L1 BIO 12.02.01 ISO A.8.7

Microsoft Defender Voor Endpoint: Aanvalsoppervlakreductie Regels Configuratie

📅 2025-01-20
⏱️ 50 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Aanvalsoppervlakreductie (ASR) regels in Microsoft Defender voor Endpoint vormen een kritieke verdedigingslaag die veelgebruikte aanvalstechnieken blokkeert op systeemniveau voordat malware kan worden uitgevoerd. Deze regels werken complementair aan traditionele antivirusoplossingen door specifieke gedragspatronen te identificeren en te blokkeren die kenmerkend zijn voor kwaadaardige activiteiten, ongeacht of de specifieke malware al bekend is of niet. Het correct configureren en beheren van ASR-regels is essentieel voor effectieve endpointbeveiliging en compliance met moderne security frameworks zoals NIS2, BIO en ISO 27001.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
200u (tech: 120u)
Van toepassing op:
Microsoft 365 E5
Microsoft Defender voor Endpoint Plan 1
Microsoft Defender voor Endpoint Plan 2
Microsoft Defender XDR

Moderne cyberaanvallen gebruiken specifieke, voorspelbare aanvalstechnieken die door Microsoft zijn geïdentificeerd via telemetrie van miljarden endpoints wereldwijd. Office-macro's worden gebruikt om ransomware te downloaden via campagnes zoals Emotet en TrickBot, waarbij kwaadaardige macro's in Word- of Excel-documenten PowerShell of andere scripts uitvoeren om de daadwerkelijke malware te downloaden. JavaScript- en VBScript-downloaders fungeren als eerste fase van aanvallen door tweede-fase payloads op te halen die vervolgens worden uitgevoerd om systemen te compromitteren. Credential dumping van het lsass.exe-proces via tools zoals Mimikatz stelt aanvallers in staat om inloggegevens te stelen die worden gebruikt voor laterale beweging door het netwerk. PSExec en WMI worden misbruikt voor laterale beweging over netwerken, waardoor aanvallers van het ene gecompromitteerde systeem naar het volgende kunnen bewegen. Uitvoerbare bijlagen in e-mails vormen een directe malware-leveringsmethode waarbij social engineering wordt gebruikt om gebruikers te verleiden gevaarlijke bestanden te openen. Office-applicaties die uitvoerbare content creëren genereren .exe-bestanden rechtstreeks in het geheugen of op schijf om detectie te omzeilen. Niet-vertrouwde USB-processen verspreiden malware via verwijderbare media, wat vooral risicovol is in omgevingen waar USB-apparaten regelmatig worden gebruikt. Geavanceerd ransomware-gedrag vertoont snelle bestandsversleutelingspatronen die kunnen worden gedetecteerd en geblokkeerd voordat significante schade wordt aangericht. Zonder ASR-regels blijven deze aanvalstechnieken onbeperkt beschikbaar voor cybercriminelen, wat leidt tot ransomware-aanvallen met gemiddelde kosten van €500.000 tot €5.000.000+ per incident, inclusief herstelkosten, uitvaltijd, losgeldbetalingen en reputatieschade. ASR-regels voorkomen 50-90% van exploitpogingen en zijn bijzonder effectief tegen ransomware door deze aanvalstechnieken te blokkeren voordat malware kan worden uitgevoerd.

PowerShell Modules Vereist
Primary API: Microsoft Graph Security API, Microsoft Defender for Endpoint API
Connection: Connect-MgGraph, Connect-MicrosoftDefender
Required Modules: Microsoft.Graph, Microsoft.Graph.Security, Microsoft.Graph.Identity.SignIns

Implementatie

Dit artikel beschrijft een complete, stapsgewijze aanpak voor het implementeren van Aanvalsoppervlakreductie regels in Microsoft Defender voor Endpoint binnen Microsoft 365. De gids behandelt alle belangrijke aspecten van ASR-regelconfiguratie, inclusief het begrijpen van de verschillende ASR-regels en hun specifieke beschermingsdoelen, het ontwerpen van een gefaseerde implementatiestrategie die begint met auditmodus voor validatie, het configureren van minimaal tien kritieke ASR-regels via Microsoft Intune of Group Policy, het implementeren van uitsluitingen voor legitieme bedrijfsapplicaties met minimale impact op het aanvalsoppervlak, het monitoren van ASR-gebeurtenissen en effectiviteit via Microsoft 365 Defender portal, en het optimaliseren van configuraties op basis van bedreigingsinformatie en organisatorische behoeften. Voor elke ASR-regel worden concrete implementatiestappen beschreven, inclusief configuratie-instructies voor verschillende operationele modi (Blokkeren, Audit, Uitgeschakeld), best practices voor het minimaliseren van false positives, richtlijnen voor het configureren van uitsluitingen, en verificatiemethoden om te controleren dat regels correct worden toegepast. Daarnaast worden best practices beschreven voor het beheren van ASR-regelconfiguratie op de lange termijn, inclusief regelmatige reviews van uitsluitingen, updates op basis van nieuwe bedreigingen, en integratie met andere Defender voor Endpoint beveiligingslagen zoals Next-Generation Protection, EDR en Automated Investigation and Response.

Vereisten voor ASR-Regels Implementatie

Voor het implementeren van Aanvalsoppervlakreductie regels in Microsoft Defender voor Endpoint zijn verschillende technische, organisatorische en licentievereisten noodzakelijk. Op technisch niveau is een Microsoft 365 E5 licentie of Microsoft Defender voor Endpoint Plan 1 of Plan 2 licentie vereist, omdat ASR-regels alleen beschikbaar zijn voor organisaties met deze licentiecombinaties. Plan 1 biedt basis ASR-functionaliteit, terwijl Plan 2 uitgebreide features biedt zoals geavanceerde bedreigingsdetectie en Automated Investigation and Response integratie. Alle endpoints moeten correct zijn onboarded naar Defender voor Endpoint via verschillende methoden zoals Group Policy, Microsoft Endpoint Manager (Intune), Script-based onboarding, of Mobile Device Management (MDM) voor mobiele apparaten. Endpoints moeten minimaal Windows 10 versie 1709 (Fall Creators Update) of hoger zijn, of Windows 11, waarbij alleen de Pro, Enterprise of Education edities worden ondersteund. De Home-editie biedt geen ondersteuning voor ASR-regels, wat betekent dat organisaties met thuiswerkplekken deze moeten upgraden naar een ondersteunde editie. Voor volledige ASR-functionaliteit moeten endpoints ook verbonden zijn met Microsoft Defender Antivirus met real-time protection en cloud-delivered protection ingeschakeld, omdat ASR-regels diep geïntegreerd zijn in de Windows Defender-architectuur en niet werken met antivirusoplossingen van derde partijen.

Op organisatorisch niveau vereist ASR-regelimplementatie duidelijke governance-structuren en besluitvormingsprocessen. Dit begint met het vaststellen van een ASR-Regels Beleid dat beschrijft welke regels moeten worden geïmplementeerd, welke configuraties moeten worden gebruikt, wie verantwoordelijk is voor het beheren van regelconfiguratie, en welke procedures moeten worden gevolgd wanneer regels legitieme applicaties blokkeren. Dit beleid moet worden ontwikkeld in samenwerking met de CISO, security officers, IT-beheerders en applicatie-eigenaren, en moet worden goedgekeurd door het management voordat implementatie begint. Daarnaast is het essentieel om een implementatieplan op te stellen dat beschrijft welke regels in welke volgorde moeten worden geïmplementeerd, wie verantwoordelijk is voor elke stap, welke testscenario's moeten worden uitgevoerd, en welke deadlines er zijn voor het voltooien van de implementatie. Dit plan moet ook rekening houden met de impact op bestaande applicaties en processen, en moet voorzieningen bevatten voor het snel terugdraaien van configuraties indien dit nodig is. Een grondige inventarisatie van bedrijfskritieke applicaties is noodzakelijk voor de planning van uitsluitingen, waarbij organisaties moeten weten welke applicaties essentieel zijn voor hun bedrijfsvoering en welke mogelijk worden beïnvloed door ASR-regels.

Op operationeel niveau vereist ASR-regelimplementatie voldoende technische expertise en resources. Organisaties moeten ervoor zorgen dat IT-beheerders en security analisten beschikken over de juiste kennis en vaardigheden om ASR-regels te configureren en te beheren, bijvoorbeeld door training te volgen over Defender voor Endpoint ASR-technieken, beveiligingsbest practices, uitsluitingsbeheer, en troubleshooting-methoden, of door externe expertise in te schakelen. Daarnaast moeten organisaties ervoor zorgen dat er voldoende tijd en resources beschikbaar zijn voor het implementeren van regels, het testen van configuraties in auditmodus gedurende 2-4 weken, het analyseren van auditgebeurtenissen, het configureren van uitsluitingen, het afhandelen van incidenten, en het documenteren van implementaties. Een test- of pilootomgeving is essentieel voor het testen van ASR-regels in auditmodus voordat productie-implementatie plaatsvindt. Voor continue monitoring van ASR-gebeurtenissen is toegang tot het Microsoft 365 Defender-portal of integratie met een SIEM-systeem vereist, wat stelt security teams in staat om geblokkeerde aanvallen te identificeren, trends te analyseren en de effectiviteit van de ASR-regels te meten. Tot slot is training van de helpdesk essentieel voor het afhandelen van ASR-gerelateerde ondersteuningstickets, waarbij medewerkers moeten begrijpen wat ASR-regels zijn, waarom bepaalde applicaties mogelijk worden geblokkeerd, en hoe ze gebruikers kunnen helpen bij het oplossen van problemen.

Stapsgewijze Implementatie van ASR-Regels

Gebruik PowerShell-script attack-surface-reduction-rules.ps1 (functie Invoke-Remediation) – PowerShell script voor het configureren van ASR-regels in Microsoft Defender voor Endpoint inclusief alle kritieke regels en uitsluitingsbeheer.

De implementatie van Aanvalsoppervlakreductie regels in Microsoft Defender voor Endpoint begint met het configureren van ASR-regels via de Microsoft 365 Defender portal of Microsoft Intune. Navigeer naar security.microsoft.com en selecteer Settings → Endpoints → Advanced features → Attack surface reduction rules. ASR-regels werken door het identificeren en blokkeren van specifieke gedragspatronen die kenmerkend zijn voor kwaadaardige activiteiten, ongeacht of de specifieke malware al bekend is of niet. Deze aanpak is fundamenteel anders dan traditionele antivirusoplossingen die afhankelijk zijn van signature-databases en alleen bekende bedreigingen kunnen detecteren. Microsoft beveelt een minimumset van tien kritieke regels aan voor implementatie, geselecteerd op basis van hun effectiviteit tegen de meest voorkomende en gevaarlijkste aanvalstechnieken die worden gebruikt door moderne cybercriminelen.

De eerste kritieke regel blokkeert uitvoerbare content van e-mailclients en webmail, geïdentificeerd met GUID BE9BA2D9-53EA-4CED-88E0-4740F7EFF98C. Deze regel voorkomt dat gebruikers per ongeluk kwaadaardige bijlagen openen die rechtstreeks via e-mail worden geleverd, wat een van de meest voorkomende manieren is waarop malware wordt verspreid. Aanvallers gebruiken social engineering om gebruikers te verleiden om gevaarlijke bestanden te openen, waarbij kwaadaardige bijlagen worden vermomd als legitieme documenten of belangrijke berichten. Door deze regel te activeren wordt deze aanvalsvector effectief geblokkeerd voordat malware kan worden uitgevoerd. De tweede regel blokkeert Office-applicaties die subprocessen aanmaken, met GUID D4F940AB-401B-4EFC-AADC-AD5F3C50388B, specifiek ontworpen om macro-gebaseerde malware te voorkomen. Veel ransomware-campagnes gebruiken kwaadaardige macro's in Word- of Excel-documenten die vervolgens PowerShell of andere scripts uitvoeren om de daadwerkelijke malware te downloaden. Door Office-applicaties te blokkeren om subprocessen te starten, wordt deze aanvalsketen onderbroken voordat schade kan worden aangericht.

De derde regel voorkomt dat Office-applicaties uitvoerbare content creëren, met GUID 3B576869-A4EC-4529-8535-B80741172D99. Deze regel blokkeert pogingen van kwaadaardige macro's om .exe-bestanden te genereren op het systeem, wat een veelgebruikte techniek is waarbij macro's uitvoerbare bestanden rechtstreeks in het geheugen of op schijf creëren om detectie te omzeilen. De vierde regel blokkeert JavaScript en VBScript die uitvoerbare bestanden starten, geïdentificeerd met GUID D3E037E1-3EB8-4C12-9814-914689F0E859. Deze regel voorkomt dat script-gebaseerde downloaders hun payloads kunnen uitvoeren, waarbij veel moderne malware scripts gebruikt als eerste fase van een aanval om de daadwerkelijke malware te downloaden en uit te voeren. De vijfde regel is cruciaal voor het voorkomen van diefstal van inloggegevens, met GUID 9E6C4E1F-7D60-472F-BA1A-A39E77BEF179. Deze regel blokkeert toegang tot het Windows Local Security Authority Subsystem (lsass.exe) proces, dat in het geheugen opgeslagen inloggegevens bevat. Tools zoals Mimikatz gebruiken deze toegang om credentials te stelen die vervolgens worden gebruikt voor laterale beweging door het netwerk.

De zesde regel blokkeert niet-vertrouwde en niet-ondertekende processen van USB-apparaten, geïdentificeerd met GUID B2B3F03D-ACA6-403D-86AE-FA98B9C66A3E. Deze regel voorkomt dat malware zich verspreidt via verwijderbare media, wat vooral belangrijk is in omgevingen waar USB-apparaten regelmatig worden gebruikt en waar het risico op geïnfecteerde USB-sticks hoog is. De zevende regel gebruikt geavanceerde bescherming tegen ransomware, met GUID C1DB55AB-C375-4BD8-A3FA-C3DE5180B142. Deze regel detecteert en blokkeert specifieke ransomware-gedragspatronen, zoals snelle bestandsversleuteling en pogingen om back-ups te verwijderen, en is bijzonder effectief omdat het niet afhankelijk is van signatures maar in plaats daarvan kijkt naar het gedrag van de applicatie. De achtste regel blokkeert uitvoerbare bestanden van uitvoeren tenzij ze voldoen aan prevalentie- of leeftijdscriteria, geïdentificeerd met GUID 01443614-CD74-4A0E-B371-BB4F85A51B7A. Deze regel voorkomt dat onbekende of zeldzame uitvoerbare bestanden worden uitgevoerd en is effectief tegen zero-day-aanvallen en nieuwe malware-varianten die nog niet in signature-databases staan.

De negende regel blokkeert Office-communicatie-apps die subprocessen aanmaken, met GUID 26190899-1605-49E8-AD8A-31EDB73CA08B. Deze regel voorkomt dat kwaadaardige content in Teams of andere Office-communicatie-apps subprocessen kan starten, wat belangrijk is omdat aanvallers steeds vaker gebruik maken van communicatieplatforms voor malware-levering. De tiende regel blokkeert persistentie via WMI-gebeurtenisabonnementen, geïdentificeerd met GUID E6DB77E5-3CD2-4D40-A402-CEF2AAD99630. Deze regel voorkomt dat malware zichzelf persistent maakt door WMI-gebeurtenisabonnementen te gebruiken, wat een geavanceerde techniek is die wordt gebruikt door geavanceerde persistent threats om opnieuw toegang te krijgen tot gecompromitteerde systemen. Elke ASR-regel heeft drie operationele modi: Blokkeren-modus voorkomt daadwerkelijk de uitvoering van gedetecteerde activiteiten en is bedoeld voor productieomgevingen, Audit-modus logt alleen gebeurtenissen zonder acties te blokkeren voor testen en afstemmen, en Uitgeschakeld-modus deactiveert de regel volledig. De aanbevolen implementatiestrategie begint met het activeren van alle regels in Audit-modus gedurende 2-4 weken voor validatie voordat ze worden overgezet naar Blokkeren-modus voor volledige bescherming.

ASR-Regels als Onderdeel van Defense in Depth Strategie

Aanvalsoppervlakreductie regels vormen een kritieke component van een complete defense in depth strategie binnen Microsoft Defender voor Endpoint, waarbij meerdere beveiligingslagen worden gecombineerd om een complete verdediging te bieden tegen moderne cyberbedreigingen. ASR-regels werken op het preventieve niveau door specifieke aanvalsvectoren te blokkeren voordat malware kan worden uitgevoerd, complementair aan Next-Generation Protection die bedreigingen blokkeert op basis van signatures, machine learning en cloud-gebaseerde detectie. Deze preventieve lagen zijn essentieel voor het voorkomen van de meeste bedreigingen, maar zij kunnen niet alle bedreigingen voorkomen, vooral niet wanneer aanvallers gebruik maken van zero-day exploits of geavanceerde technieken die nog niet bekend zijn bij beveiligingssystemen.

ASR-regels integreren naadloos met Endpoint Detection and Response (EDR) functionaliteit die uitgebreide telemetrie verzamelt over endpoint-activiteiten. Wanneer ASR-regels activiteiten blokkeren, worden deze gebeurtenissen automatisch gelogd in EDR-telemetrie, waardoor security analisten inzicht krijgen in welke aanvalstechnieken werden geprobeerd en welke endpoints werden getarget. Deze integratie is waardevol voor threat hunting en incident response, omdat het helpt bij het identificeren van aanvalscampagnes en het begrijpen van de volledige scope van bedreigingen. EDR-telemetrie wordt bewaard voor maximaal 30 dagen, waardoor security analisten historische analyses kunnen uitvoeren om bedreigingspatronen te identificeren en om de volledige scope van incidenten te begrijpen.

Automated Investigation and Response (AIR) kan automatisch reageren op ASR-gebeurtenissen door endpoints te isoleren, bestanden te blokkeren, of kwaadaardige processen te verwijderen wanneer ASR-regels bedreigingen detecteren. Deze integratie zorgt voor snelle automatische respons op bedreigingen zonder menselijke tussenkomst, wat essentieel is voor het verkorten van Mean Time To Detect (MTTD) en Mean Time To Respond (MTTR) van dagen naar minuten. AIR kan automatisch tot 90% van alle security alerts analyseren en mitigeren zonder menselijke tussenkomst, waardoor security teams zich kunnen focussen op de meest complexe en kritieke bedreigingen. ASR-regels werken ook samen met Threat and Vulnerability Management door kwetsbaarheden te identificeren die kunnen worden misbruikt door aanvalstechnieken die door ASR-regels worden geblokkeerd, waardoor organisaties proactief kunnen werken aan het verkleinen van het aanvalsoppervlak.

Microsoft Threat Intelligence integratie biedt real-time bedreigingsinformatie over actieve bedreigingscampagnes die gebruik maken van aanvalstechnieken die door ASR-regels worden geblokkeerd. Deze informatie wordt automatisch geïntegreerd in Defender voor Endpoint detecties, waardoor het systeem beter kan identificeren wanneer endpoints worden aangevallen door bekende bedreigingscampagnes. Door ASR-regels te combineren met andere beveiligingslagen zoals Network Protection, Controlled Folder Access, en Exploit Protection, kunnen organisaties een complete verdedigingsstrategie implementeren die beschermt tegen zowel bekende als onbekende bedreigingen, en die snel kan reageren op nieuwe bedreigingen zodra deze worden geïdentificeerd.

Monitoring en Effectiviteit Meting van ASR-Regels

Gebruik PowerShell-script attack-surface-reduction-rules.ps1 (functie Invoke-Monitoring) – Controleert de status van ASR-regels configuratie en rapporteert over regelactiviteit, geblokkeerde aanvallen en effectiviteit metrics.

Continue monitoring van Aanvalsoppervlakreductie regels is essentieel om te verifiëren dat het systeem correct functioneert, om de effectiviteit te meten, en om de configuratie te optimaliseren. De primaire monitoring interface is het Microsoft 365 Defender portal onder Security → Endpoints → Reports → Attack surface reduction, waar een overzicht wordt getoond van alle geconfigureerde ASR-regels en hun status. Het Security Operations dashboard toont key metrics zoals aantal geblokkeerde aanvalspogingen per regel, aantal gedetecteerde bedreigingen, gemiddelde tijd tot detectie (MTTD), en het percentage endpoints dat is beschermd door ASR-regels. Deze metrics geven inzicht in de effectiviteit van de beveiligingsmaatregelen en helpen bij het identificeren van verbeterpunten.

Voor gedetailleerde analyse van individuele ASR-gebeurtenissen kunnen security analisten inzoomen op specifieke alerts via het Incident detail scherm. Hier wordt een tijdlijn getoond van alle gebeurtenissen die verband houden met een ASR-blokkering, inclusief wanneer de aanvalstechniek werd gedetecteerd, welke regel de activiteit heeft geblokkeerd, welke endpoints zijn getroffen, en welke remediatieacties zijn uitgevoerd. Analisten kunnen ook de verzamelde telemetrie reviewen, bijvoorbeeld door Advanced Hunting queries uit te voeren om aanvullende context te verzamelen over aanvalscampagnes, of door Threat Analytics rapporten te raadplegen voor informatie over de bedreiging. Deze detailweergave is essentieel voor het begrijpen van hoe ASR-regels bedreigingen detecteren en mitigeren en voor het identificeren van false positives of gemiste bedreigingen.

Naast het monitoren van individuele detecties is het belangrijk om trends en patronen te identificeren over langere perioden. Het Security Operations dashboard biedt verschillende rapportage-opties waarmee organisaties kunnen analyseren welke typen aanvalstechnieken het meest voorkomen, welke ASR-regels het meest effectief zijn, en welke endpoints het meest worden aangevallen. Deze data kan worden gebruikt om de configuratie te optimaliseren, bijvoorbeeld door aanvullende ASR-regels toe te voegen voor bedreigingen die regelmatig worden gedetecteerd, of door uitsluitingen aan te passen voor applicaties die onterecht worden geblokkeerd. Organisaties kunnen ook custom reports genereren voor management en compliance doeleinden, waarbij wordt getoond hoe ASR-regels bijdragen aan de overall security posture en hoeveel aanvalspogingen worden geblokkeerd. Specifieke monitoring van ransomware-blokkeringen is belangrijk omdat ransomware een van de meest kritieke bedreigingen is waartegen ASR-regels beschermen, waarbij organisaties een reductie van 50-90% in ransomware-aanvallen kunnen verwachten na volledige implementatie.

Een kritiek aspect van monitoring is het identificeren en corrigeren van false positives. Wanneer ASR-regels een legitieme activiteit blokkeren of als bedreiging markeren, moet deze false positive worden gedocumenteerd en geanalyseerd om te voorkomen dat soortgelijke activiteiten in de toekomst opnieuw worden geblokkeerd. Het Defender voor Endpoint systeem leert van deze feedback, maar organisaties kunnen ook expliciet uitsluitingen configureren voor specifieke scenario's via Settings → Endpoints → Advanced features → Attack surface reduction rules → Exceptions. Daarnaast moeten organisaties regelmatig reviewen of ASR-regels alle relevante bedreigingen detecteren. Wanneer security analisten handmatig bedreigingen detecteren die door ASR-regels niet zijn opgepikt, moet worden geanalyseerd waarom dit is gebeurd en of de configuratie moet worden aangepast om deze bedreigingen in de toekomst wel automatisch te detecteren. Een kwartaalreview van alle uitsluitingen is essentieel om ervoor te zorgen dat uitsluitingen nog steeds nodig zijn, waarbij applicaties kunnen zijn vervangen, bijgewerkt of afgeschaft, waardoor uitsluitingen mogelijk niet meer nodig zijn.

Voor compliance en audit doeleinden moeten alle ASR-regelconfiguraties en detecties worden gelogd en bewaard. De Microsoft 365 Defender portal biedt uitgebreide logging mogelijkheden, maar organisaties moeten ook zorgen dat deze logs worden geëxporteerd naar een centraal logging systeem zoals een SIEM voor langetermijn opslag en correlatie met andere security events. Audit logs moeten informatie bevatten over wanneer aanvalstechnieken werden gedetecteerd, welke ASR-regels de detectie hebben veroorzaakt, welke endpoints zijn getroffen, en welke remediatieacties zijn uitgevoerd. Deze logs zijn essentieel voor het aantonen van compliance met NIS2 vereisten voor bedreigingsdetectie en voor het ondersteunen van interne en externe audits. De impact op de helpdesk moet worden gemonitord door het aantal ASR-gerelateerde ondersteuningstickets te volgen, waarbij na de initiële tuningfase dit aantal zou moeten afnemen naarmate gebruikers gewend raken aan de regels en uitsluitingen correct zijn geconfigureerd.

Remediatie en Troubleshooting van ASR-Regels

Gebruik PowerShell-script attack-surface-reduction-rules.ps1 (functie Invoke-Remediation) – Configureert ASR-regels volgens best practices of herstelt ontbrekende configuraties.

Wanneer problemen optreden met Aanvalsoppervlakreductie regels zijn verschillende remediatiestrategieën beschikbaar. Een veelvoorkomend probleem is dat ASR-regels legitieme applicaties blokkeren, wat leidt tot false positives en gebruikersfrustratie. Dit kan worden opgelost door uitsluitingen te configureren via Settings → Endpoints → Advanced features → Attack surface reduction rules → Exceptions. Uitsluitingen kunnen worden geconfigureerd op basis van bestandspaden, procesnamen, of gebruikersgroepen, waarbij het belangrijk is om uitsluitingen zorgvuldig te configureren om te voorkomen dat security wordt verzwakt. Het principe moet zijn om uitsluitingen te minimaliseren, omdat elke uitsluiting het aanvalsoppervlak vergroot. Alle uitsluitingen moeten worden gedocumenteerd met een duidelijke zakelijke rechtvaardiging, goedkeuring en een reviewdatum voor periodieke evaluatie.

Een ander veelvoorkomend probleem is dat endpoints niet correct zijn onboarded naar Defender voor Endpoint, waardoor ASR-regels niet beschikbaar zijn. Dit kan worden geverifieerd via Settings → Endpoints → Onboarding, waar een overzicht wordt getoond van alle onboarded endpoints en hun status. Endpoints die niet correct zijn onboarded moeten worden heronboarded via de juiste onboarding methode (Group Policy, Intune, Script, of MDM). Het monitoring script kan helpen bij het identificeren van endpoints die niet correct zijn onboarded en kan aanbevelingen doen voor remediatie. Wanneer ASR-regels niet correct werken kan dit wijzen op configuratieproblemen, licentieproblemen, of sensorproblemen. Configuratieproblemen kunnen worden geïdentificeerd door de configuratie-instellingen te reviewen in de portal en te verifiëren dat alle vereiste settings correct zijn geconfigureerd. Licentieproblemen kunnen worden geïdentificeerd door te controleren of de juiste licenties zijn toegewezen aan gebruikers en endpoints.

Voor problemen met specifieke ASR-regels die te veel false positives genereren, kan worden overwogen om de regel tijdelijk over te zetten naar Audit-modus voor verdere analyse. Dit stelt organisaties in staat om te observeren welke activiteiten worden gedetecteerd zonder daadwerkelijk acties te blokkeren, wat helpt bij het identificeren van patronen en het configureren van gerichte uitsluitingen. Na een periode van monitoring en afstemming kan de regel opnieuw worden overgezet naar Blokkeren-modus met geoptimaliseerde uitsluitingen. Voor problemen met endpoints die ASR-regels niet ontvangen via Intune of Group Policy, moet worden gecontroleerd of de policy correct is toegewezen aan de juiste groepen, of er voldoende licentie-rechten zijn, en of de endpoints correct zijn geregistreerd in het beheersysteem.

Wanneer legitieme applicaties worden geblokkeerd door ASR-regels, is een gestructureerd remediatieproces essentieel. De eerste stap is het verifiëren van de legitimiteit van de geblokkeerde applicatie door een VirusTotal-check uit te voeren, verificatie bij de leverancier, en controle van de digitale handtekening. De tweede stap is het vaststellen van de zakelijke rechtvaardiging, waarbij moet worden begrepen waarom deze applicatie moet kunnen draaien en wat de impact is als deze niet beschikbaar is. De derde stap is het onderzoeken van alternatieve oplossingen, waarbij moet worden onderzocht of de applicatie kan worden vervangen door een veiliger alternatief dat niet wordt geblokkeerd door ASR-regels. Indien een uitsluiting noodzakelijk is, moet deze zorgvuldig worden geconfigureerd met specifieke paden of processen, niet brede mappen, en moet worden gedocumenteerd met applicatienaam, zakelijke eigenaar, goedkeuringsdatum en reviewdatum. Een jaarlijkse beveiligingsreview van alle uitsluitingen is essentieel om ervoor te zorgen dat uitsluitingen nog steeds nodig zijn en dat er geen veiligere alternatieven beschikbaar zijn gekomen.

Compliance en Framework Mapping voor ASR-Regels

Aanvalsoppervlakreductie regels zijn essentieel voor compliance met verschillende security frameworks. Voor CIS Microsoft 365 Foundations Benchmark is dit relevant voor control 7.1 (Security monitoring - Advanced threat detection capabilities), control 7.2 (Incident response - Automated investigation en remediation), en control 8.1 (Endpoint protection - Advanced endpoint detection and response). Deze controls vereisen dat organisaties geavanceerde endpointbeveiligingsfuncties hebben die moderne bedreigingen detecteren en mitigeren, inclusief fileless malware, zero-day exploits, en geavanceerde persistente bedreigingen. ASR-regels implementeren deze vereisten door specifieke aanvalsgedragingen te detecteren en te blokkeren, ongeacht of de malware bekend is of niet.

Voor de BIO Baseline Informatiebeveiliging Overheid zijn ASR-regels relevant voor Thema 12.02.01 (Bescherming tegen malware - Preventieve maatregelen en exploit-mitigatie), Thema 12.06.01 (Beheer van technische kwetsbaarheden - Vermindering van aanvalsoppervlak), en Thema 17.1 (Incident management - Geautomatiseerde detectie en response). BIO vereist dat organisaties proactief bedreigingen detecteren en snel reageren, waarbij geavanceerde tools zoals ASR-regels essentieel zijn om aan deze vereisten te voldoen, vooral gezien de schaal van moderne omgevingen en het volume van security events. ASR-regels zijn een concrete implementatie van deze vereisten omdat ze voorkomen dat malware wordt uitgevoerd voordat het schade kan aanrichten.

ISO 27001:2022 vereist in A.8.7 (Bescherming tegen malware - Geavanceerde malwareverdediging), A.8.16 (Monitoring activities - Security event monitoring en analysis), en A.5.26 (Information security event response - Geautomatiseerde response capabilities) dat organisaties security events monitoren en automatisch reageren op bedreigingen. ASR-regels voldoen aan deze vereisten door continu endpoints te monitoren, automatisch bedreigingen te detecteren via gedrag-gebaseerde detectie, en gepaste remediatieacties uit te voeren. De uitgebreide logging van alle activiteiten ondersteunt ook A.12.4.1 (Logging - Security event logging) door alle detecties en acties te documenteren voor audit doeleinden.

Voor NIS2 zijn ASR-regels essentieel voor Artikel 23 (Incident handling - Snelle detectie en response), Artikel 21 (Cybersecurity risicobeheer - Geavanceerde bedreigingsdetectie), en Artikel 10 (Beveiligingsmaatregelen - Endpoint security en monitoring). NIS2 vereist dat essentiële en belangrijke entiteiten security incidenten binnen strikte termijnen detecteren en reageren, waarbij geavanceerde endpointbeveiligingstools kritiek zijn om aan deze vereisten te voldoen. ASR-regels zijn bijzonder effectief tegen ransomware omdat ze specifieke ransomware-gedragspatronen blokkeren, zoals macro-gebaseerde levering, script-downloaders en snelle bestandsversleuteling, wat essentieel is voor NIS2 compliance. De automatische detectie van bedreigingen via gedrag-gebaseerde detectie en de snelle remediatie die ASR-regels bieden, helpen organisaties om de MTTR te verkorten en de impact van incidenten te beperken.

ASR-regels kunnen worden gemapped naar specifieke MITRE ATT&CK-technieken, wat helpt bij het demonstreren van de effectiviteit van de implementatie. Bijvoorbeeld, ASR-regels die Office-macro's blokkeren beschermen tegen T1566 Phishing, regels die credential dumping blokkeren beschermen tegen T1003 Credential Dumping, en regels die uitvoerbare bestanden blokkeren beschermen tegen T1204 User Execution. Deze mapping helpt bij het begrijpen van welke specifieke bedreigingen worden gemitigeerd en is waardevol voor threat intelligence en security operations. Tot slot ondersteunen ASR-regels ook AVG compliance door snel te reageren op security incidenten die kunnen leiden tot datalekken. Artikel 33 (Meldplicht datalekken) vereist dat organisaties datalekken binnen 72 uur melden aan de toezichthouder, waarbij snelle detectie en containment essentieel zijn. ASR-regels helpen bij het snel detecteren en mitigeren van bedreigingen die kunnen leiden tot datalekken, waardoor organisaties beter kunnen voldoen aan de meldplicht.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Microsoft Defender voor Endpoint: Aanvalsoppervlakreductie Regels Configuratie .DESCRIPTION Configureert Aanvalsoppervlakreductie (ASR) regels in Microsoft Defender voor Endpoint inclusief alle kritieke regels voor bescherming tegen veelgebruikte aanvalstechnieken zoals Office-macro malware, script-gebaseerde aanvallen, ransomware-gedrag en diefstal van inloggegevens. Implementeert gedrag-gebaseerde bedreigingsdetectie voor complete endpointbeveiliging. .NOTES Filename: attack-surface-reduction-rules.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-20 Last Modified: 2025-01-20 Version: 1.0 Related JSON: content/m365/defender-endpoint/attack-surface-reduction-rules.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\attack-surface-reduction-rules.ps1 -Monitoring Controleert of ASR-regels correct zijn geconfigureerd in Microsoft Defender voor Endpoint .EXAMPLE .\attack-surface-reduction-rules.ps1 -Remediation Configureert ASR-regels volgens best practices via configuratie-instructies #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph, Microsoft.Graph.Security [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Configuratie - 10 kritieke ASR-regels $ExpectedASRRules = 10 $CriticalASRRuleGUIDs = @( 'BE9BA2D9-53EA-4CED-88E0-4740F7EFF98C', # Block executable content from email client and webmail 'D4F940AB-401B-4EFC-AADC-AD5F3C50388B', # Block Office applications from creating child processes '3B576869-A4EC-4529-8535-B80741172D99', # Block Office applications from creating executable content 'D3E037E1-3EB8-4C12-9814-914689F0E859', # Block JavaScript or VBScript from launching downloaded executable content '9E6C4E1F-7D60-472F-BA1A-A39E77BEF179', # Block credential stealing from the Windows local security authority subsystem (lsass.exe) 'B2B3F03D-ACA6-403D-86AE-FA98B9C66A3E', # Block untrusted and unsigned processes that run from USB 'C1DB55AB-C375-4BD8-A3FA-C3DE5180B142', # Use advanced protection against ransomware '01443614-CD74-4A0E-B371-BB4F85A51B7A', # Block executable files from running unless they meet a prevalence, age, or trusted list criteria '26190899-1605-49E8-AD8A-31EDB73CA08B', # Block Office communication applications from creating child processes 'E6DB77E5-3CD2-4D40-A402-CEF2AAD99630' # Block persistence through WMI event subscription ) function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Controleren van Microsoft Graph verbinding..." try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes "SecurityEvents.ReadWrite.All", "SecurityActions.ReadWrite.All", "ThreatHunting.Read.All", "DeviceManagementConfiguration.ReadWrite.All" -ErrorAction Stop Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Microsoft Graph: $_" throw } Write-Verbose "Controleren van Microsoft Defender voor Endpoint verbinding..." try { # Check if Microsoft Defender for Endpoint module is available $defenderModule = Get-Module -ListAvailable -Name "Microsoft.Graph.Security" -ErrorAction SilentlyContinue if ($defenderModule) { Write-Verbose "Microsoft Graph Security module beschikbaar" } else { Write-Warning "Microsoft Graph Security module niet gevonden - sommige checks kunnen falen" } } catch { Write-Warning "Kon Defender voor Endpoint verbinding niet controleren: $_" } } function Test-ASRRulesConfiguration { <# .SYNOPSIS Test of ASR-regels correct zijn geconfigureerd in Microsoft Defender voor Endpoint .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van ASR-regels configuratie..." $results = @{ IsCompliant = $false ASRRulesEnabled = 0 ExpectedRules = $ExpectedASRRules Issues = @() Recommendations = @() } try { Write-Host "`n Aanvalsoppervlakreductie Regels:" -ForegroundColor Cyan # Check if tenant has required licenses try { $orgInfo = Get-MgOrganization -ErrorAction Stop Write-Verbose "Tenant: $($orgInfo.DisplayName)" Write-Host " ✅ Microsoft Graph: Verbonden" -ForegroundColor Green } catch { Write-Warning "Kon tenant informatie niet ophalen: $_" $results.Issues += "Kon tenant informatie niet ophalen: $_" } # Check ASR rules availability try { Write-Verbose "Controleren van ASR-regels beschikbaarheid..." Write-Host " ⚠️ ASR-regels: Vereist portal verificatie (security.microsoft.com → Settings → Endpoints → Advanced features → Attack surface reduction rules)" -ForegroundColor Yellow $results.Recommendations += "Verifieer ASR-regels configuratie in security.microsoft.com → Settings → Endpoints → Advanced features → Attack surface reduction rules" } catch { Write-Warning "Kon ASR-regels status niet controleren: $_" $results.Issues += "Kon ASR-regels status niet controleren: $_" } # Check local ASR rules configuration (if running on endpoint) try { Write-Verbose "Controleren van lokale ASR-regels configuratie..." if (Get-Command Get-MpPreference -ErrorAction SilentlyContinue) { $mpPreference = Get-MpPreference -ErrorAction SilentlyContinue if ($mpPreference) { $enabledRules = 0 foreach ($guid in $CriticalASRRuleGUIDs) { if ($mpPreference.AttackSurfaceReductionRules_Ids -contains $guid) { $enabledRules++ } } $results.ASRRulesEnabled = $enabledRules Write-Host " ℹ️ Lokale ASR-regels: $enabledRules/$ExpectedASRRules regels geconfigureerd" -ForegroundColor Cyan if ($enabledRules -ge $ExpectedASRRules) { Write-Host " ✅ Lokale configuratie: COMPLIANT" -ForegroundColor Green } else { Write-Host " ⚠️ Lokale configuratie: Onvoldoende regels ($enabledRules/$ExpectedASRRules)" -ForegroundColor Yellow $results.Recommendations += "Configureer alle $ExpectedASRRules kritieke ASR-regels via Intune of Group Policy" } } } else { Write-Verbose "Get-MpPreference niet beschikbaar (mogelijk niet op endpoint of Defender niet actief)" } } catch { Write-Verbose "Kon lokale ASR-regels configuratie niet controleren: $_" } # Provide recommendations based on best practices Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan Write-Host " 1. Verifieer ASR-regels in security.microsoft.com → Settings → Endpoints → Advanced features → Attack surface reduction rules" -ForegroundColor Yellow Write-Host " 2. Configureer minimaal $ExpectedASRRules kritieke ASR-regels in Blokkeren-modus voor productie" -ForegroundColor Yellow Write-Host " 3. Start met Audit-modus gedurende 2-4 weken voor validatie voordat Blokkeren-modus wordt geactiveerd" -ForegroundColor Yellow Write-Host " 4. Configureer uitsluitingen voor legitieme bedrijfsapplicaties met minimale impact op aanvalsoppervlak" -ForegroundColor Yellow Write-Host " 5. Monitor ASR-gebeurtenissen via Microsoft 365 Defender portal onder Reports → Attack surface reduction" -ForegroundColor Yellow Write-Host " 6. Review regelmatig uitsluitingen om te verifiëren dat deze nog steeds nodig zijn" -ForegroundColor Yellow $results.Recommendations += "Implementeer gefaseerde uitrol: Audit-modus (2-4 weken) → Blokkeren-modus (geleidelijk)" $results.Recommendations += "Configureer uitsluitingen alleen voor goedgekeurde bedrijfsapplicaties met zakelijke rechtvaardiging" $results.Recommendations += "Monitor ASR-blokkeerstatistieken en effectiviteit metrics regelmatig" $results.Recommendations += "Integreer ASR-gebeurtenissen met SIEM voor langetermijn opslag en correlatie" # Simplified compliance check # In production, implement actual configuration checks via appropriate APIs $results.IsCompliant = $results.Issues.Count -eq 0 -and $results.ASRRulesEnabled -ge $ExpectedASRRules } catch { Write-Error "Fout tijdens ASR-regels configuratie check: $_" $results.Issues += "Fout tijdens configuratie check: $_" $results.IsCompliant = $false } return $results } function Invoke-Monitoring { <# .SYNOPSIS Monitort de status van ASR-regels in Microsoft Defender voor Endpoint #> [CmdletBinding()] param() Write-Host "`nMonitoring: Aanvalsoppervlakreductie Regels" -ForegroundColor Yellow Write-Host "=============================================" -ForegroundColor Yellow $result = Test-ASRRulesConfiguration Write-Host "`nResultaten:" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host " Status: ✅ BASISCONFIGURATIE OK" -ForegroundColor Green } else { Write-Host " Status: ⚠️ VERIFICATIE VEREIST" -ForegroundColor Yellow } Write-Host " Geconfigureerde ASR-regels: $($result.ASRRulesEnabled)/$($result.ExpectedRules)" -ForegroundColor Cyan if ($result.Issues.Count -gt 0) { Write-Host "`n Gevonden problemen:" -ForegroundColor Red foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Red } } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " - $recommendation" -ForegroundColor Yellow } } Write-Host "`n Let op:" -ForegroundColor Yellow Write-Host " ASR-regels worden primair beheerd via de Microsoft 365 Defender portal of Microsoft Intune." -ForegroundColor Yellow Write-Host " Navigeer naar security.microsoft.com → Settings → Endpoints → Advanced features → Attack surface reduction rules" -ForegroundColor Yellow Write-Host " om de volledige configuratie te verifiëren en aan te passen." -ForegroundColor Yellow Write-Host "`n Monitoring Metrics:" -ForegroundColor Cyan Write-Host " - Controleer ASR-blokkeerstatistieken per regel in het Security Operations dashboard" -ForegroundColor White Write-Host " - Review ASR-gebeurtenissen via Microsoft 365 Defender portal onder Reports → Attack surface reduction" -ForegroundColor White Write-Host " - Analyseer false positive rates en configureer uitsluitingen waar nodig" -ForegroundColor White Write-Host " - Monitor ransomware-blokkeringen en effectiviteit metrics" -ForegroundColor White Write-Host " - Meet reductie in malware-infecties voor/na ASR-implementatie (verwachte reductie 50-90%)" -ForegroundColor White Write-Host " - Analyseer helpdeskstatistieken voor ASR-gerelateerde tickets" -ForegroundColor White Write-Host " - Review kwartaalreviews van alle uitsluitingen" -ForegroundColor White if ($result.IsCompliant) { Write-Host "`n✅ ASR-regels basischecks geslaagd" -ForegroundColor Green Write-Host " Verifieer volledige configuratie in de portal voor details" -ForegroundColor Yellow exit 0 } else { Write-Host "`n⚠️ Verificatie vereist - Controleer ASR-regels configuratie in de portal" -ForegroundColor Yellow exit 1 } } function New-ASRRulesConfiguration { <# .SYNOPSIS Configureert ASR-regels in Microsoft Defender voor Endpoint volgens best practices #> [CmdletBinding()] param() Write-Verbose "Configureren van ASR-regels..." Write-Host "`nRemediatie: Aanvalsoppervlakreductie Regels Configuratie" -ForegroundColor Yellow Write-Host "=========================================================" -ForegroundColor Yellow Write-Host "`n Belangrijke opmerking:" -ForegroundColor Yellow Write-Host " ASR-regels configuratie wordt primair beheerd via de Microsoft 365 Defender portal" -ForegroundColor White Write-Host " (security.microsoft.com) of Microsoft Intune." -ForegroundColor White Write-Host " PowerShell automatisering voor directe configuratie is beperkt." -ForegroundColor White Write-Host "" Write-Host " Configuratiestappen via Portal:" -ForegroundColor Cyan Write-Host "" Write-Host " 1. MICROSOFT 365 DEFENDER PORTAL:" -ForegroundColor White Write-Host " - Navigeer naar security.microsoft.com → Settings → Endpoints → Advanced features" -ForegroundColor Gray Write-Host " - Selecteer 'Attack surface reduction rules'" -ForegroundColor Gray Write-Host " - Configureer minimaal $ExpectedASRRules kritieke ASR-regels" -ForegroundColor Gray Write-Host " - Start met Audit-modus gedurende 2-4 weken voor validatie" -ForegroundColor Gray Write-Host " - Configureer uitsluitingen voor legitieme bedrijfsapplicaties" -ForegroundColor Gray Write-Host " - Activeer Blokkeren-modus na validatieperiode" -ForegroundColor Gray Write-Host "" Write-Host " 2. MICROSOFT INTUNE (Aanbevolen voor centrale beheer):" -ForegroundColor White Write-Host " - Navigeer naar endpoint.microsoft.com → Endpoint security → Attack surface reduction" -ForegroundColor Gray Write-Host " - Maak nieuw beleid: Platform: Windows 10/11, Profiel: Attack surface reduction rules" -ForegroundColor Gray Write-Host " - Configureer alle $ExpectedASRRules kritieke regels:" -ForegroundColor Gray Write-Host " • Block executable content from email client and webmail" -ForegroundColor Gray Write-Host " • Block Office applications from creating child processes" -ForegroundColor Gray Write-Host " • Block Office applications from creating executable content" -ForegroundColor Gray Write-Host " • Block JavaScript or VBScript from launching downloaded executable content" -ForegroundColor Gray Write-Host " • Block credential stealing from lsass.exe" -ForegroundColor Gray Write-Host " • Block untrusted and unsigned processes from USB" -ForegroundColor Gray Write-Host " • Use advanced protection against ransomware" -ForegroundColor Gray Write-Host " • Block executable files unless they meet prevalence/age criteria" -ForegroundColor Gray Write-Host " • Block Office communication apps from creating child processes" -ForegroundColor Gray Write-Host " • Block persistence through WMI event subscription" -ForegroundColor Gray Write-Host " - Wijs beleid toe aan pilootgroep (50-100 apparaten)" -ForegroundColor Gray Write-Host " - Monitor ASR-gebeurtenissen gedurende 2-4 weken in Audit-modus" -ForegroundColor Gray Write-Host " - Configureer uitsluitingen op basis van auditgebeurtenissen" -ForegroundColor Gray Write-Host " - Activeer Blokkeren-modus na validatieperiode" -ForegroundColor Gray Write-Host "" Write-Host " 3. GROUP POLICY (Alternatief voor Intune):" -ForegroundColor White Write-Host " - Navigeer naar Computer Configuration → Administrative Templates → Windows Components" -ForegroundColor Gray Write-Host " - Selecteer 'Microsoft Defender Antivirus' → 'Attack surface reduction rules'" -ForegroundColor Gray Write-Host " - Configureer elke ASR-regel individueel met GUID en modus (Blokkeren/Audit/Uitgeschakeld)" -ForegroundColor Gray Write-Host " - Deploy via Group Policy naar pilootgroep voor validatie" -ForegroundColor Gray Write-Host "" Write-Host " Aanbevolen implementatievolgorde:" -ForegroundColor Cyan Write-Host " 1. Start met Audit-modus voor alle $ExpectedASRRules kritieke regels (Week 1-4)" -ForegroundColor White Write-Host " 2. Analyseer auditgebeurtenissen en identificeer false positives" -ForegroundColor White Write-Host " 3. Configureer uitsluitingen voor legitieme bedrijfsapplicaties" -ForegroundColor White Write-Host " 4. Valideer configuratie met pilootgroep (50-100 apparaten)" -ForegroundColor White Write-Host " 5. Activeer Blokkeren-modus voor pilootgroep (Week 4-6)" -ForegroundColor White Write-Host " 6. Uitrol naar productie in gefaseerde golven (Week 6-12)" -ForegroundColor White Write-Host " 7. Monitor effectiviteit en optimaliseer configuratie continu" -ForegroundColor White Write-Host "" Write-Host " Best Practices voor Uitsluitingen:" -ForegroundColor Cyan Write-Host " - Minimaliseer uitsluitingen - elke uitsluiting vergroot het aanvalsoppervlak" -ForegroundColor White Write-Host " - Gebruik specifieke bestandspaden, niet brede mappen" -ForegroundColor White Write-Host " - Documenteer alle uitsluitingen met zakelijke rechtvaardiging" -ForegroundColor White Write-Host " - Review uitsluitingen kwartaal om te verifiëren dat deze nog steeds nodig zijn" -ForegroundColor White Write-Host " - Verwijder onnodige uitsluitingen om aanvalsoppervlak te verkleinen" -ForegroundColor White Write-Host "" if ($WhatIf) { Write-Host " [WhatIf] Zou configuratie-instructies genereren" -ForegroundColor Yellow Write-Host " [WhatIf] Zie bovenstaande stappen voor handmatige configuratie" -ForegroundColor Yellow return } Write-Host " PowerShell ondersteuning:" -ForegroundColor Cyan Write-Host " Dit script kan de configuratie niet direct aanpassen via PowerShell." -ForegroundColor White Write-Host " Gebruik de bovenstaande stappen voor handmatige configuratie in de portal of Intune." -ForegroundColor White Write-Host "" Write-Host " Alternatief: Microsoft Graph API" -ForegroundColor Cyan Write-Host " Voor geavanceerde automatisering kan de Microsoft Graph Security API" -ForegroundColor White Write-Host " worden gebruikt voor bepaalde configuraties, maar dit vereist uitgebreide API-integratie." -ForegroundColor White Write-Host " Zie documentatie: https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview" -ForegroundColor White Write-Host "" Write-Host "✅ Configuratie-instructies gegenereerd" -ForegroundColor Green Write-Host " Volg de bovenstaande stappen om ASR-regels handmatig te configureren in de portal of Intune" -ForegroundColor Yellow exit 0 } function Invoke-Remediation { <# .SYNOPSIS Configureert ASR-regels in Microsoft Defender voor Endpoint #> [CmdletBinding()] param() New-ASRRulesConfiguration } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Aanvalsoppervlakreductie Regels" -ForegroundColor Cyan Write-Host "Microsoft Defender voor Endpoint" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Connect to services Connect-RequiredServices # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Compliance check $result = Test-ASRRulesConfiguration Write-Host "`n Aanvalsoppervlakreductie Regels Status:" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "`n✅ BASISCONFIGURATIE OK" -ForegroundColor Green Write-Host " Geconfigureerde regels: $($result.ASRRulesEnabled)/$($result.ExpectedRules)" -ForegroundColor Green Write-Host " Verifieer volledige configuratie in security.microsoft.com" -ForegroundColor Yellow } else { Write-Host "`n⚠️ VERIFICATIE VEREIST" -ForegroundColor Yellow Write-Host " Geconfigureerde regels: $($result.ASRRulesEnabled)/$($result.ExpectedRules)" -ForegroundColor Yellow Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation voor configuratie-instructies" -ForegroundColor Yellow } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " • $recommendation" -ForegroundColor White } } return $result } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Kritiek - Zonder Aanvalsoppervlakreductie regels in Microsoft Defender voor Endpoint loopt een organisatie het risico op ransomware-aanvallen met gemiddelde kosten van €500.000 tot €5.000.000+ per incident, datalekken, verstoring van vitale processen en niet-naleving van compliance-vereisten. Voor Nederlandse overheidsorganisaties kan dit leiden tot niet-naleving van BIO-vereisten, NIS2-sancties, AVG-boetes van toezichthouders en verlies van vertrouwen bij burgers.

Management Samenvatting

Implementeer Aanvalsoppervlakreductie regels in Microsoft Defender voor Endpoint via Microsoft Intune of Group Policy voor alle Windows-apparaten. Minimum tien kritieke regels: Blokkeer Office-macro's/subprocessen, scripts, diefstal van inloggegevens, ransomware-gedrag, en andere veelgebruikte aanvalstechnieken. Gefaseerde uitrol: 2-4 weken Audit-modus (afstemming) → geleidelijke Blokkeren-modus implementatie. Vereist Defender voor Endpoint Plan 1 of Plan 2. Blokkeert 50-90% exploits. Voldoet aan BIO 12.02, ISO 27001 A.8.7, NIS2, CIS. Implementatie: 4-12 weken totaal. KRITIEKE ANTI-RANSOMWARE CONTROLE.