💼 Management Samenvatting
Attack Simulation Training binnen Microsoft 365 is uitgegroeid tot een volwaardige security-control waarmee CISO's en SOC-leads gedrag meetbaar kunnen veranderen en compliance-eisen rondom bewustwording aantoonbaar invullen. Door realistische, gecontroleerde aanvallen te orchestreren ontstaat een gesloten leerlus die zowel medewerkers als bestuurders laat zien wat de resterende menselijke risico's zijn.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
280u (tech: 120u)
Van toepassing op:
✓ M365
✓ Microsoft Defender for Office 365 Plan 2
✓ Security Operations Centers
✓ Publieke Sector
✓ BIO-instellingen
✓ NIS2-entiteiten
✓ Microsoft Defender for Office 365 Plan 2
✓ Security Operations Centers
✓ Publieke Sector
✓ BIO-instellingen
✓ NIS2-entiteiten
Nederlandse overheidsorganisaties hanteren steeds vaker zero-trust architecturen, maar incidenten tonen aan dat één onoplettende klik nog steeds kan leiden tot datalekken, dwangsommen of langdurige verstoringen van publieke dienstverlening. Klassieke e-learning voldoet niet aan de BIO-verwachting dat bewustzijn aantoonbaar effectief moet zijn, terwijl NIS2 expliciet vraagt om oefeningen die de respons op social engineering toetsen. Zonder Attack Simulation Training ontbreekt kwantitatief inzicht in wie kwetsbaar blijft, kunnen FG en auditcommissies niet objectief vaststellen welke verbeteracties effect hebben en blijft het moeilijk om security awareness te positioneren als harde control in plaats van een vrijblijvende campagne.
PowerShell Modules Vereist
Primary API: Microsoft Graph Attack Simulation API (beta), Microsoft 365 Defender Advanced Hunting
Connection:
Required Modules: Microsoft.Graph, Microsoft.Graph.Security
Connection:
Connect-MgGraph met scopes AttackSimulation.Read.All, SecurityEvents.Read.All en Reports.Read.All; optioneel Kusto queries via `Invoke-ManagedQuery`Required Modules: Microsoft.Graph, Microsoft.Graph.Security
Implementatie
Dit artikel beschrijft hoe Attack Simulation Training wordt ontworpen, ingericht en gemonitord als strategische capability binnen de Nederlandse Baseline voor Veilige Cloud. We behandelen het bestuurlijke kader, het campagne-ontwerp en de technische orkestratie, tonen hoe telemetrie uit Microsoft Graph wordt gebruikt voor continu toezicht en leggen uit hoe het PowerShell-script `code/m365/security/attack-simulation-training.ps1` rapportages genereert voor SOC, CISO en audit. De nadruk ligt op volwassenheidsstappen die passen bij publieke organisaties met uiteenlopende beveiligingsniveaus.
Strategisch kader en risicodoelen voor simulaties
Attack Simulation Training moet worden verankerd in hetzelfde governance-raamwerk als andere kritieke security-controls. Dat begint met een formeel besluit waarin het bestuur bevestigt dat simulaties worden ingezet om menselijke risico's te reduceren, niet om medewerkers te bestraffen. Het besluit koppelt simulaties aan concrete dreigingen in het actuele BIO-risicoregister, benoemt welke rollen eindverantwoordelijk zijn voor doelstellingen en beschrijft hoe resultaten periodiek aan directies en ondernemingsraden worden teruggekoppeld. Door die bestuurlijke borging is het mogelijk om simulaties standaard op te nemen in het jaarlijkse informatiebeveiligingsplan en zij-instromende projecten, zoals de adoptie van nieuwe cloudoplossingen, automatisch te laten toetsen op awareness-impact.
Een strategisch kader zonder meetbare doelen mist richting. Daarom wordt vooraf een nulmeting uitgevoerd waarin klikratio's, credential submissions, meldingsgedrag en responstijden per organisatieonderdeel worden vastgelegd. Dit baseline-rapport combineert HR-attributen (functie, locatie, vertrouwensniveau) met technische data uit Microsoft 365 Defender zodat we risico's kunnen prioriteren op maatschappelijke impact. Doelstellingen worden gelaagd: organisatiebreed streven we bijvoorbeeld naar minder dan 10 procent klikratio binnen twaalf maanden, terwijl voor vitale ketens strengere normen gelden. Deze doelstellingen worden vastgelegd in een KPI-register waarin ook escalatiegrenzen staan die bepalen wanneer het CISO-office aanvullende maatregelen moet initiëren.
De Nederlandse publieke sector kent complexe stakeholders: colleges van B&W, gedeputeerden, ministeries, raden van bestuur en toezichthouders. Elk van hen verwacht andere rapportages. Het strategisch kader vertaalt daarom simulatie-uitkomsten naar verschillende abstractieniveaus. Bestuurders ontvangen een narratief dat ingaat op continuïteit, reputatie en wettelijke verplichtingen, terwijl SOC-leads een tactische heatmap krijgen waarmee zij kwetsbare teams gericht kunnen coachen. Voor FG en privacy officers wordt uitgewerkt hoe simulaties voldoen aan proportionaliteit en doelbinding. Zo ontstaat één consistent verhaal waarin Attack Simulation Training aantoonbaar bijdraagt aan de missie van de organisatie.
Samenwerking met HR, communicatie en opleidingsafdelingen is essentieel om draagvlak te behouden. In het kader worden RACI-matrices opgenomen waarin wordt vastgelegd wie scenario's goedkeurt, wie meldingen opvolgt en wie verantwoordelijk is voor feedback aan medewerkers. Communicatieprofessionals helpen om vooraf te vertellen waarom simulaties plaatsvinden en hoe medewerkers ondersteuning krijgen, terwijl HR ervoor zorgt dat nieuwe medewerkers direct in het programma worden opgenomen en dat resultaten worden meegenomen in ontwikkelgesprekken zonder juridisch risico te lopen. Deze multidisciplinaire aanpak zorgt ervoor dat simulaties niet worden gezien als een trucje van het securityteam, maar als gemeenschappelijke verantwoordelijkheid.
Tot slot vereist het strategische kader een ethisch kompas. Nederlandse overheden dragen een voorbeeldfunctie; simulaties mogen nooit het vertrouwen van burgers of medewerkers schaden. Het kader beschrijft daarom duidelijke grenzen voor scenario's: geen misbruik van vertrouwelijke persoonsgegevens, geen inzet van emotioneel beladen thema's zonder voorafgaande goedkeuring, en altijd een directe uitleg zodra een medewerker een simulatie triggert. Door deze ethische randvoorwaarden te documenteren kan de organisatie tijdens audits laten zien dat Attack Simulation Training niet alleen effectief is, maar ook voldoet aan de publieke waarden van transparantie, proportionaliteit en respect.
Campagneontwerp en simulatie-engineering
Een volwassen Attack Simulation-programma werkt met een meerjarenroadmap waarin scenario's logisch op elkaar volgen. Start met een baselinecampagne die de hele organisatie raakt en bouw daarna per kwartaal een nieuw thema in: credential harvesting, bijlagen met macro's, business email compromise, OAuth consent en multi-channel spear phishing. Elk thema krijgt vooraf gedefinieerde succescriteria die niet alleen naar klikgedrag kijken, maar ook naar meldingsgedrag en de snelheid waarmee lijnmanagers follow-up organiseren. Door deze roadmap te koppelen aan de planning-en-controlcyclus van de organisatie kunnen resultaten worden meegenomen in bestuurlijke voortgangsrapportages en jaarverslagen.
Scenario-engineering draait om relevantie. Templates uit Microsoft 365 Defender worden verrijkt met lokale context zoals logo's, tone of voice, lopende projecten en ketenpartners. Gemeenten simuleren bijvoorbeeld berichten van de rijksoverheid of leveranciers van omgevingsdiensten, terwijl zorginstellingen scenario's ontwerpen rond patiëntdossiers of GGD-meldingen. Door de context herkenbaar te maken stijgt de leereffectiviteit én kunnen we gericht oefenen op processen met een hoog privacy- of continuïteitsrisico. Elk scenario bevat daarnaast een educatieve landingspagina waarin in begrijpelijk Nederlands wordt uitgelegd welke signalen zijn gemist en hoe meldprocessen werken.
Technische engineering vraagt om strakke kwaliteitscontrole. Simulaties moeten een gecontroleerde verzendreeks volgen, SPF/DKIM instellen, device targeting ondersteunen en fallbackscenario's bevatten wanneer berichten worden geblokkeerd. In de voorbereidingsfase wordt daarom een kleine pilotgroep gebruikt om deliverability, lay-out en rapportagelogica te valideren. Pas wanneer de pilot aantoont dat metrics correct worden verzameld, volgt opschaling naar de volledige doelgroep. Deze werkwijze voorkomt valse positieven in rapportages en beschermt de reputatie van het programma.
Doelgroepsegmentatie zorgt ervoor dat simulaties aansluiten op risicoprofielen. Teams met toegang tot gevoelige registers of financiële systemen krijgen vaker geavanceerde scenario's aangeboden, terwijl ondersteunende diensten focussen op basisvaardigheden. Ook contractors, ketenpartners en uitzendkrachten moeten worden meegenomen indien zij toegang hebben tot Microsoft 365-gegevens. Hiervoor worden dynamische groepen in Entra ID ingezet, gekoppeld aan HR-attributen zoals functiecode, vertrouwensniveau en locatie. De segmentatie wordt elk kwartaal herijkt zodat wijzigingen in organisatie-structuur direct worden weerspiegeld in het programma.
Campagneontwerp eindigt niet bij verzending; het omvat ook directe interventies. Elk scenario definieert automatische triggers voor aanvullende microlearning, persoonlijke coaching of technische maatregelen zoals tijdelijke verhoging van MFA-eisen. Door deze interventies vooraf te ontwerpen ontstaat een voorspelbare workflow waarin medewerkers precies weten wat er gebeurt zodra zij op een simulatie reageren. Tegelijkertijd krijgt het SOC concreet zicht op waar extra begeleiding, procesaanpassingen of technische mitigaties nodig zijn.
Telemetrie, automatisering en scriptgestuurde bewaking
Gebruik PowerShell-script attack-simulation-training.ps1 (functie Invoke-AttackSimulationInsights) – Haalt simulatiegegevens via Microsoft Graph op of genereert voorbeelddata in DebugMode en berekent klikratio's, credential submissions, meldingspercentages en coverage-scores per organisatieonderdeel..
Gebruik PowerShell-script attack-simulation-training.ps1 (functie Publish-AttackSimulationTrainingReport) – Bouwt een volledig rapport met telemetrie, risicobeoordeling en aanbevolen governance-acties en exporteert dit optioneel naar JSON voor dashboarding of auditdossiers..
Effectieve simulaties staan of vallen met betrouwbare telemetrie. Microsoft Graph levert via het attack simulation endpoint rijke data: wie heeft een bericht geopend, wie klikte, wie gaf credentials prijs en wie meldde het bericht via Microsoft Report Message. Door deze data dagelijks te synchroniseren met het security data lake ontstaat een near-real-time beeld van risico's. Het bijbehorende PowerShell-script automatiseert dit proces: in productiemodus maakt het verbinding met Graph, in DebugMode genereert het representatieve datasets zodat scenario's lokaal kunnen worden getest zonder privacygevoelige gegevens.
De functie `Invoke-AttackSimulationInsights` consolideert meerdere bronnen tot één object met kernmetrics zoals gemiddelde klikratio, 95-percentiel van responsietijden en coverage per organisatieonderdeel. Het script verrijkt de data met trendanalyse door de laatste tien campagnes te vergelijken en signaleert direct wanneer prestaties stagneren of terugvallen. Hierdoor kunnen SOC-analisten bewijzen dat maatregelen werken of juist escaleren naar het CISO-office wanneer risico's opnieuw oplopen.
Naast metrische analyse brengt het script governance-tekorten in kaart. Wanneer minder dan 80 procent van de medewerkers in de kritieke ketens in de afgelopen honderd dagen is blootgesteld aan een simulatie, markeert het rapport dit als compliance-gap. Hetzelfde gebeurt wanneer meldingspercentages onder vooraf ingestelde drempels zakken of wanneer credential submissions in absolute aantallen toenemen ondanks lagere klikratio's. Deze automatische detecties ondersteunen FG's en auditors omdat ze objectief aantonen dat de organisatie actief toezicht houdt op effectiviteit.
De rapportage uit `Publish-AttackSimulationTrainingReport` wordt bewaard als JSON zodat hij kan worden opgenomen in Power BI dashboards, GRC-systemen of auditdossiers. Het rapport koppelt telemetrie aan concrete acties per rol: SOC krijgt instructies voor aanvullende hunting, HR ontvangt gerichte coachingtaken en bestuurders krijgen een executive samenvatting met trendpijlen. Door deze standaardisatie voorkomen we dat analyses afhankelijk zijn van losse Excel-sheets of subjectieve interpretatie.
Governance, compliance en continue verbetering
Attack Simulation Training levert direct bewijs voor meerdere frameworks, maar alleen wanneer governance en documentatie op orde zijn. Elke campagne krijgt een uniek ID, scenarioomschrijving, betrokken doelgroep, goedkeuringsdatum en verwijzing naar de DPIA of templatebesluit. Deze gegevens worden opgeslagen in hetzelfde archiefsysteem als andere securitydocumentatie zodat auditors kunnen verifiëren wie welke campagne heeft vrijgegeven en hoe proportionaliteit is geborgd. Het rapportageproces sluit aan op de reguliere assurancekalender, waardoor resultaten automatisch worden besproken in het informatiebeveiligingsoverleg en worden meegenomen in de BIO-verklaring.
Continue verbetering wordt georganiseerd via retrospectieve sessies waarin security, HR, communicatie en lijnmanagement lessons learned bespreken. Hierbij wordt niet alleen gekeken naar cijfers, maar ook naar de kwaliteit van educatieve landingspagina's, de snelheid van follow-up en de mate waarin meldkanalen worden gebruikt. Bevindingen worden vertaald naar wijzigingsverzoeken voor processen, tooling of beleidsdocumenten. Door deze feedbackloop expliciet te documenteren laat de organisatie zien dat Attack Simulation Training onderdeel is van de PDCA-cyclus en dus voldoet aan ISO 27001 en NIS2-eisen voor voortdurende risicobeheersing.
Tot slot moet de organisatie aantonen dat simulaties juridisch houdbaar zijn. Dat betekent dat de FG vooraf wordt betrokken, dat er duidelijke privacy notices zijn en dat individuele resultaten alleen worden gebruikt voor coaching wanneer dit in arbeidsvoorwaarden is geborgd. Wanneer externe partijen (bijvoorbeeld shared service centers) campagnes uitvoeren, worden contractuele afspraken vastgelegd over dataminimalisatie, bewaartermijnen en inzagerechten. Door deze compliance-artefacten te koppelen aan de output van het PowerShell-script ontstaat één bron van waarheid waarmee boards, rekenkamers en toezichthouders overtuigend kunnen worden geïnformeerd.
Compliance & Frameworks
- BIO: 07.01, 09.02, 13.02 - Biedt aantoonbare borging van bewustwording, detectie en rapportage-eisen binnen de Baseline Informatiebeveiliging Overheid door simulaties te koppelen aan KPI's en auditdossiers.
- ISO 27001:2022: A.5.36, A.6.3, A.7.4 - Ondersteunt mensgerichte controls, oefenprogramma's en continue verbetering zoals gevraagd binnen het ISMS.
- NIS2: Artikel - Voldoet aan de verplichting tot training, oefening en incidentresponsvoorbereiding voor essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Analyseert Attack Simulation Training-resultaten en bouwt een rapportage voor Microsoft 365.
.DESCRIPTION
Het script ondersteunt het artikel content/m365/security/attack-simulation-training.json.
Het haalt telemetrie op via Microsoft Graph (of genereert voorbeelddata in DebugMode),
berekent klik- en meldingspercentages, beoordeelt coverage ten opzichte van drempelwaarden
en levert aanbevelingen voor governance, compliance en vervolgacties.
.NOTES
Filename : attack-simulation-training.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Created : 2025-11-27
Version : 1.0
Category : security
Workload : m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\attack-simulation-training.ps1 -DebugMode
Voert een lokale test uit zonder cloudverbinding en retourneert het rapportobject.
.EXAMPLE
.\attack-simulation-training.ps1 -Mode Publish -OutputPath .\attack-sim-report.json
Exporteert het rapport naar JSON.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Gebruik voorbeelddata en sla cloudverbindingen over.")]
[switch]$DebugMode,
[Parameter(HelpMessage = "Bepaal of het rapport wordt geanalyseerd of direct gepubliceerd.")]
[ValidateSet("Assess", "Publish")]
[string]$Mode = "Assess",
[Parameter(HelpMessage = "Pad voor het geëxporteerde rapport wanneer -Mode Publish is gekozen.")]
[string]$OutputPath,
[Parameter(HelpMessage = "Minimale percentage medewerkers dat in de afgelopen 100 dagen is gesimuleerd.")]
[ValidateRange(10, 100)]
[int]$CoverageThreshold = 80,
[Parameter(HelpMessage = "Gewenst meldingspercentage voor verdachte berichten.")]
[ValidateRange(0, 100)]
[int]$ReportThreshold = 35
)
Set-StrictMode -Version Latest
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
if (-not $OutputPath) {
$OutputPath = Join-Path -Path (Get-Location) -ChildPath "attack-simulation-training-report.json"
}
Write-Host "`n============================================" -ForegroundColor Cyan
Write-Host "Attack Simulation Training (Microsoft 365)" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "============================================`n" -ForegroundColor Cyan
function Connect-AttackSimulationGraph {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Graph voor Attack Simulation telemetrie.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Host "DebugMode actief: Graph-verbinding wordt overgeslagen." -ForegroundColor Yellow
return
}
$scopes = @(
"AttackSimulation.Read.All",
"SecurityEvents.Read.All",
"Reports.Read.All",
"Directory.Read.All"
)
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes $scopes -NoWelcome | Out-Null
Write-Host "Verbonden met Microsoft Graph." -ForegroundColor Green
}
function Get-AttackSimulationTelemetry {
<#
.SYNOPSIS
Haalt simulatiegegevens op of retourneert voorbeelddata.
.OUTPUTS
PSCustomObject met Simulations, Metrics, Coverage en Segments.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
$now = (Get-Date).ToUniversalTime()
$segments = @(
[PSCustomObject]@{ Name = "Publieksdienstverlening"; ClickRate = 0.18; CredentialRate = 0.06; ReportRate = 0.22; TargetedUsers = 420 },
[PSCustomObject]@{ Name = "Financiën en Inkoop"; ClickRate = 0.09; CredentialRate = 0.02; ReportRate = 0.41; TargetedUsers = 155 },
[PSCustomObject]@{ Name = "Beleid & Juridische Zaken"; ClickRate = 0.12; CredentialRate = 0.01; ReportRate = 0.37; TargetedUsers = 210 }
)
return [PSCustomObject]@{
RetrievedAtUtc = $now
Simulations = @(
[PSCustomObject]@{
Id = [guid]::NewGuid().Guid
DisplayName = "Baseline spear phishing"
CreatedDateTimeUtc = $now.AddDays(-21)
Status = "completed"
AttackTechnique = "spearPhishing"
AssignedUsers = 500
DeliveredUsers = 492
ClickRate = 0.14
CredentialRate = 0.03
ReportRate = 0.29
CompletionHours = 18
},
[PSCustomObject]@{
Id = [guid]::NewGuid().Guid
DisplayName = "CEO-fraude kwartaalcampagne"
CreatedDateTimeUtc = $now.AddDays(-55)
Status = "completed"
AttackTechnique = "businessEmailCompromise"
AssignedUsers = 260
DeliveredUsers = 259
ClickRate = 0.11
CredentialRate = 0.02
ReportRate = 0.34
CompletionHours = 22
}
)
Metrics = [PSCustomObject]@{
AverageClickRate = 0.135
AverageCredentialRate = 0.025
AverageReportRate = 0.315
MedianCompletionHours = 20
}
Coverage = [PSCustomObject]@{
UniqueUsersLast100Days = 780
TotalLicensedUsers = 930
Percentage = [math]::Round((780 / 930) * 100, 2)
}
Segments = $segments
}
}
$simulations = @()
$coverageSnapshots = @()
try {
$simUri = "https://graph.microsoft.com/beta/security/attackSimulation/simulations?`$top=50&`$orderby=createdDateTime%20desc"
$simResponse = Invoke-MgGraphRequest -Method GET -Uri $simUri -ErrorAction Stop
if ($simResponse.value) {
foreach ($sim in $simResponse.value) {
$simulations += [PSCustomObject]@{
Id = $sim.id
DisplayName = $sim.displayName
CreatedDateTimeUtc = $sim.createdDateTime
Status = $sim.status
AttackTechnique = $sim.attackTechnique
AssignedUsers = $sim.assignedUsersCount
DeliveredUsers = $sim.deliveredUsersCount
ClickRate = $sim.payloadClickRate
CredentialRate = $sim.credentialHarvestRate
ReportRate = $sim.reportRate
CompletionHours = if ($sim.createdDateTime -and $sim.completionDateTime) {
[math]::Round((([datetime]$sim.completionDateTime) - ([datetime]$sim.createdDateTime)).TotalHours, 2)
} else { $null }
}
}
}
}
catch {
Write-Warning "Kon attackSimulation/simulations niet ophalen: $_"
}
try {
$coverageUri = "https://graph.microsoft.com/beta/security/attackSimulation/reports/simulationUserCoverage?`$top=200"
$coverageResponse = Invoke-MgGraphRequest -Method GET -Uri $coverageUri -ErrorAction Stop
if ($coverageResponse.value) {
$coverageSnapshots = $coverageResponse.value
}
}
catch {
Write-Warning "Kon simulationUserCoverage niet ophalen: $_"
}
$clickValues = ($simulations | ForEach-Object { $_.ClickRate } | Where-Object { $_ -ne $null })
$credentialValues = ($simulations | ForEach-Object { $_.CredentialRate } | Where-Object { $_ -ne $null })
$reportValues = ($simulations | ForEach-Object { $_.ReportRate } | Where-Object { $_ -ne $null })
$completionValues = ($simulations | ForEach-Object { $_.CompletionHours } | Where-Object { $_ -ne $null }) | Sort-Object
$metrics = [PSCustomObject]@{
AverageClickRate = if ($clickValues) { [math]::Round(($clickValues | Measure-Object -Average).Average, 4) } else { 0 }
AverageCredentialRate = if ($credentialValues) { [math]::Round(($credentialValues | Measure-Object -Average).Average, 4) } else { 0 }
AverageReportRate = if ($reportValues) { [math]::Round(($reportValues | Measure-Object -Average).Average, 4) } else { 0 }
MedianCompletionHours = if ($completionValues.Count -gt 0) {
$mid = [math]::Floor($completionValues.Count / 2)
$completionValues[$mid]
} else { 0 }
}
$uniqueUsers = 0
$totalUsers = 0
if ($coverageSnapshots) {
$uniqueUsers = ($coverageSnapshots | Measure-Object -Property userCount -Sum).Sum
$totalUsers = ($coverageSnapshots | Measure-Object -Property totalUserCount -Sum).Sum
if (-not $totalUsers -and $uniqueUsers) {
$totalUsers = [math]::Round($uniqueUsers * 1.15)
}
}
$segments = @()
if ($coverageSnapshots) {
foreach ($snapshot in $coverageSnapshots) {
$segments += [PSCustomObject]@{
Name = $snapshot.segmentDisplayName
ClickRate = $snapshot.clickRate
CredentialRate = $snapshot.credentialHarvestRate
ReportRate = $snapshot.reportRate
TargetedUsers = $snapshot.userCount
}
}
}
return [PSCustomObject]@{
RetrievedAtUtc = (Get-Date).ToUniversalTime()
Simulations = $simulations
Metrics = $metrics
Coverage = [PSCustomObject]@{
UniqueUsersLast100Days = $uniqueUsers
TotalLicensedUsers = $totalUsers
Percentage = if ($totalUsers -gt 0) { [math]::Round(($uniqueUsers / $totalUsers) * 100, 2) } else { 0 }
}
Segments = $segments
}
}
function Invoke-AttackSimulationInsights {
<#
.SYNOPSIS
Beoordeelt telemetrie en berekent afwijkingen ten opzichte van drempels.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[pscustomobject]$Telemetry
)
$metrics = $Telemetry.Metrics
$coverage = $Telemetry.Coverage
$coverageGap = if ($coverage.Percentage -lt $CoverageThreshold) {
[math]::Round($CoverageThreshold - $coverage.Percentage, 2)
} else { 0 }
$reportGap = if (($metrics.AverageReportRate * 100) -lt $ReportThreshold) {
[math]::Round($ReportThreshold - ($metrics.AverageReportRate * 100), 2)
} else { 0 }
$riskScore = 50
$riskScore += [math]::Min(25, ($metrics.AverageClickRate * 100))
$riskScore += [math]::Min(15, ($metrics.AverageCredentialRate * 200))
if ($coverageGap -gt 0) { $riskScore += 10 }
if ($reportGap -gt 0) { $riskScore += 10 }
$riskScore = [math]::Min(100, [math]::Round($riskScore, 2))
return [PSCustomObject]@{
CoverageGapPercent = $coverageGap
ReportGapPercent = $reportGap
ResidualRiskScore = $riskScore
Metrics = $metrics
Coverage = $coverage
}
}
function Invoke-AttackSimulationRecommendations {
<#
.SYNOPSIS
Genereert aanbevelingen op basis van de inzichten.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[pscustomobject]$Insights,
[Parameter(Mandatory = $true)]
[pscustomobject]$Telemetry
)
$actions = @(
"Plan kwartaalreview met CISO, FG en HR om simulatie-coverage en ethische kaders te herijken.",
"Publiceer lessons learned in het security awareness-portaal en verwijs naar meldprocedures.",
"Koppel Attack Simulation-resultaten aan SOC-kwaliteitsmetingen en incidentresponse-oefeningen."
)
if ($Insights.CoverageGapPercent -gt 0) {
$actions += "Coverage is ${($Telemetry.Coverage.Percentage)}%: plan verplichte campagnes voor segmenten die langer dan 100 dagen niet zijn meegenomen."
}
if ($Insights.ReportGapPercent -gt 0) {
$actions += "Meldingspercentage blijft onder ${ReportThreshold}%: activeer aanvullende meldcampagnes en evalueer de Report Message-add-in."
}
if (($Insights.Metrics.AverageCredentialRate * 100) -gt 2) {
$actions += "Credential submissions overschrijden 2%: voer direct een targeted training uit voor high-risk rollen en controleer MFA-configuraties."
}
$evidence = @(
"Export van attack-simulation-training-report.json",
"Scenario-ontwerpen met goedkeuringen en DPIA-referenties",
"Lijsten met medewerkers die coaching hebben ontvangen",
"Bewijs van meldingskanalen (Teams, Outlook add-ins, hotline)"
)
return [PSCustomObject]@{
PriorityActions = $actions
AuditEvidence = $evidence
ResidualRisk = $Insights.ResidualRiskScore
}
}
function Publish-AttackSimulationTrainingReport {
<#
.SYNOPSIS
Bouwt het eindrapport en exporteert optioneel naar JSON.
#>
[CmdletBinding()]
param()
$telemetry = Get-AttackSimulationTelemetry
$insights = Invoke-AttackSimulationInsights -Telemetry $telemetry
$actions = Invoke-AttackSimulationRecommendations -Insights $insights -Telemetry $telemetry
$report = [PSCustomObject]@{
GeneratedAtUtc = (Get-Date).ToUniversalTime()
DebugMode = [bool]$DebugMode
Insights = $insights
Telemetry = $telemetry
Recommendations= $actions
Segments = $telemetry.Segments
}
if ($Mode -eq "Publish") {
Write-Verbose "Rapport exporteren naar $OutputPath"
$report | ConvertTo-Json -Depth 6 | Set-Content -Path $OutputPath -Encoding UTF8
}
return $report
}
try {
Connect-AttackSimulationGraph
$result = Publish-AttackSimulationTrainingReport
$result
exit 0
}
catch {
Write-Error "Fout tijdens het genereren van Attack Simulation-rapport: $_"
exit 1
}
finally {
Write-Host "`n============================================`n" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = Succes
# 1 = Fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Menselijke risico's rond phishing en social engineering blijven onmeetbaar, waardoor bestuurders geen aantoonbare grip hebben op awareness-eisen en auditors tekortkomingen zullen rapporteren met mogelijke boetes of aanwijzingen.
Management Samenvatting
Positioneer Attack Simulation Training als strategische control, ontwerp campagnes met lokale context en gebruik `attack-simulation-training.ps1` om telemetrie, governance en compliance samen te brengen in één rapportageketen.
- Implementatietijd: 280 uur
- FTE required: 0.4 FTE