💼 Management Samenvatting
AI-ondersteunde onderzoeken in Microsoft Sentinel vormen de kern van moderne security operations, omdat zij analisten in staat stellen om binnen minuten een volledig beeld te vormen van complexe aanvallen. Door telemetrie, incidentdata, entiteiten en threat intelligence automatisch te correleren, voorkomen AI-gedreven onderzoeksworkflows dat kritieke signalen verdwijnen in lange incidentenlijsten en zorgen zij ervoor dat Nederlandse overheidsorganisaties aantoonbaar voldoen aan eisen uit de Baseline Informatiebeveiliging Overheid (BIO), NIS2 en de Nederlandse Baseline voor Veilige Cloud. Zonder een volwassen AI-investigation aanpak blijven SOC-teams veel tijd verliezen aan handmatige queries, losse exports naar Excel en versnipperde notities, waardoor de mean time to investigate te hoog blijft en forensische bewijsvoering moeilijk reproduceerbaar is.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
180u (tech: 120u)
Van toepassing op:
✓ Azure
Een gestructureerde AI-investigation capability is essentieel omdat de hoeveelheid securitysignalen in Azure, Microsoft 365 en externe bronnen de capaciteit van menselijke analisten ruimschoots overstijgt. Incidenten omvatten vaak meerdere accounts, endpoints, cloudresources en gevoelige documenten die over verschillende logbronnen zijn verspreid. Wanneer analisten elke correlatie handmatig moeten uitvoeren, ontstaat een reëel risico dat indicatoren over het hoofd worden gezien, dat meldplichten onder de Wbni en AVG te laat worden herkend en dat bestuurders onvoldoende inzicht krijgen in de werkelijke impact van een aanval. Een goed ingerichte AI-investigation aanpak met Microsoft Sentinel en Copilot for Security verkort niet alleen de doorlooptijd van onderzoeken, maar zorgt ook voor consistente, uitlegbare en auditeerbare beslissingen. Dit is cruciaal voor ministeries, uitvoeringsorganisaties, gemeenten en andere publieke instellingen die onder toezicht staan van de Auditdienst Rijk, de Autoriteit Persoonsgegevens of sectorale toezichthouders.
PowerShell Modules Vereist
Primary API: Azure Security Insights, Azure Monitor, Microsoft Graph
Connection:
Required Modules: Az.Accounts, Az.SecurityInsights
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.SecurityInsights
Implementatie
AI-investigation in Azure Sentinel combineert advanced hunting queries, entity-beveiligingsgrafen, incident-tijdlijnen en Copilot-ondersteunde analyses tot een geïntegreerde onderzoeksworkflow. Binnen één incidentdossier ziet de analist welke gebruikers, apparaten, IP-adressen, applicaties en documenten betrokken zijn, welke MITRE ATT&CK-tactieken zijn waargenomen en welke eerdere waarschuwingen of blokkades op dezelfde entiteiten zijn geactiveerd. Machine learning helpt om verbanden te leggen tussen op het eerste gezicht losse signalen, terwijl Copilot for Security in gewoon Nederlands queries kan genereren, bevindingen kan samenvatten en concept-rapportages kan opstellen. Een volwassen implementatie gaat verder dan ad-hoc gebruik van KQL: organisaties definiëren standaardonderzoekspatronen, scriptbibliotheken, playbooks en dashboards waarmee AI consequent dezelfde kwaliteit levert, ongeacht welke analist het onderzoek uitvoert. Het JSON-artikel beschrijft hoe Nederlandse publieke organisaties een herhaalbaar onderzoeksproces kunnen opbouwen, hoe zij AI-beslissingen uitlegbaar houden en hoe het begeleidende PowerShell-script ai-investigation.ps1 kan worden gebruikt om incidentinformatie gestructureerd op te halen en vast te leggen.
Fundament van AI-ondersteunde onderzoeken in Sentinel
Een effectief AI-investigation proces begint met een helder gedefinieerd onderzoeksmodel binnen Microsoft Sentinel. In plaats van elk incident als een unieke casus te behandelen, werken Nederlandse overheidsorganisaties met standaardpatronen: welke vragen worden altijd gesteld, welke gegevensbronnen worden geraadpleegd, welke beslismomenten vereisen menselijke tussenkomst en welke stappen kunnen volledig worden geautomatiseerd. Sentinel bundelt hiervoor alerts uit Defender, Microsoft 365, identiteitsplatformen en third-party oplossingen tot één incidentobject dat fungeert als de centrale kapstok. Door entiteiten als gebruikers, apparaten, IP-adressen en resources op te nemen in een grafstructuur ontstaat een overzichtelijk beeld van de aanvalsketen, inclusief laterale beweging, privilege-escalatie en data-exfiltratie. AI-modellen helpen om ruis te filteren, herhalende patronen te herkennen en mogelijke root causes te identificeren, terwijl de analist altijd de mogelijkheid houdt om de onderliggende gegevens en queries in te zien.
Datakwaliteit en normalisatie zijn randvoorwaardelijk voor betrouwbare AI-ondersteunde analyses. Logbronnen moeten volledig, tijdig en eenduidig zijn; events uit verschillende systemen moeten op basis van tijd, identiteit en resource aan elkaar kunnen worden gekoppeld. Voor Nederlandse overheidsorganisaties betekent dit onder meer dat Sentinel-workspaces een duidelijke scheiding kennen tussen operationele logging en audit- of archiefdoeleinden, dat bewaartermijnen zijn afgestemd op Archiefwet- en AVG-verplichtingen, en dat normalisatie via het Microsoft Sentinel Information Model (ASIM) wordt toegepast waar mogelijk. AI-modellen kunnen alleen zinvolle correlaties leggen als basale vragen eenvoudig te beantwoorden zijn, zoals: welke identiteit hoorde bij deze aanmelding, welke devices stonden op naam van deze medewerker en welke gevoelige informatie was toegankelijk vanuit dit account. Daarom hoort bij het fundament van AI-investigation ook een duidelijke mapping tussen identity management, CMDB, labelbeleid en de datacatalogus.
Een tweede fundament is het definiëren van onderzoekssjablonen per dreigingssituatie. Voor phishingaanvallen op Microsoft 365-accounts ziet de route er anders uit dan voor een verdacht proces op een OT-endpoint of een verdachte rolwijziging in Azure. In elk sjabloon staan vaste stappen beschreven, zoals het controleren van recente sign-ins, het analyseren van inboxregels, het openen van de entiteitstijdlijn, het controleren van toegepaste DLP-beleid en het vastleggen van eerste bevindingen. AI-ondersteuning maakt deze stappen niet overbodig, maar versnelt en verrijkt ze door automatisch de relevante queries uit te voeren en de resultaten samen te vatten. Door deze sjablonen in zowel Sentinel-werkprocessen als Copilot-prompts vast te leggen, ontstaat een uniform onderzoeksproces dat minder afhankelijk is van individuele kennis.
Governance speelt een doorslaggevende rol in het fundament van AI-investigation. Bestuurders en CISO's moeten erop kunnen vertrouwen dat AI-ondersteunde aanbevelingen consistent, uitlegbaar en proportioneel zijn. Dat betekent onder meer dat promptbibliotheken, scriptcollecties en playbooks centraal worden beheerd, dat alleen getrainde analisten toegang hebben tot geavanceerde AI-functionaliteiten en dat iedere geautomatiseerde of door AI geadviseerde actie voorzien is van een duidelijke motivatie. Binnen de Nederlandse Baseline voor Veilige Cloud hoort daarbij dat de inrichting van AI-investigation is opgenomen in het verwerkingsregister, dat DPIA's aandacht besteden aan de impact van geautomatiseerde besluitvorming en dat rollen, verantwoordelijkheden en escalatiepaden zijn vastgelegd in incident response-plannen. Het fundament bestaat dus niet alleen uit technologie, maar uit een combinatie van processen, rollen en controleerbare configuraties in Sentinel.
Standaard onderzoeksworkflow met AI-ondersteuning
Een typische AI-ondersteunde onderzoeksworkflow in Sentinel start zodra een incident is aangemaakt op basis van één of meerdere alerts. De eerste stap is contextverrijking: Sentinel koppelt entiteiten, laadt de incidenttijdlijn en haalt aanvullende gegevens op uit relevante tabellen. AI-modellen en KQL-queries vullen deze stap automatisch in door bijvoorbeeld alle activiteiten van de betrokken gebruiker in de 24 uur voorafgaand aan het incident te reconstrueren, afwijkende aanmeldpatronen te markeren en eerdere incidenten met dezelfde entiteit op te zoeken. Voor Nederlandse overheidsorganisaties is het hierbij belangrijk om rekening te houden met dataminimalisatie: alleen gegevens die nodig zijn voor de specifieke onderzoeksdoelstelling worden geraadpleegd en opgenomen in het dossier, terwijl overige logs binnen de securitymonitoringomgeving blijven.
Vervolgens wordt de aanvalspad-analyse uitgevoerd. AI-ondersteuning helpt om de keten van initiële toegang via verplaatsing in het netwerk naar impact in kaart te brengen, bijvoorbeeld door MITRE ATT&CK-tactieken en -technieken automatisch toe te kennen aan observaties in de logs. Copilot for Security kan in gewoon Nederlands vragen beantwoorden als: 'Welke stappen in de aanval lijken op de beschreven tactieken in het laatste CSBN-rapport?' of 'Welke andere systemen zijn mogelijk geraakt door deze inbraak?'. De assistent vertaalt deze vragen naar KQL-queries, combineert resultaten en levert een narratief dat zowel voor SOC-analisten als voor bestuurders begrijpelijk is, inclusief verwijzing naar de onderliggende queries en datasets. Hierdoor ontstaat een gedeeld situational awareness zonder dat iedereen KQL-expert hoeft te zijn.
Na de analysefase volgen beslismomenten rond containment en mitigatie. AI kan scenario's simuleren ('Wat is de impact als we dit account onmiddellijk blokkeren?' of 'Welke businessprocessen worden geraakt als we deze server isoleren?') en bekende best practices aanreiken op basis van Microsoft-richtlijnen, NCSC-adviezen en interne playbooks. Toch blijft de uiteindelijke beslissing altijd bij de bevoegde functionaris, bijvoorbeeld de dienstdoende incident commander of de verantwoordelijke lijnmanager. Sentinel en Copilot leggen vast wie welke beslissing heeft genomen, welke argumenten daarbij zijn gebruikt en welke acties zijn uitgevoerd. Dit vormt later de basis voor verantwoording richting de Autoriteit Persoonsgegevens, de NCSC-meldkamer of interne auditors.
Een volwassen workflow sluit af met documentatie, rapportage en lessons learned. AI-assistentie kan automatisch een concept-incidentrapport genereren waarin tijdlijn, impact, oorzaken, genomen maatregelen en resterende restrisico's overzichtelijk worden gepresenteerd. Voor Nederlandse overheidsorganisaties is het belangrijk dat dit rapport direct aansluit op bestaande formats voor ENSIA, NIS2-rapportage en interne managementrapportages. Daarnaast kunnen AI-modellen helpen om patronen over meerdere incidenten heen te herkennen, bijvoorbeeld terugkerende configuratiefouten of kwetsbare processen, en aanbevelingen doen voor structurele verbeteringen. Door deze informatie op te slaan in een centrale kennisbank voorkomen organisaties dat expertise alleen in hoofden van individuele analisten blijft bestaan en dragen zij bij aan een lerende security-organisatie.
Gebruik PowerShell-script ai-investigation.ps1 (functie Invoke-Investigation) – Haalt gestructureerde incidentinformatie uit Sentinel op en genereert een samenvatting die gebruikt kan worden als startpunt voor AI-ondersteunde onderzoeken..
Het PowerShell-script ai-investigation.ps1 ondersteunt deze workflow door via de Azure Security Insights API incidenten en bijbehorende entiteiten op te halen en te vertalen naar een gestructureerde JSON-uitvoer. SOC-teams kunnen het script gebruiken om snel een feitenrelaas samen te stellen: welke incidenten zijn recent geopend, welke severities en statussen komen voor, welke eigenaars zijn toegewezen en welke entiteiten keren het vaakst terug. Deze informatie kan direct worden gevoed aan Copilot for Security of worden gekoppeld aan dashboards en rapportages. Doordat het script uitsluitend leest en niets wijzigt in de omgeving, is het veilig inzetbaar in zowel productie- als testomgevingen en sluit het aan bij de governance-eisen van de Nederlandse Baseline voor Veilige Cloud.
Compliance, forensische bewijslast en governance
Vanuit complianceperspectief is AI-investigation in Sentinel meer dan een technische optimalisatie; het is een sleutelmechanisme om aan te tonen dat monitoring, detectie en response voldoen aan wettelijke en normatieve kaders. De Baseline Informatiebeveiliging Overheid (BIO) eist dat beveiligingsgebeurtenissen worden geregistreerd, geanalyseerd en opgevolgd. NIS2 en de Wbni voegen daar tijdgebonden meldplichten, transparantie en governance-eisen aan toe. AI-ondersteunde onderzoeken maken het mogelijk om deze verplichtingen efficiënt na te leven, mits organisaties de resultaten goed vastleggen en de beslislogica controleerbaar houden. Dat betekent onder meer dat audittrails van incidenten, queries, AI-adviezen en genomen maatregelen worden bewaard binnen bewaartermijnen die zijn afgestemd op Archiefwet en AVG, en dat duidelijk is welke gegevens waarop zijn gebaseerd.
Een belangrijk aandachtspunt is de rol van geautomatiseerde besluitvorming in het licht van de AVG. Hoewel Sentinel en Copilot vooral als decision support tools worden ingezet, kunnen combinaties van automatische triage en geautomatiseerde acties in de praktijk aanvoelen als autonome besluitvorming. Organisaties moeten daarom in DPIA's expliciet beschrijven welke beslissingen volledig automatisch worden genomen, welke controles of human-in-the-loop maatregelen zijn ingebouwd en hoe betrokkenen hun rechten kunnen uitoefenen. Transparantie richting medewerkers en burgers vergt duidelijke communicatie: welke logging vindt plaats, hoe lang worden gegevens bewaard, welke algoritmen of modellen worden gebruikt en hoe worden bias en fouten gemitigeerd. Door deze informatie te koppelen aan de inrichting van Sentinel en Copilot ontstaat een sluitende verantwoording.
Forensische bewijslast is een tweede pijler. Tijdens onderzoeken worden queries uitgevoerd, datasets gefilterd en conclusies getrokken; achteraf moet herleidbaar zijn hoe men tot die conclusies is gekomen. Daarom is het verstandig om onderzoeksactiviteiten te standaardiseren: gebruik vaste querybibliotheken, leg versies van scripts en playbooks vast in broncodebeheer en documenteer uitzonderingen expliciet. Het script ai-investigation.ps1 kan hieraan bijdragen door op een uniforme manier incidentmetadata te verzamelen die vervolgens samen met handmatige bevindingen wordt opgeslagen. Voor gevoelige zaken, zoals strafrechtelijke onderzoeken of incidenten met nationale veiligheidsimpact, kunnen organisaties aanvullende maatregelen treffen zoals het exporteren van relevante logsegmenten naar een forensische kluis en het ondertekenen van rapportages met digitale handtekeningen.
Governance tenslotte richt zich op eigenaarschap, verantwoordingslijnen en gezamenlijke besluitvorming. AI-investigation raakt niet alleen security, maar ook privacy, juridische afdelingen, bedrijfscontinuïteit en communicatie. Daarom is het verstandig om een multidisciplinair governance-orgaan in te richten dat periodiek beoordeelt hoe AI in onderzoeken wordt ingezet, of de afgesproken grenzen nog kloppen en of aanvullende waarborgen nodig zijn. Deze groep bekijkt onder andere welke promtplibrary wordt gebruikt in Copilot, welke scripts en playbooks in productie staan, welke KPI's worden behaald (bijvoorbeeld mean time to investigate, percentage onderzoeken met volledige audittrail) en hoe bevindingen worden teruggekoppeld naar strategische risicoanalyses. Door deze governance structureel vast te leggen in het securitybeleid en de Baseline-dossiers ontstaat een duurzaam kader voor verantwoord gebruik van AI in security-onderzoeken.
Monitoring, kwaliteitsbewaking en continue verbetering
AI-investigation is geen eenmalig project, maar een continu verbeterprogramma. Zodra de eerste onderzoeksworkflows draaien, moeten organisaties monitoren of de kwaliteit van analyses op peil blijft, of modellen niet wegglijden door veranderend dreigingslandschap en of de workload van analisten daadwerkelijk afneemt. Sentinel biedt hiervoor dashboards en werkboeken waarin incidentstatistieken, responstijden en onderzoekstijden worden getoond. Door deze gegevens te combineren met informatie uit ai-investigation.ps1 en Copilot-logs ontstaat een rijk beeld van de effectiviteit van het proces: hoeveel incidenten zijn met AI-ondersteuning sneller afgerond, hoeveel keer is aanvullende hulp gevraagd aan senior-analisten en welke soorten dreigingen blijven lastig te duiden.
Kwaliteitsbewaking omvat zowel technische als organisatorische maatregelen. Technisch gezien moeten querybibliotheken, playbooks en scripts periodiek worden gereviewd op actualiteit, performance en beveiliging. Nieuwe features in Sentinel en Copilot kunnen kansen bieden voor verbetering, maar brengen soms ook breaking changes met zich mee. Organisatorisch gaat het om training, kennisdeling en het voorkomen dat AI-uitkomsten blind worden vertrouwd. Regelmatige intervisiesessies waarin analisten casussen bespreken, AI-adviezen tegen het licht houden en alternatieve verklaringen onderzoeken, helpen om een gezonde kritische houding te behouden. Deze sessies kunnen direct input leveren voor aanpassingen in promtplibraries, scripts en governance-documenten.
Tot slot moeten organisaties borgen dat verbeteringen daadwerkelijk worden doorgevoerd en vastgelegd. Een wijzigingsproces waarin security-architecten, SOC-managers, privacy officers en lijnmanagement samen beslissen over structurele aanpassingen aan AI-investigation, voorkomt ongecontroleerde groei van scripts en playbooks. Elke wijziging wordt vastgelegd in versiebeheer, getest in een gescheiden omgeving en pas daarna doorgevoerd in productie. De resultaten van verbeteringen worden gemeten aan de hand van duidelijke KPI's, zoals reductie van mean time to investigate, toename van volledig gedocumenteerde onderzoeken en afname van escalaties naar crisisteams. Door AI-investigation als volwaardige capability in de meerjaren-roadmap van de organisatie op te nemen, blijft de aansluiting met de Nederlandse Baseline voor Veilige Cloud, BIO en NIS2 geborgd en groeit de volwassenheid van security operations stap voor stap.
Compliance & Frameworks
- BIO: 12.04, 16.01, 17.03 - Monitoring, analyse en opvolging van beveiligingsgebeurtenissen met AI-ondersteunde onderzoeken.
- ISO 27001:2022: A.16.1, A.12.4.1 - Geïntegreerd incidentmanagement en logging van beveiligingsgebeurtenissen met reproduceerbare analyses.
- NIS2: Artikel - Detectie, analyse en respons op incidenten met inzet van geavanceerde monitoring en forensische mogelijkheden.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Haalt gestructureerde incidentinformatie op uit Microsoft Sentinel
ten behoeve van AI-ondersteunde onderzoeken.
.DESCRIPTION
Dit script verzamelt incidentmetadata uit Microsoft Sentinel via de
Az.SecurityInsights-module en vertaalt deze naar een gestructureerde,
door AI goed verwerkbare JSON-uitvoer.
Het script is ontworpen als lees- en analysehulpmiddel: het wijzigt
GEEN configuraties, playbooks of incidentstatussen. Daarmee is het
veilig inzetbaar in productieomgevingen van Nederlandse
overheidsorganisaties voor het ondersteunen van forensisch onderzoek,
rapportage en AI-ondersteunde analyses conform de Nederlandse
Baseline voor Veilige Cloud, BIO, NIS2 en AVG.
.NOTES
Filename: ai-investigation.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/sentinel/ai-investigation.json
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.SecurityInsights
[CmdletBinding()]
param(
[Parameter()]
[string]$ResourceGroupName,
[Parameter()]
[string]$WorkspaceName,
[Parameter()]
[string]$IncidentId,
[Parameter()]
[int]$MaxIncidents = 20
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Sentinel AI Investigation - Incidentoverzicht en samenvatting"
function Connect-RequiredServices {
<#
.SYNOPSIS
Maakt verbinding met Azure als er nog geen context aanwezig is.
#>
if (-not (Get-AzContext)) {
Connect-AzAccount -ErrorAction Stop | Out-Null
}
}
function Get-SentinelIncidentSummary {
<#
.SYNOPSIS
Haalt incidenten op uit Microsoft Sentinel en projecteert relevante velden.
.DESCRIPTION
Wanneer een IncidentId is opgegeven, wordt alleen dat incident opgehaald.
Zonder IncidentId worden de meest recente incidenten (MaxIncidents)
opgehaald, gesorteerd op laatste wijzigingsdatum.
#>
param(
[Parameter(Mandatory)]
[string]$ResourceGroupName,
[Parameter(Mandatory)]
[string]$WorkspaceName,
[Parameter()]
[string]$IncidentId,
[Parameter()]
[int]$MaxIncidents = 20
)
# Basisopvraag van incidenten
if ($IncidentId) {
$incidents = Get-AzSentinelIncident -ResourceGroupName $ResourceGroupName -WorkspaceName $WorkspaceName -IncidentId $IncidentId -ErrorAction Stop
}
else {
$incidents = Get-AzSentinelIncident -ResourceGroupName $ResourceGroupName -WorkspaceName $WorkspaceName -ErrorAction Stop |
Sort-Object -Property LastModifiedTimeUtc -Descending |
Select-Object -First $MaxIncidents
}
$results = @()
foreach ($incident in $incidents) {
$properties = $incident.Properties
$owner = $null
if ($properties.Owner) {
$owner = [PSCustomObject]@{
ObjectId = $properties.Owner.ObjectId
Email = $properties.Owner.Email
AssignedTo = $properties.Owner.AssignedTo
UserPrincipalName = $properties.Owner.UserPrincipalName
}
}
$severities = @("Informational","Low","Medium","High")
$severityRank = $severities.IndexOf($properties.Severity)
if ($severityRank -lt 0) { $severityRank = 0 }
$results += [PSCustomObject]@{
IncidentId = $incident.Name
Title = $properties.Title
Description = $properties.Description
Severity = $properties.Severity
SeverityRank = $severityRank
Status = $properties.Status
Classification = $properties.Classification
ClassificationReason = $properties.ClassificationReason
Labels = $properties.Labels
Owner = $owner
CreatedTimeUtc = $properties.CreatedTimeUtc
LastModifiedTimeUtc = $properties.LastModifiedTimeUtc
FirstActivityTimeUtc = $properties.FirstActivityTimeUtc
LastActivityTimeUtc = $properties.LastActivityTimeUtc
IncidentUrl = $properties.IncidentUrl
Tactics = $properties.Tactics
AlertsCount = $properties.IncidentNumber
}
}
return $results
}
function Test-AiInvestigationReadiness {
<#
.SYNOPSIS
Bepaalt in hoeverre Sentinel-incidenten geschikt zijn voor AI-ondersteunde analyse.
#>
param(
[Parameter(Mandatory)]
[System.Collections.IEnumerable]$IncidentSummary
)
$total = ($IncidentSummary | Measure-Object).Count
$withOwner = ($IncidentSummary | Where-Object { $_.Owner -ne $null }).Count
$withTactics = ($IncidentSummary | Where-Object { $_.Tactics -and $_.Tactics.Count -gt 0 }).Count
$highSeverity = ($IncidentSummary | Where-Object { $_.Severity -eq "High" -or $_.Severity -eq "Medium" }).Count
[PSCustomObject]@{
TotalIncidents = $total
WithOwner = $withOwner
WithTactics = $withTactics
HighOrMediumSeverity = $highSeverity
OwnerCoveragePercentage = if ($total -gt 0) { [math]::Round(($withOwner / $total) * 100, 1) } else { 0 }
TacticsCoveragePercentage = if ($total -gt 0) { [math]::Round(($withTactics / $total) * 100, 1) } else { 0 }
HighSeverityPercentage = if ($total -gt 0) { [math]::Round(($highSeverity / $total) * 100, 1) } else { 0 }
IncidentSample = $IncidentSummary
}
}
try {
Connect-RequiredServices
if (-not $ResourceGroupName -or -not $WorkspaceName) {
throw "ResourceGroupName en WorkspaceName zijn verplicht voor het ophalen van Sentinel-incidenten."
}
$summary = Get-SentinelIncidentSummary -ResourceGroupName $ResourceGroupName -WorkspaceName $WorkspaceName -IncidentId $IncidentId -MaxIncidents $MaxIncidents
$readiness = Test-AiInvestigationReadiness -IncidentSummary $summary
Write-Verbose ("[{0}] Totaal incidenten verwerkt: {1}" -f $PolicyName, $readiness.TotalIncidents)
# Standaard uitvoer als JSON voor AI-verwerking of dashboards
$readiness | ConvertTo-Json -Depth 6
}
catch {
Write-Error $_
exit 1
}
# ================================================================================
# Standaard Invoke-* functies (voor gebruik vanuit andere scripts of tooling)
# ================================================================================
function Invoke-Investigation {
<#
.SYNOPSIS
Haalt incidenten op uit Sentinel en toont een compacte samenvatting.
.DESCRIPTION
Deze functie is bedoeld als startpunt voor menselijke en AI-ondersteunde
onderzoeken. Zij geeft een samenvatting van de incidentpopulatie, de
dekking van eigenaarstoewijzing en MITRE-tactieken en levert een
gedetailleerde incidentlijst als JSON.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$ResourceGroupName,
[Parameter(Mandatory)]
[string]$WorkspaceName,
[Parameter()]
[string]$IncidentId,
[Parameter()]
[int]$MaxIncidents = 20
)
try {
Connect-RequiredServices
$summary = Get-SentinelIncidentSummary -ResourceGroupName $ResourceGroupName -WorkspaceName $WorkspaceName -IncidentId $IncidentId -MaxIncidents $MaxIncidents
$readiness = Test-AiInvestigationReadiness -IncidentSummary $summary
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Totaal incidenten : {0}" -f $readiness.TotalIncidents) -ForegroundColor White
Write-Host ("Met eigenaar toegewezen : {0} ({1}%)" -f $readiness.WithOwner, $readiness.OwnerCoveragePercentage) -ForegroundColor White
Write-Host ("Met MITRE-tactieken : {0} ({1}%)" -f $readiness.WithTactics, $readiness.TacticsCoveragePercentage) -ForegroundColor White
Write-Host ("Medium/High severity incidenten: {0} ({1}%)" -f $readiness.HighOrMediumSeverity, $readiness.HighSeverityPercentage) -ForegroundColor White
if ($readiness.TotalIncidents -eq 0) {
Write-Host "" -ForegroundColor Yellow
Write-Host "Geen incidenten gevonden in de opgegeven Sentinel-workspace." -ForegroundColor Yellow
}
# JSON-uitvoer voor verdere verwerking door AI of dashboards
$readiness | ConvertTo-Json -Depth 6
}
catch {
Write-Error $_
exit 1
}
}
Risico zonder implementatie
Risico zonder implementatie
High: Kritiek - Zonder AI-ondersteunde onderzoeken in Sentinel blijven incidentanalyses traag, inconsistente en moeilijk te verantwoorden richting toezichthouders, wat kan leiden tot datalekken, niet-naleving van BIO, NIS2 en AVG, en verlies van vertrouwen bij burgers.
Management Samenvatting
Implementeer AI-investigation in Microsoft Sentinel om onderzoeken te versnellen, kwaliteit en reproduceerbaarheid van analyses te verhogen en te voldoen aan Nederlandse compliance-eisen. Essentieel voor moderne SOC-operations binnen de Nederlandse overheid.
- Implementatietijd: 180 uur
- FTE required: 1 FTE