Security Operations Centers van ministeries en gemeenten moeten dagelijks miljoenen logregels, microservices-traces en identiteits-events beoordelen. Menselijke analisten kunnen dat volume niet bijbenen. AI-modellen herkennen patronen die onzichtbaar blijven voor traditionele rule-sets en signaturebanken: afwijkend gebruikersgedrag (UEBA), ongebruikelijke netwerkstromen, zero-day-malware en laterale beweging die zich verstopt in ‘normale’ activiteiten. Voor Nederlandse overheden met kritieke taken – burgerservices, handhaving, verkiezingsprocessen – biedt AI-detectie daarom een kans om geavanceerde aanvallers voor te blijven.
Tegelijkertijd brengt machine learning eigen risico’s mee: bias in trainingsdata, black-boxbeslissingen en valspositieve stormen als de modellen slecht zijn afgestemd op de praktijk. Deze gids beschrijft hoe je AI-detectiearchitecturen ontwerpt, algoritmes selecteert en explainability borgt, zodat SOC-teams profiteren van AI zonder hun controle kwijt te raken.
Voor security data scientists, SOC-analisten, detection engineers en architecten in de overheid. Vereist begrip van zowel ML-principes als SOC-processen om AI-detectie effectief te ontwerpen, uit te rollen en te onderhouden.
SOC-teams handelen AI-alerts alleen op als ze begrijpen waarom het model iets verdacht vindt. Pas modellen met feature-importance, beslisbomen of counterfactuals toe zodat analisten snel zien welke gedragingen de alert triggerden. Studies laten zien dat een uitleg de adoptie van AI-detecties met ~70% verhoogt.
ML-algoritmes voor detectie: supervised, unsupervised en deep learning
Machine-learningmodellen voor dreigingsdetectie leveren pas echte waarde op wanneer vooraf duidelijk is welke rol zij spelen in het bredere detectielandschap van de organisatie. In een Security Operations Center van een ministerie of gemeente betekent dit dat je expliciet beschrijft welke vragen een model moet beantwoorden: moet het verdachte aanmeldpogingen herkennen, misbruik van privileges signaleren of laterale beweging in kaart brengen? Supervised learning is vaak het startpunt. Daarbij wordt een model getraind op historische datasets waarin deskundige analisten hebben vastgelegd welke gebeurtenissen tot een incident hebben geleid en welke volledig legitiem waren. Op basis van die voorbeelden leert het algoritme onderscheid te maken tussen bijvoorbeeld brute-force-aanvallen en normale wachtwoordresets, tussen geslaagde spearphishing-campagnes en onschuldige nieuwsbrieven, of tussen regulier beheerwerk en verdachte escalatie van rechten. Eenvoudige algoritmen zoals logistieke regressie of beslisbomen bieden kansscores en drempelwaarden die goed uitlegbaar zijn in rapportages aan CISO en bestuur. Complexere technieken zoals random forests en gradient boosting combineren honderden beslissingen en leveren hogere nauwkeurigheid, maar vragen om aanvullende maatregelen om uitlegbaarheid en controle te behouden.
De kwaliteit en diversiteit van de trainingsdata bepalen in hoge mate of supervised modellen robuust zijn. Wanneer je alleen voorbeelden uit één organisatieonderdeel gebruikt, bijvoorbeeld een enkel agentschap, zal het model moeite hebben met afwijkende patronen in andere ketens zoals zorg, sociale zekerheid of openbare orde en veiligheid. Ook een overmatige focus op één aanvalstypologie, bijvoorbeeld alleen phishing, creëert eenzijdigheid. Voor Nederlandse overheidsorganisaties is het daarom verstandig trainingssets samen te stellen uit meerdere bronsystemen: Microsoft 365-telemetrie, Azure AD-signalen, on-premises firewall-logs, maar ook gegevens uit zaaksystemen en identity governance. Daarnaast is het cruciaal dat labels worden gevalideerd door ervaren SOC-analisten. Een fout gelabelde reeks gebeurtenissen – een legitieme penetratietest die als echte aanval is aangemerkt, of omgekeerd – beïnvloedt de prestaties van het model langdurig. Door een duidelijk reviewproces, heldere labelingrichtlijnen en het gebruik van aparte trainings-, validatie- en testsets voorkomen organisaties dat het model langzaam wegglijdt van de operationele realiteit.
Unsupervised learning richt zich op het ontdekken van patronen zonder voorafgaande labels. In plaats van te vragen of een gebeurtenis verdacht is, kijkt het model eerst naar wat normaal is. Clusteringalgoritmen groeperen gebruikers, apparaten of applicaties op basis van hun gedrag: welke applicaties benadert een medewerker van burgerzaken, hoe ziet het netwerkpatroon van een vergadersysteem er uit, hoe vaak en op welke tijden logt een beheerder in? Zodra een entiteit zich duidelijk anders gedraagt dan zijn peers, ontstaat een signaal dat nader onderzoek verdient. Anomaliedetectiemodellen bouwen voort op dit principe door expliciet een profiel van normaal gedrag te maken en afwijkingen daarvan te markeren. Juist in overheidscontexten, waar misbruik van een legitiem account vaak zonder duidelijke malware-signatuur plaatsvindt, bieden deze technieken grote meerwaarde. Ze helpen bijvoorbeeld om ongebruikelijke downloads van vertrouwelijke dossiers, onverwachte toegang tot verkiezingssystemen of plotselinge toename van gegevensuitvoer te herkennen.
Het nadeel van unsupervised technieken is dat zij snel veel meldingen kunnen genereren, zeker in dynamische omgevingen. Een nieuw project, een crisissituatie of een grote migratie kan het gedrag van honderden gebruikers tegelijk veranderen. Zonder aanvullende context interpreteert het model dit als afwijkend en stuurt het een golf van alerts naar het SOC. Daarom is het essentieel dat unsupervised modellen niet als zwarte doos worden ingezet. SOC-teams moeten drempelwaarden kunnen afstemmen per groep, rol of dienst en in dashboards direct kunnen zien waarom iets als afwijkend is aangemerkt. Door context toe te voegen – bijvoorbeeld de informatie dat er een geplande oefening loopt of dat een nieuw zaaksysteem is uitgerold – kan een groot deel van de ruis worden weggefilterd voordat deze de analisten bereikt. Feedback van analisten, waarin zij aangeven welke anomalieën uiteindelijk relevant waren, vormt vervolgens de basis voor het bijstellen van parameters en het verfijnen van profielen.
Deep learning komt vooral in beeld bij complexe use-cases waar traditionele algoritmen tekortschieten. Denk aan het analyseren van netwerkverkeer op pakketniveau, het detecteren van subtiele volgordes in API-aanroepen richting een identiteitsprovider, of het interpreteren van grote hoeveelheden logtekst waarin dreigingsindicatoren indirect zijn verwoord. Neurale netwerken zijn in staat om in dit soort gegevens verborgen patronen te ontdekken, zoals een combinatie van zeldzame protocolvelden, ongebruikelijke sequenties van commando's of linguïstische patronen die duiden op social engineering. De keerzijde is dat deze modellen vaak veel rekenkracht vergen, specialistische kennis vragen voor ontwerp en onderhoud, en lastiger uit te leggen zijn aan niet-technische stakeholders. Voor een overheid die onder toezicht staat van auditors, toezichthouders en de Tweede Kamer is dat een belangrijk aandachtspunt.
Daarom is het verstandig deep learning selectief en doelgericht in te zetten, als aanvulling op meer traditionele modellen. Voorbeelden zijn het automatisch classificeren van verdachte bijlagen in e-mailstromen, het herkennen van eerder ongeziene malwarevarianten in endpointtelemetrie of het ontdekken van complexe correlaties in Microsoft Sentinel die anders verborgen zouden blijven. Belangrijk is dat de onderliggende infrastructuur op orde is: een centrale omgeving voor modelregistratie en versiebeheer, duidelijke procedures voor het uitrollen en terugdraaien van modellen, en monitoring van prestaties in productie. Daarnaast moet vanaf het begin worden nagedacht over explainable AI: technieken zoals feature importance, surrogate decision trees of voorbeeldcases helpen om beslissingen van complexe modellen te vertalen naar begrijpelijke argumenten voor analisten, CISO en bestuur.
In de praktijk blijkt een gelaagde combinatie van algoritmen het meest effectief. Eenvoudige, uitlegbare modellen kunnen dienen als eerste filter dat bulkruis verwijdert, terwijl meer geavanceerde modellen zich richten op de overblijvende, moeilijkere gevallen. Door modellen te variëren in benadering, gebruikte databronnen en tijdvenster, ontstaat een robuuste detectiestack die minder gevoelig is voor datadrift en veranderend gebruikersgedrag. Voor kritieke processen – zoals uitkeringsketens, politiediensten of verkiezingsinfrastructuur – kan bovendien een ensemble van meerdere modellen worden ingezet, zodat een enkele fout minder snel leidt tot een gemist incident. Op die manier wordt machine learning geen doel op zich, maar een samenhangend geheel van technieken dat aantoonbaar bijdraagt aan de doelen van de Nederlandse Baseline voor Veilige Cloud.
False positives terugdringen: thresholds en feedback
Vrijwel elk SOC dat start met AI-gestuurde detectie krijgt vroeg of laat te maken met een toename van valse positieven. Aanvankelijk is de verleiding groot om het systeem extreem gevoelig in te stellen: liever een alert te veel dan één echte dreiging te weinig. In de praktijk leidt dat snel tot alarmmoeheid. Analisten zien lange rijen meldingen binnenkomen, waarvan een groot deel na onderzoek onschuldig blijkt. De focus verschuift van inhoudelijke analyse naar het wegwerken van tickets. In een overheidscontext is dat extra risicovol, omdat SOC-teams ook verantwoordelijk zijn voor maatschappelijk kritieke processen zoals uitbetalingen, vergunningverlening en verkiezingsondersteuning. Wanneer iedere dag alles rood kleurt, wordt het moeilijk om nog te herkennen welke signalen echt urgent zijn.
Om valse positieven effectief terug te dringen, is het belangrijk eerst te begrijpen waar ze vandaan komen. Soms ligt de oorzaak in de gekozen kenmerken van het model: wanneer alleen gekeken wordt naar inlogtijdstip en locatie, zal een medewerker die tijdelijk in een ander tijdvak werkt onmiddellijk verdacht lijken. In andere gevallen mist het systeem context, bijvoorbeeld informatie over geplande onderhoudsvensters of crisisoefeningen, waardoor normaal maar uitzonderlijk gedrag als afwijkend wordt aangemerkt. Ook kunnen modellen te sterk zijn afgestemd op historische data, waardoor toevallige patronen uit het verleden ten onrechte worden gezien als regels voor de toekomst. Daarnaast verandert de organisatie continu: nieuwe applicaties, reorganisaties en veranderende werkpatronen maken dat een model dat een jaar geleden uitstekend presteerde, nu teveel ruis kan genereren.
Een gestructureerde aanpak start met het classificeren van meldingen. In plaats van alleen te registreren dat een alert vals positief was, is het nuttig om vast te leggen waarom. Ontbrak er context over een geplande wijziging? Was het drempelniveau te laag? Bleek een bepaalde gebruikersgroep structureel anders te werken dan gemiddeld? Door deze redenen te coderen in een klein aantal categorieën ontstaat na enkele weken een scherp beeld van de belangrijkste bronnen van ruis. Dit vormt de basis voor gerichte verbeteracties: extra contextvariabelen toevoegen, drempelwaarden differentiëren of het model opnieuw trainen met recentere data.
Drempelwaarden spelen een centrale rol bij het balanceren tussen gevoeligheid en rust in de operatie. Het is zelden verstandig om één globale drempel te hanteren voor de volledige organisatie. Een login die buiten kantoortijd plaatsvindt, is bijvoorbeeld veel alarmerender voor een medewerker van burgerzaken dan voor een 24/7 servicedesk. Ook het risicoprofiel van een applicatie telt zwaar mee: toegang tot een zaaksysteem met persoonsgegevens vraagt om strengere detectie dan toegang tot een intern trainingsportaal. Nederlandse overheidsorganisaties doen er daarom goed aan drempelinstellingen te koppelen aan risicoklassen uit de BIO en NIS2. In beleid en runbooks wordt beschreven welke drempels horen bij een bepaald vertrouwelijkheidsniveau of dienstkritiek, zodat achteraf inzichtelijk blijft waarom voor een bepaalde gevoeligheid is gekozen.
Naast statische drempels kan dynamische drempelstelling veel opleveren. Tijdens een grote migratie, een landelijke oefening of een crisissituatie verandert het gedrag van gebruikers en systemen tijdelijk. Wanneer het AI-systeem dat niet weet, ontstaat een golf van voorspelbare alerts. Door technische signalen (zoals geplande changes in een CAB-systeem) en organisatorische informatie (zoals besluitvorming in een crisisteam) te koppelen aan de detectieomgeving, kan de gevoeligheid tijdelijk worden bijgesteld. Omgekeerd kan de drempel juist worden verlaagd wanneer het Nationaal Cyber Security Centrum een verhoogde dreigingsmelding afgeeft of wanneer er concrete signalen zijn dat een bepaalde sector, bijvoorbeeld de zorg of het gemeentelijk domein, wordt aangevallen. Deze vormen van adaptieve beveiliging vragen wel om duidelijke governance, zodat altijd herleidbaar is wie wanneer welke instellingen heeft aangepast.
Minstens zo belangrijk als de techniek is de stem van de analisten. Zij brengen elke dag uren door in de tooling en zien als geen ander welke meldingen waardevol zijn en welke structureel weinig opleveren. Door in het SOC-proces vast te leggen dat elke alert eindigt met een compact oordeel – terecht, vals alarm of onvoldoende informatie – ontstaat een feedbacklus die direct kan worden gebruikt voor modelverbetering. Wanneer blijkt dat een bepaald type melding in meer dan negentig procent van de gevallen onschuldig is, is dat een signaal om de onderliggende detectieregel, het model of de drempel nog eens kritisch tegen het licht te houden. Omgekeerd kunnen meldingen die vaak tot relevante bevindingen leiden worden gebruikt als voorbeeldcases bij de verdere ontwikkeling van algoritmen.
Automatisering helpt om deze feedback op schaal te benutten. Met retraining-pijplijnen kan bijvoorbeeld elk kwartaal een nieuw model worden gebouwd dat gebruikmaakt van de meest recente data én de oordelen van analisten. Bij technieken zoals actief leren selecteert het systeem bewust die meldingen waar het het minst zeker over is en vraagt het expliciet om een menselijke beoordeling. Zo wordt de schaarse tijd van ervaren SOC-medewerkers ingezet op de casussen waar hun oordeel het meeste leereffect heeft. Na iedere retraining worden statistieken zoals precisie en dekking opnieuw gemeten, bij voorkeur uitgesplitst naar dienst, tenant of risicoklasse. Dit maakt zichtbaar of een wijziging in de praktijk echt tot minder ruis en betere detectie leidt.
Tot slot is een kwantitatieve dialoog met bestuur en lijnmanagement onmisbaar. Het terugdringen van valse positieven is geen puur technisch optimalisatieproject, maar een strategische keuze over hoe risico en werkdruk worden verdeeld. Door met indicatoren als precisie, recall, gemiddelde afhandeltijd en aantal meldingen per dienst te rapporteren, ontstaat een transparant gesprek over de vraag hoeveel ruis acceptabel is om een bepaald detectieniveau te bereiken. In plaats van alleen te rapporteren hoeveel alerts er zijn afgehandeld, kan een CISO laten zien hoe de kwaliteit van de detectie zich ontwikkelt en welke bestuurlijke keuzes daaraan ten grondslag liggen. Op die manier wordt AI-gestuurde detectie een volwassen onderdeel van de beveiligingsstrategie, dat aantoonbaar bijdraagt aan de doelen van de Nederlandse Baseline voor Veilige Cloud zonder het SOC te overladen met onnodig werk.
AI-gestuurde dreigingsdetectie kan voor Nederlandse overheidsorganisaties het verschil maken tussen een tijdig ingedamd incident en een langdurige crisis. Door grote hoeveelheden telemetrie uit Microsoft 365, Azure en on-premises bronnen automatisch te analyseren, ontstaan kansen om patronen te herkennen die voor menselijke analisten nauwelijks zichtbaar zijn. Gedragsanalyse, anomaliedetectie en geavanceerde correlaties maken het mogelijk om misbruik van accounts, laterale beweging en voorbereidingen voor datadiefstal in een veel eerder stadium te signaleren. Daarmee ondersteunt kunstmatige intelligentie niet alleen het SOC, maar ook bestuurders die moeten aantonen dat zij de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2 in samenhang toepassen.
Het succes van AI-detectie hangt echter af van meer dan alleen de keuze voor een algoritme of platform. Supervised modellen leveren waarde wanneer de trainingsdata representatief en goed gelabeld zijn; unsupervised technieken voegen daar het vermogen aan toe om onbekende patronen en zero-day-aanvallen op te sporen; deep learning biedt extra diepgang in complexe scenario's, mits zorgvuldig toegepast en verantwoord. Ensemblebenaderingen combineren deze elementen tot een robuust geheel, maar vergen duidelijke governance rond validatie, monitoring en lifecyclebeheer. Alleen wanneer organisaties deze bouwstenen bewust combineren, ontstaat een detectiestack die zowel krachtig als uitlegbaar is.
Minstens zo belangrijk is de operationele inbedding. Zonder heldere drempelinstellingen, een doordacht feedbackproces en duidelijke afspraken over wie welke alerts beoordeelt, verandert AI in een bron van extra werk in plaats van een versterking van het SOC. Door structureel te sturen op kwaliteitsmaatregelen zoals precisie en dekking, en door analisten actief te betrekken bij het verbeteren van modellen, blijft de balans tussen veiligheid en werkdruk houdbaar. Rapportages aan CISO, CIO en bestuur laten dan niet alleen zien hoeveel alerts er zijn afgehandeld, maar vooral hoe de kwaliteit van detectie zich ontwikkelt.
Organisaties die investeren in deze samenhang – techniek, processen en vaardigheden – bouwen stap voor stap aan een SOC dat voorbereid is op de volgende generatie aanvallen. Zij combineren klassieke detectiemechanismen met machine learning, leggen beslissingen en verbeteringen vast en zorgen dat explainable AI de norm is. Zo groeit AI-gestuurde dreigingsdetectie uit tot een strategische capaciteit: een manier om de digitale weerbaarheid van de overheid tastbaar te versterken en tegelijkertijd aantoonbaar te maken dat publieke data en diensten onder alle omstandigheden zo goed mogelijk worden beschermd.