💼 Management Samenvatting
Een volwassen incidentresponsfunctie vormt de ruggengraat van de Nederlandse Baseline voor Veilige Cloud. Publieke organisaties kunnen het zich niet veroorloven dat ransomware, datalekken of integriteitsincidenten escaleren doordat procedures onduidelijk zijn of tooling niet op elkaar aansluit. Dit artikel beschrijft hoe strategie, operatie en bewijsvoering samenkomen zodat bestuurders, CISO’s en SOC-analisten dezelfde taal spreken en tijdens crisissituaties zonder frictie handelen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
240u (tech: 150u)
Van toepassing op:
✓ Microsoft Sentinel
✓ Microsoft Defender XDR
✓ Entra ID
✓ Microsoft Teams
✓ Azure Automation
✓ Purview
✓ Microsoft Defender XDR
✓ Entra ID
✓ Microsoft Teams
✓ Azure Automation
✓ Purview
Veel organisaties beschikken over beleidsdocumenten die op papier uitstekend ogen, maar in de praktijk verouderen, versnipperen of afhankelijk zijn van specialistische kennis bij enkele medewerkers. Tijdens audits blijkt regelmatig dat playbooks niet getest zijn, communicatiekanalen ontbreken en dat cloudtelemetrie niet formeel is gekoppeld aan meldplichten richting Autoriteit Persoonsgegevens of Rijksbrede coördinatiecentra. Daardoor ontstaan vertragingen die rechtstreeks in strijd zijn met de BIO en NIS2, terwijl bestuursorganen toch verwachten dat incidentrapportages binnen uren beschikbaar zijn.
PowerShell Modules Vereist
Primary API: Microsoft Graph Security API, Microsoft Sentinel Automation Rules, Microsoft Defender XDR API
Connection:
Required Modules: Microsoft.Graph.Security, Az.Accounts, Az.OperationalInsights
Connection:
Connect-MgGraph met SecurityEvents.ReadWrite.All; OAuth 2.0 client credentials voor Sentinel en Defender XDRRequired Modules: Microsoft.Graph.Security, Az.Accounts, Az.OperationalInsights
Implementatie
De Nederlandse Baseline voor Veilige Cloud biedt een uitvoerbaar raamwerk waarbij procedures, scripts, communicatie en bewijsvoering elkaar versterken. We behandelen bestuurlijke verankering, de inrichting van geautomatiseerde runbooks, de verbinding met forensische ketenpartners en de manier waarop elke stap aantoonbaar wordt vastgelegd. Het bijbehorende PowerShell-script maakt het mogelijk om met lokale debugdata te oefenen en in productie actuele compliance-indicatoren te verzamelen.
Governance, rolvastheid en risicogestuurde voorbereidingen
Incidentrespons is pas betrouwbaar wanneer bestuurders expliciet benoemen wie de opdrachtgever is, welke wettelijke kaders leidend zijn en hoe beslissingen worden gedocumenteerd. Provincies, gemeenten en agentschappen leggen daarom een mandaat vast waarin het college of de secretaris bepaalt dat alle digitale incidenten boven een vooraf gedefinieerde impactscore worden behandeld door een multidisciplinair crisisteam. Dit besluit verwijst naar de Baseline Informatiebeveiliging Overheid, de Wet beveiliging netwerk- en informatiesystemen en de Archiefwet, zodat juristen, communicatieprofessionals en security officers weten welke bewijsstukken later nodig zijn. Tegelijkertijd worden escalatiedrempels gekoppeld aan meetbare indicatoren zoals de hoeveelheid getroffen burgers, de classificatie van de geraakte gegevens en de verwachte uitvaltijd van essentiële processen. Door deze drempels in dashboards te visualiseren kunnen bestuurders realtime zien wanneer een incident in de categorie "hoog" of "zeer hoog" valt en welke meldplichten automatisch worden geactiveerd.
Een stevig governancefundament vereist ook dat rollen en verantwoordelijkheden geformaliseerd zijn. Elke organisatie benoemt een incident commander, een technisch coördinator, een vertegenwoordiger van juridische zaken, een communicatieadviseur en een liaison richting ketenpartners zoals de Informatiebeveiligingsdienst (IBD), NCSC of sectorale CERT’s. Deze personen worden opgenomen in een continu bijgewerkt rooster inclusief plaatsvervangers, contactgegevens en machtigingen. HR-processen borgen dat nieuwe medewerkers van het SOC of CISO-office pas op het rooster verschijnen wanneer zij de vereiste betrouwbaarheidsonderzoeken hebben afgerond en dat vertrek onmiddellijk leidt tot het verwijderen van hun bevoegdheden in Entra ID en Microsoft Sentinel. Door deze processen te koppelen aan identity-governance policies ontstaat een sluitende keten waarin organisatorische wijzigingen direct effect hebben op de operationele werkelijkheid.
Het risicoregister fungeert als draaischijf tussen strategische analyse en operationele respons. Iedere topdreiging – van supply-chain malware tot insider threats – wordt vertaald naar concrete scenario’s met bijbehorende triggers, impactprofielen en hersteldoelen. Voor elk scenario beschrijven architecten welke telemetrie beschikbaar moet zijn, hoe bewijs wordt veiliggesteld en welke externe toezichthouders geïnformeerd moeten worden. Deze scenario’s voeden vervolgens de inhoud van playbooks, waardoor de link tussen beleid en uitvoering aantoonbaar blijft. Tegelijk wordt bepaald welke datasets een verhoogde juridische gevoeligheid kennen en dus aanvullende privacy by design-maatregelen vereisen. Denk aan het vooraf instellen van bewaartermijnen in Purview, het definiëren van rollen voor gegevensminimalisatie en het aanwijzen van personen die de belangen van betrokken burgers bewaken tijdens forensische analyses.
Voorbereiding omvat ten slotte het organisatorisch en technisch oefenen van besluitvorming. Bestuurlijke dashboards tonen niet alleen actuele KPI’s, maar ook simulaties die inzicht geven in de verwachte responstijd wanneer specifieke teams tijdelijk uitvallen. Deze inzichten worden gedeeld met portefeuilles voor dienstverlening, openbare orde en financiën zodat beleid, financiering en operatie elkaar versterken. Door inkoopafdelingen te betrekken bij de totstandkoming van raamcontracten voor externe incident response-partners wordt bovendien gewaarborgd dat hulp binnen uren beschikbaar is en dat contractuele verplichtingen – zoals het aanleveren van forensische rapportages in een bepaald format – aansluiten op de baseline. Het resultaat is een governance-ecosysteem waarin juridische, organisatorische en technische randvoorwaarden vooraf zijn uitgewerkt en waarbinnen crisisteams kunnen handelen zonder tijd te verliezen aan interpretaties of bevoegdheidsvragen.
Operationalisering, automatisering en aantoonbare uitvoering
Gebruik PowerShell-script incident-response-procedures.ps1 (functie Invoke-IncidentResponseAssessment) – Evalueert of playbooks, oefeningen, responstijden en bewijslast voldoen aan de norm en levert een direct inzetbaar rapport voor bestuurders en auditors..
De operationele laag van incidentrespons draait om snelheid, herhaalbaarheid en volledige traceerbaarheid. Microsoft Sentinel, Defender XDR en ServiceNow of TOPdesk worden gekoppeld via automation rules en Playbooks die exact beschrijven welke stappen in welke volgorde plaatsvinden. Elke melding krijgt automatisch een classificatie op basis van MITRE ATT&CK en de BIO-impactklassen, waarna het systeem bepaalt of containment en communicatie parallel gestart moeten worden. De Nederlandse Baseline voor Veilige Cloud schrijft voor dat elke detectieregel is voorzien van metadata over eigenaar, motivatie en testdatum zodat analisten direct zien welke aannames ten grondslag liggen aan de triage. Wanneer een nieuwe dreiging opduikt, kan het SOC in het script eenvoudig schakelen naar DebugMode en met voorbeelddata valideren of de aangepaste detectie pipeline logisch blijft werken voordat er productie-ingrepen plaatsvinden.
Automatisering raakt ook de communicatieketen. Zodra een incident boven de ingestelde drempel uitkomt, publiceert het systeem een bericht in een besloten Microsoft Teams-kanaal met logging van alle uitgevoerde stappen. Tegelijkertijd wordt in Purview een dossier aangemaakt waarin logexports, screenshots, forensische kopieën en juridische besluiten automatisch worden opgeslagen met retentie-instellingen volgens de Archiefwet. Het script in deze repository verzamelt de belangrijkste controletallen, zoals het aantal gesimuleerde oefeningen in de afgelopen 90 dagen, de gemiddelde tijd tot detectie en het percentage playbooks dat volledig geautomatiseerd is. Door deze cijfers periodiek in het MT of bestuurscollege te bespreken blijft incidentrespons niet beperkt tot SOC-terminologie maar wordt het een bestuurlijke stuurvariabele. Bovendien kunnen auditors direct toetsen of de praktijk aansluit op de beleidsdocumenten, omdat de scriptoutput een hashwaarde krijgt die later als digitale handtekening fungeert.
Voor elke fase van het NIST- of ENISA-responsmodel zijn runbooks beschikbaar die zowel technische details als bestuurlijke instructies omvatten. Tijdens containment staat bijvoorbeeld beschreven hoe Conditional Access automatisch sessies beëindigt, hoe Defender for Endpoint isolatie activeert en welke bestuurder toestemming geeft voor het afsluiten van kritieke processen. Tijdens eradication en recovery wordt bepaald welke patches, configuratiewijzigingen en communicatie-updates nodig zijn en hoe deze worden verifieerd in productie en testomgevingen. De PowerShell-module in dit project kan WhatIf-acties tonen zodat change boards vooraf inzicht hebben in de impact van remediatie. Na uitvoering wordt een rapport naar het risicoregister en het lessons-learned-archief gestuurd. Zo ontstaat een volledig gesloten keten waarin iedere incidentfase digitaal wordt onderbouwd en waarin technologie, processen en mensen exact weten wat er van hen wordt verwacht.
Operationalisering vereist bovendien dat serviceorganisaties kunnen aantonen dat draaiboeken actueel zijn. Daarom koppelen organisaties de versiebeheersystemen van hun playbooks aan release management. Iedere wijziging in een runbook doorloopt code review, automatische mandaatchecks en een testcyclus waarin scenario’s met synthetische data worden afgespeeld. Het script controleert of deze reviews niet ouder zijn dan dertig dagen, of Every-Quarter games geofenced scenario’s daadwerkelijk zijn uitgevoerd en of het bewijs van tabletop-oefeningen is opgeslagen in het juiste archief. Wanneer criteria niet gehaald worden schrijft het script automatisch acties bij, bijvoorbeeld het plannen van een oefening met een externe partner of het aanscherpen van Service Level Agreements voor responstijden. Dit maakt het mogelijk om in audits onmiddellijk aan te tonen dat incidentrespons een levend proces is en geen statisch document.
Ketenafspraken, forensische opschaling en continue verbetering
Gebruik PowerShell-script incident-response-procedures.ps1 (functie Invoke-IncidentResponseRemediation) – Verwerkt de bevindingen van de assessment en vertaalt ze automatisch naar concrete vervolgacties, inclusief contactmomenten met ketenpartners en forensische workflows..
Digitale weerbaarheid stopt niet bij de grenzen van de eigen tenant. Nederlandse publieke organisaties hebben vrijwel altijd te maken met shared services, regionale samenwerkingen en leveranciers die cruciale delen van de keten beheren. Daarom schrijft de Nederlandse Baseline voor dat incidentresponsprocedures afspraken bevatten over het uitwisselen van detectie-indicatoren, forensische data en communicatiesjablonen. In raamcontracten wordt vastgelegd binnen welke termijn leveranciers logboeken moeten aanleveren, welke encryptiestandaarden worden gebruikt voor overdracht en welke personen gemachtigd zijn om onderzoeksdata in ontvangst te nemen. Het script controleert of deze contractgegevens up-to-date zijn en of escalatielijsten daadwerkelijk bereikbaar zijn door periodiek automatische testberichten te sturen. Mocht een partner niet reageren, dan genereert het rapport direct een bestuurlijke task om het contract of de contactgegevens te herzien.
Forensische opschaling vraagt om duidelijke werkafspraken met het SOC, CERT’s, politie en toezichthouders. Zodra een incident de drempelwaarde voor nationale melding bereikt, activeert het playbook een workflow in Azure Automation die bewijs veiligstelt in een geïsoleerde opslaglocatie, hashwaarden registreert en alleen-lezen toegang verleent aan geautoriseerde onderzoekers. De processen omschrijven bovendien hoe privacywaarborgen worden ingebouwd, bijvoorbeeld door persoonsgegevens te pseudonimiseren voordat ze met externe partijen worden gedeeld of door de Functionaris Gegevensbescherming een verplichte review te laten uitvoeren. Deze waarborgen zijn essentieel om AVG-artikel 32 na te leven en om aan te tonen dat burgerrechten ook tijdens crisissituaties worden beschermd. Door de forensische stappen in dezelfde repository vast te leggen, inclusief scripts en configuratieprofielen, kunnen organisaties aantonen dat hun aanpak reproduceerbaar en geaudit is.
Continue verbetering krijgt vorm via een cyclische aanpak waarin lessons learned niet in een lade verdwijnen maar automatisch worden vertaald naar wijzigingen in beleid, tooling en trainingen. Iedere oefening en ieder echt incident resulteert in een verbetermaatregel die wordt opgenomen in het risicoregister en gekoppeld blijft totdat de maatregel aantoonbaar is afgerond. Het script leest deze backlog uit een configuratiebestand en controleert of deadlines niet zijn verstreken en of verantwoordelijken zijn toegekend. Wanneer verbeteringen stagneren, krijgt het CIO- of CISO-overleg automatisch een signaal. Hierdoor ontstaat een cultuur waarin leren onderdeel is van de sturing en niet afhankelijk is van individuele overtuiging. Bovendien draagt deze werkwijze bij aan vertrouwen richting toezichthouders: zij zien dat bevindingen niet alleen worden geregistreerd, maar dat de organisatie systematisch opvolging afdwingt.
Tot slot borgt de Baseline dat incidentresponsinformatie beschikbaar is in een vorm die politici, toezichthouders en burgers kunnen begrijpen. Naast technische rapportages worden bestuurlijke kernboodschappen opgesteld die de impact op dienstverlening, financiële risico’s en privacy uitleggen zonder jargon. Deze communicatie wordt voorbereid in zowel Nederlands als Engels zodat internationale partners snel kunnen worden geïnformeerd. Door scenario’s te oefenen waarin persconferenties, raadsbrieven en Tweede Kamer-informeringen nodig zijn, blijft het bestuur in controle en kunnen maatregelen sneller worden afgestemd met departementale opdrachtgevers. De combinatie van ketenafspraken, forensische discipline en structurele verbetering maakt incidentrespons tot een aantoonbare pijler binnen de Nederlandse Baseline voor Veilige Cloud.
Compliance & Frameworks
- BIO: 12.1, 12.2, 13.3 - Verankert detectie, respons en herstel binnen de Baseline Informatiebeveiliging Overheid met nadruk op meldplicht en continuïteit.
- ISO 27001:2022: A.5.24, A.5.25, A.5.30 - Ondersteunt eisen voor informatiebeveiligingsincidenten, verbeterprocessen en communicatie volgens ISO/IEC 27001:2022.
- NIS2: Artikel - Stelt eisen aan detectie, respons, melding en herstel voor essentiële en belangrijke entiteiten onder de NIS2-richtlijn.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Beoordeelt en verbetert incidentresponsprocedures binnen Microsoft-cloudomgevingen.
.DESCRIPTION
Dit script hoort bij content/security/incident-response-procedures.json uit het project
"Nederlandse Baseline voor Veilige Cloud". Het controleert of playbooks actueel zijn,
responstijden voldoen aan vastgestelde normen en of bewijslast compleet is. In DebugMode
werkt het script volledig met voorbeelddata zodat teams veilig kunnen oefenen zonder
verbindingen naar productie-API's.
.NOTES
Filename: incident-response-procedures.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Version: 1.0
.LINK
https://github.com/microsoft/m365-tenant-best-practise
.EXAMPLE
.\incident-response-procedures.ps1 -Assessment -DebugMode
Voert een lokale beoordeling uit met voorbeelddata en schrijft een rapport naar de artifacts-map.
.EXAMPLE
.\incident-response-procedures.ps1 -Remediation -WhatIf
Toont welke acties ondernomen zouden worden om incidentresponsprocedures bij te werken.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Assessment,
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$DebugMode,
[Parameter(Mandatory = $false)]
[switch]$WhatIf,
[Parameter(Mandatory = $false)]
[string]$ConfigPath = ".\config\incident-response-procedures.config.json",
[Parameter(Mandatory = $false)]
[string]$OutputPath = ".\artifacts\incident-response-procedures-report.json"
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Write-ScriptBanner {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Incident Response Procedures" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ""
}
function Get-SampleDataset {
[CmdletBinding()]
param()
return [ordered]@{
GeneratedAt = Get-Date
RegisteredPlaybooks = 18
PlaybooksTestedLast90Days = 15
MeanTimeToDetectMinutes = 12
MeanTimeToRespondMinutes = 46
AutomationCoveragePercent = 72
TabletopExercisesLast12Months = 5
OpenLessonsLearned = 3
EvidencePackagesCompletePercent= 97
CriticalIncidentsLast12Months = 1
CommunicationDrillsLastQuarter = 3
}
}
function Get-ConfigDataset {
[CmdletBinding()]
param()
if (Test-Path -Path $ConfigPath) {
Write-Verbose "Configuratiebestand gevonden op $ConfigPath"
try {
$json = Get-Content -Path $ConfigPath -Raw | ConvertFrom-Json -ErrorAction Stop
return $json
}
catch {
Write-Warning "Kon configuratie niet inlezen. Er wordt teruggevallen op voorbeelddata. Details: $($_.Exception.Message)"
}
}
if (-not $DebugMode) {
Write-Warning "Geen configuratiebestand gevonden. Gebruik DebugMode of lever een exportbestand aan via -ConfigPath."
}
return Get-SampleDataset
}
function Test-IncidentResponseBaseline {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
$playbookCoverage = if ($Dataset.RegisteredPlaybooks -gt 0) {
[math]::Round(($Dataset.PlaybooksTestedLast90Days / $Dataset.RegisteredPlaybooks) * 100, 2)
}
else {
100
}
$issues = New-Object System.Collections.Generic.List[string]
if ($playbookCoverage -lt 90) {
$issues.Add("Slechts $playbookCoverage% van de geregistreerde playbooks is in de afgelopen 90 dagen getest; norm is 90%.")
}
if ($Dataset.MeanTimeToDetectMinutes -gt 15) {
$issues.Add("MTTD bedraagt $($Dataset.MeanTimeToDetectMinutes) minuten; norm is maximaal 15 minuten.")
}
if ($Dataset.MeanTimeToRespondMinutes -gt 60) {
$issues.Add("MTTR bedraagt $($Dataset.MeanTimeToRespondMinutes) minuten; norm is maximaal 60 minuten.")
}
if ($Dataset.AutomationCoveragePercent -lt 70) {
$issues.Add("Automatiseringsgraad is $($Dataset.AutomationCoveragePercent)% terwijl minimaal 70% vereist is.")
}
if ($Dataset.TabletopExercisesLast12Months -lt 4) {
$issues.Add("Er zijn slechts $($Dataset.TabletopExercisesLast12Months) tabletop-oefeningen uitgevoerd in 12 maanden; norm is 4.")
}
if ($Dataset.OpenLessonsLearned -gt 5) {
$issues.Add("Er staan $($Dataset.OpenLessonsLearned) openstaande verbeteracties; norm is maximaal 5.")
}
if ($Dataset.EvidencePackagesCompletePercent -lt 95) {
$issues.Add("Slechts $($Dataset.EvidencePackagesCompletePercent)% van de bewijspakketten is compleet; norm is 95%.")
}
if ($Dataset.CriticalIncidentsLast12Months -gt 0 -and $Dataset.CommunicationDrillsLastQuarter -lt 2) {
$issues.Add("Er waren kritieke incidenten terwijl er minder dan twee communicatie-oefeningen zijn uitgevoerd in het laatste kwartaal.")
}
$isCompliant = ($issues.Count -eq 0)
return [pscustomobject]@{
ScriptName = 'incident-response-procedures.ps1'
Timestamp = Get-Date
PlaybookCoverage= $playbookCoverage
Dataset = $Dataset
Issues = $issues
IsCompliant = $isCompliant
Recommendations = if ($isCompliant) { @("Incidentresponsprocedures voldoen aan de ingestelde baseline.") } else { $issues }
}
}
function Invoke-IncidentResponseAssessment {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
$result = Test-IncidentResponseBaseline -Dataset $Dataset
Write-Host "Geregistreerde playbooks : $($Dataset.RegisteredPlaybooks)" -ForegroundColor White
Write-Host "Geteste playbooks (90 dagen) : $($Dataset.PlaybooksTestedLast90Days)" -ForegroundColor White
Write-Host "Playbook testdekking : $($result.PlaybookCoverage)% " -ForegroundColor White
Write-Host "Mean Time To Detect (minuten) : $($Dataset.MeanTimeToDetectMinutes)" -ForegroundColor White
Write-Host "Mean Time To Respond (minuten) : $($Dataset.MeanTimeToRespondMinutes)" -ForegroundColor White
Write-Host "Automatiseringsgraad (%) : $($Dataset.AutomationCoveragePercent)" -ForegroundColor White
Write-Host "Tabletop-oefeningen (12 maanden) : $($Dataset.TabletopExercisesLast12Months)" -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`nResultaat: alle controles zijn op orde." -ForegroundColor Green
}
else {
Write-Host "`nResultaat: er zijn aandachtspunten gevonden." -ForegroundColor Yellow
$result.Recommendations | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
}
return $result
}
function Invoke-IncidentResponseRemediation {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$AssessmentResult
)
$actions = New-Object System.Collections.Generic.List[string]
if ($AssessmentResult.Issues -match "playbooks") {
$actions.Add("Plan direct geautomatiseerde tests voor alle playbooks en documenteer resultaten in Sentinel.")
}
if ($AssessmentResult.Issues -match "MTTD") {
$actions.Add("Optimaliseer detectieregels en verbind aanvullende datakoppelingen om MTTD onder 15 minuten te brengen.")
}
if ($AssessmentResult.Issues -match "MTTR") {
$actions.Add("Herzie responstoewijzing in het SOC-runbook zodat containmentteams binnen 60 minuten gereed staan.")
}
if ($AssessmentResult.Issues -match "Automatiseringsgraad") {
$actions.Add("Verhoog automatiseringsgraad door nieuwe Sentinel Playbooks of Defender XDR response rules te publiceren.")
}
if ($AssessmentResult.Issues -match "tabletop") {
$actions.Add("Plan extra tabletop-oefeningen met bestuur, communicatie en ketenpartners binnen vier weken.")
}
if ($AssessmentResult.Issues -match "verbeteracties") {
$actions.Add("Werk de backlog met lessons learned bij en wijs verantwoordelijken toe om openstaande acties te sluiten.")
}
if ($AssessmentResult.Issues -match "bewijspakketten") {
$actions.Add("Controleer het Purview-archief en vul ontbrekende logboeken, hashwaarden en besluiten binnen 48 uur aan.")
}
if ($AssessmentResult.Issues -match "communicatie-oefeningen") {
$actions.Add("Plan minimaal twee communicatie-oefeningen met bestuur en woordvoering voor het volgende kwartaal.")
}
if ($actions.Count -eq 0) {
Write-Host "Geen remediatie nodig." -ForegroundColor Green
return $AssessmentResult
}
Write-Host "`nRemediatie-advies:" -ForegroundColor Cyan
foreach ($action in $actions) {
if ($WhatIf) {
Write-Host "WhatIf: $action" -ForegroundColor Yellow
}
else {
Write-Host $action -ForegroundColor Gray
}
}
return $AssessmentResult
}
function Save-IncidentResponseReport {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Data
)
$directory = Split-Path -Parent $OutputPath
if (-not (Test-Path -Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$Data | ConvertTo-Json -Depth 6 | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "`nRapport opgeslagen in $OutputPath" -ForegroundColor Green
}
Write-ScriptBanner
$dataset = Get-ConfigDataset
try {
if (-not ($Assessment -or $Monitoring -or $Remediation)) {
$Assessment = $true
}
$result = if ($Remediation) {
$assessment = Invoke-IncidentResponseAssessment -Dataset $dataset
Invoke-IncidentResponseRemediation -AssessmentResult $assessment
}
else {
Invoke-IncidentResponseAssessment -Dataset $dataset
}
Save-IncidentResponseReport -Data $result
return $result
}
catch {
Write-Error "Fout tijdens incidentrespons-evaluatie: $_"
exit 1
}
finally {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder gestandaardiseerde procedures lopen organisaties het risico dat incidenten uitgroeien tot bestuurlijke crises en dat wettelijke meldtermijnen worden overschreden, met sancties en reputatieschade tot gevolg.
Management Samenvatting
Leg mandaat, rollen en scenario’s vast, orkestreer geautomatiseerde playbooks over Sentinel, Defender XDR en Teams, gebruik het script voor periodieke assessments en remediaties, en borg dat lessons learned structureel leiden tot verbetermaatregelen en aantoonbare bewijslast.
- Implementatietijd: 240 uur
- FTE required: 0.7 FTE