Nederlandse overheidsorganisaties investeren al jaren in indicator-based detectie, maar zien dat moderne aanvallers steeds beter in staat zijn om signaturebibliotheken en statische regels te omzeilen. Een dossierbeheerder die buiten kantooruren grote hoeveelheden dossiers kopieert of een beleidsmedewerker die plotseling vanuit een onbekend land inlogt, valt niet altijd binnen vooraf gedefinieerde scenario’s. User and Entity Behavior Analytics (UEBA) vormt daarom een essentieel onderdeel van de Nederlandse Baseline voor Veilige Cloud. Door continu het normale gedrag van identiteiten, apparaten en workloads te modelleren kan een Security Operations Center nieuwe afwijkingen identificeren die wijzen op een gecompromitteerde identiteit, misbruik van een service principal of een insider die misbruik maakt van legitieme privileges.
Deze blog beschrijft hoe gedragsanalyse binnen Microsoft Sentinel en Microsoft Defender XDR wordt ingericht voor publieke organisaties onder de BIO en NIS2. We gaan in op de strategische positionering van UEBA, de datastromen die nodig zijn om betrouwbare modellen te bouwen, de tuningstappen die false positives beperken en de integratie van signalen in onderzoek- en responsteams. Daarnaast behandelen we privacy- en archiefwetgeving, omdat UEBA in de praktijk persoonsgegevens verwerkt en bewijs moet kunnen leveren aan toezichthouders zoals de Autoriteit Persoonsgegevens of de Auditdienst Rijk. Het doel is een volwassen referentiekader te bieden waarmee organisaties adaptieve detectie invoeren zonder de SOC-analisten te overladen.
UEBA binnen Microsoft Sentinel vraagt om een solide governancekader: bepaal welke identiteiten prioriteit hebben, verzamel volledige telemetrie en sluit het onderzoeksteam aan op dezelfde risicoscores zodat afwijkingen direct leiden tot actie.
Plan een gefaseerde uitrol met een leercurve van minimaal dertig dagen waarin alerts alleen worden gelabeld en niet automatisch doorgezet. Die observatieperiode levert een rijk trainingsset op, voorkomt alert-moeheid en maakt het mogelijk om samen met de business uitzonderingen vast te leggen voordat afdwinging start.
Strategische waarde van UEBA binnen de publieke sector
Een volwassen UEBA-programma begint met een duidelijke positionering binnen het bredere detectielandschap. Nederlandse ministeries, provincies en uitvoeringsorganisaties zijn verplicht om onder de BIO, AVG en binnenkort de NIS2-richtlijn aantoonbaar inzicht te hebben in afwijkend gedrag van gebruikers en systemen. UEBA fungeert als een extra verdedigingslaag naast traditionele indicator based tooling en biedt bestuurders het vertrouwen dat niet alleen bekende IoC's worden opgespoord, maar ook subtiele afwijkingen die wijzen op een geavanceerde tegenstander of een werknemer met kwaad in de zin. De strategische waarde zit in het koppelen van gedragsinzichten aan bedrijfsrisico's: denk aan dossiers die buiten kantooruren worden geraadpleegd, beleidsdocumenten die in bulk worden gedownload of service accounts die plotseling privileges uitoefenen in een ander tenantsegment. Door deze risico's te koppelen aan concrete BIO-controles en de Nederlandse Baseline voor Veilige Cloud ontstaat een vocabulaire waarmee bestuurders, CISO's en Chief Data Officers dezelfde taal spreken.
De introductie van UEBA begint met het inventariseren van kroonjuwelen en kritieke processen. Voor een gemeente zijn dat bijvoorbeeld BRP-gegevens, belastingsystemen en documenten die onder de Wet open overheid vallen. Voor een ministerieel agentschap draait het om vertrouwelijke beleidsnota's, aanbestedingsdossiers en onderzoeksdata. Door op deze processen een gedragsprofiel te definiëren kan het algoritme sneller vaststellen wanneer een gebruiker buiten zijn normale taakveld opereert. Dit vraagt om een nauwe samenwerking tussen security, data-eigenaren en privacy officers. In workshops worden scenario's uitgewerkt: welke handelingen zijn noodzakelijk om de taak uit te voeren, welk gedrag is uitzonderlijk maar acceptabel en welke acties zijn absoluut verboden? Deze kennis wordt vertaald naar prioriteiten in de UEBA-configuratie, bijvoorbeeld door bepaalde SharePoint-sites of Teams-kanalen een hogere gevoeligheid mee te geven zodat afwijkingen daar sneller escaleren naar het SOC.
Een tweede strategisch aspect is de keuze van het platform. Microsoft Sentinel en Defender XDR bieden native UEBA-functionaliteit, maar de waarde neemt toe wanneer aanvullende bronnen zoals HR-systemen, fysieke toegangslogs en applicatietelemetrie uit legacy-systemen worden toegevoegd. Publieke organisaties moeten hier rekening houden met gegevensopslag binnen de EU, bewaartermijnen volgens de Archiefwet en de noodzaak om logging onveranderbaar te bewaren voor forensisch onderzoek. Door vanaf het begin een architectuur te ontwerpen waarin data via Azure Monitor, Microsoft Graph of API-connectoren binnenkomt, worden latere uitbreidingen eenvoudiger en kan het model continue verbeteringen doorvoeren zonder dat er telkens nieuwe consentprocessen hoeven te worden opgestart. Strategisch leiderschap betekent ook dat UEBA niet als een proefballon wordt gezien, maar als een structureel programma met budget, KPI's en rapportage aan bestuurders.
Tot slot vereist de strategische verankering een volwassen meetkader. Organisaties definiëren indicatoren zoals het percentage kritieke identiteiten met een actuele gedragsbaseline, het aantal incidenten dat dankzij UEBA is ontdekt voordat schade optrad en de gemiddelde tijd tussen detectie en containment. Deze indicatoren worden in dashboards voor de Chief Information Security Officer opgenomen en gekoppeld aan de verantwoordingscyclus richting Auditdienst Rijk of gemeentelijke rekenkamers. Door successen en verbeterpunten zichtbaar te maken, blijft de investering in UEBA gelegitimeerd en ontstaat er ruimte om de dekking uit te breiden naar nieuwe SaaS-platformen of OT-systemen. Bovendien kunnen deze statistieken worden gebruikt om besluitvorming over aanvullende maatregelen – zoals verplichte meervoudige authenticatie of strengere dataclassificatie – te onderbouwen tijdens strategische board- of collegevergaderingen, waardoor UEBA zichtbaar bijdraagt aan bestuurlijke wendbaarheid.
Datapijplijnen, modellering en tuning
De kwaliteit van een UEBA-implementatie valt of staat met de volledigheid van de datastromen. In Microsoft Sentinel betekent dit dat log connectors voor Azure AD sign-ins, Microsoft Defender for Cloud Apps, Microsoft 365-beheeractiviteiten en relevante on-premises bronnen worden geactiveerd. Voor organisaties die nog een hybride Active Directory gebruiken, zijn Azure Monitor Agent en Defender for Identity cruciaal omdat zij details leveren over Kerberos-tickets, DNS-verkeer en laterale bewegingen binnen het netwerk. Deze gegevens vormen de bouwstenen voor machine learning-modellen die normaal gedrag vastleggen. Het is essentieel om in de ontwerpfase al rekening te houden met de retentie-eisen uit de BIO en het Nationaal Archief; veel organisaties kiezen voor een combinatie van hot storage voor snelle detectie en immutable storage voor forensische terugkijkperioden zodat modellen opnieuw getraind kunnen worden na audits of incidenten.
Het trainen van gedragsmodellen verloopt gefaseerd. Eerst wordt een observatieperiode ingesteld waarin het systeem gedrag registreert zonder alerts door te zetten. Analisten labelen opvallende gebeurtenissen zodat het model begrijpt welke patronen horen bij bijvoorbeeld crisisoverleggen, verkiezingen of belastingcampagnes. Daarna volgt een gefaseerde activering waarbij alerts voor kritieke scenario's – zoals dat exfiltratie naar onbekende locaties of massale downloadacties – direct in het incident queue belanden, terwijl minder urgente afwijkingen eerst via automation rules worden verrijkt met context. Door gebruik te maken van notebook-integraties binnen Sentinel kunnen data scientists eigen features toevoegen, zoals seizoenspatronen rond parlementaire reces of de impact van internationale missies op inloglocaties van defensiepersoneel. De modellen blijven zo actueel en verminderen het aantal valse positieven dat ontstaat wanneer organisatiestructuren veranderen.
Tuning is een doorlopend proces dat nauw samenwerkt met change- en releasekalenders. Wanneer een ministerie een nieuw HR-systeem uitrolt, verandert het gedrag van duizenden gebruikers en service accounts. Zonder vooraf ingestelde uitzonderingen leidt dat tot een vloedgolf aan alerts. Daarom koppelen volwassen organisaties UEBA aan het CAB-proces: grote wijzigingen worden vooraf aangemeld, waarna het SOC tijdelijke suppressies instelt of de leercurve verlengt. Daarnaast wordt gebruikgemaakt van peer grouping waarbij het model gebruikers vergelijkt met collega's met eenzelfde rol. Dit voorkomt dat bijvoorbeeld een inspecteur die veel reist continu wordt vergeleken met kantoormedewerkers. Voor gevoelige rollen zoals griffiers, toezichthouders of identity administrators worden aparte profielen gemaakt zodat elke afwijking direct opschaalt naar Tier 2-analisten.
Om de technische betrouwbaarheid verder te verhogen, bouwen organisaties kwaliteitscontroles in. Automatiseringen controleren dagelijks of alle connectors data leveren, of er geen gaps in logbestanden zitten en of de latency binnen de afgesproken service levels blijft. Wanneer er hiaten ontstaan, bijvoorbeeld door netwerkstoringen of beleidswijzigingen bij SaaS-leveranciers, start een runbook dat het herstel coördineert en tegelijkertijd de modellen informeert dat bepaalde perioden als onzeker moeten worden gemarkeerd. Hierdoor wordt voorkomen dat het ML-model verkeerde conclusies trekt op basis van incomplete datasets. Deze kwaliteitsborging is essentieel om bij audits aan te tonen dat detectieresultaten betrouwbaar zijn en dat beslissingen – zoals het tijdelijk blokkeren van een account – zijn gebaseerd op representatieve gegevens. Bovendien kunnen dezelfde kwaliteitsrapportages gebruikt worden om leveranciersafspraken aan te scherpen of om extra budget te claimen voor bandbreedte en opslag wanneer de datavolumes groeien door nieuwe digitale diensten.
Operationele workflows, privacy en governance
Wanneer UEBA-alerts worden gegenereerd, moet het SOC efficiënt onderzoek kunnen doen. Nederlandse organisaties richten hiervoor een standaard workflow in binnen Microsoft Sentinel of Defender XDR. Elke alert wordt automatisch verrijkt met identity-informatie uit Entra ID, device compliance uit Intune, classificaties uit Microsoft Purview en eventuele HR-statussen zoals ziekteverlof of detachering. Dit stelt analisten in staat om binnen één console te bepalen of een afwijking duidt op credential theft, privilege misuse of legitiem uitzonderlijk gedrag. Parallel hieraan wordt een playbook gestart dat de betrokken lijnmanager informeert en het privacyteam inschakelt wanneer persoonsgegevens worden geanalyseerd. Door deze werkwijze te standaardiseren, verkorten organisaties de meantime-to-know en voorkomen ze willekeur in de interpretatie van gedragsdata.
Privacy en proportionaliteit vormen vaak de grootste zorg. UEBA verwerkt gedragsinformatie die als persoonsgegeven wordt gezien onder de AVG. Daarom is een Data Protection Impact Assessment verplicht voordat het systeem in productie gaat. In de DPIA wordt vastgelegd welke gegevens worden verzameld, hoe lang ze worden bewaard, wie toegang heeft en hoe betrokkenen hun rechten kunnen uitoefenen. Veel organisaties implementeren een two-person rule waarbij alleen geautoriseerde SOC-leiders de ruwe events mogen inzien en waarbij rapportages richting management geanonimiseerd worden. Ook worden automatische notificaties naar privacy officers verstuurd wanneer bijzondere categorieën gegevens, zoals medische dossiers of tuchtzaken, onderdeel uitmaken van een UEBA-alert. Deze governance zorgt ervoor dat de voordelen van gedragsanalyse niet botsen met de eisen van de Autoriteit Persoonsgegevens of het Rijksbrede Privacykader.
Een effectieve operationalisering vereist bovendien dat UEBA onderdeel wordt van het bredere incident response plan. Wanneer een alert wijst op mogelijke credential theft, moet het SOC direct kunnen overgaan op containment door Conditional Access policies aan te scherpen, sessies te beëindigen of een forensisch onderzoek in te zetten. Dit gebeurt via geautomatiseerde Logic Apps of Defender-responsacties. Tegelijkertijd wordt de communicatieafdeling voorbereid op eventuele meldingen richting de NCSC, de toezichthouder of de betrokken burgers, afhankelijk van de ernst van het incident. Door UEBA-ketens expliciet op te nemen in draaiboeken en tabletop-oefeningen ontstaat er vertrouwen dat het systeem niet alleen detecteert, maar ook wordt opgevolgd.
Tot slot wordt governance geborgd via rapportages en audits. Maandelijks ontvangt de Chief Information Security Officer een overzicht van trends, zoals het aantal afgewezen inlogpogingen per regio, de meest voorkomende afwijkingen per business unit en het percentage alerts dat binnen SLA is afgehandeld. Deze rapportages worden gekoppeld aan KPI's in de Nederlandse Baseline voor Veilige Cloud en vormen input voor de jaarlijkse ENSIA- of NIS2-rapportage. Daarnaast stellen organisaties een onafhankelijk reviewteam in – vaak bestaande uit Internal Audit en een externe partner – dat de effectiviteit van de modellen beoordeelt, steekproeven neemt en aanbevelingen doet voor verbeteringen. Door governance op dit niveau te organiseren, blijft UEBA geen black box, maar een transparant en aantoonbaar gecontroleerd onderdeel van de beveiligingsarchitectuur. Bovendien draagt deze transparantie bij aan het vertrouwen van medezeggenschapsraden en ondernemingsraden, die vaak inspraak hebben bij de inzet van monitoringtechnologie en gerustgesteld willen worden dat het systeem proportioneel wordt gebruikt. Naarmate deze gremia beter inzicht krijgen in de controles, groeit ook de bereidheid om aanvullende datastromen beschikbaar te stellen, waardoor de nauwkeurigheid van UEBA stap voor stap toeneemt.
Behavioral analytics en UEBA vormen een cruciale pijler onder de Nederlandse Baseline voor Veilige Cloud omdat ze organisaties in staat stellen om onbekende dreigingen te herkennen voordat er schade optreedt. Door strategische verankering, complete data-inname, zorgvuldig getrainde modellen en strakke governance ontstaat een detectiecapaciteit die meebeweegt met veranderende processen en dreigingsactoren. Even belangrijk is het respecteren van privacykaders en het zorgvuldig begeleiden van de organisatie tijdens de leercurve zodat alert-moeheid wordt voorkomen.
Wie deze bouwstenen combineert met heldere KPI’s, automatisering en een volwassen incidentrespons ziet dat UEBA niet slechts een technisch experiment is, maar een integraal onderdeel van de controlestelling richting toezichthouders en auditcommissies. Daarmee wordt het verschil gemaakt tussen een SOC dat vooral reageert op bekende indicatoren en een SOC dat proactief afwijkingen signaleert en onderbouwd kan uitleggen welke beslissingen zijn genomen in het belang van burgers en publieke dienstverlening.