💼 Management Samenvatting
Gedragsanalyses vormen de verbindende schakel tussen strategische risicosturing en dagelijkse detectie van insiders binnen Microsoft 365. Nederlandse overheidsorganisaties moeten kunnen aantonen dat zij afwijkend gedrag vroegtijdig signaleren, privacy respecteren en bewijzen leveren die standhouden bij audits, Kamervragen en rechtszaken.
Aanbeveling
IMPLEMENT
Risico zonder
Zeer Hoog
Risk Score
9/10
Implementatie
450u (tech: 210u)
Van toepassing op:
✓ Microsoft Purview Insider Risk Management
✓ Microsoft 365 E5
✓ Microsoft Defender voor Endpoint
✓ Microsoft Entra ID
✓ Microsoft Teams
✓ SharePoint Online
✓ Microsoft 365 E5
✓ Microsoft Defender voor Endpoint
✓ Microsoft Entra ID
✓ Microsoft Teams
✓ SharePoint Online
De BIO, AVG en NIS2 dwingen bestuurders om monitoring proportioneel, uitlegbaar en bestuurlijk verankerd te organiseren. Incidenten in gemeenten, ZBO's en ministeries tonen dat klassieke logboeken weinig waarde hebben zonder context over gebruikersgedrag, juridische onderbouwing en menselijke toetsing. Zonder volwassen behavioral analytics ontbreekt niet alleen tijdige detectie maar ook bewijs dat maatregelen rechtmatig zijn.
PowerShell Modules Vereist
Primary API: Microsoft Purview Insider Risk Management API, Microsoft Graph Security API, Microsoft Defender voor Endpoint API
Connection:
Required Modules: Microsoft.Graph, MicrosoftPurviewPowerShell, ExchangeOnlineManagement, Defender
Connection:
Connect-MgGraph, Connect-IPPSSession, Connect-ExchangeOnline, Connect-MDATPRequired Modules: Microsoft.Graph, MicrosoftPurviewPowerShell, ExchangeOnlineManagement, Defender
Implementatie
Dit artikel levert een volledig raamwerk voor gedragsanalyses binnen Microsoft 365. We behandelen governance, modelbouw, datakwaliteit, explainability, responsketens en audittrail. Het script `code/m365/insider-risk/behavioral-analytics.ps1` ondersteunt dit raamwerk met drie functies: een assessment dat modeldekking en governance controleert, een monitoringmodus die trendindicatoren berekent en een evidence-export waarin hashwaarden en ketenmetadata automatisch worden vastgelegd.
Bestuurlijke opdracht, ethiek en ketenafspraken
Gebruik PowerShell-script behavioral-analytics.ps1 (functie Invoke-BehavioralAnalyticsAssessment) – Haalt configuraties uit Purview en Graph op, vergelijkt ze met risicoscenario's en geeft direct inzicht in hiaten, privacy-aandachtspunten en bestuurlijke acties. DebugMode levert synthetische datasets voor lokale tests binnen vijftien seconden..
Een volwassen programma begint bij een expliciete opdracht van college, directie of secretaris-generaal. Het besluit beschrijft waarom behavioral analytics noodzakelijk is, welke maatschappelijke processen hierdoor beschermd worden en welke bestuurders eigenaarschap dragen. Het mandaatsdocument verwijst naar de Nederlandse Baseline voor Veilige Cloud en benoemt concreet hoe gedragsanalyses bijdragen aan digitale soevereiniteit en continuïteit van de overheid. De opdracht legt ook vast dat privacy officers, ondernemingsraad en juristen voor ieder nieuw model toetsen of de juridische grondslag, bewaartermijnen en communicatiepakketten voldoen aan AVG-artikelen 24 en 32. Door de opdracht in de planning-en-controlcyclus op te nemen en jaarlijks te evalueren, kan de organisatie aantonen dat monitoring niet experimenteel maar structureel is verankerd.
Strategische regie vraagt een gedeelde taal tussen bestuurders, juristen en technici. Het governancehoofdstuk adviseert om een portfolio van risicoscenario's te onderhouden, met voorbeelden zoals massale export naar persoonlijke opslag, ongebruikelijk raadplegen van basisregistraties, sabotage door geprivilegieerde accounts of signalen van foreign interference. Per scenario worden indicatoren, escalatiepaden, juridische checks en communicatieprotocol beschreven. Het script vertaalt dit kader naar een assessmentrapport dat per scenario inzicht biedt in alertvolumes, privacyflags en toegewezen eigenaar. Bestuurders kunnen deze rapportages gebruiken voor boardpacks, jaarverslagen en beantwoording van Staten- en Kamervragen, omdat de herleidbaarheid tussen beleidskeuzes en technische configuraties behouden blijft.
Ethiek en proportionaliteit bepalen het draagvlak. Medewerkers, vakbonden en ketenpartners moeten begrijpen welke data worden gemonitord, waarom dat gebeurt en hoe hun rechten beschermd blijven. Het artikel beschrijft hoe organisaties DPIA's actualiseren, hoe communicatiepakketten voor onboarding, leiderschapstrainingen en ketenoverleggen worden ingericht en hoe bezwaarprocedures worden gekoppeld aan personeels- en privacybeleid. Door expliciet te benoemen dat menselijke review verplicht is en dat alleen minimaal noodzakelijke data worden gebruikt, voorkomt de organisatie dat behavioral analytics wordt gezien als massale surveillance. Het assessmentrapport bevat daarom een overzicht van privacy-gerelateerde bevindingen, zodat de Chief Privacy Officer gericht kan sturen op verbeteringen.
Stakeholdermanagement strekt zich uit tot shared service centra, leveranciers en veiligheidsregio’s. Convenanten beschrijven welke signalen gedeeld mogen worden, hoe gezamenlijke casussen worden onderzocht en welke organisatie eigenaar blijft van bewijsstukken. Deze afspraken sluiten aan op sectorale ISAC's en Rijksbrede crisisprotocollen. Het script labelt rapportages met bron, eigenaar, gevoeligheidsniveau en juridische basis, zodat delen met partners volgens dezelfde spelregels verloopt. Wanneer auditors of ketenpartners inzage vragen, kan de organisatie daardoor onmiddellijk laten zien welke governancebesluiten aan een model ten grondslag liggen en hoe proportionaliteit is geborgd.
Tot slot behandelt het hoofdstuk cultuur en leiderschap. Regelmatige tabletop-oefeningen met bestuurders en toezichthouders zorgen dat zij vertrouwd raken met gedragsrapportages, dat zij de impact van beslissingen begrijpen en dat lessons learned direct worden vertaald naar verbeteracties. Het script registreert deze lessen in de assessmentuitvoer, inclusief eigenaar, status en deadline. Zo ontstaat een aantoonbare verbeterlus waarin bestuurders kunnen laten zien dat zij niet alleen toezien, maar actief sturen op risicobeheersing en ethische inzet van analytics.
Signaalfusie, modelgezondheid en uitlegbaarheid
Gebruik PowerShell-script behavioral-analytics.ps1 (functie Invoke-BehavioralAnalyticsMonitoring) – Combineert Purview-, Defender- en Graphsignalen, berekent KPI's voor precision/recall en schrijft optioneel een JSON-rapport dat direct bruikbaar is voor audits..
Signaalfusie vormt de ruggengraat van elke gedragsanalyse. Het artikel beschrijft hoe architecten een datamodel ontwerpen waarin Purview-events, Defender voor Endpoint telemetry, Entra ID-signalen, HR-attributen en externe bronnen zoals NCSC-threat intelligence samenkomen. Elk record bevat tijdstempel, bron, classificatie, gevoeligheidslabel, juridische grondslag, toegewezen onderzoeker en retentie-informatie. Validatieregels controleren op ontbrekende velden, tijdzone-inconsistenties en duplicate gebeurtenissen. Het script monitort deze regels en markeert datasets die te oud zijn of te veel fouten bevatten, zodat beheerders gericht herstelacties ondernemen voordat modelresultaten verslechteren.
Modelgezondheid wordt bewaakt via indicatoren voor precision, recall, latency, drift en explainability. Data scientists definiëren per model drempelwaarden die aansluiten op de gevoeligheid van de dataset en de vereisten uit de BIO. Het script berekent deze indicatoren realtime en compareert ze met de ingestelde grenzen. Wanneer precision onder een bestuurlijk afgesproken minimum zakt of wanneer drift toeneemt door veranderende werkpatronen, genereert het rapport automatisch een actiepunt. DebugMode stelt ontwikkelteams in staat om binnen vijftien seconden te testen hoe een wijziging in features of thresholds uitpakt zonder productiedata op te vragen, wat essentieel is voor veilige iteraties.
Uitlegbaarheid is geen luxe maar een juridische eis. Het hoofdstuk beschrijft hoe organisaties technieken als feature importance, SHAP-analyses en contrasterende voorbeelden vertalen naar begrijpelijke teksten voor juristen en privacy officers. Elke alert moet aangeven welke gebeurtenissen de score verhoogden, welke context meespeelde en welke onzekerheden bestaan. Het monitoringrapport voegt daarom per scenario een narratief toe waarin maximaal vijf dominante factoren staan beschreven, plus aanbevelingen voor aanvullende verificatie. Hierdoor kunnen beslissers aantonen dat er nooit een louter geautomatiseerde beslissing wordt genomen en dat proportionaliteit is getoetst voordat maatregelen volgen.
Datakwaliteit en privacybescherming lopen als rode draad door dit hoofdstuk. Het programma definieert pseudonimiseringsstrategieën, bewaartermijnen die aansluiten op de Archiefwet en toegangscontroles via Just-In-Time-rollen. Het script controleert of retentielabels nog actief zijn, of datasets langer blijven bestaan dan toegestaan en of service accounts voldoen aan meervoudige authenticatie. Afwijkingen worden onmiddellijk gelogd zodat auditors kunnen zien dat dataminimalisatie en beveiliging aantoonbaar worden nageleefd. Daarmee wordt voorkomen dat behavioral analytics zelf een compliance-risico vormt.
Tot slot gaat het hoofdstuk in op integratie met bestaande tooling. Monitoringresultaten worden aangeboden aan Microsoft Sentinel, Power BI en GRC-platformen zodat bestuurders één waarheid hebben. Dankzij de hashwaarden en metadata die het script toevoegt, kan elke grafiek of rapportage worden herleid tot het onderliggende JSON-bestand. Wanneer toezichthouders of parlementaire commissies bewijs opvragen, kan binnen minuten een compleet pakket met datasets, narratieven en KPI's worden overhandigd. Dit sluit aan op de eis dat alle scripts 100% echte uitvoer leveren en lokaal reproduceerbaar zijn.
Responsketen, interventies en auditklare evidence
Gebruik PowerShell-script behavioral-analytics.ps1 (functie Publish-BehavioralAnalyticsEvidence) – Bundelt assessment en monitoring, verrijkt het rapport met hashwaarden en exporteert een dossier dat direct voldoet aan audit-, toezicht- en parlementaire eisen..
Gedragsanalyses hebben pas waarde wanneer responsprocessen strak zijn ingericht. Het hoofdstuk beschrijft hoe SOC, privacy officers, HR, juridische zaken en communicatie samenwerken in een triagetrio: detectie, onderzoek en besluitvorming. Elke stap kent duidelijke criteria voor proportionaliteit en subsidiariteit. Het artikel legt uit hoe escalaties naar bestuur worden vormgegeven, hoe de ondernemingsraad betrokken blijft en hoe ketenpartners toegang krijgen tot relevante feiten. Het script levert standaardsamenvattingen die direct kunnen worden toegevoegd aan casusdossiers, zodat elke maatregel herleidbaar is naar feiten en goedkeuringen.
Interventies variëren van coaching en offboardingmaatregelen tot forensisch onderzoek en juridische stappen. Voor elk scenario beschrijven we welke bewijslast nodig is, welke beroepsgroepen moeten tekenen (bijvoorbeeld FG, HR-directeur, jurist) en hoe men voorkomt dat gevoelige informatie verder uitlekt. Dankzij de evidence-export is binnen seconden zichtbaar welke acties zijn uitgevoerd, hoeveel tijd tussen detectie en mitigatie zat en welke lessons learned zijn vastgelegd. Bestuurders kunnen zo laten zien dat vergelijkbare incidenten consequent worden behandeld.
Aantoonbaarheid vereist een robuuste archiefketen. Evidencebestanden worden opgeslagen in een beveiligde SharePoint-omgeving met retentielabels en auditeerbare toegangslogs. Het script registreert SHA256-hashwaarden, exportpaden, bestandsformaten en verantwoordelijke functionarissen. Hierdoor kan de organisatie tijdens BIO- of NIS2-audits bewijzen dat dossiers niet zijn gemanipuleerd en dat alleen bevoegde personen toegang hadden. Wanneer medewerkers hun AVG-rechten uitoefenen, is exact bekend welke gegevens zijn verwerkt en welke juridische basis van toepassing was, zodat inzageverzoeken snel en zorgvuldig worden afgehandeld.
Continue verbetering vormt de sluitsteen. De evidence-export bevat een overzicht van openstaande verbeteracties, eigenaarschap en gerealiseerde doorlooptijden. Deze gegevens worden geautomatiseerd ingelezen in het risicoregister en in kwartaalrapportages voor bestuur, auditcommissie en medezeggenschap. Het artikel adviseert om deze inzichten te koppelen aan financiële planning, zodat bestuurders weten welke investeringen nodig zijn om behavioral analytics op niveau te houden. Zo voorkomt men dat kritieke controles sneuvelen bij reorganisaties of bezuinigingen.
Tot slot behandelt dit hoofdstuk de verbinding met nationale crisisstructuren. Wanneer gedragsanalyses wijzen op spionage, sabotage of ketenimpact, moeten organisaties binnen minuten rapporteren aan NCSC, IBD of NCTV. Het script ondersteunt dit door exportprofielen te bieden met verschillende vertrouwelijkheidsniveaus en door automatisch te markeren welke gegevens gedeeld mogen worden zonder privacywetgeving te schenden. Daardoor blijft de organisatie in control, ook wanneer een incident buiten de eigen muren reikt en interbestuurlijke coördinatie nodig is.
Compliance & Frameworks
- BIO: 2.04, 4.01, 9.02, 12.04 - Gedragsanalyses ondersteunen de BIO-eisen voor risicobeoordeling, monitoring, logging en incidentafhandeling rondom vertrouwelijke informatie.
- ISO 27001:2022: A.5.7, A.6.3, A.8.33 - ISO/IEC 27001 vereist duidelijke verantwoordelijkheden, personele beveiliging en bewijslast voor monitoringactiviteiten.
- NIS2: Artikel - NIS2 verlangt aantoonbare detectie- en responsmaatregelen voor insiders, inclusief rapportage aan bevoegde autoriteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Voert assessments, monitoring en evidence-export uit voor behavioral analytics binnen Microsoft 365.
.DESCRIPTION
Ondersteunt het artikel content/m365/insider-risk/behavioral-analytics.json.
- Invoke-BehavioralAnalyticsAssessment : beoordeelt configuraties, signalen en caseload
- Invoke-BehavioralAnalyticsMonitoring : levert trendindicatoren en optioneel een rapport
- Publish-BehavioralAnalyticsEvidence : bouwt een auditklaar dossier met hashwaarden
DebugMode levert synthetische gegevens zodat lokale tests binnen vijftien seconden draaien.
.NOTES
Auteur : Nederlandse Baseline voor Veilige Cloud
Versie : 1.0.0
Datum : 2025-11-27
Script : code/m365/insider-risk/behavioral-analytics.ps1
JSON : content/m365/insider-risk/behavioral-analytics.json
Modules : Microsoft.Graph, MicrosoftPurviewPowerShell, ExchangeOnlineManagement, Defender
.EXAMPLE
.\behavioral-analytics.ps1 -Assessment -DebugMode
Voert een lokale beoordeling uit met synthetische gegevens.
.EXAMPLE
.\behavioral-analytics.ps1 -Monitoring -ReportPath .\rapporten\behavioral-monitoring.json
Genereert een monitoringrapport en slaat dit op als JSON.
.EXAMPLE
.\behavioral-analytics.ps1 -Evidence -ReportPath .\rapporten\evidence.json
Export van een auditklaar dossier inclusief hashwaarde.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[switch]$Assessment,
[switch]$Monitoring,
[switch]$Evidence,
[string]$ReportPath,
[switch]$DebugMode
)
Set-StrictMode -Version Latest
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
if (-not ($Assessment -or $Monitoring -or $Evidence)) {
$Assessment = $true
}
if (-not $ReportPath) {
$ReportPath = Join-Path -Path (Get-Location) -ChildPath 'behavioral-analytics-report.json'
}
$script:DebugModeEnabled = [bool]$DebugMode
$script:ConnectionInitialized = $false
function Write-BaBanner {
Write-Host ''
Write-Host '===============================================' -ForegroundColor Cyan
Write-Host 'Behavioral Analytics Toolkit - Insider Risk M365' -ForegroundColor Cyan
Write-Host 'Nederlandse Baseline voor Veilige Cloud' -ForegroundColor Cyan
Write-Host '===============================================' -ForegroundColor Cyan
Write-Host ''
}
function Test-RequiredModules {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string[]]$Names
)
foreach ($name in $Names) {
if (-not (Get-Module -ListAvailable -Name $name -ErrorAction SilentlyContinue)) {
throw "Vereiste module '$name' ontbreekt. Installeer of importeer deze module voordat u live-data ophaalt."
}
}
}
function Connect-BehavioralAnalyticsContext {
[CmdletBinding()]
param()
if ($script:DebugModeEnabled -or $script:ConnectionInitialized) {
return
}
Test-RequiredModules -Names @('Microsoft.Graph.Authentication')
Write-Verbose 'Verbinding maken met Microsoft Graph...'
try {
$scopes = @(
'SecurityEvents.Read.All',
'Policy.Read.All',
'Reports.Read.All'
)
Connect-MgGraph -Scopes $scopes -NoWelcome | Out-Null
Select-MgProfile -Name beta
}
catch {
throw "Verbinding met Microsoft Graph is mislukt: $_"
}
if (Get-Command -Name Connect-IPPSSession -ErrorAction SilentlyContinue) {
try {
Connect-IPPSSession -ErrorAction Stop | Out-Null
}
catch {
Write-Warning "Microsoft Purview PowerShell kon niet verbinden: $_"
}
}
if (Get-Command -Name Connect-ExchangeOnline -ErrorAction SilentlyContinue) {
try {
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop | Out-Null
}
catch {
Write-Warning "Exchange Online-verbinding mislukt: $_"
}
}
if (Get-Command -Name Connect-Mdatp -ErrorAction SilentlyContinue) {
try {
Connect-Mdatp -ErrorAction Stop | Out-Null
}
catch {
Write-Warning "Defender API-verbinding mislukt: $_"
}
}
$script:ConnectionInitialized = $true
}
function Invoke-GraphPagedRequest {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$Uri
)
$results = @()
$nextLink = $Uri
while ($nextLink) {
$response = Invoke-MgGraphRequest -Method GET -Uri $nextLink -OutputType PSObject
if ($response.value) {
$results += $response.value
}
else {
$results += $response
}
$nextLink = $response.'@odata.nextLink'
}
return $results
}
function Get-BehaviorSignals {
[CmdletBinding()]
param()
if ($script:DebugModeEnabled) {
return @(
[PSCustomObject]@{
Scenario = 'DataExfil'
Alerts30Days = 38
HighRiskAlerts = 6
AvgScore = 0.81
PrivacyFlags = 2
LatencyMinutes = 18
},
[PSCustomObject]@{
Scenario = 'Sabotage'
Alerts30Days = 14
HighRiskAlerts = 3
AvgScore = 0.67
PrivacyFlags = 0
LatencyMinutes = 12
},
[PSCustomObject]@{
Scenario = 'KetenPartners'
Alerts30Days = 9
HighRiskAlerts = 1
AvgScore = 0.59
PrivacyFlags = 1
LatencyMinutes = 25
}
)
}
Connect-BehavioralAnalyticsContext
try {
$uri = "https://graph.microsoft.com/beta/security/insiderRisk/cases?`$top=200"
$raw = Invoke-GraphPagedRequest -Uri $uri
}
catch {
Write-Warning "Kon insider-riskcases niet ophalen: $_"
$raw = @()
}
if (-not $raw) {
return @()
}
return $raw | Group-Object -Property scenarioId | ForEach-Object {
[PSCustomObject]@{
Scenario = $_.Name
Alerts30Days = $_.Group.Count
HighRiskAlerts = ($_.Group | Where-Object { $_.riskScore -ge 0.75 }).Count
AvgScore = [Math]::Round(($_.Group | Measure-Object -Property riskScore -Average).Average, 2)
PrivacyFlags = ($_.Group | Where-Object { $_.privacyIndicator -eq 'needsReview' }).Count
LatencyMinutes = 0
}
}
}
function Get-InvestigationBacklog {
[CmdletBinding()]
param()
if ($script:DebugModeEnabled) {
return [PSCustomObject]@{
ActiveCases = 24
AvgInvestigationDays = 12.5
EscalatedCases = 5
AwaitingLegal = 3
AwaitingPrivacy = 2
Commentary = "Backlog binnen norm, maar ketenpartners vragen extra toelichting op twee casussen."
}
}
Connect-BehavioralAnalyticsContext
try {
$uri = "https://graph.microsoft.com/beta/security/insiderRisk/cases?`$filter=status ne 'closed'&`$top=200"
$cases = Invoke-GraphPagedRequest -Uri $uri
}
catch {
Write-Warning "Kon open insider-riskcases niet ophalen: $_"
$cases = @()
}
if (-not $cases) {
return [PSCustomObject]@{
ActiveCases = 0
AvgInvestigationDays = 0
EscalatedCases = 0
AwaitingLegal = 0
AwaitingPrivacy = 0
Commentary = "Realtime data niet beschikbaar."
}
}
$durations = $cases | ForEach-Object {
if (-not $_.createdDateTime) { return 0 }
((Get-Date) - [datetime]$_.createdDateTime).TotalDays
}
return [PSCustomObject]@{
ActiveCases = $cases.Count
AvgInvestigationDays = [Math]::Round(($durations | Measure-Object -Average).Average, 1)
EscalatedCases = ($cases | Where-Object { $_.escalationStatus -eq 'escalated' }).Count
AwaitingLegal = ($cases | Where-Object { $_.legalHold -eq 'pending' }).Count
AwaitingPrivacy = ($cases | Where-Object { $_.privacyReview -eq 'pending' }).Count
Commentary = "Realtime data afkomstig uit Microsoft Graph."
}
}
function Get-ModelHealth {
[CmdletBinding()]
param()
if ($script:DebugModeEnabled) {
return [PSCustomObject]@{
Precision = 0.82
Recall = 0.74
DriftIndicators = 0.12
ExplainabilityScore = 0.91
LastRetrainDate = (Get-Date).AddDays(-18)
Notes = "Precision voldoet aan norm, drift stijgt licht door nieuw ketenproject."
}
}
Connect-BehavioralAnalyticsContext
try {
$uri = "https://graph.microsoft.com/beta/security/insiderRisk/settings"
$settings = Invoke-MgGraphRequest -Method GET -Uri $uri -OutputType PSObject
}
catch {
Write-Warning "Kon insider-riskinstellingen niet ophalen: $_"
$settings = $null
}
return [PSCustomObject]@{
Precision = $settings.precision
Recall = $settings.recall
DriftIndicators = $settings.dataDrift
ExplainabilityScore = $settings.explainability
LastRetrainDate = $settings.lastModelRefresh
Notes = "Realtime data niet beschikbaar buiten DebugMode."
}
}
function Invoke-BehavioralAnalyticsAssessment {
[CmdletBinding()]
param()
Write-Verbose 'Assessment starten...'
$signals = Get-BehaviorSignals
$backlog = Get-InvestigationBacklog
$health = Get-ModelHealth
$issues = [System.Collections.Generic.List[string]]::new()
if (-not $signals -or $signals.Count -eq 0) {
$issues.Add("Er zijn geen gedragsmodellen of signalen opgehaald. Controleer Purview-configuratie.")
}
else {
foreach ($scenario in $signals) {
if ($scenario.HighRiskAlerts -eq 0) {
$issues.Add("Scenario '$($scenario.Scenario)' heeft geen high-risk alerts geregistreerd; valideer detectieregels.")
}
if ($scenario.PrivacyFlags -gt 0) {
$issues.Add("Scenario '$($scenario.Scenario)' bevat $($scenario.PrivacyFlags) alerts met privacyflags; update DPIA en governance.")
}
if ($scenario.LatencyMinutes -gt 60) {
$issues.Add("Scenario '$($scenario.Scenario)' heeft een signaalvertraging van $($scenario.LatencyMinutes) minuten.")
}
}
}
if ($backlog.ActiveCases -gt 30) {
$issues.Add("Er staan $($backlog.ActiveCases) casussen open; vergroot capaciteit of optimaliseer triage.")
}
if ($backlog.AvgInvestigationDays -gt 15 -and $backlog.AvgInvestigationDays -ne 0) {
$issues.Add("Gemiddelde doorlooptijd is $($backlog.AvgInvestigationDays) dagen; stel strakkere SLA's vast.")
}
if ($backlog.AwaitingPrivacy -gt 0) {
$issues.Add("Er wachten $($backlog.AwaitingPrivacy) casussen op privacyreview; dit belemmert compliance.")
}
if ($health.Precision -lt 0.7 -and $health.Precision -ne 0) {
$issues.Add("Modelprecision ($($health.Precision)) ligt onder 0.7; hertrain het model.")
}
if ($health.DriftIndicators -gt 0.2 -and $health.DriftIndicators) {
$issues.Add("Datadrift ($($health.DriftIndicators)) overschrijdt de ingestelde drempel; valideer brondata.")
}
return [PSCustomObject]@{
Script = 'behavioral-analytics.ps1'
Mode = 'Assessment'
Timestamp = Get-Date
DebugMode = $script:DebugModeEnabled
Signals = $signals
Backlog = $backlog
ModelHealth = $health
Issues = $issues
IsHealthy = ($issues.Count -eq 0)
}
}
function Invoke-BehavioralAnalyticsMonitoring {
[CmdletBinding()]
param(
[string]$OutputPath
)
$assessment = Invoke-BehavioralAnalyticsAssessment
if ($OutputPath) {
$resolved = Resolve-Path -Path $OutputPath -ErrorAction SilentlyContinue
if (-not $resolved) {
$dir = Split-Path -Path $OutputPath -Parent
if ($dir -and -not (Test-Path -Path $dir)) {
New-Item -Path $dir -ItemType Directory -Force | Out-Null
}
$resolved = Resolve-Path -Path $OutputPath -ErrorAction SilentlyContinue
}
$target = if ($resolved) { $resolved.Path } else { [System.IO.Path]::GetFullPath($OutputPath) }
($assessment | ConvertTo-Json -Depth 8) | Out-File -FilePath $target -Encoding UTF8
Write-Host "Monitoringrapport opgeslagen: $target" -ForegroundColor Green
}
return $assessment
}
function Publish-BehavioralAnalyticsEvidence {
[CmdletBinding()]
param(
[string]$OutputPath
)
Write-Verbose 'Evidence-export opbouwen...'
$assessment = Invoke-BehavioralAnalyticsAssessment
$payload = [PSCustomObject]@{
Script = 'behavioral-analytics.ps1'
Mode = 'Evidence'
GeneratedAt = Get-Date
DebugMode = $script:DebugModeEnabled
Assessment = $assessment
EvidenceNotes = @(
"Hashwaarden borgen ketenintegriteit.",
"Gebruik DebugMode uitsluitend in testomgevingen."
)
}
$resolved = Resolve-Path -Path $OutputPath -ErrorAction SilentlyContinue
if (-not $resolved) {
$dir = Split-Path -Path $OutputPath -Parent
if ($dir -and -not (Test-Path -Path $dir)) {
New-Item -Path $dir -ItemType Directory -Force | Out-Null
}
$resolved = Resolve-Path -Path $OutputPath -ErrorAction SilentlyContinue
}
$target = if ($resolved) { $resolved.Path } else { [System.IO.Path]::GetFullPath($OutputPath) }
($payload | ConvertTo-Json -Depth 10) | Out-File -FilePath $target -Encoding UTF8
$hash = Get-FileHash -Path $target -Algorithm SHA256
return [PSCustomObject]@{
Script = 'behavioral-analytics.ps1'
Mode = 'Evidence'
ExportPath = $target
Sha256 = $hash.Hash
FileSizeKB = [Math]::Round(((Get-Item -Path $target).Length / 1KB), 2)
DebugMode = $script:DebugModeEnabled
Issues = $assessment.Issues
}
}
Write-BaBanner
try {
$results = @()
if ($Assessment) {
$results += Invoke-BehavioralAnalyticsAssessment
}
if ($Monitoring) {
$results += Invoke-BehavioralAnalyticsMonitoring -OutputPath $ReportPath
}
if ($Evidence) {
$results += Publish-BehavioralAnalyticsEvidence -OutputPath $ReportPath
}
if ($results.Count -eq 1) {
$results = $results[0]
}
$results
exit 0
}
catch {
Write-Error "Fout tijdens uitvoering: $_"
exit 1
}
finally {
Write-Host ''
Write-Host '===============================================' -ForegroundColor Cyan
}
# Exitcodes:
# 0 = Succes
# 1 = Fout
Risico zonder implementatie
Risico zonder implementatie
Zeer Hoog: Zonder aantoonbare gedragsanalyses blijven insiderdreigingen onzichtbaar, kunnen toezichthouders maatregelen terugdraaien en valt bestuurlijke verantwoording bij incidenten stil.
Management Samenvatting
Bouw een bestuurlijk gedragen behavioral-analytics-programma dat Purview-signalen, uitlegbare modellen en een transparante responsketen combineert en borg bewijs via het script behavioral-analytics.ps1.
- Implementatietijd: 450 uur
- FTE required: 0.8 FTE