantal bedreigingen dat wordt geïdentificeerd via workbooks, en de tevredenheid van gebruikers met workbooks. Door deze metrics regelmatig te meten kunnen organisaties identificeren welke workbooks het meest effectief zijn en waar verbeteringen mogelijk zijn. Daarnaast kunnen deze metrics worden gebruikt om de business case voor threat intelligence workbooks te onderbouwen en om te demonstreren dat investeringen in workbooks de verwachte return on investment opleveren.
Voor organisaties die geautomatiseerde workbook-monitoring hebben geïmplementeerd, is het essentieel om te monitoren of deze monitoring correct functioneert en of waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd. Dit omvat het controleren van de uitvoer van monitoring-scripts, het analyseren van gegenereerde waarschuwingen, en het verifiëren dat problemen worden opgelost. Problemen met monitoring kunnen leiden tot situaties waarin workbook-problemen niet worden gedetecteerd, wat kan resulteren in onjuiste analyses of gemiste bedreigingen. Organisaties moeten processen implementeren voor het monitoren van de effectiviteit van monitoring, waarbij maandelijks wordt gecontroleerd of monitoring correct functioneert en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Optimalisatie van workbooks is een continu proces dat regelmatig moet worden uitgevoerd om te waarborgen dat workbooks up-to-date blijven en dat zij optimaal presteren. Dit omvat het reviewen van workbook-configuraties om te identificeren waar verbeteringen mogelijk zijn, het updaten van query's om nieuwe bedreigingsinformatie te adresseren, en het verwijderen of deactiveren van workbooks die niet langer nodig zijn. Organisaties moeten overwegen om een regelmatig reviewproces te implementeren, waarbij workbooks minimaal kwartaal worden gereviewd om te verifiëren dat zij nog steeds relevant zijn en dat zij optimaal zijn geconfigureerd. Daarnaast moeten organisaties processen implementeren voor het bijhouden van wijzigingen aan workbooks, zodat teams kunnen zien hoe workbooks zijn geëvolueerd en waarom bepaalde beslissingen zijn genomen.
Remediatie en Verbetering
Gebruik PowerShell-script threat-intelligence-workbook.ps1 (functie Invoke-Remediation) – Identificeert problemen met workbook-configuraties en biedt aanbevelingen voor verbetering.
Remediatie van problemen met threat intelligence workbooks omvat het identificeren van mislukte query's, het corrigeren van configuratiefouten, het oplossen van prestatieproblemen, en het waarborgen dat workbooks optimaal zijn geconfigureerd voor effectieve bedreigingsinformatie-analyse. Het is belangrijk om te realiseren dat wanneer workbooks niet correct functioneren, security teams niet effectief kunnen werken met bedreigingsinformatie en organisaties kunnen worden blootgesteld aan beveiligingsrisico's die kunnen leiden tot gemiste bedreigingen, trage incident response en niet-naleving van compliance-vereisten. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van workbook-problemen, zodat de impact op bedreigingsinformatie-analyse wordt geminimaliseerd.
Wanneer workbooks niet correct worden weergegeven of wanneer query's fouten genereren, kan dit worden veroorzaakt door verschillende problemen, zoals onjuiste KQL-syntax, problemen met data-toegang, of wijzigingen in de onderliggende data-structuur. Beheerders moeten controleren of query's correct zijn geschreven en of zij de verwachte resultaten opleveren, of threat intelligence-connectors actief zijn en data verzamelen, en of de benodigde bevoegdheden zijn toegewezen. Daarnaast moeten beheerders controleren of er fouten zijn in workbook-logs die kunnen wijzen op de oorzaak van het probleem. Na het identificeren van het probleem kunnen beheerders query's corrigeren, data-toegang herstellen, of bevoegdheden aanpassen om te waarborgen dat workbooks correct functioneren.
Wanneer workbooks langzaam zijn of time-outs veroorzaken, kan dit worden veroorzaakt door problemen met query-optimalisatie, grote hoeveelheden data, of netwerkconnectiviteitsproblemen. Beheerders moeten query's analyseren om te identificeren waar optimalisaties mogelijk zijn, zoals het toepassen van filters om de hoeveelheid data te beperken, het gebruik van samenvattingstabellen in plaats van ruwe data, of het implementeren van paginering voor grote datasets. Daarnaast moeten beheerders controleren of netwerkconnectiviteit beschikbaar is en of er geen problemen zijn met Azure-services die kunnen leiden tot vertragingen. Na het identificeren van het probleem kunnen beheerders query's optimaliseren, data-volumes beperken, of netwerkconfiguraties aanpassen om te waarborgen dat workbooks binnen acceptabele laadtijden blijven.
Voor organisaties die problemen hebben met workbook-gebruik of effectiviteit, moeten deze problemen worden opgelost om te waarborgen dat workbooks effectief blijven. Dit kan betekenen dat workbooks moeten worden aangepast aan veranderende behoeften, dat nieuwe workbooks moeten worden ontwikkeld voor nieuwe use cases, of dat gebruikers moeten worden getraind in het effectief gebruik van workbooks. Organisaties moeten processen implementeren voor het regelmatig analyseren van workbook-gebruik en effectiviteit, waarbij maandelijks wordt gecontroleerd of workbooks nog steeds relevant zijn en of zij de verwachte voordelen opleveren. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van workbook-problemen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt.
Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van workbook-problemen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat workbooks moeten worden getest voordat zij in productie worden genomen, dat wijzigingen aan data-structuren moeten worden gecommuniceerd aan workbook-eigenaren, of dat aanvullende monitoring moet worden geïmplementeerd om problemen sneller te detecteren. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat workbooks continu effectief blijven en dat er geen gaten ontstaan in bedreigingsinformatie-analyse die kunnen leiden tot niet-naleving van compliance-vereisten.
Compliance & Frameworks
- BIO: 12.04, 11.04, 17.03 - Proactieve bedreigingsinformatie-monitoring en analyse
- ISO 27001:2022: A.16.1, A.12.4.1 - Bedreigingsinformatie-monitoring en logging van beveiligingsgebeurtenissen
- NIS2: Artikel - Proactieve bedreigingsinformatie-detectie en analyse capaciteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Verificatie en monitoring van Azure Sentinel Threat Intelligence Workbooks.
.DESCRIPTION
Dit script verifieert of threat intelligence workbooks correct zijn geconfigureerd
in Azure Sentinel. Het script controleert of workbooks zijn geconfigureerd,
of zij toegang hebben tot threat intelligence-data, en of zij voldoen aan
best practices voor beveiliging en compliance.
Het script is bedoeld als verificatie- en monitoringtool waarmee cloud- en
securityteams snel kunnen zien of threat intelligence workbooks correct zijn
geïmplementeerd en operationeel zijn.
.NOTES
Filename: threat-intelligence-workbook.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/sentinel/threat-intelligence-workbook.json
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources, Az.OperationalInsights
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[string]$ResourceGroupName,
[Parameter()]
[string]$WorkspaceName
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Sentinel Threat Intelligence Workbooks - Threat Intelligence Visualization and Analysis"
function Connect-RequiredServices {
if (-not (Get-AzContext)) {
Connect-AzAccount -ErrorAction Stop | Out-Null
}
}
function Get-AzureSentinelThreatIntelligenceWorkbooksStatus {
<#
.SYNOPSIS
Haalt de status van Azure Sentinel threat intelligence workbooks op voor alle Log Analytics workspaces.
#>
$workspaces = @()
if ($WorkspaceName -and $ResourceGroupName) {
$workspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName $ResourceGroupName -Name $WorkspaceName -ErrorAction SilentlyContinue
if ($workspace) {
$workspaces += $workspace
}
}
else {
$workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction Stop
}
$results = @()
foreach ($ws in $workspaces) {
$workspaceId = $ws.ResourceId
try {
# Controleren of Azure Sentinel is ingeschakeld
$context = Get-AzContext
$accessToken = [Microsoft.Azure.Commands.Common.Authentication.AzureSession]::Instance.AuthenticationFactory.Authenticate(
$context.Account, $context.Environment, $context.Tenant.Id, $null, "Never", $null, "https://management.azure.com"
).AccessToken
$headers = @{
'Authorization' = "Bearer $accessToken"
'Content-Type' = 'application/json'
}
# Controleren of Sentinel is ingeschakeld
$sentinelApiUrl = "https://management.azure.com$workspaceId/providers/Microsoft.SecurityInsights/onboardingStates/default?api-version=2021-10-01-preview"
try {
$sentinelResponse = Invoke-RestMethod -Uri $sentinelApiUrl -Method Get -Headers $headers -ErrorAction SilentlyContinue
$sentinelEnabled = $sentinelResponse.properties.customerManagedKey -ne $null -or $sentinelResponse.name -eq "default"
}
catch {
$sentinelEnabled = $false
}
if (-not $sentinelEnabled) {
$results += [PSCustomObject]@{
WorkspaceName = $ws.Name
WorkspaceResourceGroup = $ws.ResourceGroupName
WorkspaceId = $workspaceId
SentinelEnabled = $false
ThreatIntelWorkbookCount = 0
ThreatIntelConnectorEnabled = $false
ThreatIntelIndicatorsCount = 0
NonCompliant = $true
Notes = "Azure Sentinel is niet ingeschakeld op deze workspace."
}
continue
}
# Threat Intelligence connectors controleren
$threatIntelConnectorEnabled = $false
$threatIntelIndicatorsCount = 0
try {
$connectorsUrl = "https://management.azure.com$workspaceId/providers/Microsoft.SecurityInsights/dataConnectors?api-version=2022-11-01"
$connectorsResponse = Invoke-RestMethod -Uri $connectorsUrl -Method Get -Headers $headers -ErrorAction SilentlyContinue
if ($connectorsResponse.value) {
foreach ($connector in $connectorsResponse.value) {
if ($connector.kind -eq "ThreatIntelligence" -or $connector.properties.connectorId -like "*ThreatIntelligence*") {
if ($connector.properties.state -eq "Enabled") {
$threatIntelConnectorEnabled = $true
}
}
}
}
}
catch {
# Als connectors niet kunnen worden opgehaald, blijven we op false
}
# Threat Intelligence indicators tellen via Log Analytics query
try {
$workspaceIdGuid = $ws.CustomerId
$query = "ThreatIntelligenceIndicator | summarize count()"
$queryUrl = "https://api.loganalytics.io/v1/workspaces/$workspaceIdGuid/query"
$queryBody = @{
query = $query
} | ConvertTo-Json
$queryHeaders = @{
'Authorization' = "Bearer $accessToken"
'Content-Type' = 'application/json'
}
try {
$queryResponse = Invoke-RestMethod -Uri $queryUrl -Method Post -Headers $queryHeaders -Body $queryBody -ErrorAction SilentlyContinue
if ($queryResponse.tables -and $queryResponse.tables[0].rows -and $queryResponse.tables[0].rows.Count -gt 0) {
$threatIntelIndicatorsCount = [int]$queryResponse.tables[0].rows[0][0]
}
}
catch {
# Als query niet kan worden uitgevoerd, blijven we op 0
}
}
catch {
# Als query niet kan worden uitgevoerd, blijven we op 0
}
# Workbooks ophalen via Azure Monitor Workbooks API
$threatIntelWorkbookCount = 0
$workbookDetails = @()
try {
# Workbooks worden opgeslagen als resources in de resource group
$workbooks = Get-AzResource -ResourceGroupName $ws.ResourceGroupName -ResourceType "Microsoft.Insights/workbooks" -ErrorAction SilentlyContinue
if ($workbooks) {
foreach ($workbook in $workbooks) {
$workbookContent = $null
try {
$workbookApiUrl = "https://management.azure.com$($workbook.ResourceId)?api-version=2021-08-01"
$workbookResponse = Invoke-RestMethod -Uri $workbookApiUrl -Method Get -Headers $headers -ErrorAction SilentlyContinue
if ($workbookResponse.properties) {
$workbookContent = $workbookResponse.properties.serializedData
if ($workbookContent) {
# Controleren of workbook threat intelligence gerelateerd is
$threatIntelKeywords = @("threat intelligence", "ThreatIntelligence", "IOC", "indicator", "threat actor", "campaign")
$isThreatIntelWorkbook = $false
foreach ($keyword in $threatIntelKeywords) {
if ($workbookContent -like "*$keyword*" -or $workbook.Name -like "*threat*intel*" -or $workbook.Name -like "*IOC*") {
$isThreatIntelWorkbook = $true
break
}
}
if ($isThreatIntelWorkbook) {
$threatIntelWorkbookCount++
$workbookDetails += [PSCustomObject]@{
WorkbookName = $workbook.Name
WorkbookResourceId = $workbook.ResourceId
WorkbookLocation = $workbook.Location
}
}
}
}
}
catch {
# Als workbook details niet kunnen worden opgehaald, slaan we over
}
}
}
}
catch {
# Als workbooks niet kunnen worden opgehaald, blijven we op 0
}
$nonCompliant = -not $threatIntelConnectorEnabled -or ($threatIntelConnectorEnabled -and $threatIntelWorkbookCount -eq 0) -or ($threatIntelIndicatorsCount -eq 0 -and $threatIntelConnectorEnabled)
$notes = if (-not $threatIntelConnectorEnabled) {
"Threat Intelligence connector is niet ingeschakeld."
}
elseif ($threatIntelWorkbookCount -eq 0) {
"Threat Intelligence connector is ingeschakeld maar er zijn geen threat intelligence workbooks geconfigureerd."
}
elseif ($threatIntelIndicatorsCount -eq 0) {
"Threat Intelligence connector is ingeschakeld maar er zijn geen indicators beschikbaar."
}
else {
"$threatIntelWorkbookCount threat intelligence workbook(s) gevonden met $threatIntelIndicatorsCount indicator(s)."
}
$results += [PSCustomObject]@{
WorkspaceName = $ws.Name
WorkspaceResourceGroup = $ws.ResourceGroupName
WorkspaceId = $workspaceId
SentinelEnabled = $sentinelEnabled
ThreatIntelWorkbookCount = $threatIntelWorkbookCount
ThreatIntelConnectorEnabled = $threatIntelConnectorEnabled
ThreatIntelIndicatorsCount = $threatIntelIndicatorsCount
NonCompliant = $nonCompliant
Notes = $notes
WorkbookDetails = $workbookDetails
}
}
catch {
$results += [PSCustomObject]@{
WorkspaceName = $ws.Name
WorkspaceResourceGroup = $ws.ResourceGroupName
WorkspaceId = $workspaceId
SentinelEnabled = $false
ThreatIntelWorkbookCount = 0
ThreatIntelConnectorEnabled = $false
ThreatIntelIndicatorsCount = 0
NonCompliant = $true
Notes = "Fout bij het ophalen van workbook status: $($_.Exception.Message)"
WorkbookDetails = @()
}
}
}
return $results
}
function Test-Compliance {
$data = Get-AzureSentinelThreatIntelligenceWorkbooksStatus
$totalWorkspaces = $data.Count
$sentinelDisabled = ($data | Where-Object { -not $_.SentinelEnabled }).Count
$noThreatIntelConnector = ($data | Where-Object { $_.SentinelEnabled -and -not $_.ThreatIntelConnectorEnabled }).Count
$noWorkbooks = ($data | Where-Object { $_.SentinelEnabled -and $_.ThreatIntelConnectorEnabled -and $_.ThreatIntelWorkbookCount -eq 0 }).Count
$noIndicators = ($data | Where-Object { $_.SentinelEnabled -and $_.ThreatIntelConnectorEnabled -and $_.ThreatIntelIndicatorsCount -eq 0 }).Count
$nonCompliant = ($data | Where-Object { $_.NonCompliant -eq $true }).Count
return [PSCustomObject]@{
TotalWorkspaces = $totalWorkspaces
SentinelDisabled = $sentinelDisabled
NoThreatIntelConnector = $noThreatIntelConnector
NoWorkbooks = $noWorkbooks
NoIndicators = $noIndicators
NonCompliantWorkspaces = $nonCompliant
Details = $data
}
}
try {
Connect-RequiredServices
if ($Monitoring) {
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
if ($result.SentinelDisabled -gt 0) {
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor Yellow
}
else {
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor Green
}
if ($result.NoThreatIntelConnector -gt 0) {
Write-Host ("Zonder Threat Intelligence connector : {0}" -f $result.NoThreatIntelConnector) -ForegroundColor Yellow
}
else {
Write-Host ("Zonder Threat Intelligence connector : {0}" -f $result.NoThreatIntelConnector) -ForegroundColor Green
}
if ($result.NoWorkbooks -gt 0) {
Write-Host ("Zonder threat intelligence workbooks : {0}" -f $result.NoWorkbooks) -ForegroundColor Yellow
}
else {
Write-Host ("Zonder threat intelligence workbooks : {0}" -f $result.NoWorkbooks) -ForegroundColor Green
}
if ($result.NoIndicators -gt 0) {
Write-Host ("Zonder threat intelligence indicators : {0}" -f $result.NoIndicators) -ForegroundColor Yellow
}
else {
Write-Host ("Zonder threat intelligence indicators : {0}" -f $result.NoIndicators) -ForegroundColor Green
}
if ($result.NonCompliantWorkspaces -gt 0) {
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor Yellow
}
else {
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor Green
}
if ($result.SentinelDisabled -gt 0 -or $result.NoThreatIntelConnector -gt 0 -or $result.NoWorkbooks -gt 0 -or $result.NonCompliantWorkspaces -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de threat intelligence workbook-vereisten." -ForegroundColor Yellow
Write-Host " Gebruik de details-uitvoer om te bepalen waar workbooks moeten worden geconfigureerd" -ForegroundColor Yellow
Write-Host " of waar threat intelligence connectors moeten worden ingeschakeld." -ForegroundColor Yellow
}
# Gedetailleerde tabel als JSON voor verdere verwerking
$result.Details | ConvertTo-Json -Depth 4
}
elseif ($Remediation) {
$result = Test-Compliance
$nonCompliant = $result.Details | Where-Object { $_.NonCompliant -eq $true }
if ($nonCompliant) {
Write-Host "" -ForegroundColor Yellow
Write-Host "[INFO] Dit script identificeert workspaces waar threat intelligence workbook-configuratie problemen zijn." -ForegroundColor Yellow
Write-Host "[INFO] Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig." -ForegroundColor Yellow
foreach ($workspace in $nonCompliant) {
Write-Host "" -ForegroundColor White
Write-Host "Workspace: $($workspace.WorkspaceName)" -ForegroundColor Cyan
Write-Host " Status: $($workspace.Notes)" -ForegroundColor Gray
if (-not $workspace.SentinelEnabled) {
Write-Host " Actie: Schakel Azure Sentinel in via Azure Portal > Azure Sentinel > Add" -ForegroundColor Yellow
}
elseif (-not $workspace.ThreatIntelConnectorEnabled) {
Write-Host " Actie: Schakel Threat Intelligence connector in via Azure Portal > Azure Sentinel > Data Connectors > Threat Intelligence Platforms" -ForegroundColor Yellow
}
elseif ($workspace.ThreatIntelWorkbookCount -eq 0) {
Write-Host " Actie: Maak threat intelligence workbooks via Azure Portal > Azure Sentinel > Workbooks > Add Workbook" -ForegroundColor Yellow
Write-Host " Tip: Gebruik ingebouwde templates of maak custom workbooks met KQL-query's voor ThreatIntelligenceIndicator-tabel" -ForegroundColor Gray
}
elseif ($workspace.ThreatIntelIndicatorsCount -eq 0) {
Write-Host " Actie: Configureer threat intelligence feeds om indicators te importeren" -ForegroundColor Yellow
Write-Host " Tip: Gebruik Microsoft Threat Intelligence connector of externe STIX/TAXII-feeds" -ForegroundColor Gray
}
}
}
else {
Write-Host "Alle gecontroleerde workspaces hebben threat intelligence workbooks correct geconfigureerd." -ForegroundColor Green
}
}
else {
$result = Test-Compliance
Write-Host ""
Write-Host ("Azure Sentinel threat intelligence workbook status: {0} workspace(s) gecontroleerd, {1} zonder connector, {2} zonder workbooks." -f `
$result.TotalWorkspaces, $result.NoThreatIntelConnector, $result.NoWorkbooks)
}
}
catch {
Write-Error $_
exit 1
}
# ================================================================================
# Standaard Invoke-* Functions
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Voert een verificatie uit voor Azure Sentinel threat intelligence workbooks.
.DESCRIPTION
Deze functie verifieert of threat intelligence workbooks correct zijn geconfigureerd
en operationeel zijn. Gebruik deze informatie om workbooks correct te configureren
en te waarborgen dat bedreigingsinformatie-visualisatie effectief functioneert.
#>
[CmdletBinding()]
param()
try {
Connect-RequiredServices
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor (if ($result.SentinelDisabled -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder Threat Intelligence connector : {0}" -f $result.NoThreatIntelConnector) -ForegroundColor (if ($result.NoThreatIntelConnector -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder threat intelligence workbooks : {0}" -f $result.NoWorkbooks) -ForegroundColor (if ($result.NoWorkbooks -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder threat intelligence indicators : {0}" -f $result.NoIndicators) -ForegroundColor (if ($result.NoIndicators -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor (if ($result.NonCompliantWorkspaces -gt 0) { 'Yellow' } else { 'Green' })
if ($result.SentinelDisabled -gt 0 -or $result.NoThreatIntelConnector -gt 0 -or $result.NoWorkbooks -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de threat intelligence workbook-vereisten." -ForegroundColor Yellow
}
$result.Details | ConvertTo-Json -Depth 4
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een monitoringcontrole uit en toont een samenvatting plus JSON-uitvoer.
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor (if ($result.SentinelDisabled -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder Threat Intelligence connector : {0}" -f $result.NoThreatIntelConnector) -ForegroundColor (if ($result.NoThreatIntelConnector -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder threat intelligence workbooks : {0}" -f $result.NoWorkbooks) -ForegroundColor (if ($result.NoWorkbooks -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder threat intelligence indicators : {0}" -f $result.NoIndicators) -ForegroundColor (if ($result.NoIndicators -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor (if ($result.NonCompliantWorkspaces -gt 0) { 'Yellow' } else { 'Green' })
if ($result.SentinelDisabled -gt 0 -or $result.NoThreatIntelConnector -gt 0 -or $result.NoWorkbooks -gt 0 -or $result.NonCompliantWorkspaces -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de threat intelligence workbook-vereisten." -ForegroundColor Yellow
}
$result.Details | ConvertTo-Json -Depth 4
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door threat intelligence workbook-configuratie problemen te identificeren.
.DESCRIPTION
Deze functie identificeert workspaces waar threat intelligence workbook-configuratie problemen zijn.
Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig
via de Azure Portal of Azure Sentinel.
#>
[CmdletBinding()]
param()
try {
Connect-RequiredServices
$result = Test-Compliance
$nonCompliant = $result.Details | Where-Object { $_.NonCompliant -eq $true }
if ($nonCompliant) {
Write-Host "" -ForegroundColor Yellow
Write-Host "[INFO] Dit script identificeert workspaces waar threat intelligence workbook-configuratie problemen zijn." -ForegroundColor Yellow
Write-Host "[INFO] Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig." -ForegroundColor Yellow
foreach ($workspace in $nonCompliant) {
Write-Host "" -ForegroundColor White
Write-Host "Workspace: $($workspace.WorkspaceName)" -ForegroundColor Cyan
Write-Host " Status: $($workspace.Notes)" -ForegroundColor Gray
if (-not $workspace.SentinelEnabled) {
Write-Host " Actie: Schakel Azure Sentinel in via Azure Portal > Azure Sentinel > Add" -ForegroundColor Yellow
}
elseif (-not $workspace.ThreatIntelConnectorEnabled) {
Write-Host " Actie: Schakel Threat Intelligence connector in via Azure Portal > Azure Sentinel > Data Connectors > Threat Intelligence Platforms" -ForegroundColor Yellow
}
elseif ($workspace.ThreatIntelWorkbookCount -eq 0) {
Write-Host " Actie: Maak threat intelligence workbooks via Azure Portal > Azure Sentinel > Workbooks > Add Workbook" -ForegroundColor Yellow
Write-Host " Tip: Gebruik ingebouwde templates of maak custom workbooks met KQL-query's voor ThreatIntelligenceIndicator-tabel" -ForegroundColor Gray
}
elseif ($workspace.ThreatIntelIndicatorsCount -eq 0) {
Write-Host " Actie: Configureer threat intelligence feeds om indicators te importeren" -ForegroundColor Yellow
Write-Host " Tip: Gebruik Microsoft Threat Intelligence connector of externe STIX/TAXII-feeds" -ForegroundColor Gray
}
}
}
else {
Write-Host "Alle gecontroleerde workspaces hebben threat intelligence workbooks correct geconfigureerd." -ForegroundColor Green
}
}
catch {
Write-Error $_
exit 1
}
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Gemiddeld - Zonder threat intelligence workbooks kunnen security teams niet effectief werken met bedreigingsinformatie, wat kan leiden tot gemiste bedreigingen, trage incident response en niet-naleving van BIO, NIS2 en AVG-vereisten.
Management Samenvatting
Implementeer threat intelligence workbooks in Azure Sentinel om bedreigingsinformatie te visualiseren en te analyseren, security teams te ondersteunen en compliance te waarborgen. Belangrijk voor effectieve bedreigingsinformatie-monitoring. Implementatie: 60 uur.
- Implementatietijd: 60 uur
- FTE required: 0.3 FTE