💼 Management Samenvatting
Microsoft Defender XDR vormt het zenuwstelsel van moderne SOC-omgevingen doordat het detecties, signalen en respons-acties van alle Microsoft-beveiligingsproducten tot één geïntegreerd incidentbeeld samenbrengt. Voor Nederlandse overheidsorganisaties en vitale aanbieders is deze samenhang cruciaal: beleid, uitvoering en toezicht vragen om realtime inzicht in dreigingen die endpoints, identiteiten, e-mail, cloud resources en OT-componenten tegelijk raken. Een degelijk integratie- en configuratiehandboek beschrijft daarom niet alleen welke knoppen moeten worden omgezet, maar vooral hoe gegevensstromen, werkwijzen en compliance-eisen samenkomen binnen één XDR-operatiemodel dat aantoonbaar betrouwbaar en auditeerbaar is.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
216u (tech: 120u)
Van toepassing op:
✓ Microsoft 365 E5
✓ Microsoft Defender XDR
✓ Microsoft Sentinel
✓ Microsoft Defender voor Endpoint Plan 2
✓ Microsoft Defender XDR
✓ Microsoft Sentinel
✓ Microsoft Defender voor Endpoint Plan 2
Zonder zorgvuldig ontworpen XDR-integratie ontstaan blinde vlekken tussen oplossingen die ieder op zichzelf uitstekend presteren maar onderling geen context delen. Een phishingcampagne die begint in Exchange Online kan zonder XDR niet tijdig worden gekoppeld aan lateraal bewegende processen op Windows-clients of verdachte aanmeldingen in Entra ID, waardoor besluitvorming traag en gefragmenteerd verloopt. Daarnaast vereist NIS2 dat essentiële en belangrijke entiteiten incidenten binnen 24 uur melden; dat lukt alleen als telemetrie automatisch wordt gecorreleerd en workflow-automatisering klaarstaat. De Nederlandse Algemene Rijksdienst hanteert bovendien strikte BIO-eisen voor logging, bewaartermijnen en scheiding van verantwoordelijkheden. Een niet-geïntegreerde omgeving leidt daar snel tot doublures in procesbeschrijvingen, inconsistenties in bewijslast en verhoogde kosten voor beheer en licenties. Tot slot remt het innovatie: AI-gedreven detectiemodellen hebben een brede en consistente dataset nodig om betrouwbaar te blijven leren.
PowerShell Modules Vereist
Primary API: Microsoft Graph Security API (beta) voor incident- en connectorstatus
Connection:
Required Modules: Microsoft.Graph, Microsoft.Graph.Beta.Security
Connection:
Connect-MgGraph -Scopes SecurityEvents.Read.All, SecurityIncident.Read.All, ThreatHunting.Read.AllRequired Modules: Microsoft.Graph, Microsoft.Graph.Beta.Security
Implementatie
Dit artikel beschrijft hoe organisaties Microsoft Defender XDR end-to-end integreren, beginnend bij licentie- en identiteitsvoorbereiding en eindigend bij operationeel toezicht, rapportage en audit. We behandelen het target operating model voor multi-cloud signalen, de architectuurkeuzes voor datastromen richting Microsoft Sentinel of andere SIEM-oplossingen, de inrichting van incident workflows, automatisering met Power Automate en Logic Apps, en de borging van privacy- en complianceverplichtingen. Elk hoofdstuk koppelt technische configuratiestappen aan governance-acties zoals change-registratie, evidence-collectie en overlegstructuren met CISO-staf en ketenpartners. Het doel is een herhaalbaar raamwerk waarmee Nederlandse organisaties snel kunnen aantonen dat hun XDR-implementatie effectief, gecontroleerd en toekomstvast is.
Integratievoorbereiding en Fundering
Gebruik PowerShell-script integration-configuration.ps1 (functie Invoke-XdrAssessment) – Controleert Graph-verbindingen, incidenttelemetrie en connectorstatussen die nodig zijn voor succesvolle Defender XDR integratie..
Een volwassen Defender XDR-implementatie begint met een expliciete scopebepaling waarin workloads, identiteiten, tenants en externe datastromen worden gedefinieerd. Nederlandse overheidsorganisaties maken vaak gebruik van gescheiden tenants voor productiedoeleinden, ontwikkeling en leveranciers, waardoor hybride scenario’s ontstaan die alleen goed functioneren wanneer Entra ID Conditional Access policies, service-principals en Privileged Identity Management-rollen tot op detailniveau zijn beschreven. In deze fase worden licentieposities gevalideerd (minimaal Microsoft 365 E5 of Defender XDR standalone), worden tenant-telemetriebeperkingen gecontroleerd en wordt vastgesteld welke derde partijen (bijvoorbeeld SOC-dienstverleners of Security Operations Centers van rijksonderdelen) toegang moeten krijgen. Parallel wordt de verbinding met het Rijksconnect framework geborgd zodat netwerksegmentatie en logging conform BIO-hoofdstuk 13 verlopen. Deze voorbereiding voorkomt dat technische onboarding stokt op juridische of organisatorische randvoorwaarden.
Vervolgens worden identiteits- en toestemmingsstromen ingericht. Iedere API-koppeling naar Microsoft Graph Security moet gebruikmaken van afzonderlijke app-registraties waarvan de geheimen zijn opgeslagen in een centraal geheimenbeheer zoals Azure Key Vault of een interne HSM. De toelating van deze app-registraties verloopt via een gestructureerde CAB-procedure waarin risicoanalyses en tijdelijke uitzonderingen worden vastgelegd. Voor hoger-geclassificeerde workloads wordt een dedicated Access Package in Entra ID Governance gecreëerd waarmee SOC-analisten tijdgebonden toegang krijgen tot XDR-portals in combinatie met Just-In-Time PIM-rollen. Hiermee voldoet de organisatie aan het BIO-principe van minimale bevoegdheden en kunnen auditors later exact reconstrueren wie welke ingreep uitvoerde.
Een derde bouwsteen is datakwaliteit. Defender XDR levert pas waarde als alle relevante signalen daadwerkelijk binnenkomen en geen cruciale logging ontbreekt. Teams dienen daarom Playbooks op te stellen waarin onboarding van endpoints, e-mailboxen, identities, cloud resources en IoT/OT-apparatuur wordt beschreven. Deze playbooks bevatten validatiescripts, acceptatiecriteria en fallbackscenario’s voor wanneer agents ontbreken of sensoren incidenten niet doorsturen. Nederlandse overheden combineren dit vaak met een Configuration Management Database zodat wijzigingen aan netwerksegmenten of virtuele servers automatisch resulteren in herbevestiging van XDR-coverage. Tijdens pilots wordt ruwe telemetrie in een veilige sandbox gespiegeld om privacy-implicaties te valideren volgens AVG-artikel 35 (DPIA).
Tot slot moeten governance- en rapportageprocessen klaarstaan voordat integratie live gaat. Het CISO-office stelt acceptatiecriteria op voor Mean Time To Detect, Mean Time To Respond, incident-classificaties, escalatiestappen en communicatie richting toezichthouders. Deze criteria worden gekoppeld aan service level agreements met SOC-partners en interne teams. Bewijslast wordt vanaf dag één verzameld in een digitaal dossier waarin scripts, configuraties, wijzigingsverzoeken en testresultaten zijn opgeslagen. Hierdoor ontstaat een controleerbare keten waarin technologie, mens en proces gelijk opgaan, precies zoals de Nederlandse Baseline voor Veilige Cloud voorschrijft.
Architectuur voor Signaalfusie en Datastromen
Na de voorbereidingsfase verschuift de focus naar de technische integratielaag waarin Defender XDR signalen uit Defender voor Endpoint, Defender for Office 365, Defender for Identity, Defender voor Cloud Apps, Microsoft Sentinel en externe bronnen samenvoegt. De architectuur start bij de data plane. Alle relevante sensoren sturen telemetrie naar de Microsoft 365 Defender datalake, waarna normalisatie plaatsvindt zodat gebeurtenissen vergelijkbaar zijn ongeacht bron. Architecten documenteren welke data residency-eisen gelden (bijvoorbeeld EU Data Boundary) en configureren geo-fencing zodat gevoelige gegevens de Europese regio niet verlaten. Voor workloads met aanvullende soevereiniteitseisen wordt een parallelle datastroom naar een nationaal SOC ingericht, waarbij alleen metadata of hashwaarden worden gedeeld om privacy te waarborgen.
Vervolgens wordt de logic layer ontworpen. Correlatieregels, prioriteringsmodellen en machine learning detecties moeten rekening houden met de context van publieke diensten. Een laterale beweging binnen een zaaksysteem vraagt om andere scenario’s dan bijvoorbeeld een universiteit met veel BYOD-apparatuur. Architecten modelleren daarom duidelijke use cases waarin wordt beschreven welke entiteiten (gebruikers, apparaten, applicaties, workloads) betrokken zijn, welke indicatoren gevaar voorspellen en welke brondata nodig is. Deze use cases worden omgezet naar Advanced Hunting queries en naar Sentinel analytic rules die consistentie garanderen tussen XDR en SIEM. Waar nodig worden custom schemas gecreëerd in Kusto om OT-logs, SCADA-data of politie specifieke systemen te integreren, zodat XDR-detecties ook deze context bevatten.
Een belangrijk beslispunt betreft de orchestratie tussen Defender XDR en Microsoft Sentinel. Sommige organisaties kiezen voor Sentinel als single-pane-of-glass terwijl anderen Sentinel uitsluitend gebruiken als lange-termijn opslag en compliance-laag. Welke strategie ook wordt gekozen, logging moet dubbel worden beveiligd. Sentinel Workspaces krijgen Customer-Managed Keys, diagnostische instellingen pushen telemetrie naar zowel Log Analytics als een archief in Azure Storage met immutability, en exports naar SIEM-oplossingen van ketenpartners verlopen via Event Hub met private endpoints. Deze maatregelen zorgen ervoor dat incidentdata beschikbaar blijft voor forensisch onderzoek en dat Rijksarchief-vereisten voor bewaartermijnen van digitale documenten worden gehaald.
Tot slot wordt de integratie met third-party tooling gedefinieerd. Veel Nederlandse SOAR-teams gebruiken ServiceNow Security Operations, Splunk of Elastic als aanvullende workflowlaag. Defender XDR communiceert met deze platforms via webhooks, Microsoft Sentinel playbooks of Graph API-endpoints. Elke koppeling krijgt een eigen trust boundary, inclusief API management policies, throttling en audit logging. Penetratietests worden gepland om te valideren dat tokens niet hergebruikt kunnen worden en dat failover-scenario’s blijven werken wanneer een partner tijdelijk niet beschikbaar is. Door deze architectuurprincipes vast te leggen ontstaat een toekomstbestendig ontwerp dat nieuwe signalen (bijvoorbeeld uit Defender for IoT) zonder grote herzieningen kan opnemen.
Operaties, Automatisering en Continue Verbetering
Gebruik PowerShell-script integration-configuration.ps1 (functie Invoke-XdrAutomation) – Genereert aanbevelingen voor playbooks, taakroutering en governance van XDR-automatisering..
De operationele fase draait om het orkestreren van meldingen, analyses en responsacties met minimale handmatige handelingen en maximale reproduceerbaarheid. SOC-analisten starten hun dag met het XDR-incidentoverzicht waarin alerts reeds zijn gegroepeerd en verrijkt met bedreigingsinformatie. Het platform berekent automatisch welke signalen kritisch zijn op basis van asset criticality, gebruikersrisico en gevoeligheid van betrokken informatie. Nederlandse instanties voegen daar vaak aanvullende beleidsregels aan toe, zoals het automatisch escaleren van incidenten die betrekking hebben op persoonsgegevens uit basisregistraties. Deze logica wordt gerealiseerd via custom detection rules en via Connector Health policies die controleren of bronnen nog steeds actief rapporteren. Zonder deze extra bewaaklaag kunnen stille fouten in agents weken onopgemerkt blijven.
Automatisering begint bij triage. Playbooks in Microsoft Sentinel of Power Automate verifiëren eerst de technische context (IP reputation, geolocatie, user risk level) en beslissen dan of een case automatisch kan worden afgesloten of juist verrijkt moet worden met aanvullende jagresultaten. Hiervoor worden connectors ingezet richting Defender for Endpoint (isoleren apparaat), Entra ID (forceren wachtwoordreset, blokkeren token), Intune (pushen van compliance policies) en Purview (label afdwingen, eDiscovery-case openen). Elk playbook wordt voorzien van controlemomenten waar een menselijke approver nodig is, zodat de organisatie voldoet aan het vier-ogenprincipe dat in veel Rijksbrede kaders is vastgelegd. De scripts in deze repository kunnen daarbij templates genereren waarmee ontwikkelteams consistent logging en foutafhandeling toevoegen.
De volgende stap is continue verbetering. Iedere maand worden incidentstatistieken, false positives en responsetijden bekeken tijdens een governanceboard waarin CISO, SOC-lead, applicatie-eigenaren en privacy officers deelnemen. Lessons learned worden vertaald naar nieuwe queries, verbeterde playbooks of aanvullende integraties, bijvoorbeeld met OT-security monitoring of threat intelligence feeds van het NCSC. Door deze verbetercyclus te koppelen aan OKR’s en KPI’s (bijvoorbeeld percentage automatisch opgeloste cases, gemiddelde triagetijd of aantal ketenmeldingen) ontstaat transparantie richting bestuurders en toezichthouders. Bovendien kunnen organisaties tijdig bepalen wanneer additionele licenties (zoals Defender TI of premium threat intelligence) nodig zijn.
Tot slot omvat operations ook opleiding en simulatie. Nederlandse overheden oefenen minimaal elk kwartaal met tabletop-sessies en technische injecties waarin XDR-playbooks daadwerkelijk acties uitvoeren. De resultaten worden geregistreerd in het crisismanagementsysteem en gevoed aan auditors als bewijs dat procedures daadwerkelijk zijn getest. Trainingen voor nieuwe SOC-analisten combineren scenario’s in het XDR-portaal met theorie over wettelijke meldplichten, zodat medewerkers begrijpen waarom bepaalde automatische acties zijn toegestaan en andere expliciete toestemming vereisen. Door deze combinatie van mens, proces en tooling blijft Defender XDR niet alleen technologisch sterk, maar ook organisatorisch ingebed.
Compliance, Rapportage en Audittrail
Microsoft Defender XDR levert een schat aan gegevens die moeten worden vertaald naar formele rapportages voor CISO-staven, toezichthouders en accountants. Het compliance-hoofdstuk start met het vastleggen van dataclassificaties, bewaartermijnen en toegangsniveaus per dataset. Incidentdetails met persoonsgegevens vallen onder AVG-artikel 32 en worden daarom opgeslagen in versleutelde storageaccounts met customer-managed keys. Telemetrie die relevant is voor strafrechtelijk onderzoek wordt bewaard conform Wet politiegegevens of specifieke sectorwetten. Door deze eisen vooraf vast te leggen in een register kan de organisatie aantonen dat gegevens slechts zo lang worden bewaard als noodzakelijk en dat inzageverzoeken snel kunnen worden afgewikkeld.
Vervolgens worden rapportagelijnen ingericht. Het bestuur ontvangt doorgaans een kwartaalrapport met trendanalyses, topdreigingen en voortgang op verbetermaatregelen. Operationele teams krijgen wekelijks dashboards uit Microsoft Sentinel Workbooks waarin compliance-indicatoren zoals logcoverage, connector health en playbook-succes worden weergegeven. Dezelfde dashboards worden gebruikt om NIS2-rapportage te voeden: incidenten boven de drempelwaarde worden automatisch gemarkeerd, waarna juridische teams de melding bij Agentschap Telecom kunnen voorbereiden. Door rapportages te automatiseren vermindert de organisatie de kans op menselijke fouten en ontstaat een directe link tussen realtime monitoring en formele verantwoording.
Een derde onderdeel is audittrailbeheer. Iedere wijziging aan connecties, analytic rules, playbooks en roltoewijzingen wordt vastgelegd in een onveranderbare log. Dit wordt gerealiseerd door change requests via Azure DevOps of GitHub te laten verlopen, waarbij infrastructuur als code wordt opgeslagen in repositories. Pull requests bevatten risicobeoordelingen, testresultaten en goedkeuringen van zowel security als privacy officers. Tijdens audits wordt deze keten getoond als bewijs dat wijzigingen gecontroleerd en traceerbaar zijn uitgevoerd. Daarnaast worden scriptuitvoeringen gelogd, inclusief parameters en resultaten, zodat auditors kunnen herleiden welke controles periodiek zijn uitgevoerd.
Tot slot worden lessons learned vertaald naar beleidsupdates. Elke afronding van een groot incident resulteert in een post-incident review waarin impact, oorzaken, genomen maatregelen en openstaande acties zijn vastgelegd. Deze review wordt gedeeld met ketenpartners en waar relevant met het NCSC, zodat sectorbrede dreigingen sneller worden aangepakt. De inzichten voeden tevens de jaarlijkse actualisatie van het informatiebeveiligingsbeleid en de BIO-maatregelen. Door deze feedbackloop blijft Defender XDR niet slechts een technisch platform maar een aantoonbaar effectief onderdeel van het bredere compliance- en risicobeheerraamwerk.
Compliance & Frameworks
- CIS M365: Control (L1) - CIS Microsoft 365 Foundations Benchmark – continue monitoring, incidentresponse en integratie van beveiligingssignalen.
- BIO: 12.01, 12.03, 13.02, 17.1 - BIO Thema 12 (Operationele beveiliging), Thema 13 (Logging) en Thema 17 (Incidentmanagement) vereisen aantoonbare signaalfusie en opslag.
- ISO 27001:2022: A.5.26, A.5.28, A.8.16, A.8.23, A.12.4.1 - ISO 27001:2022 – monitoring, logging, incidentbehandeling en continue verbetering binnen een geïntegreerd beveiligingsplatform.
- NIS2: Artikel - NIS2-vereisten voor risicobeheer, incidentmelding en informatie-uitwisseling worden rechtstreeks ondersteund door XDR-integratie.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Microsoft Defender XDR integratiecontrole en automatiseringsadvies
.DESCRIPTION
Controleert of Microsoft Defender XDR over de juiste Graph-verbindingen, datastromen
en connectoren beschikt en geeft aanbevelingen voor automatisering en governance.
Het script ondersteunt drie primaire use-cases:
- Invoke-XdrAssessment (monitoring)
- Invoke-XdrRemediation (inrichting en verbeteracties)
- Invoke-XdrAutomation (playbooks en procesautomatisering)
.NOTES
Filename : integration-configuration.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Created : 2025-11-27
Version : 1.0.0
Related JSON: content/m365/defender-xdr/integration-configuration.json
.LINK
https://github.com/Nederlandse-Baseline-voor-Veilige-Cloud/m365-tenant-best-practise
.EXAMPLE
.\integration-configuration.ps1 -Monitoring
Voert een beoordeling uit van XDR-connectoren en incidentdekking.
.EXAMPLE
.\integration-configuration.ps1 -Remediation
Toont stappenplan voor het herstellen van ontbrekende integraties.
.EXAMPLE
.\integration-configuration.ps1 -Automation
Genereert aanbevelingen voor playbooks, taakroutering en governance.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Automation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$script:SimulationMode = $WhatIf.IsPresent
$script:RequiredModules = @(
'Microsoft.Graph',
'Microsoft.Graph.Beta.Security'
)
function Test-ModuleAvailability {
<#
.SYNOPSIS
Controleert of vereiste modules beschikbaar zijn
#>
[CmdletBinding()]
param()
foreach ($module in $script:RequiredModules) {
$available = Get-Module -ListAvailable -Name $module -ErrorAction SilentlyContinue
if (-not $available) {
Write-Warning "Module '$module' niet gevonden. Installeer via: Install-Module $module"
}
}
}
function Connect-XdrGraph {
<#
.SYNOPSIS
Verbindt met Microsoft Graph voor Security API's
#>
[CmdletBinding()]
param()
if ($script:SimulationMode) {
Write-Verbose "Simulation mode actief; Graph-verbinding wordt overgeslagen."
return
}
$context = Get-MgContext -ErrorAction SilentlyContinue
if ($null -eq $context) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes `
"SecurityEvents.Read.All", `
"SecurityIncident.Read.All", `
"ThreatHunting.Read.All" `
-ErrorAction Stop
Write-Host "Graph-verbinding actief." -ForegroundColor Green
}
else {
Write-Verbose "Graph-context reeds aanwezig voor tenant $($context.TenantId)"
}
}
function Invoke-XdrGraphRequest {
<#
.SYNOPSIS
Voert een Graph-aanvraag uit met foutafhandeling
#>
[CmdletBinding()]
param(
[Parameter(Mandatory)][string]$Uri,
[Parameter()][string]$Method = 'GET'
)
if ($script:SimulationMode) {
return $null
}
try {
return Invoke-MgGraphRequest -Method $Method -Uri $Uri -ErrorAction Stop
}
catch {
Write-Warning "Graph-aanvraag mislukt voor $Uri : $($_.Exception.Message)"
return $null
}
}
function Get-XdrIntegrationStatus {
<#
.SYNOPSIS
Bepaalt de gezondheid van XDR-integraties
.OUTPUTS
PSCustomObject
#>
[CmdletBinding()]
param()
$connectorMap = @{
'MicrosoftDefenderForEndpoint' = 'Endpoint';
'MicrosoftDefenderForOffice365' = 'Email';
'MicrosoftDefenderForIdentity' = 'Identity';
'MicrosoftDefenderForCloudApps' = 'CloudApps';
'MicrosoftDefenderForCloud' = 'Cloud';
'MicrosoftSentinel' = 'Sentinel';
'Microsoft365Defender' = 'XDRCore'
}
$status = [ordered]@{
TenantName = $null
LastIncidentTimestamp = $null
TotalIncidentsReviewed = 0
ConnectorStatus = @{}
Recommendations = @()
Issues = @()
}
foreach ($value in $connectorMap.Values) {
$status.ConnectorStatus[$value] = $false
}
if (-not $script:SimulationMode) {
try {
$org = Get-MgOrganization -ErrorAction Stop
$status.TenantName = $org.DisplayName
}
catch {
$status.Issues += "Kon tenantgegevens niet ophalen: $($_.Exception.Message)"
}
}
else {
$status.TenantName = "SIMULATED-TENANT"
}
$incidents = Invoke-XdrGraphRequest -Uri "https://graph.microsoft.com/beta/security/incidents?$top=25"
if ($incidents -and $incidents.value.Count -gt 0) {
$status.TotalIncidentsReviewed = $incidents.value.Count
$latest = $incidents.value | Sort-Object lastUpdateDateTime -Descending | Select-Object -First 1
$status.LastIncidentTimestamp = $latest.lastUpdateDateTime
foreach ($incident in $incidents.value) {
foreach ($source in $incident.serviceSources) {
if ($connectorMap.ContainsKey($source)) {
$key = $connectorMap[$source]
$status.ConnectorStatus[$key] = $true
}
}
}
}
else {
$status.Issues += "Geen incidentgegevens beschikbaar via Graph; controleer rechten en datastromen."
}
$alerts = Invoke-XdrGraphRequest -Uri "https://graph.microsoft.com/beta/security/alerts?$top=5"
if ($alerts) {
$sources = $alerts.value.source
foreach ($source in $sources) {
if ($connectorMap.ContainsKey($source)) {
$key = $connectorMap[$source]
$status.ConnectorStatus[$key] = $true
}
}
}
foreach ($kvp in $status.ConnectorStatus.GetEnumerator()) {
if (-not $kvp.Value) {
$status.Recommendations += "Activeer of herstel $($kvp.Key)-telemetrie in Defender portal (security.microsoft.com → Settings → Endpoints/Email/Identity)."
}
}
return [PSCustomObject]$status
}
function Invoke-XdrAssessment {
<#
.SYNOPSIS
Toont monitoringresultaten van XDR integraties
#>
[CmdletBinding()]
param()
Write-Host "`nMicrosoft Defender XDR Integratiecontrole" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
$result = Get-XdrIntegrationStatus
Write-Host "Tenant : $($result.TenantName)" -ForegroundColor White
Write-Host "Incidents : $($result.TotalIncidentsReviewed)" -ForegroundColor White
if ($result.LastIncidentTimestamp) {
Write-Host "Laatste update: $($result.LastIncidentTimestamp)" -ForegroundColor White
}
Write-Host "`nConnectorstatus:" -ForegroundColor Yellow
foreach ($kvp in $result.ConnectorStatus.GetEnumerator()) {
$color = if ($kvp.Value) { 'Green' } else { 'Red' }
$icon = if ($kvp.Value) { '✅' } else { '⚠️' }
Write-Host (" {0,-12}: {1} {2}" -f $kvp.Key, $icon, $(if ($kvp.Value) { 'Actief' } else { 'Controleer configuratie' })) -ForegroundColor $color
}
if ($result.Issues.Count -gt 0) {
Write-Host "`nProblemen:" -ForegroundColor Red
foreach ($issue in $result.Issues) {
Write-Host " - $issue" -ForegroundColor Red
}
}
if ($result.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Cyan
foreach ($rec in $result.Recommendations) {
Write-Host " - $rec" -ForegroundColor Cyan
}
}
if ($result.ConnectorStatus.Values -contains $false) {
Write-Host "`nStatus: VERIFICATIE VEREIST" -ForegroundColor Yellow
return $result
}
else {
Write-Host "`nStatus: ALLE CONNECTORS ACTIEF" -ForegroundColor Green
return $result
}
}
function Invoke-XdrAutomation {
<#
.SYNOPSIS
Geeft richtlijnen voor playbooks en taakroutering
#>
[CmdletBinding()]
param()
Write-Host "`nAutomatisering en Orchestration Richtlijnen" -ForegroundColor Cyan
Write-Host "==================================================" -ForegroundColor Cyan
$recommendations = @(
"Gebruik Microsoft Sentinel playbooks voor initiële triage: verrijk elk incident met IP reputatie, gebruikersrisico en asset criticality voordat een mens in actie komt.",
"Implementeer Power Automate flows die automatisch ServiceNow- of TOPdesk-tickets aanmaken met incident-ID, MITRE TTP en verantwoordelijke behandelaar.",
"Koppel Defender for Endpoint acties (isoleren apparaat, afdwingen AV-scan) en Entra ID-respons (wachtwoordreset, sessie beëindigen) aan dezelfde playbook-run zodat forensische context behouden blijft.",
"Plaats goedkeuringstaken in PIM of Teams Adaptive Cards zodat maatregelen met hoge impact altijd een tweede paar ogen krijgen.",
"Gebruik Azure Monitor Workbooks om automation health te volgen: meet succescijfers, doorlooptijden en foutcodes en stuur alerts naar het SOC wanneer een playbook uitvalt."
)
foreach ($rec in $recommendations) {
Write-Host "• $rec" -ForegroundColor White
}
Write-Host "`nDocumenteer iedere wijziging aan playbooks in Git of Azure DevOps zodat auditors kunnen herleiden welke versie actief was tijdens een incident." -ForegroundColor Yellow
}
function Invoke-XdrRemediation {
<#
.SYNOPSIS
Beschrijft stappen om ontbrekende integraties te herstellen
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatieplan voor Defender XDR Integratie" -ForegroundColor Cyan
Write-Host "================================================" -ForegroundColor Cyan
$steps = @(
"Verifieer licenties: controleer in admin.microsoft.com of alle SOC-accounts Microsoft Defender XDR of Microsoft 365 E5 toegewezen hebben.",
"Controleer portalinstellingen: security.microsoft.com → Settings → Endpoints/Email/Identity en activeer datacollectie per workload.",
"Gebruik onboarding-scripts (Intune, GPO, Linux bash) om ontbrekende agents opnieuw te registreren en bevestig dat ze in Device Inventory verschijnen.",
"Controleer Graph-toestemmingen voor app-registraties en voer Consent uit met een Global Administrator of Privileged Role Administrator.",
"Leg elke wijziging vast in het changeproces en herhaal de assessment na implementatie voor aantoonbare verificatie."
)
$count = 1
foreach ($step in $steps) {
Write-Host ("{0}. {1}" -f $count, $step) -ForegroundColor White
$count++
}
Write-Host "`nGebruik deze stappen in combinatie met Invoke-XdrAssessment om te verifiëren dat alle connectors daadwerkelijk weer rapporteren." -ForegroundColor Yellow
}
# =====================================================================
# SCRIPT EXECUTIE
# =====================================================================
try {
Test-ModuleAvailability
Connect-XdrGraph
if ($Monitoring) {
Invoke-XdrAssessment | Out-Null
}
elseif ($Remediation) {
Invoke-XdrRemediation
}
elseif ($Automation) {
Invoke-XdrAutomation
}
else {
Invoke-XdrAssessment | Out-Null
}
}
catch {
Write-Error $_
throw
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer Defender XDR-signalen niet integraal worden samengebracht, ontstaat een gefragmenteerd incidentbeeld, stijgt de reactietijd boven NIS2-drempels en is het vrijwel onmogelijk om BIO- en AVG-bewijslast volledig te verzamelen. Auditors en toezichthouders zullen eisen dat de organisatie aanvullende controles implementeert of licenties uitbreidt, wat meer kost dan een goed ontworpen XDR-architectuur.
Management Samenvatting
Richt Microsoft Defender XDR in als centrale, aantoonbaar gecontroleerde bron voor detectie, triage, automatisering en rapportage. Borg identiteits- en datastromen, ontwikkel playbooks en dashboards, leg governancebesluiten vast en gebruik scripts om integriteit van connectors continu te controleren. Hiermee voldoet de organisatie aan BIO, ISO 27001 en NIS2 en verkort zij detectie- en responstijden substantieel.
- Implementatietijd: 216 uur
- FTE required: 1.2 FTE