💼 Management Samenvatting
Statelijke actoren combineren digitale spionage, sabotage en beïnvloedingscampagnes om de democratische rechtsstaat te verstoren. Microsoft 365 vormt zowel een doelwit als een verdedigingsplatform, waardoor een integraal verdedigingsontwerp noodzakelijk is.
Aanbeveling
IMPLEMENT
Risico zonder
Very High
Risk Score
9/10
Implementatie
0u
Van toepassing op:
✓ Microsoft 365 E5
✓ Microsoft Defender XDR
✓ Microsoft Sentinel
✓ Microsoft Defender for Endpoint
✓ Microsoft Defender for Office 365
✓ Microsoft Entra ID
✓ Microsoft Defender XDR
✓ Microsoft Sentinel
✓ Microsoft Defender for Endpoint
✓ Microsoft Defender for Office 365
✓ Microsoft Entra ID
Nederlandse overheden beheren vertrouwelijke diplomatieke dossiers, energie-infrastructuur, defensieplannen en persoonsgegevens van miljoenen burgers. Zodra een statelijke actor toegang krijgt tot een Microsoft 365-tenant kan deze informatie op industriële schaal worden misbruikt voor chantage, economische dwang of strategische misleiding. Traditionele beveiligingsmaatregelen die enkel focussen op malwaredetectie zijn ontoereikend omdat statelijke actoren juist sociale engineering, token diefstal, OAuth misbruik en supply-chain infiltratie combineren. Zonder een specifiek nation-state verdedigingsmodel ontbreekt er zicht op doelgerichte campagnes, worden ketenpartners niet betrokken en blijven essentiële responscapaciteiten onbeoefend.
PowerShell Modules Vereist
Primary API: Microsoft Graph Security API, Microsoft Defender for Endpoint API, Microsoft Sentinel Management API, Microsoft Purview
Connection:
Required Modules: Microsoft.Graph, Microsoft.Graph.Security, Az.Accounts, Az.Resources, Az.SecurityInsights, ExchangeOnlineManagement
Connection:
Connect-MgGraph, Connect-AzAccount, Connect-IPPSSessionRequired Modules: Microsoft.Graph, Microsoft.Graph.Security, Az.Accounts, Az.Resources, Az.SecurityInsights, ExchangeOnlineManagement
Implementatie
Dit artikel vertaalt de Nederlandse Baseline voor Veilige Cloud naar een nation-state verdedigingsprogramma binnen Microsoft 365. We behandelen governance en dreigingsanalyse, bouwen een technische architectuur rond Defender XDR en Sentinel, beschrijven operaties en ketensamenwerking, en sluiten af met compliance en assurance. Het gekoppelde PowerShell-script controleert in één run of de kernmaatregelen daadwerkelijk zijn ingeschakeld en levert direct rapportage-input voor CISO’s en auditors.
Strategische dreigingsanalyse en governance voor statelijke dreigingen
Een nation-state programma start bij een gezamenlijke analyse van het dreigingsbeeld. Nederlandse overheidsorganisaties baseren zich op het Cybersecuritybeeld Nederland, NCSC-waarschuwingen en classificaties van NAVO en EU-energienetwerken. De organisatie vertaalt deze bronnen naar concrete scenario’s: spionagecampagnes gericht op beleidsadviseurs, sabotage van digitale verkiezingsprocessen, supply-chain compromissen van SaaS-applicaties en psychologische operaties via social engineering. Elke scenarioanalyse beschrijft actoren, meest gebruikte MITRE ATT&CK-technieken, vermoedelijke doelstellingen en maximale tolerabele impact. Door deze analyse jaarlijks te actualiseren en te koppelen aan strategische programma’s (bijvoorbeeld digitaliseringsagenda’s of defensiesamenwerking) blijft het dreigingsmodel relevant en bestuurlijk gedragen.
Governance volgt hetzelfde detailniveau. Bestuurders wijzen een nation-state portfoliohouder aan die rechtstreeks rapporteert aan de secretaris-generaal of gemeentesecretaris. Deze portefeuille integreert security, inlichtingenvergaring, juridische borging en communicatie. Een governanceboard waarin CISO, CIO, Chief Intelligence Officer en Chief Legal Counsel zitting hebben, bekrachtigt beleidskeuzes, beoordeelt risico-acceptatie en bewaakt budgettaire randvoorwaarden. Het board hanteert duidelijke escalatiepaden: incidenten met mogelijke statelijke herkomst worden binnen een uur besproken in een crisisteam dat bevoegd is tot het uitschakelen van volledige werkstromen, het informeren van NCSC en het activeren van internationale verdragsverplichtingen. Die snelheid is nodig omdat statelijke actoren vaak meerdere aanvalsvectoren parallel inzetten en groeiruimte benutten zolang besluitvorming traag is.
Een volwassen governancekader koppelt strategische analyses aan meetbare doelen. Denk aan het vastleggen van een maximaal aanvaardbare dwell time voor statelijke actoren (bijvoorbeeld maximaal 24 uur tussen detectie en containment) en het definiëren van een minimaal detectiepercentage per MITRE-techniek. Deze doelen worden gekoppeld aan Microsoft 365-telemetrie: Defender XDR incidenten, Sentinel use cases, Entra ID sign-ins en Purview auditlogs. Door deze data te bundelen in een Nation-State Command Center-dashboard ontstaat realtime inzicht in voortgang, hiaten en aanstaande beslissingen. Het dashboard dient tevens als basis voor de rapportages richting BZK, NCSC en internationale partners.
Tot slot moet governance expliciet rekening houden met ketenafhankelijkheden. Gemeenten, provincies en uitvoeringsorganisaties delen dossiers, documenten en teamsites. Het governancekader eist daarom dat iedere ketenpartner een gelijkwaardig volwassenheidsniveau hanteert, inclusief contractuele verplichtingen voor het melden van indicatoren binnen twee uur en het delen van forensische artefacten via beveiligde kanalen. Door deze afspraken vast te leggen in convenanten en verwerkersovereenkomsten blijft de gehele keten in staat om gecoördineerd te reageren op statelijke campagnes.
Als sluitstuk hanteert de organisatie een volwassenheidsmodel dat aansluit op de Nederlandse Baseline voor Veilige Cloud. Elk domein (identiteit, data, detectie, respons en governance) kent vijf niveaus met duidelijke criteria en beslisdocumenten. Budgetaanvragen worden gekoppeld aan verbeterstappen binnen dit model, waardoor bestuurders exact zien welke investeringen leiden tot een hogere weerbaarheid. Tijdens halfjaarlijkse strategische reviews wordt het model geactualiseerd met lessons learned uit internationale incidenten, zodat ambities voortdurend worden aangescherpt en inspanningen niet fragmentarisch maar programmatisch worden aangestuurd.
Technische architectuur voor detectie en preventie in Microsoft 365
Gebruik PowerShell-script nation-state-defenses.ps1 (functie Invoke-NationStateDefenseAssessment) – Het script controleert in minder dan vijftien seconden (DebugMode) of de belangrijkste verdedigingselementen zijn geconfigureerd, waaronder Defender XDR-integraties, Sentinel-huntingregels, privileged access-architectuur en Purview-auditlogs, en levert direct aanbevelingen voor remediatie..
De technische architectuur combineert Zero Trust-identiteitsbeveiliging, diepgaande endpoint-telemetrie en cloud-native SIEM. Microsoft Entra ID fungeert als policy-engine waarin risico-gebaseerde Conditional Access policies toegang blokkeren wanneer statelijke indicatoren worden gedetecteerd (bijvoorbeeld opnieuw gebruikte refresh tokens, mass cookie replay of high-risk sign-ins). Elke privileged identiteitsgroep is afgeschermd met PIM, hardware keys en strikte session controls. Deze identiteitslaag wordt gekoppeld aan Defender for Identity voor detectie van laterale beweging en Kerberos misbruik in hybride omgevingen. Hierdoor ontstaat een contextuele identiteitslaag die onmiddellijk signaleert wanneer actoren zich verplaatsen tussen on-premises en Microsoft 365.
Aan endpointzijde levert Defender for Endpoint proactieve signalen zoals tampering, credential theft en kernel exploits. Deze signalen worden verrijkt met threat intelligence uit partnerfeeds (NCSC, MISP, Microsoft Threat Intelligence) die via Sentinel TAXII-connectors binnenkomen. De architectuur schrijft voor dat alle indicatoren automatisch worden opgeslagen in de ThreatIntelligenceIndicator-tabel, gekoppeld aan MITRE-tags en tweeweg-synchronisatie hebben met hunting queries. Elke indicator wordt automatisch getest tegen historische gegevens om retro-hunting te ondersteunen. Voor e-mail- en samenwerkingstromen dwingt Defender for Office 365 detonation policies en zero-hour auto purge af, waarbij verdachte payloads naar een isolatieomgeving in Azure worden gestuurd en forensische kopieën worden gearchiveerd in een Purview Evidence Locker.
Microsoft Sentinel vormt de gemeenschappelijke data- en automatiseringslaag. De architectuur omvat dedicated data connectors voor Defender suite, Azure Firewall, third-party IDS en OT-omgevingen. Voor elke kritieke MITRE-techniek bestaan minimaal twee detectielagen: een analytic rule voor realtime detectie en een hunting query voor proactieve detectie. Sentinel playbooks orchestreren automatische containment, bijvoorbeeld het intrekken van tokens, het blokkeren van command-and-control IP’s via Microsoft Defender for Cloud Apps en het isoleren van endpoints. Deze playbooks zijn gekoppeld aan Teams-crisis kanalen waarin automatisch een incidentbriefing wordt geplaatst, inclusief indicatoren, MITRE-mapping, betrokken gebruikers en voorgestelde isolatiestappen.
Een cruciale aanvullende bouwsteen is gegevensbescherming. Microsoft Purview labelt staatsgevoelige documenten automatisch op basis van trainable classifiers (bijvoorbeeld “NAVO Restricted” of “Interdepartementale Strategie”). Zodra een document deze labels draagt, wordt uitgaande e-mail naar externe domeinen geblokkeerd, worden downloads naar onbeheerde apparaten verhinderd en wordt auditlogging verplicht gesteld. Het architectuurdocument beschrijft hoe deze labels samenwerken met Defender for Cloud Apps sessiecontroles en Microsoft Teams Information Barriers, zodat statelijke actoren geen gebruik kunnen maken van menselijke fouten om data te exfiltreren. Encryptiesleutels worden beheerd via Customer Key met HSM’s binnen de EU Data Boundary.
Resilience is ingebouwd via meerdere herstelpaden. Back-upconfiguraties voor Exchange Online, SharePoint en Teams zijn gekoppeld aan immutable storage in een apart abonnement met just-in-time toegang. Alle kritieke configuraties worden vastgelegd als code in een beveiligde repository zodat Defender- en Sentinel-instellingen snel kunnen worden hersteld na een aanval. De architectuur schrijft bovendien voor dat alle netwerkcommunicatie tussen Microsoft 365 en on-premises componenten verloopt via versleutelde Private Links of VPN’s met certificaatvalidatie, waardoor statelijke actoren geen gebruik kunnen maken van publiek toegankelijke beheerinterfaces.
Operaties, responscapaciteit en ketensamenwerking
Nation-state operations vereisen een 24/7 SOC dat nauw samenwerkt met crisiscommunicatie en juridische experts. Operationele runbooks beschrijven per MITRE-fase welke stappen worden uitgevoerd, wie beslissingsbevoegd is en welke hulpmiddelen worden ingezet. Een voorbeeld: zodra Sentinel een anomalie detecteert in OAuth-app consent wordt automatisch een Teams-incidentkanaal geopend, de verantwoordelijke applicatiebeheerder wordt getagd en het script start een beoordeling van alle high-privilege service principals. Parallel informeert het SOC het CIO-office via een kort format waarin impact, onzekerheden en voorgenomen acties worden benoemd. Deze werkwijze voorkomt dat waardevolle minuten verloren gaan aan coördinatie en biedt bestuurders direct handelingsperspectief.
Oefenen is even belangrijk als technologie. Elke maand voert de organisatie een micro-oefening uit waarin een specifiek aanvalspad wordt gesimuleerd, bijvoorbeeld hijacking van een federated identity provider of datadiefstal via Power Automate. Kwartaalbreed worden ketenoefeningen uitgevoerd met externe partners, waarbij data-uitwisseling en gezamenlijke besluitvorming centraal staan. De resultaten worden vastgelegd in het Nation-State Lessons Learned Register, waarin verbeteracties direct worden gekoppeld aan technische backlog-items in Azure DevOps of GitHub Issues. Door deze koppeling te maken blijft zichtbaar hoe organisatorische inzichten leiden tot concrete configuratiewijzigingen.
Operaties omvatten ook forensische paraatheid. Alle Defender-telemetrie wordt minimaal 365 dagen bewaard in een aparte Sentinel workspace die alleen toegankelijk is voor het forensics team. Elke incidentrespons bevat een data preservation stap waarbij relevante mailboxen, Teams-chats en SharePoint-sites onder eDiscovery hold worden geplaatst. Daarnaast heeft de organisatie hardwarematige hulpmiddelen klaarstaan, zoals FIDO2 tokens voor noodaccounts en sealed laptops voor crisisteams. Deze voorzieningen worden elk kwartaal getest via het PowerShell-script dat verifieert of break-glass accounts nog steeds MFA-beleid omzeilen zonder permanente licenties te vereisen.
Ketenrespons krijgt een vaste structuur via een Nation-State Collaboration Charter. Hierin staat hoe informatie wordt gedeeld met NCSC, welke rol regionale veiligheidsregio’s spelen en hoe internationale partners worden geïnformeerd. De charter beschrijft tevens de eisen voor GEA-classificatie (Government Enterprise Architecture) zodat architectuurkeuzes compatibel blijven met rijksbrede richtlijnen. Door ketenpartners toegang te geven tot geselecteerde Sentinel dashboards en gedeelde Teams-kanalen ontstaan gezamenlijke situational awareness en een gedeeld beslismodel over welke systemen tijdelijk buiten gebruik worden gesteld.
Personele paraatheid wordt geborgd via een speciaal opleidingstraject voor nation-state responders. Analisten volgen trainingen in tegenstanderprofilering, linguïstische forensics en de juridische kaders rond Wiv, Wbni en NIS2. Rotaties tussen SOC, architectuur en beleidsteams zorgen voor kruisbestuiving, terwijl welzijnsprogramma’s burn-out risico’s beperken bij langdurige incidenten. Door deze mensgerichte aanpak blijft de organisatie in staat om langdurige campagnes te weerstaan zonder kwaliteitsverlies in besluitvorming.
Compliance, assurance en meetbaarheid
Compliance binnen een nation-state programma overstijgt traditionele auditchecklists. Elke maatregel moet aantoonbaar bijdragen aan wettelijke verplichtingen uit BIO, Wbni en NIS2, maar ook aan politieke verantwoordingslijnen richting parlement en gemeenteraad. Daarom onderhoudt de organisatie een Nation-State Control Matrix waarin elke architectuurcomponent wordt gemapt op de relevante controle-eisen. Deze matrix wordt automatisch gevoed door het PowerShell-script dat bij elke run vastlegt welke policies actief zijn, wanneer zij voor het laatst zijn gewijzigd en wie de eigenaar is. Auditors kunnen zo direct de lijn volgen van dreiging naar maatregel, verantwoordelijke en bewijsdocument.
Meetbaarheid vraagt om kwalitatieve én kwantitatieve indicatoren. Kwantitatief worden metrics vastgelegd zoals detectietijd, aantal unieke nation-state incidenten per kwartaal, percentage endpoints met attack surface reduction rules, of volume van gedeelde indicatoren binnen ISAC’s. Kwalitatief worden board minutes en crisislogboeken geanalyseerd om te beoordelen of besluitvorming tijdig en volledig was. Deze gegevens worden opgenomen in een halfjaarlijkse assurance-rapportage waarin de interne auditdienst beoordeelt of controles effectief zijn, of procesafspraken worden nageleefd en of aanvullende investeringen nodig zijn.
AVG- en archiefwetgeving spelen eveneens een rol. Forensische datasets mogen niet onbeperkt worden bewaard, maar moeten zolang beschikbaar blijven als toezichthouders dat vereisen. De organisatie hanteert daarom een bewaartermijn van drie jaar voor incidentdossiers, waarbij Purview Records Management automatisch vernietiging inplant zodra wettelijke verplichtingen dit toelaten. Bij gedeelde internationale onderzoeken zorgt een Data Sharing Impact Assessment ervoor dat persoonsgegevens alleen worden gedeeld met landen die adequate waarborgen bieden, inclusief contractuele clausules over versleuteling en beperkte toegang.
Assurance is pas compleet wanneer bestuurders aantoonbaar betrokken blijven. Iedere kwartaalvergadering van de CISO-raad bevat een nation-state agendapunt waarin lessons learned, indicatoren en geplande verbeteringen worden besproken. Het PowerShell-script levert hiervoor een managementsamenvatting waarin openstaande risico’s worden geprioriteerd op basis van impact en waarschijnlijkheid. Deze samenvatting vormt de basis voor besluitvorming over investeringen in personeel, tooling en ketenprojecten en sluit zo de PDCA-cyclus binnen de Nederlandse Baseline voor Veilige Cloud.
Externe assurance komt tot stand via periodieke toetsingen door de Auditdienst Rijk, ENSIA-verklaringen en waar nodig onafhankelijke penetratietesten door partijen met nationale veiligheidscertificering. De uitkomsten worden gedeeld met toezichthouders en opgenomen in het Rijksbrede beveiligingsbeeld, zodat Nederland als geheel profiteert van de inzichten. Door deze transparante aanpak groeit het vertrouwen van burgers en internationale partners dat Microsoft 365-omgevingen van de Nederlandse overheid bestand zijn tegen statelijke actoren.
Compliance & Frameworks
- BIO: 12.01, 12.02, 13.01, 14.04, 17.1 - BIO-maatregelen voor logging, monitoring, incidentrespons, informatiebeveiligingsorganisatie en samenwerking met ketenpartners.
- ISO 27001:2022: A.5.7, A.5.21, A.8.16, A.8.23, A.8.28 - ISO 27001:2022-controles voor dreigingsinformatie, ketenbeveiliging, monitoring en incidentafhandeling.
- NIS2: Artikel - NIS2-verplichtingen voor risicobeheer, incidentmelding, informatie-uitwisseling en toezicht op essentiële entiteiten binnen statelijke dreigingsscenario’s.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Controleert of Microsoft 365-omgevingen zijn voorbereid op statelijke dreigingen.
.DESCRIPTION
Het script valideert de belangrijkste bouwstenen van een nation-state verdedigingsprogramma:
Microsoft Defender XDR-telemetrie, Microsoft Sentinel-analytics, privileged access-isolatie,
Intune Attack Surface Reduction-beleid, Purview auditlogging, geautomatiseerde playbooks en
de aanwezigheid van ketendocumentatie. Met -DebugMode kan een volledige testrun binnen
vijftien seconden lokaal worden uitgevoerd zonder verbinding te maken met productieomgevingen.
.NOTES
Filename : nation-state-defenses.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Created : 2025-11-27
Version : 1.0
Gerelateerd JSON-artikel:
content/m365/threat-protection/nation-state-defenses.json
.EXAMPLE
.\nation-state-defenses.ps1 -Assessment -DebugMode
Voert een gesimuleerde assessment uit zonder externe verbindingen.
.EXAMPLE
.\nation-state-defenses.ps1 -Assessment
Voert alle controles live uit tegen de tenant.
.EXAMPLE
.\nation-state-defenses.ps1 -Assessment -Report -OutputPath .\nation-state-report.txt
Draait de assessment en schrijft een managementrapport weg.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer de nation-state assessment uit")]
[switch]$Assessment,
[Parameter(HelpMessage = "Genereer een managementrapport")]
[switch]$Report,
[Parameter(HelpMessage = "Pad voor rapportuitvoer (vereist bij -Report)")]
[string]$OutputPath,
[Parameter(HelpMessage = "Lokale testmodus zonder externe verbindingen")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Initialize-NationStateDefenseConnections {
<#
.SYNOPSIS
Zet benodigde verbindingen op tenzij DebugMode actief is.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Verbose "DebugMode actief: verbindingen worden overgeslagen."
return
}
try {
$graphContext = Get-MgContext -ErrorAction SilentlyContinue
if (-not $graphContext) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes @(
"Directory.Read.All",
"SecurityEvents.Read.All",
"Policy.Read.All",
"ThreatIndicators.Read.All",
"DeviceManagementConfiguration.Read.All",
"User.Read.All",
"AuditLog.Read.All"
) -ErrorAction Stop | Out-Null
}
}
catch {
throw "Kon Microsoft Graph-verbinding niet opzetten: $_"
}
if (Get-Module -ListAvailable -Name Az.Accounts) {
try {
if (-not (Get-AzContext -ErrorAction SilentlyContinue)) {
Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow
Connect-AzAccount -ErrorAction Stop | Out-Null
}
}
catch {
Write-Warning "Kon Azure-verbinding niet opzetten: $_"
}
}
else {
Write-Warning "Az.Accounts module niet gevonden; Sentinel- en Logic Apps-controles worden overgeslagen."
}
}
function Test-NationStateDefenseState {
<#
.SYNOPSIS
Controleert de kernmaatregelen voor nation-state defense.
.OUTPUTS
PSCustomObject
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Host "DebugMode: geretourneerde waarden zijn gesimuleerd." -ForegroundColor Yellow
return [PSCustomObject]@{
TenantId = "00000000-0000-0000-0000-000000000000"
HasDefenderXdrIntegration = $true
HasSentinelAnalytics = $true
HasPrivilegedIsolation = $false
HasAttackSurfaceReduction = $true
HasPurviewAuditLogging = $true
HasAutomationPlaybooks = $false
HasKetenCharterDocumentation = $false
Issues = @(
"Geen break-glass accounts of privileged isolation aangetroffen.",
"Geen Logic Apps gevonden die Sentinel-playbooks vertegenwoordigen.",
"Ketencharter-document ontbreekt in documentatie\\threat-protection."
)
Recommendations = @(
"Implementeer PIM en break-glass accounts met hardware keys en MFA-uitzonderingen.",
"Maak Sentinel-playbooks voor token-revocation, indicator sharing en endpoint-isolatie.",
"Leg ketenafspraken vast in een Nation-State Collaboration Charter en publiceer dit document."
)
Timestamp = Get-Date
}
}
$result = [PSCustomObject]@{
TenantId = $null
HasDefenderXdrIntegration = $false
HasSentinelAnalytics = $false
HasPrivilegedIsolation = $false
HasAttackSurfaceReduction = $null
HasPurviewAuditLogging = $false
HasAutomationPlaybooks = $false
HasKetenCharterDocumentation = $false
Issues = @()
Recommendations = @()
Timestamp = Get-Date
}
try {
$ctx = Get-MgContext -ErrorAction Stop
$result.TenantId = $ctx.TenantId
}
catch {
$result.Issues += "Connect-MgGraph is niet uitgevoerd; assessment kan niet doorgaan."
return $result
}
# Defender XDR-integratie controleren
try {
$alertResponse = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/security/alerts?$top=1" -ErrorAction Stop
if ($alertResponse.value.Count -gt 0) {
$result.HasDefenderXdrIntegration = $true
}
else {
$result.Issues += "Geen Microsoft Defender XDR-waarschuwingen gevonden via Graph."
$result.Recommendations += "Controleer of Defender XDR-gegevens worden doorgestuurd naar Microsoft Graph Security API."
}
}
catch {
$result.Issues += "Kon Defender XDR-waarschuwingen niet ophalen: $_"
}
# Sentinel analytics rules
if (Get-Module -ListAvailable -Name Az.SecurityInsights) {
try {
$workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction Stop | Select-Object -First 3
foreach ($workspace in $workspaces) {
$rules = Get-AzSentinelAlertRule -ResourceGroupName $workspace.ResourceGroupName -WorkspaceName $workspace.Name -ErrorAction SilentlyContinue
if ($rules | Where-Object { $_.DisplayName -match "Nation|State|APT|High Risk" }) {
$result.HasSentinelAnalytics = $true
break
}
}
if (-not $result.HasSentinelAnalytics) {
$result.Issues += "Geen Sentinel analytics rules met statelijke focus gevonden."
$result.Recommendations += "Ontwikkel analytics en hunting queries voor elke kritieke MITRE-techniek."
}
}
catch {
$result.Issues += "Kon Sentinel-regels niet controleren: $_"
}
}
else {
Write-Warning "Az.SecurityInsights module niet beschikbaar; Sentinel-controle overgeslagen."
}
# Privileged isolation (break-glass accounts)
try {
$filter = "startsWith(displayName,'BREAKGLASS')"
$breakGlass = Get-MgUser -ConsistencyLevel eventual -CountVariable bgCount -Filter $filter -Top 1 -ErrorAction Stop
if ($bgCount -gt 0 -or $breakGlass) {
$result.HasPrivilegedIsolation = $true
}
else {
$result.Issues += "Geen BREAKGLASS-accounts gevonden."
$result.Recommendations += "Maak minimaal twee break-glass accounts met hardware keys en gedocumenteerde procedures."
}
}
catch {
$result.Issues += "Kon privileged isolation niet controleren: $_"
}
# Attack Surface Reduction beleid via Intune
try {
$asrPolicies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/configurationPolicies?$filter=contains(displayName,'Attack Surface Reduction')" -ErrorAction Stop
if ($asrPolicies.value.Count -gt 0) {
$result.HasAttackSurfaceReduction = $true
}
else {
$result.HasAttackSurfaceReduction = $false
$result.Issues += "Geen Attack Surface Reduction-beleid gevonden."
$result.Recommendations += "Publiceer ASR-profielen en wijs ze toe aan high value endpoints."
}
}
catch {
$result.HasAttackSurfaceReduction = $null
$result.Issues += "Kon ASR-beleid niet ophalen: $_"
}
# Purview audit logging (sign-in logs)
try {
$signIn = Get-MgAuditLogSignIn -Top 1 -ErrorAction Stop
if ($signIn) {
$result.HasPurviewAuditLogging = $true
}
else {
$result.Issues += "Geen auditlogs beschikbaar; controleer Unified Audit Log."
$result.Recommendations += "Activeer Purview auditlogging en stel lange bewaartermijnen in."
}
}
catch {
$result.Issues += "Kon auditlogs niet opvragen: $_"
}
# Automation playbooks (Logic Apps)
if (Get-Module -ListAvailable -Name Az.Resources) {
try {
$logicApps = Get-AzResource -ResourceType "Microsoft.Logic/workflows" -ErrorAction Stop | Where-Object {
$_.Name -match "Sentinel|Nation|State|Incident"
}
if ($logicApps) {
$result.HasAutomationPlaybooks = $true
}
else {
$result.Issues += "Geen Logic Apps gevonden die Sentinel-playbooks vertegenwoordigen."
$result.Recommendations += "Implementeer Logic Apps voor token-revocation, indicator sharing en automatische meldingen."
}
}
catch {
$result.Issues += "Kon Logic Apps niet evalueren: $_"
}
}
# Ketencharter documentatie
$repoRoot = Split-Path -Parent (Split-Path -Parent $PSScriptRoot)
$charterPath = Join-Path $repoRoot "documentatie\threat-protection\nation-state-charter.md"
if (Test-Path -Path $charterPath) {
$result.HasKetenCharterDocumentation = $true
}
else {
$result.Issues += "Geen Nation-State Collaboration Charter gevonden (documentatie\\threat-protection)."
$result.Recommendations += "Documenteer ketenafspraken en voeg het charter toe aan documentatie\\threat-protection."
}
return $result
}
function Invoke-NationStateDefenseAssessment {
[CmdletBinding()]
param()
Initialize-NationStateDefenseConnections
Write-Host ""
Write-Host "Nation-State Defense Assessment" -ForegroundColor Cyan
Write-Host "================================" -ForegroundColor Cyan
$assessment = Test-NationStateDefenseState
if (-not $assessment) {
throw "Assessment leverde geen resultaat op."
}
Write-Host ("TenantId: {0}" -f ($assessment.TenantId ?? "Onbekend")) -ForegroundColor White
Write-Host ("Defender XDR-integratie: {0}" -f $assessment.HasDefenderXdrIntegration) -ForegroundColor White
Write-Host ("Sentinel analytics aanwezig: {0}" -f $assessment.HasSentinelAnalytics) -ForegroundColor White
Write-Host ("Privileged isolation actief: {0}" -f $assessment.HasPrivilegedIsolation) -ForegroundColor White
Write-Host ("Attack Surface Reduction beleid: {0}" -f ($assessment.HasAttackSurfaceReduction ?? "Niet gecontroleerd")) -ForegroundColor White
Write-Host ("Purview auditlogging: {0}" -f $assessment.HasPurviewAuditLogging) -ForegroundColor White
Write-Host ("Automatisering/playbooks: {0}" -f $assessment.HasAutomationPlaybooks) -ForegroundColor White
Write-Host ("Ketencharter gedocumenteerd: {0}" -f $assessment.HasKetenCharterDocumentation) -ForegroundColor White
if ($assessment.Issues.Count -gt 0) {
Write-Host "`nAandachtspunten:" -ForegroundColor Yellow
$assessment.Issues | ForEach-Object { Write-Host (" - {0}" -f $_) -ForegroundColor Yellow }
}
if ($assessment.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Green
$assessment.Recommendations | ForEach-Object { Write-Host (" - {0}" -f $_) -ForegroundColor Green }
}
return $assessment
}
function Invoke-NationStateDefenseReport {
<#
.SYNOPSIS
Schrijft een managementrapport naar het opgegeven pad.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[pscustomobject]$Result,
[Parameter(Mandatory = $true)]
[string]$Path
)
$report = @()
$report += "Nederlandse Baseline voor Veilige Cloud – Nation-State Defense Assessment"
$report += "Assessment uitgevoerd op: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')"
$report += ""
$report += "TenantId: $($Result.TenantId)"
$report += "Defender XDR-integratie: $($Result.HasDefenderXdrIntegration)"
$report += "Sentinel analytics aanwezig: $($Result.HasSentinelAnalytics)"
$report += "Privileged isolation actief: $($Result.HasPrivilegedIsolation)"
$report += "Attack Surface Reduction beleid: $($Result.HasAttackSurfaceReduction ?? 'Niet gecontroleerd')"
$report += "Purview auditlogging: $($Result.HasPurviewAuditLogging)"
$report += "Automatisering/playbooks: $($Result.HasAutomationPlaybooks)"
$report += "Ketencharter gedocumenteerd: $($Result.HasKetenCharterDocumentation)"
$report += ""
if ($Result.Issues -and $Result.Issues.Count -gt 0) {
$report += "Bevindingen:"
$Result.Issues | ForEach-Object { $report += " - $_" }
$report += ""
}
if ($Result.Recommendations -and $Result.Recommendations.Count -gt 0) {
$report += "Aanbevelingen:"
$Result.Recommendations | ForEach-Object { $report += " - $_" }
$report += ""
}
$report += "Volgende stappen:"
$report += "1. Valideer bevindingen binnen vijf werkdagen."
$report += "2. Prioriteer aanbevelingen op basis van impact en compliance-verplichtingen."
$report += "3. Registreer remediatie-acties in Azure DevOps of GitHub."
$report += "4. Actualiseer het Nation-State Collaboration Charter met de nieuwe inzichten."
$directory = Split-Path -Parent $Path
if ($directory -and -not (Test-Path -Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$report | Out-File -FilePath $Path -Encoding UTF8
Write-Host "Rapport opgeslagen naar $Path" -ForegroundColor Cyan
}
if (-not $Assessment -and -not $Report) {
Write-Host "Geen acties opgegeven. Gebruik -Assessment en/of -Report." -ForegroundColor Yellow
return
}
$assessmentResult = $null
if ($Assessment) {
$assessmentResult = Invoke-NationStateDefenseAssessment
}
if ($Report) {
if (-not $assessmentResult) {
$assessmentResult = Invoke-NationStateDefenseAssessment
}
if (-not $OutputPath) {
throw "Parameter -OutputPath is verplicht wanneer -Report is opgegeven."
}
Invoke-NationStateDefenseReport -Result $assessmentResult -Path $OutputPath
}