💼 Management Samenvatting
Safe Links vormt de kern van de Nederlandse Baseline voor Veilige Cloud wanneer het gaat om het neutraliseren van kwaadaardige koppelingen in Microsoft 365-werkstromen; elke URL wordt tijdens het klikmoment opnieuw beoordeeld, zodat gebruikers van e-mail, Teams, SharePoint en Office-apps uitsluitend naar vertrouwde bestemmingen worden geleid.
Aanbeveling
Implementeer Safe Links als verplichte maatregel binnen de Nederlandse Baseline voor Veilige Cloud om alle Microsoft 365-communicatiekanalen op het klikmoment te valideren.
Risico zonder
Critical
Risk Score
10/10
Implementatie
6u (tech: 3u)
Van toepassing op:
✓ Microsoft 365 Defender voor Office 365
Cybercriminelen misbruiken tegenwoordig legitieme domeinen, dynamische omleidingen en net hernoemde infrastructuur om klassieke reputatiefilters te omzeilen, waardoor binnenkomende berichten aanvankelijk schoon lijken maar uren later alsnog een besmetting uitrollen; Safe Links voert daarom opnieuw schrijven van URL’s, reputatiecontroles via meerdere threat intelligence-bronnen, sandbox-detonatie van verdachte payloads en fijnmazige beleidsregels uit, zodat organisaties aantoonbaar voldoen aan BIO-paragraaf 12.02 en het vereiste beschermingsniveau uit NIS2 artikel 21.
Implementatie
Door een Safe Links-beleid centraal in te richten ontstaat één consistent stelsel van beleidsregels voor alle Microsoft 365-kanalen, inclusief aangepaste notificaties voor eindgebruikers, uitzonderingsbeheer voor vertrouwde partners en dashboards waarop security officers real-time kunnen bijhouden welke gebruikers bewust zijn gewaarschuwd; het beleid beschrijft tevens governance-afspraken, verantwoordelijkheden voor beheerketens en de benodigde koppeling met bestaande incidentresponsprocessen.
Vereisten
- Een organisatie die Safe Links effectief wil inzetten beschikt minimaal over Microsoft 365 E5, Microsoft 365 E5 Security of Defender voor Office 365 Plan 1/2 licenties waarmee time-of-click analyse wordt geautoriseerd; daarnaast moeten alle betrokken domeinen zijn gevalideerd in Exchange Online, moeten audit logging en Advanced Hunting beschikbaar zijn gesteld voor het SOC, en heeft de tenant een duidelijk toegewezen product owner die bevoegd is om wijzigingsverzoeken richting Microsoft Defender-beleid goed te keuren. Dit houdt in dat basale randvoorwaarden zoals modern authenticatie, beveiligde transportregels, beleid voor legacy SMTP-clients en een geverifieerd Microsoft Defender portal account op rol- en taakniveau op orde zijn, zodat Safe Links kan inhaken op bestaande gegevensstromen zonder incomplete dekking te leveren. Tevens moeten beheerders beschikken over up-to-date PowerShell-modules (Microsoft.Graph, ExchangeOnlineManagement en Defender) en moet er een gesegmenteerde beheerderswerkplek beschikbaar zijn die voldoet aan de Nederlandse Baseline-eisen voor privileged access workstations, zodat configuraties uitsluitend via gecontroleerde kanalen worden gewijzigd. Organisaties dienen daarnaast pen-test rapporten te hebben geraadpleegd om te bevestigen dat er geen interferentie optreedt met andere e-mailbeveiligingsoplossingen en dat hybride Exchange-omgevingen correct zijn bijgewerkt naar de laatste cumulatieve updates voordat Safe Links tenant-breed wordt afgedwongen.
- Naast licenties vraagt een volwassen implementatie om een uitgewerkt governance- en procesraamwerk: de changekalender van de organisatie dient rekening te houden met Safe Links-testcycli, er moet een communicatieplan voor eindgebruikers liggen dat uitlegt waarom URL’s herschreven worden, en het interne CERT-team moet procedures klaar hebben liggen voor het afhandelen van "Allow"-aanvragen voor kritische partnersites. Verder zijn integraties met SIEM of XDR-oplossingen noodzakelijk om klikgegevens minimaal zeven jaar te bewaren volgens de Nederlandse archiefregels, moeten privacy officers bevestigen dat de waarschuwingsteksten voldoen aan de richtlijnen van de Autoriteit Persoonsgegevens, en moeten leverancierscontracten borgen dat externe mailgateways Safe Links herschrijvingen niet strippen. Pas wanneer deze organisatorische, juridische en technische voorwaarden aantoonbaar zijn afgevinkt, kan Safe Links het vereiste beschermingsniveau leveren. Ook moeten KPI’s worden gedefinieerd (bijvoorbeeld percentage geblokkeerde kwaadaardige klikken, gemiddelde tijd tot triage en aantal uitgevoerde uitzonderingsaanvragen) en moet een governanceboard periodiek beoordelen of het beleid nog aansluit op dreigingsinformatie van het Nationaal Cyber Security Centrum. Ten slotte is een opleidingsprogramma nodig waarin servicedeskmedewerkers leren hoe zij gebruikersvragen over herschreven URL’s beantwoorden, terwijl lijnmanagers concrete scenario’s krijgen aangereikt voor calamiteitencommunicatie wanneer Safe Links tijdelijk een bedrijfskritische workflow blokkeert.
Implementatie
Gebruik PowerShell-script safe-links-policy-enabled.ps1 (functie Invoke-Implementation) – Dit PowerShell-script gebruikt Microsoft.Graph en ExchangeOnlineManagement modules die lokaal via de map `deployment` beschikbaar zijn gemaakt en helpt beheerders om beleidsobjecten consistent aan te maken, te documenteren en te koppelen aan de juiste doelgroepsegmenten; het script logt iedere wijziging naar een auditbestand, valideert of de ingestelde acties overeenkomen met de Nederlandse Baseline voor Veilige Cloud en stopt automatisch wanneer verplichte parameters, zoals de lijst met prioritaire gebruikers of het incidentresponse-e-mailadres, ontbreken. Binnen het script wordt eerst gecontroleerd of de Safe Links policy bestaat en of de ingestelde prioriteit overeenkomt met de afgesproken hiërarchie waarin uitzonderingsbeleid nooit boven het tenantbrede basisbeleid mag staan. Vervolgens worden alle toggles voor e-mail, Teams, Office en OneDrive expliciet aangezet, wordt versioning toegepast zodat terugdraaien van wijzigingen mogelijk blijft en wordt een hash van de beleidsconfiguratie opgeslagen in het configuration management database (CMDB). De logging wordt verrijkt met change ticketnummers en de naam van de uitvoerende beheerder, zodat audits binnen enkele minuten kunnen aantonen welke wijzigingen wanneer zijn doorgevoerd. Het script bevat bovendien validaties op transportregels en connectorconfiguraties, zodat Safe Links niet onbedoeld wordt omzeild door uitzonderingen in Exchange Online of door security appliances die verkeer voorbewerken..
De feitelijke inrichting start in het Microsoft 365 Defender-portaal onder E-mail en samenwerking → Policies & rules → Threat policies → Safe Links. Begin met een inventarisatie van bestaande policies en bepaal of deze moeten worden geconsolideerd om conflicten te vermijden. Creëer vervolgens een nieuw beleid waarin het herschrijven van URL’s voor Exchange Online, Microsoft Teams, SharePoint, OneDrive en Office-desktopapps verplicht wordt gesteld. Activeer "Do not track when users click" uitsluitend wanneer het privacybeleid dat vereist en leg deze keuze vast in het gegevensbeschermingseffectrapport (DPIA). Stel acties zo in dat phishing- en malwaredomeinen direct worden geblokkeerd, maar geef gebruikers heldere Nederlandstalige waarschuwingen waarin het contactpunt van het SOC is opgenomen. Gebruik adaptieve beleidsregels om hoog-risicogroepen, zoals bestuurders of crisiscommunicatieteams, extra te beschermen met aangepaste notificaties en rapportage. Valideer het beleid in een gecontroleerde pilotgroep, voer gecontroleerde simulaties uit waarbij bekende kwaadaardige URL’s worden getest, en documenteer alle stappen in het wijzigingsdossier. Sluit af door het beleid tenant-wide te activeren, de effectiviteit te volgen via Real-time detections en Advanced Hunting queries, en een terugvalplan klaar te hebben voor het geval een essentiële werkstroom onverwacht wordt geblokkeerd. Breid de implementatie uit met beleid voor samenwerking met derde partijen door specifieke domeinen tijdelijk in een waarschuwingsmodus te plaatsen, leg vast hoe uitzonderingsverzoeken worden beoordeeld door de CISO-organisatie, en richt een periodieke review in waarbij ten minste elk kwartaal wordt bevestigd dat het beleid nog aansluit op de actuele dreigingsinformatie van het Nationaal Cyber Security Centrum.
Compliance
Safe Links is een directe invulling van BIO 12.02.01 omdat de maatregel verhindert dat ongeautoriseerde code via kwaadaardige hyperlinks wordt uitgevoerd; de continue tijd-van-klik inspectie garandeert dat dreigingen die na berichtaflevering ontstaan alsnog worden tegengehouden, waarmee de verplichting tot actuele malwarebescherming wordt nagekomen. Binnen ISO 27001:2022 sluit de maatregel aan op controle A.8.7 (bescherming tegen malware) en A.5.23 (informatiebeveiliging in de toeleveringsketen) doordat inkomende en uitgaande communicatiekanalen uniform worden bewaakt en logging tegen manipulatie is beschermd. Het CIS Microsoft 365 Benchmark adviseert in meerdere controles om Safe Links policies met waarschuwingen te activeren; door deze richtlijn integraal door te voeren kan een auditor eenvoudig aantonen dat de tenant state-of-the-art url filtering toepast. Voor NIST 800-53 rev.5 dekt Safe Links delen van SI-3 (malicious code protection), SC-18 (mobile code), en CA-7 (continuous monitoring) aangezien de klikgegevens worden benut voor detectie van afwijkend gedrag. Ten slotte vereist NIS2 artikel 21 dat essentiële en belangrijke entiteiten proactieve detectiecapaciteit implementeren; Safe Links levert hiervoor een aantoonbare maatregel die zowel preventief als detectief werkt, inclusief logging voor forensisch onderzoek. Documenteer per raamwerk welke beleidsparameters actief zijn, koppel de Safe Links change logs aan het ISMS en onderbouw in het verwerkingsregister welke persoonsgegevens (gebruikers-id, tijdstip, URL) tijdelijk worden vastgelegd zodat de Autoriteit Persoonsgegevens kan verifiëren dat proportionaliteit en bewaartermijnen worden gerespecteerd. Neem Safe Links op in het control self assessment, wijs meetbare Key Control Indicators toe en zorg dat interne auditors jaarlijks steekproeven uitvoeren op de uitzonderingsregistratie. Beschrijf verder in het privacybeleid hoe gebruikers worden geïnformeerd over logging, welke rechten zij hebben op inzage en verwijdering, en hoe verzoeken binnen de wettelijke termijnen worden behandeld. Koppel Safe Links tot slot aan contractuele verplichtingen richting ketenpartners, zodat duidelijk is dat uitgaande URL’s eveneens onderworpen kunnen zijn aan herschrijving wanneer de organisatie als verwerkingsverantwoordelijke optreedt. Vergeet niet om test- en acceptatieomgevingen in scope te nemen, zodat wijzigingen eerst aantoonbaar worden gecontroleerd voordat zij in productie gaan; hiermee wordt voldaan aan de eis uit ISO 27001 A.8.32 inzake veranderingbeheer. Leg tot slot alle afhankelijkheden vast in het register van verwerkingsactiviteiten en voeg Safe Links toe aan de bewijslast voor de jaarverantwoording richting de Algemene Rekenkamer of andere toezichthouders. Gebruik de uitkomsten van penetratietesten en tabletop-oefeningen om verbeterpunten vast te leggen en te koppelen aan specifieke controls in het risicoregister, zodat de volwassenheid van de maatregel aantoonbaar groeit en cyclisch wordt geëvalueerd.
Monitoring
Gebruik PowerShell-script safe-links-policy-enabled.ps1 (functie Invoke-Monitoring) – De monitoringsfunctie van het script verzamelt dagelijks beleidsinstellingen, recent aangepaste uitzonderingen en klikstatistieken via Advanced Hunting API’s en vergelijkt deze met de baseline die in het ISMS is vastgelegd; afwijkingen worden naar een Log Analytics workspace gestreamd waarna een Azure Monitor alert het SOC informeert. De uitgebreide rapportage bevat trends in gebruikersgedrag, top tien geblokkeerde domeinen binnen Nederlandse overheidssectoren, het aantal verzoeken om URL’s tijdelijk toe te staan en de gemiddelde reactietijd van analisten. Door deze inzichten te combineren met Microsoft Defender for Cloud Apps signalen kan vroegtijdig worden vastgesteld of een partnerdomein is gekaapt of dat interne beleidsfouten ertoe leiden dat waarschuwingen massaal worden genegeerd. Daarnaast voert het script gezondheidstests uit op de benodigde PowerShell-modules, controleert het of de policy nog is toegewezen aan alle vooraf gedefinieerde doelgroepen en bevestigt het dat audit logging zeven jaar beschikbaar blijft. Wanneer monitoring wordt geïntegreerd met een SIEM kan de organisatie correlatie uitvoeren tussen Safe Links, e-mail transportagents en endpoint alerts, waardoor dreigingen sneller worden herkend en het nalevingsdossier altijd actueel is. Het dashboard biedt bovendien indicatoren voor gebruikerservaring, zoals de verhouding tussen waarschuwingen en daadwerkelijke blokkades, en legt vast welke business units het vaakst uitzonderingen opvragen. Door deze data maandelijks te bespreken in het security governance overleg kan tijdig worden bijgestuurd op awareness, procesafspraken en technische instellingen. Indien het script detecteert dat een beleidswijziging buiten de change window is doorgevoerd, wordt automatisch een incident aangemaakt zodat ongeautoriseerde wijzigingen onderzocht worden. De monitoringmodule voorziet bovendien in regressietests na iedere beleidswijziging, waarbij voorgeconfigureerde testcases automatisch worden verstuurd en de uitkomst wordt vergeleken met de verwachting; afwijkingen leiden tot een automatische rollback en een melding aan de verantwoordelijke productspecialist. Hierdoor blijft de effectiviteit van Safe Links aantoonbaar en voldoet de organisatie aan de vereisten voor continue verbetering zoals opgenomen in de Nederlandse Baseline voor Veilige Cloud..
Remediatie
Gebruik PowerShell-script safe-links-policy-enabled.ps1 (functie Invoke-Remediation) – Wanneer Safe Links onverwacht is uitgeschakeld of verkeerd geprioriteerd, herstelt de remediatiemodule de volledige configuratie aan de hand van het versleutelde configuratiebestand in de `deployment`-map, heractiveert het beleid voor de juiste doelgroepen en voert het validaties uit op alle belangrijke toggles zoals "Apply real-time URL scanning" en "Use Safe Links in Office apps". Tegelijkertijd creëert het script een noodmelding voor het SOC, blokkeert het tijdelijk de mogelijkheid om uitzonderingen toe te voegen en start het een gecontroleerde herpublicatie zodat gebruikers niet opnieuw aan risico’s worden blootgesteld. Nadat de configuratie is teruggezet genereert het script een forensisch rapport dat de oorzaak, getroffen gebruikers en genomen acties op een chronologische tijdlijn plaatst, inclusief verwijzingen naar relevante tickets in het incidentmanagementsysteem. Hierdoor beschikt de organisatie over een volledig auditspoor dat eenvoudig kan worden overlegd aan toezichthouders of auditors van de Nederlandse Baseline voor Veilige Cloud. Het rapport wordt automatisch verrijkt met indicatoren zoals de tijd die Safe Links uitgeschakeld is geweest, het aantal berichten dat in die periode is doorgestroomd en welke aanvullende maatregelen (bijvoorbeeld blokkeren van uitgaande e-mail) zijn genomen om schade te beperken. De remediatiemodule integreert met bestaande Major Incident-processen, vraagt bevestiging van de dienstverantwoordelijke voordat beleid opnieuw live gaat en plant een post-incident review in om structurele verbetermaatregelen vast te stellen. Tot slot wordt gecontroleerd of de communicatieafdeling eindgebruikers heeft geïnformeerd over de verstoring, zodat transparantie richting interne auditors en toezichthouders geborgd blijft. Door na herstel een automatische benchmark uit te voeren op basis van historische klikgegevens wordt vastgesteld of het beleid weer dezelfde dekking levert; mochten afwijkingen blijven bestaan dan wordt escalatie naar de CISO verplicht gesteld. Dit proces sluit nauw aan op de eisen uit de Wet beveiliging netwerk- en informatiesystemen (Wbni) rondom snelle remediatie en gedocumenteerde evaluaties..
Compliance & Frameworks
- CIS M365: Control M365 - Safe Links (L1) -
- BIO: 12.02.01 -
- ISO 27001:2022: A.12.2.1 -
- NIS2: Artikel -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
M365 POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
M365 Defender: schakel in Safe Links Policy
.DESCRIPTION
Implementeert, monitort en herstelt: M365 Defender: schakel in Safe Links Policy
.NOTES
Filename: safe-links-policy-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: Microsoft 365
Category: defender-email
#>
#Requires -Version 5.1
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - M365 Defender: schakel in Safe Links Policy" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "M365 Defender: schakel in Safe Links Policy - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer monitoring logica voor M365 Defender: schakel in Safe Links Policy
Write-Host "[INFO] Monitoring check voor M365 Defender: schakel in Safe Links Policy" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "M365 Defender: schakel in Safe Links Policy - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer remediation logica voor M365 Defender: schakel in Safe Links Policy
Write-Host "[INFO] Remediation voor M365 Defender: schakel in Safe Links Policy" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder Safe Links blijven gebruikers kwetsbaar voor URL-omleidingen die pas na aflevering van een bericht actief worden en kan een aanvaller in minuten accountgegevens of tokens stelen, wat leidt tot datalekken, reputatieschade en stilstand van primaire processen.
Management Samenvatting
Safe Links herschrijft elke URL naar een gecontroleerde Microsoft-proxy en voert real-time reputatie- en detonatiecontroles uit; met een goed ingericht beleid en duidelijke governance is de maatregel binnen één werkdag tenant-wide te activeren.
- Implementatietijd: 6 uur
- FTE required: 0.03 FTE