L1 BIO 12.02.01 ISO A.8.7

Safe Links Beleidsregels: Comprehensive URL Bescherming Tegen Phishing En Malware

📅 2025-01-27
⏱️ 22 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Safe Links beleidsregels vormen een kritieke verdedigingslaag tegen URL-based phishing-aanvallen, malware distributie via malicious links, en credential harvesting via fake login pages. Deze beleidsregels implementeren time-of-click URL scanning die URLs real-time controleert op het moment dat gebruikers erop klikken, waardoor URL weaponization attacks worden voorkomen waarbij aanvallers de destination URL wijzigen na email delivery. Safe Links beleidsregels werken in emails, Teams messages, en Office documents (Word, Excel, PowerPoint) en bieden comprehensive bescherming tegen zowel bekende als onbekende malicious URLs.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
20u (tech: 8u)
Van toepassing op:
M365
Exchange Online
Defender voor Office 365
SharePoint
OneDrive
Teams
Office Apps

URL-based aanvallen zijn extreem effectief en vormen een primaire aanvalsvector voor moderne cybercriminaliteit. Meer dan 70% van alle phishing-aanvallen gebruikt malicious URLs om gebruikers naar fake login pages te leiden, malware te distribueren, of browser vulnerabilities te exploiteren. Traditionele URL filtering bij email delivery is onvoldoende omdat aanvallers geavanceerde technieken gebruiken: URL weaponization waarbij de destination URL wordt gewijzigd na email delivery (email delivered met clean link, binnen uren switch naar malicious site, static filtering mist de threat), URL shorteners die malicious destinations verbergen (bijvoorbeeld bit.ly links die naar credential harvesting sites leiden), lookalike domains die visueel identiek zijn aan legitieme websites (bijvoorbeeld microsft.com in plaats van microsoft.com), en dynamic URL generation waarbij elke email een unieke URL krijgt die pas malicious wordt wanneer de gebruiker erop klikt. Zonder Safe Links beleidsregels zijn organisaties kwetsbaar voor zero-hour phishing attacks waarbij timing wordt gebruikt om detectie te omzeilen, credential harvesting via perfect nagemaakte login pages die gebruikersinloggegevens stelen, malware distributie via drive-by downloads wanneer gebruikers op malicious links klikken, en business email compromise aanvallen waarbij executives worden geïmpersoneerd met links naar wire transfer portals. Safe Links beleidsregels bieden time-of-click bescherming die deze dreigingen proactief blokkeert door URLs real-time te scannen wanneer gebruikers erop klikken, niet bij email delivery, waardoor URL weaponization attacks worden voorkomen en zero-hour threats worden gedetecteerd voordat ze schade kunnen aanrichten.

PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

Safe Links beleidsregels configureren comprehensive URL bescherming die werkt in emails, Teams messages, en Office documents. De configuratie omvat zes primaire componenten: (1) Policy Scope Configuration - definieert welke gebruikers en groepen worden beschermd door de policy waarbij company-wide policies alle gebruikers beschermen, priority account policies executives en finance teams beschermen met stricter settings, en custom policies specifieke gebruikersgroepen beschermen met op maat gemaakte instellingen, (2) Protection Scope Settings - configureert waar Safe Links actief is: EnableSafeLinksForEmail activeert URL rewriting en scanning voor alle emails, EnableSafeLinksForTeams activeert bescherming voor Teams messages en kanalen, EnableSafeLinksForOffice activeert bescherming voor Office documents (Word, Excel, PowerPoint, Visio) waarbij embedded links worden herschreven en gescanned, en EnableForInternalSenders activeert scanning ook voor emails van interne senders voor complete bescherming, (3) URL Rewriting en Scanning Configuration - configureert hoe URLs worden herschreven en gescanned waarbij alle URLs worden herschreven naar safelinks.protection.outlook.com varianten voor real-time scanning, ScanUrls activeert real-time URL scanning wanneer gebruikers op links klikken, DeliverMessageAfterScan configureert of emails worden vastgehouden tot scanning is voltooid (maximale security) of onmiddellijk worden afgeleverd (betere gebruikerservaring), en DoNotRewriteUrls configureert vertrouwde domains die niet hoeven te worden herschreven voor performance optimalisatie, (4) Click Tracking en Analytics - configureert uitgebreide logging en analytics waarbij TrackClicks activeert click tracking voor alle URL clicks met timestamp, gebruiker informatie, en destination URL, click analytics worden gebruikt voor security operations en threat hunting, en integration met Microsoft Sentinel wordt geconfigureerd voor advanced correlation, (5) Action Configuration - definieert welke acties worden ondernomen bij detected malicious URLs: AllowClickThrough configureert of gebruikers warnings kunnen bypassen (false = hard block, true = soft warning), hard block blokkeert malicious URLs volledig zonder optie om door te gaan (aanbevolen voor maximale security), soft warning toont waarschuwing maar laat gebruikers door gaan (niet aanbevolen voor high-risk gebruikers), en custom notification templates worden geconfigureerd voor gebruikerservaring, en (6) Policy Assignment en Priority - configureert hoe policies worden toegewezen en welke policy voorrang heeft waarbij policies worden toegewezen aan gebruikers, groepen, of domains, policy priority bepaalt welke policy wordt toegepast wanneer meerdere policies van toepassing zijn, en policy hierarchy wordt gedocumenteerd voor audit doeleinden. Alle beleidsregels worden geconfigureerd via Microsoft 365 Defender portal onder Email & collaboration → Threat policies → Safe Links, of via PowerShell met ExchangeOnlineManagement module voor automation en bulk configuratie.

Vereisten en Voorbereiding

Voor het configureren van comprehensive Safe Links beleidsregels zijn de volgende voorwaarden en voorbereidingen vereist: Microsoft Defender voor Office 365 Plan 1 of Plan 2 licentie (Plan 2 aanbevolen voor geavanceerde features zoals custom branding en uitgebreide reporting), Exchange Administrator of Security Administrator rol voor policy configuratie en management, PowerShell 5.1+ met ExchangeOnlineManagement module versie 3.0 of hoger voor automation en bulk configuratie, comprehensive security policy documentatie die beschrijft welke security levels nodig zijn voor verschillende gebruikersgroepen en welke URLs business-critical zijn, priority accounts lijst met identificatie van executives, finance team, IT admins en andere high-value targets die stricter protection nodig hebben, interne URL inventarisatie met identificatie van alle interne SharePoint sites, OneDrive URLs, Teams links en andere interne resources die vertrouwd zijn, externe URL analyse die identificeert welke externe websites regelmatig worden gebruikt en welke false positive risico's hebben, user communication plan om gebruikers te informeren over URL rewriting, scanning delays, en hoe ze kunnen rapporteren over false positives, security team email adres voor false positive escalaties en notification workflows, SIEM integration requirements voor logging en alerting van blocked URLs en click analytics, testing plan om te valideren dat business-critical URLs niet false positive worden geblokkeerd, incident response procedures voor hoe security team reageert op malicious URL detecties en false positive escalaties, en compliance mapping documentatie die beschrijft hoe Safe Links policies voldoen aan NIS2, ISO 27001, BIO en AVG requirements.

Daarnaast is het essentieel om vooraf een risicoanalyse uit te voeren die identificeert welke gebruikers en processen het meest kwetsbaar zijn voor URL-based phishing aanvallen. Executives en finance teams zijn primaire targets voor targeted phishing aanvallen en hebben behoefte aan maximale security met hard block settings, terwijl algemene gebruikers baat hebben bij een balans tussen security en productiviteit. Deze risicoanalyse vormt de basis voor het definiëren van verschillende policy settings per gebruikersgroep en het instellen van Do Not Rewrite lijsten voor vertrouwde interne resources.

Implementatie van Safe Links Beleidsregels

Gebruik PowerShell-script safe-links-policies.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische configuratie van comprehensive Safe Links policies met email, Teams en Office apps bescherming.

Implementatie van Safe Links beleidsregels via Microsoft 365 Defender portal begint met het navigeren naar security.microsoft.com → Email & collaboration → Threat policies → Safe Links. Klik op 'Create' om een nieuwe Safe Links policy aan te maken met de naam 'Safe Links - Company Wide' of een vergelijkbare beschrijvende naam. Configureer vervolgens de zes primaire beschermingscomponenten:

Stap 1: Policy Scope Configuration - In de sectie 'Applied to' selecteer 'All users' voor company-wide protection, of maak specifieke assignments voor verschillende gebruikersgroepen. Voor priority accounts zoals executives en finance teams kan een separate 'Safe Links - Priority Accounts' policy worden gemaakt met stricter settings zoals altijd hard block en wait-for-scan opties. Deze priority policy heeft voorrang over de company-wide policy voor toegewezen gebruikers. Configureer policy priority door de volgorde van policies te bepalen waarbij policies met hogere priority (lagere nummer) eerst worden geëvalueerd.

Stap 2: Protection Scope Settings - In de sectie 'Settings' configureer waar Safe Links actief is. Schakel 'EnableSafeLinksForEmail' in om URL rewriting en scanning te activeren voor alle emails (aanbevolen). Schakel 'EnableSafeLinksForTeams' in om bescherming te activeren voor Teams messages en kanalen (aanbevolen voor complete bescherming). Schakel 'EnableSafeLinksForOffice' in om bescherming te activeren voor Office documents inclusief Word, Excel, PowerPoint en Visio waarbij embedded links worden herschreven en gescand (kritiek voor document-based threats). Schakel 'EnableForInternalSenders' in om scanning ook te activeren voor emails van interne senders voor complete bescherming tegen compromised accounts.

Stap 3: URL Rewriting en Scanning Configuration - In de sectie 'URL scanning' configureer hoe URLs worden herschreven en gescand. Schakel 'ScanUrls' in om real-time URL scanning te activeren wanneer gebruikers op links klikken (aanbevolen voor maximale security). Configureer 'DeliverMessageAfterScan' op false om emails vast te houden tot URL scanning is voltooid voor maximale security (aanbevolen voor priority accounts), of op true om emails onmiddellijk af te leveren voor betere gebruikerservaring (aanbevolen voor algemene gebruikers). Configureer 'DoNotRewriteUrls' door vertrouwde interne domains toe te voegen die niet hoeven te worden herschreven voor performance optimalisatie, zoals interne SharePoint sites, OneDrive URLs, en vertrouwde partner websites na security validatie.

Stap 4: Click Tracking en Analytics - In de sectie 'Settings' schakel 'TrackClicks' in om click tracking te activeren voor alle URL clicks. Deze tracking logt uitgebreide metadata inclusief timestamp, gebruiker informatie (UPN, display name), destination URL, source (email, Teams, Office document), click result (allowed, blocked, warning shown), en geografische locatie indien beschikbaar. Deze data wordt gebruikt voor security analytics om suspicious click patterns te identificeren, gebruikers te identificeren die regelmatig op suspicious URLs klikken en extra training nodig hebben, en threat intelligence te verzamelen over welke URLs het meest worden gebruikt in phishing campaigns.

Stap 5: Action Configuration - In de sectie 'Settings' configureer welke acties worden ondernomen bij detected malicious URLs. Stel 'AllowClickThrough' in op false voor hard block waarbij malicious URLs volledig worden geblokkeerd zonder optie om door te gaan (aanbevolen voor maximale security, vooral voor priority accounts). Stel 'AllowClickThrough' in op true voor soft warning waarbij gebruikers worden gewaarschuwd maar de optie krijgen om door te gaan (niet aanbevolen voor high-risk gebruikers maar kan worden gebruikt voor algemene gebruikers met goede security awareness). Configureer custom notification templates voor gebruikerservaring waarbij organisatie branding wordt toegevoegd aan warning pages, duidelijke uitleg wordt gegeven waarom de URL is geblokkeerd, en instructies worden verstrekt voor het rapporteren van false positives.

Stap 6: Policy Rule Configuration - Na het aanmaken van de policy moet een policy rule worden geconfigureerd die de policy toewijst aan gebruikers, groepen of domains. Klik op 'Create rule' en configureer de rule parameters: Name (bijvoorbeeld 'Safe Links Rule - Company Wide'), SafeLinksPolicy (selecteer de zojuist aangemaakte policy), RecipientDomainIs (selecteer alle company domains), Priority (configureer policy priority waarbij lagere nummers hogere priority hebben), en Enabled (zorg ervoor dat de rule is ingeschakeld). De rule bepaalt welke gebruikers de policy krijgen toegewezen en kan worden gebruikt voor granular control over policy assignments.

Na configuratie moet de policy worden getest om te valideren dat legitieme URLs niet false positive worden geblokkeerd. Verzend test emails met externe URLs naar verschillende gebruikersgroepen, test URL rewriting in Office documents, en verifieer dat warning pages correct worden getoond. Monitor de blocked URLs regelmatig tijdens de eerste weken na implementatie om false positives te identificeren en whitelist entries toe te voegen indien nodig.

Monitoring en Effectiviteit Meting

Gebruik PowerShell-script safe-links-policies.ps1 (functie Invoke-Monitoring) – Controleert of Safe Links policies zijn geconfigureerd en rapporteert status van email, Teams en Office apps bescherming, click tracking, en detected malicious URLs.

Continue monitoring van Safe Links beleidsregels is essentieel om de effectiviteit te meten, false positives te identificeren, en emerging threat patterns te detecteren. Start met het Microsoft 365 Defender portal dashboard onder Email & collaboration → Threat policies → Safe Links → Overview, waar een overzicht wordt getoond van alle geconfigureerde policies, click statistics, blocked URLs, en performance metrics. Review blocked URLs regelmatig via Security.microsoft.com → Threat management → Review → Quarantine, filter op 'URL' om alle geblokkeerde URLs te zien, en analyseer de detection reasons om te begrijpen welke URL types het meest worden gedetecteerd.

Gebruik Threat Explorer voor gedetailleerde analyse van URL click attempts: Navigate naar Security.microsoft.com → Threat Explorer, filter op 'Safe Links' of 'URL' om alle URL click attempts te zien, analyseer click patterns om trends te identificeren (bijvoorbeeld welke URLs het meest worden geklikt, welke gebruikers het meest op suspicious URLs klikken), review scanning performance metrics om te zien of timeouts of delays optreden, en exporteer data voor trendanalyse over meerdere maanden. Monitor false positive rates door geblokkeerde URLs te analyseren en te identificeren welke legitieme URLs false positive zijn gemarkeerd, voeg deze URLs toe aan Do Not Rewrite lijst of adjust policy settings indien nodig.

Analyseer click analytics via Microsoft 365 Defender portal onder Email & collaboration → Threat policies → Safe Links → Reports, waar uitgebreide dashboards worden getoond met: top clicked URLs (legitieme vs malicious patterns), top targeted users (wie klikt op suspicious links), click-through rates (percentage gebruikers die warnings bypassen), blocked URLs statistieken (aantal malicious URLs geblokkeerd per dag/week), en false positive rates (legitieme URLs incorrect geblokkeerd). Deze analytics kunnen worden geëxporteerd naar SIEM systemen voor advanced correlation en threat hunting.

Meet policy effectiveness door detection rates te tracken: aantal detected malicious URLs per maand, percentage van malicious URLs die worden geblokkeerd voordat gebruikers erop klikken, aantal false positives en impact op business operations, blocked URL rates per gebruikersgroep en URL type, en user click-through rates op malicious URLs (lager is beter). Voer quarterly reviews uit waarbij policy effectiveness wordt geëvalueerd, policy settings worden getuned op basis van threat landscape changes, priority account protection wordt gecontroleerd om te verifiëren dat executives adequate protection hebben, en threat intelligence wordt geüpdatet met nieuwe phishing patterns en techniques. Document alle bevindingen in een Safe Links effectiveness rapport dat wordt gedeeld met security team, management en compliance officers.

Remediatie en Troubleshooting

Gebruik PowerShell-script safe-links-policies.ps1 (functie Invoke-Remediation) – Herstelt ontbrekende Safe Links policies of configureert comprehensive Safe Links protection volgens best practices.

Voor problemen met Safe Links beleidsregels zijn verschillende remediatiestrategieën beschikbaar. Bij ontbrekende Safe Links policies moet eerst worden geïdentificeerd welke policies ontbreken via het monitoring script, waarna ontbrekende policies worden geconfigureerd via de portal of PowerShell script. Verifieer policy assignments om te zorgen dat alle gebruikers correcte Safe Links policies hebben toegewezen, en test policies na configuratie om te valideren dat protection werkt zoals verwacht.

Bij false positive blocking moeten geblokkeerde URLs worden gereviewed om legitieme URLs te identificeren die false positive zijn geblokkeerd. Voeg legitieme URLs toe aan Do Not Rewrite lijst in de Safe Links policy, of adjust policy settings door sensitivity levels te verlagen indien te veel false positives optreden. Create policy exceptions voor business-critical URLs die regelmatig false positive zijn, en document false positives in een log voor policy tuning en trendanalyse.

Voor insufficient protection moet de detection effectiveness worden geanalyseerd om gaps te identificeren. Enable additional protection features zoals real-time URL scanning in Safe Links, upgrade naar stricter policies door van soft warning naar hard block te switchen voor betere security, implement priority account protection met stricter policies voor executives, en review click tracking settings om te zorgen dat alle URL clicks correct worden gelogd. Bij policy conflicts moeten overlapping policies worden geïdentificeerd en conflicts worden opgelost door policy priority te bepalen en policy hierarchy te documenteren.

Compliance en Framework Mapping

Safe Links beleidsregels vormen een critical component van email security en zijn essentieel voor compliance met verschillende security frameworks. CIS Microsoft 365 Foundations Benchmark - control 2.1.1 (Zorg ervoor dat Safe Links policy is geconfigureerd), control 2.1.2 (Safe Links is ingeschakeld voor email messages), control 2.1.3 (Safe Links is ingeschakeld voor Teams), control 2.1.4 (Safe Links is ingeschakeld voor Office applications), en control 2.1.5 (Click tracking is ingeschakeld). BIO Baseline Informatiebeveiliging Overheid - Thema 12.02.01 (Malware bescherming - URL-based threats en time-of-click protection), Thema 13.02.01 (Email beveiligingscontroles - Safe Links policy configuratie), en Thema 12.05 (Identity management - Bescherming tegen credential harvesting via phishing URLs). ISO 27001:2022 A.8.7 (Malware protection - URL filtering en real-time scanning), A.13.2.1 (Information transfer policies - Email security controls met Safe Links), en A.12.6.1 (Technical vulnerability management - Phishing prevention). NIS2 Artikel 21 (Cybersecurity risicobeheer - Threat detection en prevention maatregelen tegen URL-based attacks) en Artikel 23 (Incident response - URL click tracking capabilities). AVG Artikel 32 (Beveiliging van verwerking - Bescherming tegen phishing URLs die kunnen leiden tot data breaches). Safe Links policies moeten worden behandeld als critical security controls die regelmatig worden gereviewed, getest en geüpdatet op basis van emerging threats. Alle policy wijzigingen moeten worden gelogd voor audit doeleinden en policy effectiveness moet worden gemeten via blocked URL rates, false positive rates, en click analytics.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Safe Links Policies: Comprehensive URL Bescherming tegen Phishing en Malware .DESCRIPTION Configureert comprehensive Safe Links policies met email, Teams en Office apps bescherming, URL rewriting en real-time scanning, click tracking en analytics, en hard block settings. Focus op policy management en assignment voor verschillende gebruikersgroepen. .NOTES Filename: safe-links-policies.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-27 Last Modified: 2025-01-27 Version: 1.0 Related JSON: content/m365/defender-email/safe-links-policies.json Requires: Microsoft Defender for Office 365 Plan 1 or 2 .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\safe-links-policies.ps1 -Monitoring Controleert Safe Links policies en rapporteert over email, Teams en Office apps bescherming .EXAMPLE .\safe-links-policies.ps1 -Remediation Configureert comprehensive Safe Links policies volgens best practices .EXAMPLE .\safe-links-policies.ps1 -DebugMode Voert een lokale debug-run uit met voorbeeldresultaten zonder verbinding met Microsoft 365 #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(HelpMessage = "Voer monitoring uit op Safe Links policies")] [switch]$Monitoring, [Parameter(HelpMessage = "Configureer comprehensive Safe Links policies")] [switch]$Remediation, [Parameter(HelpMessage = "Genereer een samenvattend rapport op basis van configuratie status")] [switch]$Report, [Parameter(HelpMessage = "Pad naar het rapportbestand dat moet worden aangemaakt (alleen bij -Report)")] [string]$OutputPath, [Parameter(HelpMessage = "Voer een veilige lokale test uit met voorbeelddata, zonder verbinding met Microsoft 365")] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() if ($DebugMode) { Write-Verbose "DebugMode: overslaan van verbindingen" return } Write-Verbose "Controleren van ExchangeOnlineManagement module..." $exoModule = Get-Module -ListAvailable -Name "ExchangeOnlineManagement" if (-not $exoModule) { Write-Host " ⚠️ ExchangeOnlineManagement module niet gevonden" -ForegroundColor Yellow Write-Host " Installeer met: Install-Module ExchangeOnlineManagement -Scope CurrentUser" -ForegroundColor Yellow throw "ExchangeOnlineManagement module vereist voor Safe Links policies" } Write-Verbose "Verbinding maken met Exchange Online..." try { Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop | Out-Null Write-Verbose "Verbonden met Exchange Online" } catch { Write-Error "Kon niet verbinden met Exchange Online: $_" Write-Host " Vereiste rechten: Exchange Administrator of Security Administrator" -ForegroundColor Yellow throw } } function Get-SafeLinksPolicies { <# .SYNOPSIS Haalt Safe Links policies en rules op .OUTPUTS PSCustomObject met policy details #> [CmdletBinding()] param() if ($DebugMode) { Write-Verbose "DebugMode: retourneren van voorbeelddata" return [PSCustomObject]@{ Policies = @( [PSCustomObject]@{ Name = "Safe Links - Company Wide" EnableSafeLinksForEmail = $true EnableSafeLinksForTeams = $true EnableSafeLinksForOffice = $true TrackClicks = $true AllowClickThrough = $false ScanUrls = $true DeliverMessageAfterScan = $true EnableForInternalSenders = $true }, [PSCustomObject]@{ Name = "Safe Links - Priority Accounts" EnableSafeLinksForEmail = $true EnableSafeLinksForTeams = $true EnableSafeLinksForOffice = $true TrackClicks = $true AllowClickThrough = $false ScanUrls = $true DeliverMessageAfterScan = $false EnableForInternalSenders = $true } ) Rules = @( [PSCustomObject]@{ Name = "Safe Links Rule - Company Wide" SafeLinksPolicy = "Safe Links - Company Wide" Enabled = $true Priority = 1 } ) TotalPolicies = 2 EmailProtected = 2 TeamsProtected = 2 OfficeProtected = 2 ClickTrackingEnabled = 2 HardBlockEnabled = 2 } } Write-Verbose "Ophalen van Safe Links policies en rules..." try { $policies = Get-SafeLinksPolicy -ErrorAction Stop $rules = Get-SafeLinksRule -ErrorAction Stop $config = [PSCustomObject]@{ Policies = $policies Rules = $rules TotalPolicies = $policies.Count EmailProtected = ($policies | Where-Object { $_.EnableSafeLinksForEmail -eq $true }).Count TeamsProtected = ($policies | Where-Object { $_.EnableSafeLinksForTeams -eq $true }).Count OfficeProtected = ($policies | Where-Object { $_.EnableSafeLinksForOffice -eq $true }).Count ClickTrackingEnabled = ($policies | Where-Object { $_.TrackClicks -eq $true }).Count HardBlockEnabled = ($policies | Where-Object { $_.AllowClickThrough -eq $false }).Count } return $config } catch { Write-Error "Fout bij ophalen van Safe Links policies: $_" throw } } function Test-SafeLinksPolicies { <# .SYNOPSIS Test of Safe Links policies zijn geconfigureerd volgens best practices .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van Safe Links policies..." $results = @{ IsCompliant = $false IsConfigured = $false HasComprehensiveProtection = $false ConfigurationDetails = $null MissingFeatures = @() Recommendations = @() } if ($DebugMode) { Write-Host "`n DebugMode: Voorbeeld Safe Links policies status" -ForegroundColor Yellow $config = Get-SafeLinksPolicies $results.IsConfigured = $true $results.ConfigurationDetails = $config if ($config.TotalPolicies -gt 0) { $results.IsCompliant = $true $results.HasComprehensiveProtection = ($config.EmailProtected -gt 0 -and $config.TeamsProtected -gt 0 -and $config.OfficeProtected -gt 0 -and $config.ClickTrackingEnabled -gt 0 -and $config.HardBlockEnabled -gt 0) Write-Host " ✅ Safe Links policies zijn geconfigureerd" -ForegroundColor Green Write-Host " ✅ Totaal policies: $($config.TotalPolicies)" -ForegroundColor Green Write-Host " ✅ Email beschermd: $($config.EmailProtected)" -ForegroundColor Green Write-Host " ✅ Teams beschermd: $($config.TeamsProtected)" -ForegroundColor Green Write-Host " ✅ Office apps beschermd: $($config.OfficeProtected)" -ForegroundColor Green Write-Host " ✅ Click tracking ingeschakeld: $($config.ClickTrackingEnabled)" -ForegroundColor Green Write-Host " ✅ Hard block ingeschakeld: $($config.HardBlockEnabled)" -ForegroundColor Green } else { $results.MissingFeatures += "Geen Safe Links policies gevonden" Write-Host " ❌ Geen policies gevonden" -ForegroundColor Red } return $results } try { $config = Get-SafeLinksPolicies if ($config -and $config.TotalPolicies -gt 0) { $results.IsConfigured = $true $results.ConfigurationDetails = $config Write-Host "`n Safe Links Policies:" -ForegroundColor Cyan foreach ($policy in $config.Policies) { Write-Host " ✅ $($policy.Name)" -ForegroundColor Green Write-Host " Email bescherming: $($policy.EnableSafeLinksForEmail)" -ForegroundColor $(if ($policy.EnableSafeLinksForEmail) { "Green" } else { "Red" }) Write-Host " Teams bescherming: $($policy.EnableSafeLinksForTeams)" -ForegroundColor $(if ($policy.EnableSafeLinksForTeams) { "Green" } else { "Red" }) Write-Host " Office apps bescherming: $($policy.EnableSafeLinksForOffice)" -ForegroundColor $(if ($policy.EnableSafeLinksForOffice) { "Green" } else { "Red" }) Write-Host " Click tracking: $($policy.TrackClicks)" -ForegroundColor $(if ($policy.TrackClicks) { "Green" } else { "Yellow" }) Write-Host " Hard block: $(-not $policy.AllowClickThrough)" -ForegroundColor $(if (-not $policy.AllowClickThrough) { "Green" } else { "Yellow" }) Write-Host " URL scanning: $($policy.ScanUrls)" -ForegroundColor $(if ($policy.ScanUrls) { "Green" } else { "Yellow" }) } # Check for comprehensive protection $hasEmail = $config.EmailProtected -gt 0 $hasTeams = $config.TeamsProtected -gt 0 $hasOffice = $config.OfficeProtected -gt 0 $hasClickTracking = $config.ClickTrackingEnabled -gt 0 $hasHardBlock = $config.HardBlockEnabled -gt 0 if ($hasEmail -and $hasTeams -and $hasOffice -and $hasClickTracking -and $hasHardBlock) { $results.HasComprehensiveProtection = $true $results.IsCompliant = $true Write-Host " ✅ Comprehensive protection: Email, Teams, Office apps, click tracking en hard block geconfigureerd" -ForegroundColor Green } else { if (-not $hasEmail) { Write-Host " ⚠️ Email bescherming niet ingeschakeld" -ForegroundColor Yellow $results.MissingFeatures += "Email bescherming niet ingeschakeld" $results.Recommendations += "Schakel Safe Links in voor email messages voor complete bescherming" } if (-not $hasTeams) { Write-Host " ⚠️ Teams bescherming niet ingeschakeld" -ForegroundColor Yellow $results.MissingFeatures += "Teams bescherming niet ingeschakeld" $results.Recommendations += "Schakel Safe Links in voor Teams messages voor complete bescherming" } if (-not $hasOffice) { Write-Host " ⚠️ Office apps bescherming niet ingeschakeld" -ForegroundColor Yellow $results.MissingFeatures += "Office apps bescherming niet ingeschakeld" $results.Recommendations += "Schakel Safe Links in voor Office apps (Word, Excel, PowerPoint) voor complete bescherming" } if (-not $hasClickTracking) { Write-Host " ⚠️ Click tracking niet ingeschakeld" -ForegroundColor Yellow $results.MissingFeatures += "Click tracking niet ingeschakeld" $results.Recommendations += "Schakel click tracking in voor security analytics" } if (-not $hasHardBlock) { Write-Host " ⚠️ Hard block niet ingeschakeld - gebruikers kunnen warnings bypassen" -ForegroundColor Yellow $results.MissingFeatures += "Hard block niet ingeschakeld" $results.Recommendations += "Schakel hard block in (AllowClickThrough = false) om te voorkomen dat gebruikers warnings kunnen bypassen" } $results.IsCompliant = $hasEmail -and $hasTeams -and $hasOffice -and $hasClickTracking -and $hasHardBlock } if ($results.IsCompliant) { $results.Recommendations += "Monitor click analytics regelmatig om trends te identificeren" $results.Recommendations += "Review policy assignments regelmatig om te zorgen dat alle gebruikers adequate protection hebben" $results.Recommendations += "Overweeg priority account policies voor executives en finance teams met stricter settings" } } else { $results.MissingFeatures += "Geen Safe Links policies gevonden" Write-Host " ❌ Geen Safe Links policies gevonden" -ForegroundColor Red $results.Recommendations += "Configureer Safe Links policies via Microsoft 365 Defender portal" $results.Recommendations += "Schakel Safe Links in voor emails, Teams en Office apps" $results.Recommendations += "Schakel click tracking en hard block in voor maximale security" } return $results } catch { Write-Error "Fout bij controleren van Safe Links policies: $_" throw } } function Invoke-Monitoring { <# .SYNOPSIS Monitort Safe Links policies en rapporteert over email, Teams en Office apps bescherming #> [CmdletBinding()] param() Write-Host "`nMonitoring: Safe Links Policies" -ForegroundColor Yellow Write-Host "===========================================" -ForegroundColor Yellow $result = Test-SafeLinksPolicies Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Geconfigureerd: $($result.IsConfigured)" -ForegroundColor $(if ($result.IsConfigured) { "Green" } else { "Red" }) Write-Host " Comprehensive protection: $($result.HasComprehensiveProtection)" -ForegroundColor $(if ($result.HasComprehensiveProtection) { "Green" } else { "Yellow" }) if ($result.ConfigurationDetails) { Write-Host " Totaal policies: $($result.ConfigurationDetails.TotalPolicies)" -ForegroundColor Cyan Write-Host " Email beschermd: $($result.ConfigurationDetails.EmailProtected)" -ForegroundColor Green Write-Host " Teams beschermd: $($result.ConfigurationDetails.TeamsProtected)" -ForegroundColor Green Write-Host " Office apps beschermd: $($result.ConfigurationDetails.OfficeProtected)" -ForegroundColor Green Write-Host " Click tracking: $($result.ConfigurationDetails.ClickTrackingEnabled)" -ForegroundColor Cyan Write-Host " Hard block: $($result.ConfigurationDetails.HardBlockEnabled)" -ForegroundColor Green } if ($result.MissingFeatures.Count -gt 0) { Write-Host "`n Ontbrekende features:" -ForegroundColor Red foreach ($feature in $result.MissingFeatures) { Write-Host " - $feature" -ForegroundColor Red } } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " - $recommendation" -ForegroundColor Yellow } } Write-Host "`n Belangrijke opmerking:" -ForegroundColor Cyan Write-Host " Safe Links vereist Microsoft Defender voor Office 365 Plan 1 of 2" -ForegroundColor Yellow Write-Host " Policy management beschikbaar via: https://security.microsoft.com/safelinksv2" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Safe Links policies zijn comprehensive geconfigureerd" -ForegroundColor Green exit 0 } else { Write-Host "`n⚠️ ATTENTIE - Safe Links policies vereisen configuratie" -ForegroundColor Yellow Write-Host " Configureer comprehensive policies via Microsoft 365 Defender portal" -ForegroundColor Yellow exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Configureert comprehensive Safe Links policies volgens best practices #> [CmdletBinding()] param() Write-Host "`nRemediatie: Safe Links Policies" -ForegroundColor Yellow Write-Host "===========================================" -ForegroundColor Yellow try { $existing = Get-SafeLinksPolicy -ErrorAction Stop if ($existing.Count -gt 0) { Write-Host "`n Bestaande policies gevonden:" -ForegroundColor Cyan foreach ($policy in $existing) { Write-Host " - $($policy.Name)" -ForegroundColor Gray Write-Host " Email: $($policy.EnableSafeLinksForEmail) | Teams: $($policy.EnableSafeLinksForTeams) | Office: $($policy.EnableSafeLinksForOffice)" -ForegroundColor Gray } Write-Host "`n ⚠️ Policies bestaan al - review en update handmatig indien nodig" -ForegroundColor Yellow Write-Host " Voor comprehensive configuratie:" -ForegroundColor Cyan Write-Host " 1. Schakel Safe Links in voor email messages (EnableSafeLinksForEmail = true)" -ForegroundColor Gray Write-Host " 2. Schakel Safe Links in voor Teams (EnableSafeLinksForTeams = true)" -ForegroundColor Gray Write-Host " 3. Schakel Safe Links in voor Office apps (EnableSafeLinksForOffice = true)" -ForegroundColor Gray Write-Host " 4. Schakel click tracking in (TrackClicks = true)" -ForegroundColor Gray Write-Host " 5. Schakel hard block in (AllowClickThrough = false)" -ForegroundColor Gray Write-Host " 6. Schakel URL scanning in (ScanUrls = true)" -ForegroundColor Gray Write-Host " 7. Configureer policy assignments voor alle gebruikers" -ForegroundColor Gray exit 0 } Write-Host "`n Geen bestaande policies gevonden" -ForegroundColor Yellow Write-Host " ⚠️ Gebruik Microsoft 365 Defender portal om policies aan te maken" -ForegroundColor Yellow Write-Host " Navigate naar: security.microsoft.com → Email & collaboration → Threat policies → Safe Links" -ForegroundColor Cyan Write-Host " Of gebruik PowerShell cmdlets: New-SafeLinksPolicy en New-SafeLinksRule" -ForegroundColor Cyan exit 0 } catch { Write-Error "Fout bij remediatie: $_" Write-Host " Zorg ervoor dat Microsoft Defender voor Office 365 Plan 1 of 2 is geactiveerd" -ForegroundColor Yellow exit 2 } } function Invoke-Report { <# .SYNOPSIS Genereert een beknopt managementrapport op basis van Safe Links policies status .PARAMETER Result Het resultaatobject dat is teruggegeven door Test-SafeLinksPolicies. .PARAMETER OutputPath Pad naar het tekstbestand waarin het rapport wordt opgeslagen. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [pscustomobject]$Result, [Parameter(Mandatory = $true)] [string]$OutputPath ) $folder = Split-Path -Path $OutputPath -Parent if (-not [string]::IsNullOrWhiteSpace($folder) -and -not (Test-Path -Path $folder)) { New-Item -Path $folder -ItemType Directory -Force | Out-Null } $lines = @() $lines += "Safe Links Policies – Managementrapport" $lines += "Nederlandse Baseline voor Veilige Cloud" $lines += ("Datum: {0}" -f (Get-Date -Format "yyyy-MM-dd HH:mm")) $lines += "" $lines += "1. Samenvatting van de status" $lines += (" Geconfigureerd: {0}" -f $Result.IsConfigured) $lines += (" Comprehensive protection: {0}" -f $Result.HasComprehensiveProtection) $lines += (" Compliant: {0}" -f $Result.IsCompliant) $lines += "" if ($Result.ConfigurationDetails) { $lines += "2. Configuratie Details" $lines += (" Totaal policies: {0}" -f $Result.ConfigurationDetails.TotalPolicies) $lines += (" Email beschermd: {0}" -f $Result.ConfigurationDetails.EmailProtected) $lines += (" Teams beschermd: {0}" -f $Result.ConfigurationDetails.TeamsProtected) $lines += (" Office apps beschermd: {0}" -f $Result.ConfigurationDetails.OfficeProtected) $lines += (" Click tracking ingeschakeld: {0}" -f $Result.ConfigurationDetails.ClickTrackingEnabled) $lines += (" Hard block ingeschakeld: {0}" -f $Result.ConfigurationDetails.HardBlockEnabled) $lines += "" if ($Result.ConfigurationDetails.Policies.Count -gt 0) { $lines += "3. Policy Details" foreach ($policy in $Result.ConfigurationDetails.Policies) { $lines += (" - {0}" -f $policy.Name) $lines += (" Email: {0} | Teams: {1} | Office: {2}" -f $policy.EnableSafeLinksForEmail, $policy.EnableSafeLinksForTeams, $policy.EnableSafeLinksForOffice) $lines += (" Click tracking: {0} | Hard block: {1}" -f $policy.TrackClicks, (-not $policy.AllowClickThrough)) } $lines += "" } } $lines += "4. Aanbevelingen" if ($Result.Recommendations.Count -gt 0) { foreach ($recommendation in $Result.Recommendations) { $lines += (" - {0}" -f $recommendation) } } else { $lines += " Geen specifieke aanbevelingen" } $lines += "" $lines += "5. Interpretatie" $lines += " Dit rapport geeft een overzicht van Safe Links policies configuratie" $lines += " zoals beschreven in de Nederlandse Baseline voor Veilige Cloud." $lines += " Het vervangt geen volledige analyse, maar kan worden gebruikt om" $lines += " voortgang richting bestuur en directie te rapporteren." $lines += "" $lines += " Voor gedetailleerde analyses, gebruik de Microsoft 365 Defender portal:" $lines += " https://security.microsoft.com/safelinksv2" $lines | Out-File -FilePath $OutputPath -Encoding UTF8 -Force Write-Host "Managementrapport aangemaakt: $OutputPath" -ForegroundColor Green } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Safe Links Policies" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($DebugMode) { Write-Host "DebugMode ingeschakeld: er worden geen verbindingen gemaakt met Microsoft 365." -ForegroundColor Yellow Write-Host "" } if ($Monitoring) { Connect-RequiredServices Invoke-Monitoring } elseif ($Remediation) { Connect-RequiredServices Invoke-Remediation } elseif ($Report) { Connect-RequiredServices $result = Test-SafeLinksPolicies if ([string]::IsNullOrWhiteSpace($OutputPath)) { throw "Parameter -OutputPath is verplicht bij gebruik van -Report." } Invoke-Report -Result $result -OutputPath $OutputPath } else { # Default: Status check Connect-RequiredServices $result = Test-SafeLinksPolicies if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Safe Links policies zijn comprehensive geconfigureerd" -ForegroundColor Green } else { Write-Host "`n⚠️ ATTENTIE - Safe Links policies vereisen configuratie" -ForegroundColor Yellow } Write-Host "`nGebruik een van de volgende opties:" -ForegroundColor Yellow Write-Host " -Monitoring Controleer Safe Links policies en rapporteer status" -ForegroundColor Yellow Write-Host " -Remediation Configureer comprehensive Safe Links policies" -ForegroundColor Yellow Write-Host " -Report Genereer een managementrapport op basis van de status (vereist -OutputPath)" -ForegroundColor Yellow Write-Host " -DebugMode Gebruik voorbeelddata voor een veilige lokale test" -ForegroundColor Yellow return $result } } catch { Write-Error "Fout in safe-links-policies.ps1: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder Safe Links beleidsregels zijn organisaties kwetsbaar voor URL weaponization attacks, credential harvesting via fake login pages, malware distributie via malicious links, en zero-hour phishing attacks. URL-based aanvallen zijn de primaire aanvalsvector voor moderne cybercriminaliteit met meer dan 70% van alle phishing-aanvallen die malicious URLs gebruiken. Zonder adequate bescherming slagen deze aanvallen regelmatig met catastrofale gevolgen: account takeovers, data breaches, malware infecties, en financiële verliezen.

Management Samenvatting

Configureer comprehensive Safe Links policies met email, Teams en Office apps bescherming, URL rewriting en real-time scanning, click tracking en analytics, hard block settings voor malicious URLs, en policy assignments voor verschillende gebruikersgroepen. Monitor effectiviteit via uitgebreide click analytics en pas policies aan op basis van threat landscape. Voldoet aan CIS 2.1.1-2.1.5 (L1), BIO 12.02.01, ISO 27001 A.8.7/A.13.2.1, NIS2, AVG Artikel 32. Implementatie: 8 uur technisch + 12 uur voor governance, testing en documentatie. CRITICAL voor URL-based threat protection.