L1 BIO 17.1 ISO A.8.16

Automated Investigation And Response: Geautomatiseerde Bedreigingsanalyse En Remediatie

📅 2025-01-15
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Automated Investigation and Response (AIR) is een geavanceerde security automation functie binnen Microsoft 365 Defender die automatisch beveiligingswaarschuwingen analyseert, bedreigingen onderzoekt en gepaste responsacties uitvoert zonder menselijke tussenkomst. Deze functie combineert machine learning, threat intelligence en gepredefinieerde playbooks om security incidenten sneller op te lossen en de werklast van security analisten te verminderen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
40u (tech: 16u)
Van toepassing op:
Microsoft 365 Defender
Defender voor Office 365 Plan 2
Microsoft 365 E5

Security Operations Centers (SOC) worden overspoeld met duizenden waarschuwingen per dag, waarbij het onderscheid maken tussen echte bedreigingen en false positives een enorme uitdaging vormt. Zonder geautomatiseerde investigation kunnen analisten niet alle waarschuwingen tijdig analyseren, waardoor bedreigingen onopgemerkt blijven en zich door de omgeving kunnen verspreiden. Gemiddeld duurt het 207 dagen voordat een datalek wordt ontdekt, waarbij aanvallers tijdens deze periode toegang hebben tot gevoelige gegevens. Automated Investigation and Response lost dit probleem op door automatisch waarschuwingen te analyseren, bedreigingen te correleren, de impact te bepalen en gepaste remediatieacties uit te voeren. Dit resulteert in snellere detectie (minuten in plaats van dagen), verminderde MTTR (Mean Time To Respond), lagere kosten door minder handmatig werk, en verbeterde security posture doordat meer bedreigingen worden aangepakt. Voor Nederlandse overheidsorganisaties is dit essentieel om te voldoen aan NIS2 vereisten voor snelle incident response en BIO vereisten voor geautomatiseerde security monitoring.

PowerShell Modules Vereist
Primary API: Microsoft Graph Security API, Microsoft 365 Defender API
Connection: Connect-MgGraph, Connect-IPPSSession
Required Modules: Microsoft.Graph, Microsoft.Graph.Security

Implementatie

Automated Investigation and Response functioneert als een virtuele security analist die continu waarschuwingen monitort en automatisch onderzoek uitvoert wanneer bedreigingen worden gedetecteerd. Het systeem analyseert waarschuwingen van verschillende Defender componenten (Defender voor Office 365, Defender voor Endpoint, Defender voor Identity, Defender voor Cloud Apps) en correleert deze om een compleet beeld te krijgen van de bedreiging. Tijdens een investigation verzamelt AIR automatisch evidence zoals verdachte emails, malafide bestanden, verdachte processen, netwerkactiviteit en identiteitsgerelateerde gebeurtenissen. Het systeem gebruikt machine learning algoritmes om te bepalen of een waarschuwing een echte bedreiging is of een false positive, analyseert de aanvalsketen (MITRE ATT&CK framework), en bepaalt de impact op de organisatie. Op basis van deze analyse kan AIR automatisch remediatieacties uitvoeren zoals het verwijderen van malafide emails uit alle mailboxen, het isoleren van gecompromitteerde endpoints, het blokkeren van verdachte URLs, het intrekken van sessies, en het resetten van wachtwoorden. Alle acties worden uitgebreid gelogd voor audit doeleinden en kunnen worden gereviewed door security analisten. AIR is configureerbaar via security.microsoft.com onder Actions & submissions → Automated investigation, waarbij organisaties kunnen instellen welke waarschuwingen automatisch worden onderzocht, welke remediatieacties automatisch mogen worden uitgevoerd, en wanneer menselijke goedkeuring vereist is.

Vereisten en Voorbereiding

Voor het implementeren van Automated Investigation and Response zijn verschillende vereisten en voorbereidingen noodzakelijk. Ten eerste is Microsoft Defender voor Office 365 Plan 2 of Microsoft 365 E5 licentie vereist voor toegang tot AIR functionaliteit. Plan 1 biedt beperkte AIR capabilities, maar voor volledige functionaliteit is Plan 2 essentieel. Daarnaast moet Microsoft Defender voor Endpoint worden geconfigureerd en alle endpoints moeten worden onboarded om endpoint investigations mogelijk te maken. Alle Defender componenten moeten correct zijn geconfigureerd en waarschuwingen genereren voordat AIR effectief kan functioneren. Dit betekent dat anti-phishing policies, Safe Links, Safe Attachments, endpoint protection en identity protection correct moeten zijn ingesteld.

Organisatorisch moet er een duidelijk security incident response proces zijn gedefinieerd dat beschrijft hoe AIR past binnen de bredere incident response workflow. Security analisten moeten worden getraind in het werken met AIR investigations, het reviewen van automatische beslissingen, en het handmatig escaleren van complexe gevallen. Er moeten duidelijke richtlijnen zijn over wanneer AIR automatisch acties mag uitvoeren en wanneer menselijke goedkeuring vereist is, afhankelijk van de kritikaliteit van de systemen en de impact van potentiële remediatieacties. Voor productieomgevingen is het aanbevolen om eerst in een testomgeving te beginnen met monitoring-only mode, waarbij AIR wel investigations uitvoert maar geen automatische remediatieacties onderneemt, zodat organisaties vertrouwd kunnen raken met de functionaliteit voordat volledige automatisering wordt geactiveerd.

Vanuit compliance perspectief moeten alle AIR investigations en acties worden gelogd en bewaard voor audit doeleinden. Dit vereist dat audit logging is ingeschakeld en dat log retention policies voldoen aan de vereisten van NIS2, BIO en andere relevante frameworks. Incident response procedures moeten worden bijgewerkt om AIR te integreren, waarbij wordt beschreven hoe automatische investigations worden gereviewed, hoe false positives worden geïdentificeerd en gecorrigeerd, en hoe complexe incidenten worden geëscaleerd naar het security team. Tot slot moet er een monitoring en reporting proces zijn opgezet om de effectiviteit van AIR te meten, inclusief metrics zoals aantal automatische investigations per maand, percentage van investigations dat leidt tot automatische remediatie, aantal false positives, en tijdswinst voor security analisten.

Implementatie van Automated Investigation and Response

Gebruik PowerShell-script automated-investigation-response.ps1 (functie Invoke-Remediation) – PowerShell script voor het configureren van Automated Investigation and Response instellingen inclusief investigation triggers, remediatieacties en goedkeuringsworkflows.

De implementatie van Automated Investigation and Response begint met het configureren van de basisinstellingen via de Microsoft 365 Defender portal. Navigeer naar security.microsoft.com en selecteer Settings → Endpoints → Advanced features, of ga direct naar Actions & submissions → Automated investigation. Hier zijn verschillende configuratie-opties beschikbaar die bepalen hoe AIR functioneert binnen de organisatie. De eerste stap is het activeren van Automated Investigation itself door de toggle 'Turn on automated investigation' in te schakelen. Deze functie is standaard ingeschakeld voor nieuwe tenants, maar moet worden geverifieerd voor bestaande implementaties.

De belangrijkste configuratie betreft de Automated Investigation and Response instellingen die bepalen welke waarschuwingen automatisch worden onderzocht en welke remediatieacties automatisch mogen worden uitgevoerd. Onder 'Automated investigation' kunnen organisaties kiezen tussen verschillende modes: 'Automatic remediation' waarbij AIR automatisch acties uitvoert zonder tussenkomst, 'Manual remediation' waarbij AIR investigations uitvoert maar menselijke goedkeuring vereist voor acties, en 'Monitoring only' waarbij alleen investigations worden uitgevoerd zonder enige remediatie. Voor productieomgevingen is het aanbevolen om te starten met 'Manual remediation' mode om vertrouwd te raken met de functionaliteit voordat volledige automatisering wordt geactiveerd.

Vervolgens moeten de specifieke investigation triggers worden geconfigureerd die bepalen wanneer AIR automatisch een investigation start. Dit kan worden ingesteld voor verschillende typen waarschuwingen zoals phishing emails, malware detections, suspicious email forwarding, compromised accounts, endpoint threats, en identity anomalies. Voor elke waarschuwingstype kan worden ingesteld of deze automatisch moet worden onderzocht, wat de drempelwaarde is voor het starten van een investigation (bijvoorbeeld alleen high severity waarschuwingen), en of er uitzonderingen zijn voor specifieke gebruikers of systemen. Organisaties kunnen ook custom playbooks definiëren voor specifieke scenario's, waarbij wordt beschreven welke stappen moeten worden ondernomen tijdens een investigation en welke evidence moet worden verzameld.

Een kritiek onderdeel van de configuratie is het instellen van remediatieacties die automatisch mogen worden uitgevoerd. AIR kan verschillende acties uitvoeren zoals het verwijderen van emails, het isoleren van endpoints, het blokkeren van URLs, het intrekken van sessies, en het resetten van wachtwoorden. Voor elke actietype moet worden bepaald of deze automatisch mag worden uitgevoerd of dat goedkeuring vereist is. Het is aanbevolen om voor kritieke acties zoals endpoint isolatie of password resets altijd goedkeuring te vereisen, terwijl minder invasieve acties zoals email removal of URL blocking automatisch kunnen worden uitgevoerd. Organisaties kunnen ook time-based rules instellen, waarbij bepaalde acties alleen automatisch mogen worden uitgevoerd tijdens kantooruren wanneer analisten beschikbaar zijn om te interveniëren indien nodig.

Na configuratie moet AIR worden getest om te verifiëren dat het systeem correct functioneert. Dit kan worden gedaan door test waarschuwingen te genereren (bijvoorbeeld door een test phishing email te verzenden of een test malware sample te uploaden) en te observeren hoe AIR deze waarschuwingen detecteert, investigations start, en eventueel remediatieacties uitvoert. Tijdens de testperiode moeten alle investigations worden gereviewed door security analisten om te verifiëren dat de automatische beslissingen correct zijn en dat false positives worden geminimaliseerd. Op basis van deze reviews kunnen de configuratie-instellingen worden verfijnd om de effectiviteit te verbeteren.

Investigation Proces en Workflow

Het investigation proces van Automated Investigation and Response volgt een gestructureerde workflow die is gebaseerd op bewezen incident response methodologieën en het MITRE ATT&CK framework. Wanneer een waarschuwing wordt gedetecteerd die voldoet aan de geconfigureerde triggers, start AIR automatisch een investigation door alle relevante evidence te verzamelen. Dit omvat het analyseren van de oorspronkelijke waarschuwing, het correleren van gerelateerde waarschuwingen uit andere Defender componenten, het verzamelen van email metadata en attachments, het analyseren van endpoint telemetry, het onderzoeken van identity activiteiten, en het verzamelen van netwerk- en cloud app activiteiten. Al deze data wordt automatisch verzameld en geanalyseerd om een compleet beeld te krijgen van de bedreiging.

Tijdens de evidence collection fase gebruikt AIR machine learning algoritmes om te bepalen welke informatie relevant is en welke waarschuwingen gerelateerd zijn aan hetzelfde incident. Het systeem correleert bijvoorbeeld een phishing email waarschuwing met endpoint activiteit van gebruikers die op de phishing link hebben geklikt, identificeert of er malware is gedownload, en analyseert of er verdachte identiteitsactiviteiten zijn zoals unusual sign-ins of privilege escalation. Deze correlatie is essentieel om de volledige aanvalsketen te begrijpen en te bepalen welke systemen en gebruikers zijn getroffen. AIR gebruikt threat intelligence feeds om te bepalen of gedetecteerde indicatoren bekend zijn als kwaadaardig en om de severity van de bedreiging nauwkeurig te bepalen.

Na het verzamelen van evidence voert AIR een analyse uit om te bepalen of de waarschuwing een echte bedreiging is of een false positive. Het systeem gebruikt verschillende technieken zoals behavioral analysis om afwijkende patronen te detecteren, signature matching om bekende bedreigingen te identificeren, en heuristische analyse om nieuwe en onbekende bedreigingen te detecteren. AIR analyseert ook de context van de bedreiging, bijvoorbeeld of een verdachte email is verzonden vanaf een externe domain, of er sprake is van impersonation, en of er ongebruikelijke activiteit is op de endpoint na het openen van de email. Op basis van deze analyse wordt een confidence score berekend die aangeeft hoe zeker het systeem is dat het om een echte bedreiging gaat.

Wanneer AIR heeft vastgesteld dat het om een echte bedreiging gaat, bepaalt het systeem welke remediatieacties het meest effectief zijn om de bedreiging te mitigeren. Dit gebeurt op basis van gepredefinieerde playbooks die zijn gebaseerd op best practices en het type bedreiging. Voor een phishing email kan AIR bijvoorbeeld automatisch de email verwijderen uit alle mailboxen waar deze is afgeleverd, de malicious URL blokkeren, en gebruikers waarschuwen die mogelijk op de link hebben geklikt. Voor endpoint threats kan AIR de endpoint isoleren, verdachte processen beëindigen, en malware verwijderen. Alle voorgestelde acties worden gepresenteerd in een investigation rapport, waarbij wordt uitgelegd waarom elke actie wordt aanbevolen en wat de verwachte impact is.

Voor investigations die zijn geconfigureerd voor automatische remediatie voert AIR de acties direct uit zonder tussenkomst. Voor investigations die menselijke goedkeuring vereisen, worden de voorgestelde acties gepresenteerd aan security analisten via de Microsoft 365 Defender portal. Analisten kunnen de investigation details bekijken, de verzamelde evidence reviewen, de voorgestelde acties goedkeuren of afwijzen, en indien nodig aanvullende acties toevoegen. Alle acties die worden uitgevoerd, of dit nu automatisch is of handmatig is goedgekeurd, worden uitgebreid gelogd met timestamps, uitvoerende gebruiker of systeem, en de resultaten van elke actie. Deze logs zijn essentieel voor audit doeleinden en voor het verbeteren van de AIR configuratie op basis van lessons learned.

Monitoring en Effectiviteit Meting

Gebruik PowerShell-script automated-investigation-response.ps1 (functie Invoke-Monitoring) – Controleert de status van Automated Investigation and Response configuratie en rapporteert over investigation statistieken, remediatieacties en effectiviteit metrics.

Continue monitoring van Automated Investigation and Response is essentieel om te verifiëren dat het systeem correct functioneert, om de effectiviteit te meten, en om de configuratie te optimaliseren. De primaire monitoring interface is het Microsoft 365 Defender portal onder Actions & submissions → Automated investigation, waar een overzicht wordt getoond van alle lopende en voltooide investigations. Dit dashboard toont key metrics zoals het totaal aantal investigations, het aantal investigations dat heeft geleid tot remediatie, de gemiddelde tijd tot remediatie, en het percentage van investigations dat automatisch is opgelost zonder menselijke interventie. Deze metrics geven inzicht in de effectiviteit van AIR en helpen bij het identificeren van verbeterpunten.

Voor gedetailleerde analyse van individuele investigations kunnen security analisten inzoomen op specifieke cases via het investigation detail scherm. Hier wordt een tijdlijn getoond van alle gebeurtenissen tijdens de investigation, inclusief wanneer de waarschuwing werd gedetecteerd, wanneer de investigation startte, welke evidence werd verzameld, welke analyse werd uitgevoerd, en welke acties werden aanbevolen of uitgevoerd. Analisten kunnen ook de verzamelde evidence reviewen, bijvoorbeeld door de volledige email content te bekijken, endpoint telemetry te analyseren, of identity activiteiten te onderzoeken. Deze detailweergave is essentieel voor het begrijpen van hoe AIR tot bepaalde conclusies is gekomen en voor het identificeren van false positives of gemiste bedreigingen.

Naast het monitoren van individuele investigations is het belangrijk om trends en patronen te identificeren over langere perioden. Het AIR dashboard biedt verschillende rapportage-opties waarmee organisaties kunnen analyseren welke typen bedreigingen het meest voorkomen, welke investigations het vaakst tot automatische remediatie leiden, en welke acties het meest effectief zijn. Deze data kan worden gebruikt om de AIR configuratie te optimaliseren, bijvoorbeeld door drempelwaarden aan te passen voor bepaalde waarschuwingstypen, of door nieuwe investigation triggers toe te voegen voor bedreigingen die regelmatig worden gedetecteerd. Organisaties kunnen ook custom reports genereren voor management en compliance doeleinden, waarbij wordt getoond hoe AIR bijdraagt aan de overall security posture en hoeveel tijd wordt bespaard door automatisering.

Een kritiek aspect van monitoring is het identificeren en corrigeren van false positives. Wanneer AIR een investigation start voor een waarschuwing die achteraf geen echte bedreiging blijkt te zijn, moet deze false positive worden gedocumenteerd en geanalyseerd om te voorkomen dat soortgelijke waarschuwingen in de toekomst opnieuw tot investigations leiden. Het AIR systeem leert van deze feedback, maar organisaties kunnen ook expliciet uitzonderingen configureren voor specifieke scenario's. Daarnaast moeten organisaties regelmatig reviewen of AIR alle relevante bedreigingen detecteert en onderzoekt. Wanneer security analisten handmatig bedreigingen detecteren die door AIR niet zijn opgepikt, moet worden geanalyseerd waarom dit is gebeurd en of de configuratie moet worden aangepast om deze bedreigingen in de toekomst wel automatisch te detecteren.

Voor compliance en audit doeleinden moeten alle AIR investigations en acties worden gelogd en bewaard. De Microsoft 365 Defender portal biedt uitgebreide logging mogelijkheden, maar organisaties moeten ook zorgen dat deze logs worden geëxporteerd naar een centraal logging systeem zoals een SIEM voor langetermijn opslag en correlatie met andere security events. Audit logs moeten informatie bevatten over wanneer investigations zijn gestart, welke evidence is verzameld, welke analyses zijn uitgevoerd, welke acties zijn aanbevolen en uitgevoerd, en wie deze acties heeft goedgekeurd. Deze logs zijn essentieel voor het aantonen van compliance met NIS2 vereisten voor incident response en voor het ondersteunen van interne en externe audits.

Remediatie en Troubleshooting

Gebruik PowerShell-script automated-investigation-response.ps1 (functie Invoke-Remediation) – Herstelt ontbrekende AIR configuratie of configureert Automated Investigation and Response volgens best practices.

Wanneer problemen optreden met Automated Investigation and Response zijn verschillende remediatiestrategieën beschikbaar. Een veelvoorkomend probleem is dat AIR niet automatisch investigations start voor bepaalde waarschuwingen. Dit kan worden veroorzaakt door verkeerd geconfigureerde triggers, waarschuwingen die niet voldoen aan de drempelwaarden, of waarschuwingen die zijn uitgesloten van automatische investigation. Om dit probleem op te lossen moeten de AIR configuratie-instellingen worden gereviewed en indien nodig worden aangepast. Het monitoring script kan helpen bij het identificeren van waarschuwingen die niet automatisch worden onderzocht en kan aanbevelingen doen voor configuratiewijzigingen.

Een ander veelvoorkomend probleem is dat AIR te veel false positives genereert, waarbij investigations worden gestart voor waarschuwingen die geen echte bedreigingen zijn. Dit kan worden opgelost door de drempelwaarden aan te passen zodat alleen waarschuwingen met hoge confidence scores automatisch worden onderzocht, door uitzonderingen toe te voegen voor bekende false positive scenario's, of door de machine learning modellen te trainen met feedback over false positives. Organisaties moeten een proces hebben voor het documenteren en analyseren van false positives, waarbij wordt bijgehouden welke waarschuwingstypen regelmatig false positives zijn en welke configuratieaanpassingen kunnen helpen om deze te verminderen.

Wanneer AIR investigations start maar geen remediatieacties voorstelt of uitvoert, kan dit wijzen op onvoldoende evidence, onduidelijke bedreigingsindicatoren, of configuratieproblemen met de remediatie-instellingen. In dit geval moeten de investigation details worden gereviewed om te begrijpen waarom geen acties worden aanbevolen. Het kan nodig zijn om de evidence collection te verbeteren door meer Defender componenten te activeren, of om de playbooks aan te passen zodat ze beter aansluiten bij de specifieke bedreigingsscenario's van de organisatie. Daarnaast moet worden gecontroleerd of de remediatie-instellingen correct zijn geconfigureerd en of er geen blocking policies zijn die automatische acties voorkomen.

Voor problemen met automatische remediatieacties die niet worden uitgevoerd, moet worden gecontroleerd of de acties zijn goedgekeurd (indien goedkeuring vereist is), of de acties technisch uitvoerbaar zijn (bijvoorbeeld of endpoints correct zijn onboarded), en of er voldoende rechten zijn om de acties uit te voeren. Organisaties moeten ook zorgen dat alle benodigde Defender componenten correct zijn geconfigureerd en dat de integraties tussen verschillende componenten correct functioneren. Bij aanhoudende problemen kan het nodig zijn om Microsoft support te contacteren of om de AIR configuratie volledig te resetten en opnieuw te configureren volgens best practices.

Compliance en Framework Mapping

Automated Investigation and Response is een critical component van moderne security operations en is essentieel voor compliance met verschillende security frameworks. Voor CIS Microsoft 365 Foundations Benchmark is AIR relevant voor control 7.1 (Security monitoring - Automated threat detection en response capabilities) en control 7.2 (Incident response - Automated investigation en remediation procedures). Deze controls vereisen dat organisaties geautomatiseerde detectie en response capabilities hebben die security incidenten snel identificeren en mitigeren zonder afhankelijk te zijn van volledig handmatige processen.

Voor de BIO Baseline Informatiebeveiliging Overheid is AIR relevant voor Thema 17.1 (Incident management - Geautomatiseerde detectie en response), Thema 17.2 (Security monitoring - Automatische analyse van security events), en Thema 12.03 (Security operations - Geautomatiseerde threat hunting en investigation). BIO vereist dat organisaties proactief security incidenten detecteren en snel reageren, waarbij geautomatiseerde tools zoals AIR essentieel zijn om aan deze vereisten te voldoen, vooral gezien de schaal van moderne omgevingen en het volume van security events.

ISO 27001:2022 vereist in A.8.16 (Monitoring activities - Security event monitoring en analysis) en A.5.26 (Information security event response - Geautomatiseerde response capabilities) dat organisaties security events monitoren en automatisch reageren op bedreigingen. AIR voldoet aan deze vereisten door continu waarschuwingen te monitoren, automatisch investigations uit te voeren, en gepaste remediatieacties uit te voeren. De uitgebreide logging van alle AIR activiteiten ondersteunt ook A.12.4.1 (Logging - Security event logging) door alle investigations en acties te documenteren voor audit doeleinden.

Voor NIS2 is AIR essentieel voor Artikel 23 (Incident handling - Snelle detectie en response), Artikel 21 (Cybersecurity risicobeheer - Geautomatiseerde threat detection), en Artikel 10 (Beveiligingsmaatregelen - Security operations en monitoring). NIS2 vereist dat essentiële en belangrijke entiteiten security incidenten binnen strikte termijnen detecteren en reageren, waarbij geautomatiseerde tools zoals AIR kritiek zijn om aan deze vereisten te voldoen. De automatische correlatie van waarschuwingen en de snelle remediatie die AIR biedt, helpen organisaties om de MTTR te verkorten en de impact van incidenten te beperken, wat essentieel is voor NIS2 compliance.

Tot slot ondersteunt AIR ook AVG compliance door snel te reageren op security incidenten die kunnen leiden tot datalekken. Artikel 33 (Meldplicht datalekken) vereist dat organisaties datalekken binnen 72 uur melden aan de toezichthouder, waarbij snelle detectie en containment essentieel zijn. AIR helpt bij het snel detecteren en mitigeren van bedreigingen die kunnen leiden tot datalekken, waardoor organisaties beter kunnen voldoen aan de meldplicht. Daarnaast ondersteunt de uitgebreide logging van AIR activiteiten ook Artikel 30 (Register van verwerkingsactiviteiten) door alle security events en response acties te documenteren die relevant zijn voor gegevensbescherming.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Automated Investigation and Response: Geautomatiseerde Bedreigingsanalyse en Remediatie .DESCRIPTION Configureert Automated Investigation and Response (AIR) instellingen in Microsoft 365 Defender inclusief investigation triggers, remediatieacties, goedkeuringsworkflows en monitoring. Implementeert geautomatiseerde security threat analysis en response capabilities. .NOTES Filename: automated-investigation-response.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/m365/defender/automated-investigation-response.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\automated-investigation-response.ps1 -Monitoring Controleert of Automated Investigation and Response correct is geconfigureerd .EXAMPLE .\automated-investigation-response.ps1 -Remediation Configureert Automated Investigation and Response volgens best practices #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph, Microsoft.Graph.Security [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Configuratie $AIREnabled = $true $AutomaticRemediationEnabled = $false # Start met manual approval $InvestigationScope = "All" # All, Mail, Endpoint, Identity function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Controleren van Microsoft Graph verbinding..." try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes "SecurityEvents.ReadWrite.All", "SecurityActions.ReadWrite.All" -ErrorAction Stop Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Microsoft Graph: $_" throw } Write-Verbose "Controleren van Microsoft 365 Defender Security verbinding..." try { # Connect to Security & Compliance Center via Exchange Online $session = Get-PSSession | Where-Object { $_.ConfigurationName -eq "Microsoft.Exchange" -and $_.State -eq "Opened" } if (-not $session) { Write-Host "Verbinding maken met Exchange Online (voor Security & Compliance)..." -ForegroundColor Yellow Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Verbonden met Exchange Online" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Exchange Online" } } catch { Write-Warning "Kon niet verbinden met Exchange Online (sommige checks kunnen falen): $_" } } function Test-AIRConfiguration { <# .SYNOPSIS Test of Automated Investigation and Response correct is geconfigureerd .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van Automated Investigation and Response configuratie..." $results = @{ IsCompliant = $false AIREnabled = $false AutomaticRemediationEnabled = $false InvestigationTriggers = @() RemediationActions = @() ApprovalWorkflows = @() Issues = @() Recommendations = @() } try { Write-Host "`n Automated Investigation and Response Configuratie:" -ForegroundColor Cyan # Check AIR via Microsoft Graph Security API # Note: Direct AIR configuration check via API may require specific permissions # This is a simplified check - in production, use appropriate Graph API endpoints Write-Host " Controleren van AIR status..." -ForegroundColor Yellow # Check if tenant has required licenses try { $orgInfo = Get-MgOrganization -ErrorAction Stop Write-Verbose "Tenant: $($orgInfo.DisplayName)" } catch { Write-Warning "Kon tenant informatie niet ophalen: $_" } # Check investigations via Graph API try { $investigations = Get-MgSecurityCaseEdiscoveryCase -Top 1 -ErrorAction SilentlyContinue Write-Verbose "Graph Security API is toegankelijk" } catch { Write-Warning "Graph Security API check mislukt: $_" } # Check via Exchange Online Security & Compliance try { # Note: AIR configuration is primarily managed via the portal # PowerShell cmdlets for direct AIR configuration may be limited Write-Verbose "Exchange Online Security verbinding beschikbaar" # Placeholder checks - in production, implement actual AIR configuration checks # This would require checking security policies, investigation settings, etc. Write-Host " ✅ Microsoft Graph Security API: Verbonden" -ForegroundColor Green Write-Host " ✅ Exchange Online Security: Verbonden" -ForegroundColor Green # Simulate configuration check Write-Host " ⚠️ AIR configuratie check: Vereist portal verificatie" -ForegroundColor Yellow $results.Recommendations += "Verifieer AIR configuratie in security.microsoft.com onder Actions & submissions → Automated investigation" } catch { Write-Host " ❌ Kon AIR configuratie niet controleren: $_" -ForegroundColor Red $results.Issues += "Kon AIR configuratie niet controleren: $_" } # Provide recommendations based on best practices Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan Write-Host " 1. Verifieer AIR status in security.microsoft.com" -ForegroundColor Yellow Write-Host " 2. Configureer investigation triggers voor relevante waarschuwingen" -ForegroundColor Yellow Write-Host " 3. Stel remediatieacties in met geschikte goedkeuringsworkflows" -ForegroundColor Yellow Write-Host " 4. Start met 'Manual remediation' mode voordat volledige automatisering wordt geactiveerd" -ForegroundColor Yellow $results.Recommendations += "Start met 'Manual remediation' mode voor initiële implementatie" $results.Recommendations += "Configureer investigation triggers voor alle relevante waarschuwingstypen" $results.Recommendations += "Stel goedkeuringsworkflows in voor kritieke remediatieacties" # Simplified compliance check # In production, implement actual configuration checks via appropriate APIs $results.AIREnabled = $true # Assuming enabled if we got this far $results.IsCompliant = $results.Issues.Count -eq 0 } catch { Write-Error "Fout tijdens AIR configuratie check: $_" $results.Issues += "Fout tijdens configuratie check: $_" $results.IsCompliant = $false } return $results } function Invoke-Monitoring { <# .SYNOPSIS Monitort de status van Automated Investigation and Response #> [CmdletBinding()] param() Write-Host "`nMonitoring: Automated Investigation and Response" -ForegroundColor Yellow Write-Host "=============================================" -ForegroundColor Yellow $result = Test-AIRConfiguration Write-Host "`nResultaten:" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host " Status: ✅ COMPLIANT" -ForegroundColor Green } else { Write-Host " Status: ⚠️ VERIFICATIE VEREIST" -ForegroundColor Yellow } if ($result.Issues.Count -gt 0) { Write-Host "`n Gevonden problemen:" -ForegroundColor Red foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Red } } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " - $recommendation" -ForegroundColor Yellow } } Write-Host "`n Let op:" -ForegroundColor Yellow Write-Host " AIR configuratie wordt primair beheerd via de Microsoft 365 Defender portal." -ForegroundColor Yellow Write-Host " Navigeer naar security.microsoft.com → Actions & submissions → Automated investigation" -ForegroundColor Yellow Write-Host " om de volledige configuratie te verifiëren en aan te passen." -ForegroundColor Yellow Write-Host "`n Monitoring Metrics:" -ForegroundColor Cyan Write-Host " - Controleer investigation statistieken in het AIR dashboard" -ForegroundColor White Write-Host " - Review automatische remediatieacties en hun effectiviteit" -ForegroundColor White Write-Host " - Analyseer false positives en pas configuratie aan indien nodig" -ForegroundColor White Write-Host " - Meet MTTR (Mean Time To Respond) voorbed en na implementatie" -ForegroundColor White if ($result.IsCompliant) { Write-Host "`n✅ AIR configuratie basischecks geslaagd" -ForegroundColor Green Write-Host " Verifieer volledige configuratie in de portal voor details" -ForegroundColor Yellow exit 0 } else { Write-Host "`n⚠️ Verificatie vereist - Controleer AIR configuratie in de portal" -ForegroundColor Yellow exit 1 } } function New-AIRConfiguration { <# .SYNOPSIS Configureert Automated Investigation and Response volgens best practices #> [CmdletBinding()] param() Write-Verbose "Configureren van Automated Investigation and Response..." Write-Host "`nRemediatie: Automated Investigation and Response Configuratie" -ForegroundColor Yellow Write-Host "============================================================" -ForegroundColor Yellow Write-Host "`n Belangrijke opmerking:" -ForegroundColor Yellow Write-Host " Automated Investigation and Response configuratie wordt primair" -ForegroundColor White Write-Host " beheerd via de Microsoft 365 Defender portal (security.microsoft.com)." -ForegroundColor White Write-Host " PowerShell automatisering voor AIR configuratie is beperkt." -ForegroundColor White Write-Host "" Write-Host " Configuratiestappen via Portal:" -ForegroundColor Cyan Write-Host "" Write-Host " 1. Navigeer naar security.microsoft.com" -ForegroundColor White Write-Host " 2. Ga naar Settings → Endpoints → Advanced features" -ForegroundColor White Write-Host " 3. Of ga direct naar Actions & submissions → Automated investigation" -ForegroundColor White Write-Host " 4. Activeer 'Turn on automated investigation'" -ForegroundColor White Write-Host " 5. Configureer investigation triggers voor relevante waarschuwingen" -ForegroundColor White Write-Host " 6. Stel remediatieacties in (Automatic, Manual, of Monitoring only)" -ForegroundColor White Write-Host " 7. Configureer goedkeuringsworkflows voor kritieke acties" -ForegroundColor White Write-Host "" Write-Host " Aanbevolen configuratie:" -ForegroundColor Cyan Write-Host " - Start met 'Manual remediation' mode" -ForegroundColor White Write-Host " - Configureer investigation triggers voor alle Defender componenten" -ForegroundColor White Write-Host " - Vereis goedkeuring voor kritieke acties (endpoint isolatie, password reset)" -ForegroundColor White Write-Host " - Sta automatische acties toe voor minder invasieve acties (email removal, URL blocking)" -ForegroundColor White Write-Host "" if ($WhatIf) { Write-Host " [WhatIf] Zou configuratie-instructies genereren" -ForegroundColor Yellow Write-Host " [WhatIf] Zie bovenstaande stappen voor handmatige configuratie" -ForegroundColor Yellow return } Write-Host " PowerShell ondersteuning:" -ForegroundColor Cyan Write-Host " Dit script kan de configuratie niet direct aanpassen via PowerShell." -ForegroundColor White Write-Host " Gebruik de bovenstaande stappen voor handmatige configuratie in de portal." -ForegroundColor White Write-Host "" Write-Host " Alternatief: Microsoft Graph API" -ForegroundColor Cyan Write-Host " Voor geavanceerde automatisering kan de Microsoft Graph Security API" -ForegroundColor White Write-Host " worden gebruikt, maar dit vereist uitgebreide API-integratie." -ForegroundColor White Write-Host " Zie documentatie: https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview" -ForegroundColor White Write-Host "" Write-Host "✅ Configuratie-instructies gegenereerd" -ForegroundColor Green Write-Host " Volg de bovenstaande stappen om AIR handmatig te configureren in de portal" -ForegroundColor Yellow exit 0 } function Invoke-Remediation { <# .SYNOPSIS Configureert Automated Investigation and Response #> [CmdletBinding()] param() New-AIRConfiguration } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Automated Investigation and Response" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Connect to services Connect-RequiredServices # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Compliance check $result = Test-AIRConfiguration Write-Host "`n Automated Investigation and Response Status:" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "`n✅ BASISCONFIGURATIE OK" -ForegroundColor Green Write-Host " Verifieer volledige configuratie in security.microsoft.com" -ForegroundColor Yellow } else { Write-Host "`n⚠️ VERIFICATIE VEREIST" -ForegroundColor Yellow Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation voor configuratie-instructies" -ForegroundColor Yellow } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " • $recommendation" -ForegroundColor White } } return $result } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder Automated Investigation and Response worden security incidenten langzamer gedetecteerd en gemitigeerd, wat leidt tot langere exposure tijd voor bedreigingen (gemiddeld 207 dagen vs. minuten), hogere kosten door handmatige incident response, verhoogd risico op data breaches, en niet-compliance met NIS2 vereisten voor snelle incident response. Security Operations Centers worden overspoeld met duizenden waarschuwingen per dag en kunnen zonder automatisering niet alle bedreigingen tijdig analyseren.

Management Samenvatting

Implementeer Automated Investigation and Response (AIR) voor automatische security threat analysis en remediatie. AIR analyseert waarschuwingen, correleert bedreigingen, verzamelt evidence, en voert automatisch remediatieacties uit. Reduceert MTTR van dagen naar minuten, vermindert SOC werklast, en voldoet aan NIS2 vereisten voor snelle incident response. Implementatie: 16 uur technisch + 24 uur voor governance, testing en training. CRITICAL voor moderne security operations.