💼 Management Samenvatting
Een responseplan geeft richting op het moment dat elke seconde telt. Door Microsoft 365-specifieke dreigingen te koppelen aan concrete beslissingsmomenten, communicatielijnen en technische herstelacties ontstaat een draaiboek dat de organisatie niet alleen sneller laat handelen, maar ook aantoonbaar voldoet aan wettelijke eisen zoals de BIO en NIS2.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
100u (tech: 32u)
Van toepassing op:
✓ M365
✓ Overheidsorganisaties
✓ Kritieke processen
✓ Overheidsorganisaties
✓ Kritieke processen
Incidenten in Microsoft 365 hebben een directe impact op primaire processen van Nederlandse overheidsorganisaties. Denk aan ongeautoriseerde toegang tot vertrouwelijke dossiers, verstoring van digitale dienstverlening of meeluisteren in Teams-vergaderingen van bestuurders. Zonder vooraf uitgewerkt responseplan onstaat improvisatie: men zoekt ad-hoc naar contactpersonen, er is discussie over escalatieniveaus en besluiten worden onvoldoende gedocumenteerd. Toezichthouders verlangen juist dat organisaties kunnen aantonen hoe zij incidenten detecteren, beoordelen, melden en opvolgen. Een actueel responseplan vormt daarvoor het bewijs doordat per scenario de trigger, beslissingsbevoegdheid, communicatie, technische stappen en herstelcriteria zijn vastgelegd.
PowerShell Modules Vereist
Primary API: Microsoft 365 Defender, Purview, Entra ID en Teams
Connection:
Required Modules:
Connection:
Browser voor portals; PowerShell voor configuratiebestanden en rapportagesRequired Modules:
Implementatie
Dit artikel beschrijft hoe je een volwassen responseplan opzet voor Microsoft 365 binnen het kader van de Nederlandse Baseline voor Veilige Cloud. We behandelen strategische uitgangspunten, uitwerking richting rollen en procedures, de integratie met Microsoft 365 Defender, Purview en Entra ID, het plannen en evalueren van oefeningen, en het gebruik van automatisering zodat het plan voortdurend aansluit bij de werkelijkheid. Je vindt bovendien een PowerShell-script waarmee je de volledigheid en actualiteit van responseplannen kunt bewaken en een basisconfiguratie voor nieuwe plannen genereert.
Strategische uitgangspunten en scopebepaling
Een responseplan heeft pas waarde wanneer bestuur, security-organisatie en operationele teams het als leidraad erkennen. De strategische basis begint daarom bij het benoemen van de bedrijfskritische processen die afhankelijk zijn van Microsoft 365: besluitvorming in Teams, behandeling van persoonsgegevens via SharePoint en OneDrive, communicatie met ketenpartners via Exchange Online en dossieropbouw in Microsoft Purview. Per proces wordt vastgesteld welke incidenttypen het grootste risico vormen. Voorbeeldscenario's zijn onder meer datalekken door verkeerd ingestelde labels, accountcompromittering van bestuurlijke accounts, vernietiging van mailboxen door kwaadaardige scripts en misbruik van externe apps met te ruime consent. Door scenario's te koppelen aan concrete risico's voor dienstverlening, integriteit en openbaar bestuur ontstaat draagvlak om middelen, mensen en tijd vrij te maken voor structurele responseplanning.
Vervolgens leg je vast welke juridische en organisatorische verplichtingen op de responseplanning rusten. De BIO en NIS2 vereisen aantoonbaar beheer van procedures voor detectie, reactie en rapportage. De AVG stelt strikte termijnen voor het melden van datalekken aan de Autoriteit Persoonsgegevens en betrokkenen. In het responseplan moet daarom staan wie bevoegd is om een incident als datalek te kwalificeren, welke informatie minimaal nodig is om het besluit te onderbouwen en welke documentatievormen (ticketing, logboeken, beslisnotities) als audittrail dienen. Voor Rijksdiensten, gemeenten en andere publieke organen is het cruciaal deze afspraken af te stemmen met de functionaris gegevensbescherming, de CISO en eventuele ketenpartners. Het plan benoemt expliciet hoe crisisteams worden opgeschaald, welke afhankelijkheden er zijn met landelijke crisisstructuren en hoe publieke communicatie wordt afgestemd met woordvoering en bestuur.
Een volwassen scopebeschrijving voorkomt dat responseplanning verzandt in generieke teksten die niemand toepast. Daarom definieer je in detail welke Microsoft 365-onderdelen binnen het plan vallen en welke niet. Denk aan Entra ID voor identiteiten, Defender voor detectie en containment, Purview voor data-classificatie en -governance, maar ook ondersteunende componenten zoals Azure AD Connect, lokale infrastructuur of koppelingen met SaaS-diensten via Graph-API's. Voor elk onderdeel identificeer je eigenaars, back-up contactpersonen en escalatieroutes. Je beschrijft ook de randvoorwaarden om het plan werkend te houden: actuele assetregisters, geverifieerde contactlijsten, toegang tot noodzakelijke portals, en afspraken over het vrijmaken van besluitvormers buiten kantooruren. Wanneer deze elementen samenkomen ontstaat een responskader dat niet alleen volledig is, maar ook aansluit bij de bestuurlijke verhoudingen en wettelijke verplichtingen van Nederlandse overheden.
Operationele blauwdrukken voor rollen, communicatie en tooling
Na het vaststellen van de strategische context vertaalt het responseplan zich naar concrete werkstromen. Elk scenario bevat een beschrijving van de detectietriggers (bijvoorbeeld een hoogrisico-waarschuwing in Microsoft 365 Defender, een datalekmelding van een medewerker of een afwijkend aanmeldpatroon in Entra ID) en de eerste triagehandelingen. Daarna volgt een beslisboom waarin staat wie de incident commander wordt, welke specialisten moeten worden geactiveerd en welke escalatieniveaus gelden. Een typische opbouw voor Microsoft 365 omvat een SOC- of CSIRT-coördinator, productexperts (Exchange, Teams, SharePoint, Purview), privacy- en juridische adviseurs, en een communicatieverantwoordelijke. Per rol is beschreven welke informatie zij nodig hebben, hoe zij die verkrijgen en hoe updates worden gedeeld via Microsoft Teams-kanalen, beveiligde chats of crisisvergaderingen. Het plan maakt nadrukkelijk onderscheid tussen technische details en bestuurlijke besluiten, zodat bestuurders niet worden overladen met logqueries maar wel zicht houden op impact en herstelverwachting.
Communicatie is een van de meest onderschatte onderdelen van incidentrespons. Het responseplan legt daarom vast hoe interne en externe communicatie wordt georkestreerd. Voor interne communicatie beschrijf je welke meldingen automatisch worden verstuurd vanuit SIEM- of ticketingsystemen, welke updates handmatig via Teams of e-mail gaan en hoe vertrouwelijke informatie wordt afgeschermd. Voor externe communicatie definieer je sjablonen voor meldingen aan de Autoriteit Persoonsgegevens, de Informatiebeveiligingsdienst (IBD), ketenpartners en mogelijk getroffen burgers. Deze sjablonen bevatten standaardvelden zoals incidenttype, aard van de persoonsgegevens, impact op dienstverlening, getroffen mitigerende maatregelen en contactinformatie voor vervolgvragen. De juridische afdeling bekrachtigt de teksten zodat zij voldoen aan AVG- en openbaarheidseisen. Door dit vooraf te regelen voorkomen organisaties dat paniek of onduidelijkheid ontstaat wanneer een incident zich daadwerkelijk voordoet.
Tooling en data vormen de ruggengraat van elk responseplan. Het document beschrijft daarom welke dashboards, query's en scripts standaard worden ingezet. Denk aan voors gedefinieerde KQL-query's in Microsoft 365 Defender, Purview-zoekopdrachten voor gevoelige documenten, auditlog-export in Entra ID en herstelacties via PowerShell of Microsoft Graph. Het plan specificeert bovendien welke toegangsrechten noodzakelijk zijn en hoe deze door PIM of break-glass-accounts worden beheerd. Bijzonder aandachtspunt is het veilig delen van artefacten zoals logextracten, email headers of forensische beelden. Het responseplan verplicht het gebruik van gecontroleerde opslaglocaties in SharePoint of Azure Storage met tijdgebonden toegang en versleutelingsmaatregelen. Tot slot bevat het plan instructies voor het archiveren van alle besluitvorming, zodat audits kunnen nagaan welke stappen zijn gezet, welke risicoafwegingen zijn gemaakt en hoe lessons learned worden gedocumenteerd.
Plannen, oefenen en bewaken van volwassenheid
Gebruik PowerShell-script response-planning.ps1 (functie Invoke-Monitoring) – Controleert de actualiteit van responseplannen, reviewdata en bereikbaarheid van sleutelcontacten..
Een responseplan dat nooit wordt geoefend, is slechts papier. Daarom plant de organisatie een mix van tabletop-sessies, technische drills en ketenoefeningen. Tabletop-oefeningen richten zich op besluitvorming: deelnemers doorlopen een scenario gebaseerd op realistische Microsoft 365-dreigingen en toetsen of rollen, escalaties en communicatiekanalen werken zoals beschreven. Technische drills valideren logqueries, containmentacties en herstelprocedures. Denk aan het gecontroleerd simuleren van een gecompromitteerd account in een testtenant, het uitvoeren van Purview eDiscovery-zoekopdrachten of het terugzetten van een Teams-archief. Keten-oefeningen betrekken externe partijen zoals leveranciers, samenwerkingsverbanden of landelijke meldpunten zodat duidelijk wordt hoe informatie-uitwisseling in de praktijk verloopt. Voor elke oefening worden meetpunten gedefinieerd: doorlooptijd van besluitvorming, volledigheid van logging, en de mate waarin medewerkers het plan daadwerkelijk volgen.
Monitoring van de volwassenheid gebeurt niet alleen tijdens oefeningen maar continu. Het responseplan koppelt meetindicatoren aan governance-cycli: percentage scenario's met een actuele review, beschikbaarheid van contactgegevens binnen vier uur na wijziging, aanwezigheid van escalatiepaden buiten kantooruren, en de mate waarin incidenttickets zijn gelinkt aan het juiste responseplan-ID. Data voor deze indicatoren komen uit Microsoft 365 Defender, Purview, ticketingoplossingen en de configuratiebestanden die door het PowerShell-script worden beheerd. Het script inventariseert bijvoorbeeld welke scenario's ouder zijn dan de afgesproken reviewtermijn, controleert of vervangers voor cruciale rollen zijn ingevuld en bewaakt of meldplichten correct zijn toegewezen. Resultaten verschijnen in rapportages richting CISO, CIO en bestuur zodat zij structureel inzicht hebben in de paraatheid van de organisatie.
De uitkomsten van monitoring en oefeningen worden geborgd in een verbetercyclus. Het plan schrijft voor dat elke oefening leidt tot concrete verbeteracties met eigenaar, deadline en impactanalyse. Verbeteringen kunnen variëren van het herstructureren van Teams-crisiskanalen en het actualiseren van contactlijsten tot het uitbreiden van detectieregels of het aanpassen van juridische sjablonen. Het responseplan bevat ook een escalatieprocedure voor situaties waarin tekortkomingen een direct risico vormen, bijvoorbeeld ontbrekende P1-bereikbaarheid van de incident commander of verouderde draaiboeken voor ketenpartners. Door verbeteracties onder te brengen in de reguliere portfoliobesturing (bijvoorbeeld een CISO-roadmap of veranderkalender) blijft responseplanning geen los project, maar wordt het een integraal onderdeel van de governance van Microsoft 365.
Automatisering, documentbeheer en continue verbetering
Gebruik PowerShell-script response-planning.ps1 (functie Invoke-Remediation) – Genereert een basisconfiguratiebestand met scenario's, eigenaars en meldplichten voor nieuwe responseplannen..
Automatisering helpt om responseplannen beheersbaar te houden in complexe Microsoft 365-omgevingen. Het PowerShell-script in deze repository schrijft en leest een JSON-configuratie waarin scenario's, contactpersonen, meldplichten en reviewdata zijn opgenomen. Hierdoor kunnen organisaties centraal vastleggen welke planonderdelen verplicht zijn, hoe deze worden beoordeeld en welke kwaliteitscriteria gelden. De configuratie fungeert als bron voor dashboards in Power BI of Sentinel, maar kan ook worden gebruikt voor geautomatiseerde notificaties: zodra een reviewdatum nadert of een cruciale rol geen vervanger meer heeft, verzendt het script een waarschuwing via Teams of e-mail. Door gebruik te maken van versiebeheer in Git of SharePoint wordt elke wijziging aan de configuratie traceerbaar, inclusief de rationale en goedkeuring. Dat maakt het eenvoudiger om tijdens audits aan te tonen hoe responseplanning zich heeft ontwikkeld.
Documentbeheer is minstens zo belangrijk als automatisering. Het responseplan geeft richtlijnen voor het opslaan, delen en archiveren van plannen, beslisnotities en bewijsmateriaal. Dit betekent onder meer dat er een centrale SharePoint-bibliotheek bestaat met beperkte toegang, dat ieder document een duidelijke versie- en statusindicatie heeft en dat gevoelig materiaal versleuteld wordt opgeslagen. Het plan benoemt tevens hoe men omgaat met vertrouwelijke stukken tijdens crisissituaties: welke kanalen zijn toegestaan voor het delen van forensische data, hoe worden screenshots of logextracten geanonimiseerd, en hoe worden tijdelijke bestanden na afloop vernietigd. Door deze afspraken vooraf te codificeren, wordt het risico op datalekken tijdens de respons geminimaliseerd en blijft de organisatie in controle over haar bewijslast.
Continue verbetering vraagt om heldere feedbackmechanismen. Het responseplan verplicht het uitvoeren van post-incident reviews waarbij technische, organisatorische en communicatieve aspecten worden beoordeeld. Lessons learned worden vertaald naar wijzigingen in het plan, updates van scripts of aanpassingen van detectieregels. Daarnaast wordt minimaal elk kwartaal een bestuurlijke review gehouden waarin KPI's, auditbevindingen en openstaande verbeteracties worden besproken. Hierbij wordt nadrukkelijk gekeken naar trends: neemt de responstijd af, worden meldplichtige incidenten binnen 72 uur gemeld, is het aantal incomplete tickets gedaald? Door kwantitatieve indicatoren te combineren met kwalitatieve feedback van analisten en beleidsmakers ontstaat een 360-gradenbeeld. Het resultaat is een responseplan dat meegroeit met de digitale transformatie en de veranderende dreigingen waar Nederlandse overheden mee te maken hebben.
Compliance & Frameworks
- CIS M365: Control IR-3 (Aanbevolen) - Ontwikkel, onderhoud en test formele incident response plannen.
- BIO: 12.3, 16.1, 16.2, 17.3 - Waarborgen van gecoördineerde responsprocessen, meldplichten en continuïteitsmaatregelen voor rijks- en gemeentelijke diensten.
- ISO 27001:2022: A.5.24, A.5.25, A.5.29, A.5.30 - Formele eisen aan voorbereiding op incidenten, communicatie met belanghebbenden en voortdurende verbetering van responsprocessen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Responseplanning voor Microsoft 365-incidenten
.DESCRIPTION
Biedt tooling om responseplannen te bewaken voor Microsoft 365 binnen de Nederlandse Baseline voor Veilige Cloud.
Het script controleert reviewdata, contactlijsten en oefenplanningen en kan een basisconfiguratiebestand genereren.
.NOTES
Filename: response-planning.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Category: incident-response
.EXAMPLE
.\response-planning.ps1 -Monitoring
Controleer de actualiteit van responseplannen, contactgegevens en oefenmomenten.
.EXAMPLE
.\response-planning.ps1 -Remediation
Maak een basisconfiguratie voor responseplannen inclusief scenario's, eigenaars en meldplichten.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[switch]$Revert,
[Parameter()]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Responseplanning Microsoft 365" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Get-ConfigPath {
<#
.SYNOPSIS
Bepaalt het pad naar het responseplanning-configuratiebestand.
#>
$scriptDir = Split-Path -Parent $PSCommandPath
return (Join-Path -Path $scriptDir -ChildPath "response-planning.config.json")
}
function Initialize-DefaultConfig {
<#
.SYNOPSIS
Stelt een basisconfiguratie samen voor responseplanning.
#>
$config = [ordered]@{
version = "1.0"
lastUpdated = (Get-Date).ToString("yyyy-MM-dd")
owner = "CISO / Incident Response Lead"
reviewPolicy = [ordered]@{
maxReviewAgeDays = 180
maxContactAgeDays = 30
tabletopFrequencyDays = 120
requiredScenarioCount = 6
}
notificationTargets = @(
"CISO",
"Functionaris Gegevensbescherming",
"Communicatieadviseur",
"IBD meldloket"
)
scenarios = @(
[ordered]@{
id = "M365-RP-001"
name = "Gecompromitteerd bestuursaccount"
status = "Actief"
lastReviewDate = ""
nextExerciseDate = ""
legalObligations = @("AVG", "BIO 16.1", "NIS2")
contactOwner = "Incident Commander"
backupContact = "Deputy Commander"
requiredEvidence = @(
"Ticketnummer",
"Beslisnotitie",
"Meldformulier AP"
)
}
)
contacts = @(
[ordered]@{
role = "Incident Commander"
name = ""
phone = ""
teamsChannel = "teams://incident-response"
lastConfirmed = ""
},
[ordered]@{
role = "Privacy Officer"
name = ""
phone = ""
teamsChannel = "teams://incident-response"
lastConfirmed = ""
}
)
}
return $config
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert responseplannen op actualiteit en volledigheid.
#>
try {
$configPath = Get-ConfigPath
if (-not (Test-Path -Path $configPath)) {
Write-Host "[WARN] Geen configuratie gevonden. Voer -Remediation uit om te initialiseren." -ForegroundColor Yellow
exit 1
}
$config = Get-Content -Path $configPath -Raw | ConvertFrom-Json -ErrorAction Stop
$policy = $config.reviewPolicy
$now = Get-Date
$scenarioCount = ($config.scenarios | Measure-Object).Count
$reviewLimit = $policy.maxReviewAgeDays
$exerciseLimit = $policy.tabletopFrequencyDays
$staleScenarios = @()
$overdueExercises = @()
foreach ($scenario in $config.scenarios) {
if ([string]::IsNullOrWhiteSpace($scenario.lastReviewDate)) {
$staleScenarios += $scenario
}
else {
$age = ($now - (Get-Date $scenario.lastReviewDate)).TotalDays
if ($age -gt $reviewLimit) {
$staleScenarios += $scenario
}
}
if ([string]::IsNullOrWhiteSpace($scenario.nextExerciseDate)) {
$overdueExercises += $scenario
}
else {
$nextExerciseAge = ((Get-Date $scenario.nextExerciseDate) - $now).TotalDays
if ($nextExerciseAge -lt (-1 * $exerciseLimit)) {
$overdueExercises += $scenario
}
}
}
$contactLimit = $policy.maxContactAgeDays
$staleContacts = @()
foreach ($contact in $config.contacts) {
if ([string]::IsNullOrWhiteSpace($contact.lastConfirmed)) {
$staleContacts += $contact
continue
}
$contactAge = ($now - (Get-Date $contact.lastConfirmed)).TotalDays
if ($contactAge -gt $contactLimit) {
$staleContacts += $contact
}
}
Write-Host "Configuratiebestand : $configPath" -ForegroundColor Gray
Write-Host "Versie : $($config.version)" -ForegroundColor Gray
Write-Host "Eigenaar : $($config.owner)" -ForegroundColor Gray
Write-Host "Scenario's : $scenarioCount (vereist: $($policy.requiredScenarioCount))`n" -ForegroundColor Gray
if ($scenarioCount -lt $policy.requiredScenarioCount) {
Write-Host "[WARN] Te weinig uitgewerkte scenario's t.o.v. de drempelwaarde." -ForegroundColor Yellow
}
else {
Write-Host "[OK] Minimale scenario-dekking behaald." -ForegroundColor Green
}
if ($staleScenarios.Count -gt 0) {
Write-Host "`n[WARN] Scenario's met verlopen of ontbrekende reviewdatum:" -ForegroundColor Yellow
$staleScenarios | ForEach-Object {
Write-Host (" - {0} ({1})" -f $_.id, $_.name) -ForegroundColor Yellow
}
}
else {
Write-Host "`n[OK] Alle scenario's zijn binnen {0} dagen herzien." -f $reviewLimit -ForegroundColor Green
}
if ($overdueExercises.Count -gt 0) {
Write-Host "`n[WARN] Scenario's zonder actuele tabletop- of drillplanning:" -ForegroundColor Yellow
$overdueExercises | ForEach-Object {
Write-Host (" - {0} ({1})" -f $_.id, $_.name) -ForegroundColor Yellow
}
}
else {
Write-Host "`n[OK] Oefenplanning voldoet aan de frequentie-eis." -ForegroundColor Green
}
if ($staleContacts.Count -gt 0) {
Write-Host "`n[WARN] Contactgegevens ouder dan $contactLimit dagen:" -ForegroundColor Yellow
$staleContacts | ForEach-Object {
Write-Host (" - {0} ({1})" -f $_.role, $_.name) -ForegroundColor Yellow
}
}
else {
Write-Host "`n[OK] Alle sleutelcontacten zijn recent bevestigd." -ForegroundColor Green
}
$hasWarnings = ($scenarioCount -lt $policy.requiredScenarioCount) -or
($staleScenarios.Count -gt 0) -or
($overdueExercises.Count -gt 0) -or
($staleContacts.Count -gt 0)
if ($hasWarnings) {
exit 1
}
Write-Host "`n[OK] Responseplannen voldoen aan de ingestelde kwaliteitscriteria." -ForegroundColor Green
exit 0
}
catch {
Write-Host "[FAIL] Monitoring mislukt: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Maakt of actualiseert de configuratie voor responseplanning.
#>
try {
$configPath = Get-ConfigPath
if (Test-Path -Path $configPath) {
$backup = "$configPath.bak_{0}" -f (Get-Date -Format "yyyyMMddHHmmss")
if (-not $WhatIf) {
Copy-Item -Path $configPath -Destination $backup -Force
}
Write-Host "[INFO] Back-up aangemaakt: $backup" -ForegroundColor Gray
}
$config = Initialize-DefaultConfig
$json = $config | ConvertTo-Json -Depth 6
if ($WhatIf) {
Write-Host "[WhatIf] Configuratie zou worden geschreven naar: $configPath" -ForegroundColor Yellow
Write-Host $json
}
else {
$configDir = Split-Path -Parent $configPath
if (-not (Test-Path -Path $configDir)) {
New-Item -ItemType Directory -Path $configDir -Force | Out-Null
}
$json | Out-File -FilePath $configPath -Encoding utf8 -Force
Write-Host "[OK] Basisconfiguratie aangemaakt: $configPath" -ForegroundColor Green
}
Write-Host "`nVolgende stappen:" -ForegroundColor Cyan
Write-Host " - Vul scenario's aan met actuele review- en oefendata." -ForegroundColor Gray
Write-Host " - Actualiseer contactgegevens en meldplichten." -ForegroundColor Gray
Write-Host " - Koppel scenario-ID's aan tickets en dashboards." -ForegroundColor Gray
exit 0
}
catch {
Write-Host "[FAIL] Remediatie mislukt: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Verwijdert het responseplanning-configuratiebestand.
#>
try {
$configPath = Get-ConfigPath
if (-not (Test-Path -Path $configPath)) {
Write-Host "[INFO] Geen configuratie om te verwijderen." -ForegroundColor Gray
exit 0
}
if ($WhatIf) {
Write-Host "[WhatIf] Configuratie zou worden verwijderd: $configPath" -ForegroundColor Yellow
}
else {
Remove-Item -Path $configPath -Force
Write-Host "[OK] Configuratie verwijderd: $configPath" -ForegroundColor Green
}
exit 0
}
catch {
Write-Host "[FAIL] Verwijderen mislukt: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Gebruik:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer responseplannen op kwaliteit" -ForegroundColor Gray
Write-Host " -Remediation Genereer of actualiseer configuratie" -ForegroundColor Gray
Write-Host " -Revert Verwijder configuratie (optioneel met -WhatIf)" -ForegroundColor Gray
}
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Incidentresponse blijft afhankelijk van individuele kennis en ad-hoc besluitvorming, waardoor meldplichtige gebeurtenissen te laat of onvolledig worden afgehandeld en herstelacties vertraging oplopen.
Management Samenvatting
Stel een Microsoft 365-responseplan op dat bestuurlijke eisen, technische workflows, communicatie en automatisering verbindt. Test het plan regelmatig, bewaak de volwassenheid en leg alle verbeteringen vast voor aantoonbare compliance.
- Implementatietijd: 100 uur
- FTE required: 0.3 FTE