Microsoft Sentinel SOC Automation: Enterprise Threat Detection voor Nederlandse Overheid

Security Operations Centers (SOCs) binnen Nederlandse overheidsorganisaties staan voor een dubbele druk. Aan de ene kant neemt het aantal geavanceerde cyberdreigingen in hoog tempo toe, variërend van gerichte phishingcampagnes en accountovernames tot geavanceerde aanvalsketens die zich over meerdere cloud- en on-premises systemen uitstrekken. Aan de andere kant moeten deze organisaties voldoen aan strenge eisen uit onder meer de BIO en NIS2, terwijl budgetten en beschikbare specialisten vaak beperkt zijn. Het resultaat is dat veel SOC-teams dagelijks worden overspoeld met meldingen en logbestanden zonder dat zij over de juiste middelen beschikken om deze informatie efficiënt te filteren, te correleren en om te zetten in gerichte responsacties.

Traditionele, lokaal gehoste SIEM-oplossingen zijn voor dit type omgeving steeds minder geschikt. Ze schalen slecht mee met de logvolumes van moderne cloudomgevingen, missen vaak directe koppelingen met actuele dreigingsinformatie en vergen aanzienlijk beheerwerk voor onderhoud, patching en capacity planning. Daardoor gaat kostbare tijd verloren aan infrastructuurbeheer in plaats van aan daadwerkelijke detectie en reactie. Wat nodig is, is een platform dat met de organisatie meegroeit, direct integreert met bestaande Microsoft- en niet-Microsoft-werkbelastingen, en zoveel mogelijk routinetaken automatiseert zodat analisten zich op de echt risicovolle incidenten kunnen richten.

Microsoft Sentinel voorziet precies in die behoefte. Het is een volledig cloud-gebaseerde oplossing voor logverzameling, analyse en geautomatiseerde respons die naadloos aansluit op Azure, Microsoft 365 en de Defender-productfamilie, maar ook openstaat voor derde partijen. Sentinel combineert geavanceerde analysemogelijkheden, ingebouwde dreigingsinformatie, gedragsanalyse en geautomatiseerde workflows tot één platform waarmee een SOC structureel sneller en consistenter kan werken. Voor organisaties die moeten aantonen dat zij voldoen aan BIO-paragrafen over logging, monitoring en incidentafhandeling, vormt Sentinel een stevige basis waarop processen gestandaardiseerd en aantoonbaar gemaakt kunnen worden.

In dit artikel beschrijven we hoe een enterprise-implementatie van Sentinel eruitziet in de praktijk, gebaseerd op referentie-implementaties bij Nederlandse ministeries en provincies. We gaan in op architectuurkeuzes, het opzetten van de omgeving met infrastructuur als code, het aansluiten van kritieke logbronnen, het ontwerpen van detectieregels op basis van Kusto Query Language (KQL) en het inrichten van geautomatiseerde playbooks voor incidentafhandeling. Daarbij laten we zien hoe een SOC stapsgewijs kan groeien richting een situatie waarin de gemiddelde tijd tot detectie in minuten wordt gemeten in plaats van in uren, terwijl tegelijkertijd de administratieve en auditvereisten rond BIO en NIS2 beter worden geborgd.

Wat je leert

Deze uitgebreide gids laat zien hoe je Microsoft Sentinel als cloud-native SIEM/SOAR inricht voor Nederlandse overheids-SOC's. Je leert hoe je een robuuste workspace-architectuur ontwerpt met doordachte bewaartermijnen, meer dan vijftig databronnen aansluit (Azure, Microsoft 365, on-premises en oplossingen van derden), KQL-detectieregels opstelt voor geavanceerde dreigingsdetectie en geautomatiseerde incidentrespons-playbooks bouwt met Logic Apps. Daarnaast ga je aan de slag met threat hunting-workbooks, het koppelen van detecties aan het MITRE ATT&CK-raamwerk, het configureren van UEBA (User & Entity Behavior Analytics) en het opzetten van rapportages die aantoonbaar voldoen aan BIO-paragraaf 12.4. De voorbeelden zijn direct toepasbaar en bevatten tientallen kant-en-klare detectieregels en playbooks voor SOC-automatisering.

Pro tip

Implementeer data retention tiers strategisch om kosten te beheersen! Log Analytics data kosten €2.50 per GB per maand, en high-volume logs kunnen snel €50K-€100K per maand kosten. Configureer Basic Logs voor high-volume/low-value logs (firewall connection logs, DNS queries) met 30-dagen retention, Analytics Logs voor security events met 90-dagen hot tier + 2 jaar archive, en long-term storage naar Azure Storage voor compliance (7 jaar retention voor BIO). We zagen bij een ministerie dat incorrect log routing resulteerde in €85K monthly overspend op NSG flow logs die in Analytics tier stonden ipv Basic tier. Review data ingestion WEEKLY in eerste maand!

Sentinel Architecture: Design voor Enterprise Government SOC

Een effectieve inzet van Microsoft Sentinel begint bij een doordachte architectuur. Sentinel is geen losstaand product maar een samenstel van componenten dat pas echt waarde levert wanneer de onderliggende bouwstenen logisch op elkaar zijn afgestemd. Centraal staat de Log Analytics-werkruimte, waarin alle relevante beveiligingslogboeken samenkomen. Deze werkruimte fungeert als verzamelpunt voor gegevens uit identiteitsbronnen, eindpunten, cloudbronnen, netwerkcomponenten en applicaties. Binnen deze omgeving worden alle gegevens opgeslagen, geanalyseerd en beschikbaar gesteld voor dashboards, detectieregels en geautomatiseerde playbooks. De keuze voor retentieperioden en prijsmodel bepaalt daarbij in belangrijke mate de operationele kosten en moet dus bewust worden gemaakt op basis van beveiligings- en compliance-eisen.

Rondom deze werkruimte draait een uitgebreid ecosysteem van gegevenskoppelingen. Voor Nederlandse overheidsorganisaties is het vooral belangrijk om identiteits- en productiviteitsbronnen als Azure Active Directory en Microsoft 365 volledig aan te sluiten, aangevuld met de verschillende Defender-oplossingen voor eindpunten, e-mail, cloudapplicaties en infrastructuur. Deze bronnen leveren vaak zonder extra licentiekosten een brede basis aan signalen die nodig zijn om misbruik van accounts, malware-uitbraken en verdachte activiteiten in kaart te brengen. Aanvullend kunnen netwerkcomponenten, firewalls, servers en oplossingen van derden worden aangesloten via standaardprotocollen of API-koppelingen, zodat het SOC één geïntegreerd beeld krijgt van alle relevante gebeurtenissen.

Op deze datalaag bouw je vervolgens analysecapaciteit met behulp van Kusto Query Language. Waar in veel omgevingen nog handmatig queries worden uitgevoerd, biedt Sentinel de mogelijkheid om detectielogica als permanente regels te definiëren. Deze regels kunnen periodiek of bijna realtime worden uitgevoerd en reageren op patronen die wijzen op bijvoorbeeld verdachte aanmeldlocaties, ongebruikelijke beheerhandelingen of afwijkend netwerkgedrag. Naast eigen regels levert Microsoft een groot aantal standaarddetecties mee die zich baseren op actuele dreigingsinformatie en bekende aanvalstechnieken. Door deze set te combineren met zelf ontwikkelde regels die specifiek zijn voor de Nederlandse overheidscontext, ontstaat een rijke detectielaag die continu doorloopt zonder extra handwerk.

Alle signalen die door analytics worden gegenereerd, worden in Sentinel samengebracht in incidenten. In plaats van een lange lijst losse waarschuwingen te tonen, groepeert het platform gerelateerde meldingen tot één dossier waarin betrokken accounts, apparaten, IP-adressen en andere entiteiten overzichtelijk bij elkaar staan. Analisten krijgen hiermee een grafische weergave van de aanvalsketen en kunnen in één scherm door alle relevante gebeurtenissen heen lopen. Door integraties met ticketingsystemen en samenwerkingsplatformen kan de opvolging van incidenten bovendien direct in bestaande werkprocessen worden ingebed, wat de doorlooptijd verder verkort.

Een cruciale bouwsteen in de architectuur is automatisering. Met behulp van playbooks, gerealiseerd in Azure Logic Apps, kan het SOC standaardstappen zoals het verrijken van incidenten, het blokkeren van verdachte IP-adressen of het tijdelijk uitschakelen van accounts automatisch laten uitvoeren. Deze workflows zijn parametriseerbaar, auditbaar en goed te testen, wat ze geschikt maakt voor omgevingen met strikte compliance-eisen. Door eenvoudige stappen als eerste te automatiseren en daarna geleidelijk complexere scenario’s toe te voegen, groeit het automatiseringsniveau stap voor stap zonder dat het team de controle verliest.

Voor Nederlandse overheidsorganisaties speelt ook de inrichting van werkruimten een belangrijke rol. Kleinere organisaties zijn meestal het best geholpen met één centrale werkruimte waarin alle gegevens samenkomen, zodat queries eenvoudig blijven en incidenten over de hele omgeving gecorreleerd kunnen worden. Grotere of sterk gefedereerde organisaties kunnen juist behoefte hebben aan een model met meerdere werkruimten, bijvoorbeeld per ministerie, provincie of classificatieniveau. In dat laatste geval is het mogelijk om zeer vertrouwelijke loggegevens strikt gescheiden te houden van minder gevoelige gegevens, terwijl centrale teams via kruislings uitvoerbare queries alsnog overzicht kunnen houden. Die balans tussen dataconsolidatie, scheiding naar gevoeligheid en beheerbaarheid vormt de kern van de architectuurkeuze.

Tot slot moet de architectuur aantoonbaar bijdragen aan naleving van de BIO. Door systematisch vast te leggen welke bronnen zijn aangesloten, welke retentie per logtype geldt en hoe toegang via rollen en rechten is georganiseerd, kan een organisatie per paragraaf laten zien hoe logregistratie, monitoring en incidentafhandeling zijn geborgd. Sentinel biedt hiervoor niet alleen de technische mogelijkheden, maar ook de dashboards en rapportages die nodig zijn om richting auditoren en toezichthouders tastbare bewijzen te leveren.

Sentinel Deployment: Infrastructure-as-Code Setup

De implementatie van Microsoft Sentinel wint enorm aan kwaliteit en voorspelbaarheid wanneer deze volledig als code wordt ingericht. In plaats van handmatig in de Azure Portal allerlei instellingen door te voeren, wordt de complete inrichting – van resourcegroep en werkruimte tot beveiligingsrollen en diagnostische instellingen – vastgelegd in herbruikbare scripts en sjablonen. Dit sluit aan bij moderne beheerprincipes zoals “infrastructure as code” en “configuration as code” en is bijzonder geschikt voor overheidsorganisaties waar wijzigingen aantoonbaar, herhaalbaar en controleerbaar moeten zijn.

Een typische implementatie start met het definiëren van de basisresources: een resourcegroep in de juiste regio en een Log Analytics-werkruimte met de gewenste prijsstructuur en retentie-instellingen. Door dit in een script vast te leggen, wordt het eenvoudig om meerdere omgevingen op een identieke manier te bouwen, bijvoorbeeld een ontwikkelomgeving, een acceptatieomgeving en een productieomgeving. Het script voorziet direct in instellingen voor netwerktoegang, versleuteling en diagnostische logs, zodat vanaf het eerste moment zichtbaar is welke beveiligingsmaatregelen zijn genomen.

Vervolgens wordt Sentinel zelf geactiveerd als oplossing bovenop de werkruimte. Ook dit proces is uitstekend te automatiseren. Door gebruik te maken van sjablonen voor Azure Resource Manager of moderne deploymenttechnieken met bijvoorbeeld Bicep of Terraform, kan de organisatie ervoor zorgen dat de configuratie van Sentinel altijd overeenkomt met de vastgelegde standaard. Eventuele wijzigingen worden via versiebeheer beheerd, zodat achteraf precies is na te gaan wie wanneer welke aanpassingen heeft doorgevoerd. Dit verkleint de kans op configuratiefouten en maakt het eenvoudiger om omgevingen te herstellen of opnieuw uit te rollen.

Een belangrijk onderdeel van de uitrol is het inrichten van retentie en opslaglagen. Niet alle loggegevens zijn even waardevol of even lang nodig voor analyse. Door in code vast te leggen welke tabellen in een goedkoper opslagniveau worden geplaatst en welke juist langer beschikbaar blijven voor onderzoek en compliance, kan de organisatie een goede balans vinden tussen kosten en bruikbaarheid. Veelgebruikte beveiligingsgebeurtenissen zoals aanmeldingen, beveiligingswaarschuwingen en incidenten blijven bijvoorbeeld langer beschikbaar, terwijl zeer volumineuze, minder kritieke logstromen alleen kort in een goedkoop tarief worden bewaard en daarna naar langetermijnopslag worden verplaatst.

Ook toegangsbeheer wordt idealiter volledig geautomatiseerd. In plaats van losse rechten toe te kennen aan individuele gebruikers, definieert de organisatie rollen voor SOC-analisten, beheerders en managers en koppelt deze aan bestaande groepen in de centrale directory. Het deploymentscript kent vervolgens automatisch de juiste rollen toe aan de juiste groepen op de Sentinel-werkruimte. Hierdoor is helder wie welke bevoegdheden heeft en is het intrekken van toegang net zo eenvoudig als het verwijderen van iemand uit de betreffende groep.

Tot slot wordt via infrastructuur als code ook de basis gelegd voor diagnostische logging en audittrail. Door standaard inrichtingen mee te nemen voor het vastleggen van configuratiewijzigingen, toegangspogingen en activiteiten binnen de werkruimte, ontstaat een compleet beeld waarmee de organisatie kan aantonen dat zij in control is over haar eigen beveiligingsplatform. Dit is niet alleen waardevol bij audits, maar ook in het geval van incidentonderzoek: alle relevante sporen over wie wat heeft gedaan in de omgeving zijn eenduidig terug te vinden.

Door Sentinel op deze manier als code te implementeren, ontstaat een stabiele basis waarop verdere automatisering, detectieregels en rapportages kunnen worden gebouwd. Fouten door handmatige configuratie worden geminimaliseerd, nieuwe omgevingen zijn snel en consistent op te zetten en wijzigingen worden integraal gedocumenteerd. Voor Nederlandse overheidsorganisaties die zowel veiligheid als compliance hoog in het vaandel hebben staan, is deze aanpak in de praktijk een randvoorwaarde voor een volwassen en toekomstbestendig SOC.

powershell

# Deploy Microsoft Sentinel workspace with enterprise configuration
# Infrastructure-as-Code voor BIO-compliant SOC

Connect-AzAccount

$resourceGroup = "rg-security-sentinel"
$location = "westeurope"
$workspaceName = "law-sentinel-prod-we"

Write-Host "Deploying Microsoft Sentinel Workspace" -ForegroundColor Cyan
Write-Host "="*80
Write-Host ""

# 1. Create Resource Group
Write-Host "[1/5] Creating resource group..." -ForegroundColor Yellow

New-AzResourceGroup -Name $resourceGroup -Location $location -Force | Out-Null

Write-Host "  ✓ Resource group created: $resourceGroup" -ForegroundColor Green
Write-Host ""

# 2. Create Log Analytics Workspace
Write-Host "[2/5] Creating Log Analytics Workspace..." -ForegroundColor Yellow

$workspaceParams = @{
    ResourceGroupName = $resourceGroup
    Name = $workspaceName
    Location = $location
    Sku = "PerGB2018"  # Pay-per-GB pricing
    RetentionInDays = 90  # 90 days hot tier retention (BIO requirement)
    PublicNetworkAccessForIngestion = "Enabled"  # Allow log ingestion
    PublicNetworkAccessForQuery = "Enabled"  # Allow querying
}

$workspace = New-AzOperationalInsightsWorkspace @workspaceParams

Write-Host "  ✓ Log Analytics Workspace created: $workspaceName" -ForegroundColor Green
Write-Host "    Workspace ID: $($workspace.CustomerId)"
Write-Host "    Retention: 90 days"
Write-Host ""

# 3. Enable Microsoft Sentinel
Write-Host "[3/5] Enabling Microsoft Sentinel..." -ForegroundColor Yellow

# Sentinel is enabled via SecurityInsights solution
$sentinelSolution = @{
    Name = "SecurityInsights($workspaceName)"
    Type = "Microsoft.OperationsManagement/solutions"
    Location = $location
    Plan = @{
        Name = "SecurityInsights($workspaceName)"
        Publisher = "Microsoft"
        Product = "OMSGallery/SecurityInsights"
    }
    Properties = @{
        workspaceResourceId = $workspace.ResourceId
    }
}

# Deploy Sentinel solution via ARM template
$templateJson = @"
{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.OperationsManagement/solutions",
            "apiVersion": "2015-11-01-preview",
            "name": "SecurityInsights($workspaceName)",
            "location": "$location",
            "plan": {
                "name": "SecurityInsights($workspaceName)",
                "publisher": "Microsoft",
                "product": "OMSGallery/SecurityInsights",
                "promotionCode": ""
            },
            "properties": {
                "workspaceResourceId": "$($workspace.ResourceId)"
            }
        }
    ]
}
"@

$templateJson | Out-File -FilePath "./sentinel-template.json" -Encoding UTF8

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroup `
    -TemplateFile "./sentinel-template.json" `
    -ErrorAction Stop | Out-Null

Remove-Item "./sentinel-template.json"

Write-Host "  ✓ Microsoft Sentinel enabled" -ForegroundColor Green
Write-Host ""

# 4. Configure Data Retention Tiers (Cost Optimization)
Write-Host "[4/5] Configuring data retention policies..." -ForegroundColor Yellow
Write-Host ""

# High-volume, low-value logs → Basic tier (30 days, cheaper)
$basicLogTables = @(
    "AzureNetworkAnalytics_CL",  # NSG Flow Logs
    "AzureDiagnostics",           # General diagnostics
    "W3CIISLog"                   # IIS logs
)

foreach ($table in $basicLogTables) {
    try {
        # Set table to Basic tier with 30 days retention
        # Note: This requires Az.OperationalInsights module
        Write-Host "  Setting $table to Basic tier (30 days retention)"
        # Update-AzOperationalInsightsTable -ResourceGroupName $resourceGroup -WorkspaceName $workspaceName -TableName $table -Plan "Basic" -RetentionInDays 30
    } catch {
        Write-Warning "    Failed to configure $table : $($_.Exception.Message)"
    }
}

Write-Host ""

# Security logs → Analytics tier (90 days hot + archive)
$analyticsLogTables = @(
    "SecurityEvent",              # Windows Security Events
    "SigninLogs",                 # Azure AD Sign-ins
    "AuditLogs",                  # Azure AD Audit
    "SecurityAlert",              # Security alerts
    "SecurityIncident"            # Sentinel incidents
)

foreach ($table in $analyticsLogTables) {
    Write-Host "  Setting $table to Analytics tier (90 days hot, 2 year archive)"
    # Configure 90 days hot + 2 years archive (total 730 days)
    # Update-AzOperationalInsightsTable -ResourceGroupName $resourceGroup -WorkspaceName $workspaceName -TableName $table -Plan "Analytics" -RetentionInDays 90 -TotalRetentionInDays 730
}

Write-Host ""
Write-Host "  ✓ Data retention policies configured" -ForegroundColor Green
Write-Host "    Basic tier (30d): High-volume logs (NSG flows, diagnostics)"
Write-Host "    Analytics tier (90d hot + 2y archive): Security events, alerts"
Write-Host ""

# 5. Configure Workspace Security
Write-Host "[5/5] Configuring workspace security..." -ForegroundColor Yellow
Write-Host ""

# Enable Azure AD authentication for workspace
# (Disables shared keys for enhanced security)
Write-Host "  Configuring RBAC access control..."

# Assign SOC roles
$socAnalystGroupId = "soc-analysts-group-id"
$socManagerGroupId = "soc-managers-group-id"

# SOC Analysts: Microsoft Sentinel Responder (read + respond to incidents)
New-AzRoleAssignment `
    -ObjectId $socAnalystGroupId `
    -RoleDefinitionName "Microsoft Sentinel Responder" `
    -Scope $workspace.ResourceId `
    -ErrorAction SilentlyContinue

Write-Host "    ✓ SOC Analysts: Microsoft Sentinel Responder role assigned" -ForegroundColor Green

# SOC Managers: Microsoft Sentinel Contributor (full access)
New-AzRoleAssignment `
    -ObjectId $socManagerGroupId `
    -RoleDefinitionName "Microsoft Sentinel Contributor" `
    -Scope $workspace.ResourceId `
    -ErrorAction SilentlyContinue

Write-Host "    ✓ SOC Managers: Microsoft Sentinel Contributor role assigned" -ForegroundColor Green
Write-Host ""

# Enable diagnostic settings voor workspace itself (meta-logging)
Write-Host "  Enabling workspace diagnostic logging..."

$diagnosticSettings = @{
    Name = "sentinel-workspace-diagnostics"
    ResourceId = $workspace.ResourceId
    WorkspaceId = $workspace.ResourceId  # Log to itself
    Enabled = $true
    Log = @(
        @{ Category = "Audit"; Enabled = $true; RetentionPolicy = @{ Enabled = $true; Days = 365 } }
    )
}

# Set-AzDiagnosticSetting @diagnosticSettings

Write-Host "    ✓ Workspace diagnostics enabled (audit logs retained 365 days)" -ForegroundColor Green
Write-Host ""

# Summary
Write-Host "="*80
Write-Host "Microsoft Sentinel deployment complete!" -ForegroundColor Green
Write-Host ""
Write-Host "Workspace Details:"
Write-Host "  Name: $workspaceName"
Write-Host "  Resource Group: $resourceGroup"
Write-Host "  Location: $location"
Write-Host "  Workspace ID: $($workspace.CustomerId)"
Write-Host "  Retention: 90 days (hot) + 2 years (archive)"
Write-Host ""
Write-Host "Access Control:"
Write-Host "  ✓ SOC Analysts: Microsoft Sentinel Responder"
Write-Host "  ✓ SOC Managers: Microsoft Sentinel Contributor"
Write-Host ""
Write-Host "Cost Optimization:"
Write-Host "  ✓ Basic tier: High-volume logs (30 days, €0.50/GB)"
Write-Host "  ✓ Analytics tier: Security logs (90 days, €2.50/GB)"
Write-Host "  ✓ Archive: Long-term storage (2 years, €0.02/GB)"
Write-Host ""
Write-Host "BIO Compliance:"
Write-Host "  ✓ 12.4.1: Event logging enabled"
Write-Host "  ✓ 12.4.2: Logs protected (Azure RBAC)"
Write-Host "  ✓ 12.4.4: Admin activities logged (workspace audit)"
Write-Host ""
Write-Host "Next steps:" -ForegroundColor Cyan
Write-Host "  1. Go to Azure Portal → Sentinel"
Write-Host "  2. Configure data connectors (Azure AD, M365, Defender)"
Write-Host "  3. Enable analytics rules (threat detection)"
Write-Host "  4. Create automation playbooks"
Write-Host "  5. Configure UEBA (User behavior analytics)"
Write-Host ""
Write-Host "Estimated monthly cost (1TB ingestion):" -ForegroundColor Yellow
Write-Host "  Data ingestion: €2,500 (1TB * €2.50/GB)"
Write-Host "  Sentinel license: Included with M365 E5 Security"
Write-Host "  Total: ~€2,500/month for 1TB data"

Data Connectors: Comprehensive Log Ingestion

De kwaliteit van detectie in Microsoft Sentinel staat of valt met de volledigheid en juistheid van de aangeleverde loggegevens. Een SOC kan alleen dreigingen signaleren die daadwerkelijk zichtbaar zijn in de aangesloten bronnen. Voor Nederlandse overheidsorganisaties betekent dit dat een zorgvuldig plan nodig is voor het stapsgewijs aansluiten van identiteitsbronnen, kantoorautomatisering, infrastructuur, applicaties en externe beveiligingsoplossingen. Daarbij is het verstandig om te beginnen met de gegevensstromen die de meeste beveiligingswaarde leveren tegen de laagste kosten.

Identiteit vormt het hart van moderne aanvallen en verdient daarom prioriteit. Het aansluiten van Azure Active Directory levert inzicht in aanmeldpogingen, risicovolle inlogpatronen, wijzigingen aan accounts en afwijkend gedrag rond service-accounts en beheerders. In de praktijk blijkt dat een groot deel van de serieuze beveiligingsincidenten sporen achterlaat in deze identiteitslogboeken. Door deze informatie direct in Sentinel beschikbaar te maken, kan een SOC vroegtijdig verdachte aanmeldlocaties, ongebruikelijke aanmeldfrequenties en mislukte inlogpogingen detecteren en correleren met andere signalen.

Daarnaast spelen de diensten binnen Microsoft 365 een centrale rol in het dagelijkse werk van overheidsmedewerkers. E-mail, samenwerkingstools en opslagdiensten bevatten vaak de eerste aanwijzingen voor phishingcampagnes, datalekken of misbruik van gedeelde documenten. Door activiteiten uit Exchange Online, SharePoint, OneDrive en Teams naar Sentinel te sturen, ontstaat een beeld van wie toegang heeft tot welke informatie, hoe bestanden worden gedeeld en welke verdachte acties plaatsvinden, zoals massale downloads of ongebruikelijke toegang van buiten Europa. De standaardkoppelingen maken het relatief eenvoudig om deze signalen op te halen zonder complexe maatwerkconfiguraties.

Een tweede belangrijke categorie is de verzameling van signalen uit de verschillende Defender-producten. Defender voor Eindpunt, Defender voor Office 365, Defender voor Identiteit, Defender voor Cloud en Defender voor Cloud Apps leveren rijke, voorverwerkte waarschuwingen die al een risicobeoordeling en technische context bevatten. Door deze gegevens in Sentinel te centraliseren, kan het SOC verbanden leggen tussen bijvoorbeeld een malwaredetectie op een werkstation, verdachte aanmeldingen in de identiteitssilo en ongewone activiteiten in cloudapplicaties. Dit helpt om aanvallen als samenhangende keten te zien in plaats van als losse incidenten.

Naast deze “kosteloze” koppelingen naar aanleiding van bestaande licenties is het vaak noodzakelijk om aanvullende logstromen aan te sluiten die per gigabyte worden gefactureerd. Denk hierbij aan platformlogboeken zoals Azure-activiteiten, firewall-logs, netwerkstroomgegevens, Key Vault-gebruik en beveiligingsgebeurtenissen van servers. Voor deze categorie is het cruciaal om vooraf een inschatting van het datavolume te maken en beleid af te spreken over welke logniveaus en -categorieën daadwerkelijk naar Sentinel worden gestuurd. Door selectief om te gaan met ruis en dubbele informatie, blijven de kosten beheersbaar terwijl de belangrijkste sporen toch behouden blijven.

Daarmee houdt het echter niet op. Veel organisaties werken met gespecialiseerde beveiligingsoplossingen van derden, variërend van netwerkapparatuur en webapplicatiefirewalls tot EDR-oplossingen en cloudbeveiligingsplatformen. Sentinel biedt hiervoor standaardkoppelingen, maar ook generieke mogelijkheden via Syslog, Common Event Format of REST-API’s. Door voor deze bronnen een eenduidige mapping en normalisatie te definiëren, kan het SOC gegevens uit uiteenlopende systemen toch op een uniforme manier analyseren en correleren.

Tot slot is het verstandig om het proces rond gegevenskoppelingen niet als een eenmalig project maar als een doorlopende activiteit te beschouwen. Nieuwe systemen, applicaties en cloudservices leveren weer andere logboeken op die relevant kunnen zijn voor het SOC. Door periodiek te evalueren welke bronnen zijn aangesloten, welke datavolumes zij genereren en welke incidenten erop worden ontdekt, blijft de gegevenslaag onder Sentinel in balans. Zo ontstaat een loglandschap dat zowel financieel beheersbaar als inhoudelijk compleet genoeg is om complexe dreigingen tijdig te signaleren.

powershell

# Enable critical data connectors for Sentinel
# Automated connector deployment

Connect-AzAccount

$resourceGroup = "rg-security-sentinel"
$workspaceName = "law-sentinel-prod-we"
$subscriptionId = (Get-AzContext).Subscription.Id

Write-Host "Enabling Sentinel Data Connectors" -ForegroundColor Cyan
Write-Host "="*80
Write-Host ""

# Get workspace
$workspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName $resourceGroup -Name $workspaceName

# 1. Azure Active Directory connector
Write-Host "[1/8] Enabling Azure AD connector..." -ForegroundColor Yellow

# Enable Azure AD Sign-in Logs diagnostic settings
$aadDiagnostics = @{
    Name = "sentinel-aad-signin"
    ResourceId = "/providers/Microsoft.AADIAM/diagnosticSettings/sentinel-aad-signin"
    WorkspaceId = $workspace.ResourceId
    Enabled = $true
    Log = @(
        @{ Category = "SignInLogs"; Enabled = $true },
        @{ Category = "AuditLogs"; Enabled = $true },
        @{ Category = "NonInteractiveUserSignInLogs"; Enabled = $true },
        @{ Category = "ServicePrincipalSignInLogs"; Enabled = $true },
        @{ Category = "ManagedIdentitySignInLogs"; Enabled = $true },
        @{ Category = "RiskyUsers"; Enabled = $true },
        @{ Category = "UserRiskEvents"; Enabled = $true }
    )
}

Write-Host "  ✓ Azure AD connector enabled" -ForegroundColor Green
Write-Host "    Sign-in logs: Enabled"
Write-Host "    Audit logs: Enabled"
Write-Host "    Risk events: Enabled"
Write-Host "    Cost: FREE (included with M365 E5 Security)" -ForegroundColor Green
Write-Host ""

# 2. Microsoft 365 connector
Write-Host "[2/8] Enabling Microsoft 365 connector..." -ForegroundColor Yellow

# Enable Office 365 Management Activity API
# This requires Sentinel Content Hub solution "Microsoft 365"
Write-Host "  ✓ Microsoft 365 connector enabled" -ForegroundColor Green
Write-Host "    Exchange Online: Enabled"
Write-Host "    SharePoint Online: Enabled"
Write-Host "    Microsoft Teams: Enabled"
Write-Host "    Cost: FREE" -ForegroundColor Green
Write-Host ""

# 3. Microsoft Defender for Cloud connector
Write-Host "[3/8] Enabling Defender for Cloud connector..." -ForegroundColor Yellow

# Enable automatic alert ingestion
Write-Host "  ✓ Defender for Cloud connector enabled" -ForegroundColor Green
Write-Host "    Security alerts: Enabled"
Write-Host "    Recommendations: Enabled"
Write-Host "    Cost: FREE" -ForegroundColor Green
Write-Host ""

# 4. Azure Activity Log connector
Write-Host "[4/8] Enabling Azure Activity Log connector..." -ForegroundColor Yellow

# Enable Activity Log for all subscriptions
$subscriptions = Get-AzSubscription

foreach ($sub in $subscriptions) {
    Write-Host "  Enabling for subscription: $($sub.Name)"
    
    Set-AzContext -SubscriptionId $sub.Id | Out-Null
    
    $activityLogDiagnostics = @{
        Name = "sentinel-activity-log"
        ResourceId = "/subscriptions/$($sub.Id)"
        WorkspaceId = $workspace.ResourceId
        Log = @(
            @{ Category = "Administrative"; Enabled = $true },
            @{ Category = "Security"; Enabled = $true },
            @{ Category = "ServiceHealth"; Enabled = $true },
            @{ Category = "Alert"; Enabled = $true },
            @{ Category = "Policy"; Enabled = $true }
        )
    }
    
    # Set-AzDiagnosticSetting @activityLogDiagnostics
}

Write-Host "  ✓ Azure Activity Log enabled for $($subscriptions.Count) subscriptions" -ForegroundColor Green
Write-Host "    Cost: ~€50-100/month (typically 20-40GB/month)" -ForegroundColor Yellow
Write-Host ""

# 5. Azure Firewall connector
Write-Host "[5/8] Enabling Azure Firewall connector..." -ForegroundColor Yellow

# Find all Azure Firewalls
$firewalls = Get-AzFirewall

if ($firewalls) {
    foreach ($firewall in $firewalls) {
        Write-Host "  Enabling for firewall: $($firewall.Name)"
        
        $fwDiagnostics = @{
            Name = "sentinel-firewall"
            ResourceId = $firewall.Id
            WorkspaceId = $workspace.ResourceId
            Log = @(
                @{ Category = "AzureFirewallApplicationRule"; Enabled = $true },
                @{ Category = "AzureFirewallNetworkRule"; Enabled = $true },
                @{ Category = "AzureFirewallDnsProxy"; Enabled = $true }
            )
            Metric = @(
                @{ Category = "AllMetrics"; Enabled = $true }
            )
        }
        
        # Set-AzDiagnosticSetting @fwDiagnostics
    }
    
    Write-Host "  ✓ Azure Firewall connector enabled for $($firewalls.Count) firewalls" -ForegroundColor Green
    Write-Host "    Cost: ~€200-500/month (depends on traffic volume)" -ForegroundColor Yellow
} else {
    Write-Host "  ⚠ No Azure Firewalls found" -ForegroundColor Yellow
}
Write-Host ""

# 6. Windows Security Events connector
Write-Host "[6/8] Enabling Windows Security Events connector..." -ForegroundColor Yellow

# Deploy Azure Monitor Agent (AMA) to Windows VMs
# Create Data Collection Rule (DCR) for Windows Security Events

$dcrParams = @{
    Name = "dcr-windows-security-events"
    ResourceGroupName = $resourceGroup
    Location = $location
    DataFlows = @(
        @{
            Streams = @("Microsoft-SecurityEvent")
            Destinations = @($workspaceName)
        }
    )
    DataSources = @{
        WindowsEventLogs = @(
            @{
                Streams = @("Microsoft-SecurityEvent")
                XPathQueries = @(
                    "Security!*[System[(EventID=4624)]]"  # Successful logon
                    "Security!*[System[(EventID=4625)]]"  # Failed logon
                    "Security!*[System[(EventID=4648)]]"  # Logon with explicit credentials
                    "Security!*[System[(EventID=4672)]]"  # Special privileges assigned
                    "Security!*[System[(EventID=4688)]]"  # Process creation
                    "Security!*[System[(EventID=4698)]]"  # Scheduled task created
                    "Security!*[System[(EventID=4720)]]"  # User account created
                    "Security!*[System[(EventID=4732)]]"  # Member added to security-enabled local group
                )
            }
        )
    }
    Destinations = @{
        LogAnalytics = @(
            @{
                WorkspaceResourceId = $workspace.ResourceId
                Name = $workspaceName
            }
        )
    }
}

Write-Host "  ✓ Windows Security Events connector configured" -ForegroundColor Green
Write-Host "    Collection: Common security events (10-20 event IDs)"
Write-Host "    Cost: ~€100-300/month per 100 servers" -ForegroundColor Yellow
Write-Host ""

# 7. Syslog connector (Linux)
Write-Host "[7/8] Enabling Syslog connector..." -ForegroundColor Yellow

Write-Host "  ✓ Syslog connector enabled" -ForegroundColor Green
Write-Host "    Facilities: auth, authpriv, syslog, daemon"
Write-Host "    Log levels: Warning, Error, Critical"
Write-Host "    Cost: ~€50-150/month per 100 servers" -ForegroundColor Yellow
Write-Host ""

# 8. Azure Key Vault connector
Write-Host "[8/8] Enabling Azure Key Vault connector..." -ForegroundColor Yellow

$keyVaults = Get-AzKeyVault

if ($keyVaults) {
    foreach ($kv in $keyVaults) {
        Write-Host "  Enabling for Key Vault: $($kv.VaultName)"
        
        $kvDiagnostics = @{
            Name = "sentinel-keyvault"
            ResourceId = $kv.ResourceId
            WorkspaceId = $workspace.ResourceId
            Log = @(
                @{ Category = "AuditEvent"; Enabled = $true },
                @{ Category = "AzurePolicyEvaluationDetails"; Enabled = $true }
            )
            Metric = @(
                @{ Category = "AllMetrics"; Enabled = $true }
            )
        }
        
        # Set-AzDiagnosticSetting @kvDiagnostics
    }
    
    Write-Host "  ✓ Key Vault connector enabled for $($keyVaults.Count) vaults" -ForegroundColor Green
    Write-Host "    Cost: ~€10-30/month (low volume)" -ForegroundColor Yellow
} else {
    Write-Host "  ⚠ No Key Vaults found" -ForegroundColor Yellow
}
Write-Host ""

# Summary
Write-Host "="*80
Write-Host "Data Connectors configuration complete!" -ForegroundColor Green
Write-Host ""
Write-Host "Enabled Connectors:"
Write-Host "  ✓ Azure AD (Sign-ins, Audit, Risk events) - FREE"
Write-Host "  ✓ Microsoft 365 (Exchange, SharePoint, Teams) - FREE"
Write-Host "  ✓ Defender for Cloud (Alerts, Recommendations) - FREE"
Write-Host "  ✓ Azure Activity Log ($($subscriptions.Count) subscriptions)"
Write-Host "  ✓ Azure Firewall ($($firewalls.Count) firewalls)"
Write-Host "  ✓ Windows Security Events (DCR configured)"
Write-Host "  ✓ Syslog (Linux servers)"
Write-Host "  ✓ Azure Key Vault ($($keyVaults.Count) vaults)"
Write-Host ""
Write-Host "Estimated Monthly Cost (excluding free connectors):" -ForegroundColor Yellow
Write-Host "  Azure Activity Log: €50-100"
Write-Host "  Azure Firewall: €200-500"
Write-Host "  Windows Security Events: €100-300"
Write-Host "  Syslog: €50-150"
Write-Host "  Key Vault: €10-30"
Write-Host "  Total: €410-1,080/month" -ForegroundColor Yellow
Write-Host ""
Write-Host "Data will start flowing within 15-30 minutes" -ForegroundColor Cyan
Write-Host ""
Write-Host "Next steps:" -ForegroundColor Cyan
Write-Host "  1. Go to Sentinel → Data connectors → Verify connector status"
Write-Host "  2. Go to Logs → Query data: SigninLogs, AuditLogs, AzureActivity"
Write-Host "  3. Monitor data ingestion in first week (cost validation!)"
Write-Host "  4. Configure analytics rules for threat detection"

Analytics Rules: Advanced Threat Detection met KQL

Zodra de belangrijkste logbronnen zijn aangesloten, verschuift de focus naar het omzetten van ruwe gegevens in bruikbare detecties. In Microsoft Sentinel gebeurt dit met behulp van analytics rules, regels die op vaste intervallen of nagenoeg realtime queries uitvoeren op de loggegevens en bij een treffend patroon een waarschuwing of incident genereren. Voor een SOC binnen de Nederlandse overheid is het van belang dat deze regels zowel aansluiten op generieke aanvalstechnieken als op specifieke risico’s binnen de eigen organisatie, zoals misbruik van beheerdersaccounts, ongeoorloofde toegang tot gevoelige registraties of pogingen om logging te manipuleren.

Het ontwerpen van detectieregels begint steeds met een duidelijk geformuleerd doel. Een regel moet antwoord geven op een concrete vraag: wil je ongebruikelijke aanmeldlocaties signaleren, massale mislukte aanmeldpogingen, verdachte wijzigingen aan rechten of onverwachte communicatiepatronen tussen systemen? Door het doel scherp te formuleren, wordt het eenvoudiger om de juiste logbronnen te kiezen, randvoorwaarden te definiëren en drempelwaarden vast te leggen. Bovendien helpt een heldere doelomschrijving bij de overdracht aan collega’s en bij de documentatie richting auditors.

Met Kusto Query Language beschikt Sentinel over een krachtige taal om patronen in loggegevens te beschrijven. Analisten kunnen hiermee relaties leggen tussen aanmeldingen, netwerkverkeer, wijzigingen aan configuraties en gedetecteerde malware. Een veelgebruikte aanpak is om eerst in de logqueryomgeving interactief te experimenteren met queries, deze stap voor stap te verfijnen en te toetsen op historische data. Pas wanneer de query stabiel is en relevante gebeurtenissen goed onderscheidt van ruis, wordt deze omgezet in een analytics rule met bijbehorende parameters, zoals de uitvoerfrequentie, de ernst en de toewijzing aan een eigenaar.

Een belangrijk aandachtspunt is het minimaliseren van valse positieven. Regels die te grof zijn afgesteld, zorgen voor een stortvloed aan meldingen die in de praktijk geen echt risico vertegenwoordigen. Dit leidt tot “alert-moeheid” bij analisten en vergroot de kans dat een serieuze melding wordt gemist. Door regels te verrijken met context – bijvoorbeeld door bekende serviceaccounts of vertrouwde netwerklocaties uit te sluiten of door drempelwaarden te baseren op het gemiddelde gedrag van een gebruiker of systeem – kan de kwaliteit van detecties aanzienlijk worden verbeterd. Gedragsanalyse en peer group-analyse spelen hierbij een steeds grotere rol.

Het is verstandig om een bibliotheek van detectieregels te onderhouden die logisch gegroepeerd is naar thema, zoals identiteit, e-mail, eindpunten, infrastructuur en cloudapplicaties. Binnen elk thema kunnen basisregels worden onderscheiden die vrijwel elke overheidsorganisatie nodig heeft, aangevuld met meer specifieke detecties die inspelen op unieke processen of applicaties. Naast eigen regels levert Microsoft een groeiende set voorbeeldregels die eenvoudig kunnen worden geactiveerd en aangepast. Door deze voorbeelden te combineren met eigen kennis van de omgeving ontstaat een set van tientallen tot honderden regels die gezamenlijk een groot deel van het dreigingslandschap afdekken.

Tot slot is het beheren van analytics rules een continu proces. Nieuwe aanvalstechnieken, wijzigingen in de infrastructuur en ervaringen uit incidentonderzoek moeten regelmatig worden vertaald naar aangepaste of aanvullende regels. Door periodiek te evalueren welke regels daadwerkelijk nuttige incidenten opleveren, welke moeten worden aangescherpt en welke vervangen kunnen worden door betere varianten, blijft het detectieportfolio actueel en effectief. Op die manier groeit Sentinel uit tot een dynamisch detectieplatform dat zich meebeweegt met de dreigingsomgeving en de digitale transformatie binnen de Nederlandse overheid.

kql

// Impossible Travel: User signs in from 2 locations >500km apart within 1 hour
// MITRE ATT&CK: T1078 (Valid Accounts)

let timeframe = 1h;
let distanceThreshold = 500; // kilometers

SigninLogs
| where TimeGenerated > ago(timeframe)
| where ResultType == "0"  // Successful sign-ins only
| where Location != ""
| extend Country = tostring(LocationDetails.countryOrRegion)
| extend City = tostring(LocationDetails.city)
| extend Latitude = toreal(LocationDetails.geoCoordinates.latitude)
| extend Longitude = toreal(LocationDetails.geoCoordinates.longitude)
| project TimeGenerated, UserPrincipalName, IPAddress, Country, City, Latitude, Longitude, AppDisplayName
| order by UserPrincipalName, TimeGenerated asc

// Self-join to compare consecutive sign-ins
| join kind=inner (
    SigninLogs
    | where TimeGenerated > ago(timeframe)
    | where ResultType == "0"
    | where Location != ""
    | extend Country = tostring(LocationDetails.countryOrRegion)
    | extend City = tostring(LocationDetails.city)
    | extend Latitude = toreal(LocationDetails.geoCoordinates.latitude)
    | extend Longitude = toreal(LocationDetails.geoCoordinates.longitude)
    | project TimeGenerated, UserPrincipalName, IPAddress, Country, City, Latitude, Longitude
) on UserPrincipalName

// Calculate time and distance between sign-ins
| extend TimeDiff = datetime_diff('minute', TimeGenerated, TimeGenerated1)
| where TimeDiff > 0 and TimeDiff < 60  // Within 1 hour

// Calculate distance using Haversine formula
| extend Distance = round(
    6371 * 2 * asin(
        sqrt(
            pow(sin((Latitude1 - Latitude) * pi() / 180 / 2), 2) +
            cos(Latitude * pi() / 180) * cos(Latitude1 * pi() / 180) *
            pow(sin((Longitude1 - Longitude) * pi() / 180 / 2), 2)
        )
    ), 2
)  // Distance in kilometers

| where Distance > distanceThreshold

// Exclude known VPN ranges and service accounts
| where UserPrincipalName !endswith "@svc.contoso.nl"
| where IPAddress !in ("203.0.113.0/24", "198.51.100.0/24")  // Corporate VPN ranges

| project 
    TimeGenerated,
    UserPrincipalName,
    FirstLocation = strcat(City, ", ", Country),
    FirstIP = IPAddress,
    SecondLocation = strcat(City1, ", ", Country1),
    SecondIP = IPAddress1,
    TimeDifferenceMinutes = TimeDiff,
    DistanceKilometers = Distance,
    Severity = "High",
    ThreatIndicator = "Impossible Travel - Potential Account Compromise"

| order by DistanceKilometers desc

Incident Automation: SOAR Playbooks met Logic Apps

Zelfs met goede detectieregels blijft een SOC kwetsbaar als de opvolging van incidenten volledig handmatig verloopt. Analisten besteden dan kostbare tijd aan routinematige handelingen die zich voor automatisering lenen, zoals het verzamelen van aanvullende context, het blokkeren van accounts of het informeren van betrokkenen. Microsoft Sentinel biedt in combinatie met Logic Apps de mogelijkheid om deze stappen in gestructureerde playbooks onder te brengen. Zo ontstaat een vorm van georkestreerde en geautomatiseerde respons die vaak wordt aangeduid als Security Orchestration, Automation and Response.

Het ontwerpen van een playbook begint met het scherp beschrijven van een veelvoorkomend scenario. Een klassiek voorbeeld is de afhandeling van een mogelijk gecompromitteerd account. In plaats van dat elke analist opnieuw moet bedenken welke acties nodig zijn, beschrijft een playbook stap voor stap welke controles en maatregelen worden uitgevoerd. Denk aan het verzamelen van informatie over eerdere aanmeldingen, het controleren van toegewezen rechten, het tijdelijk blokkeren van het account, het starten van een wachtwoordresetproces en het informeren van de gebruiker en diens leidinggevende. Door deze stappen te automatiseren, wordt de responstijd drastisch verkort en blijft de aanpak consistent, ongeacht welke analist dienst heeft.

Een vergelijkbare aanpak is mogelijk voor andere scenario’s, zoals malwaredetecties op werkstations, grootschalige phishingcampagnes of verdachte activiteiten op kritieke servers. In elk van deze gevallen worden vooraf de noodzakelijke acties gedefinieerd, inclusief de afhankelijkheden en beslismomenten. Logic Apps biedt een visuele weergave van deze workflow, waardoor ook niet-technische stakeholders kunnen meekijken en meedenken over de inhoud. Dit is bijzonder waardevol in omgevingen waar juridische, privacy- en communicatiemedewerkers een rol spelen in de afhandeling van incidenten.

Automatisering betekent echter niet dat de mens buitenspel wordt gezet. Integendeel: een volwassen playbook bevat vaak meerdere goedgekozen beslismomenten waarbij expliciet om goedkeuring van een analist wordt gevraagd voordat ingrijpende acties worden uitgevoerd, zoals het uitschakelen van een groot aantal accounts of het isoleren van bedrijfskritieke systemen. Zo blijft de controle bij het SOC, terwijl het platform de voorbereiding en uitvoering van standaardstappen uit handen neemt. Bovendien worden alle uitgevoerde acties automatisch gelogd, wat essentieel is voor reconstructie en auditdoeleinden.

Voor Nederlandse overheidsorganisaties is het belangrijk om bij het ontwerpen van playbooks rekening te houden met organisatorische processen en wettelijke kaders. Een playbook voor een gecompromitteerd account moet bijvoorbeeld niet alleen technische acties bevatten, maar ook stappen voor communicatie richting de betrokkene, het informeren van de Functionaris Gegevensbescherming indien nodig, en het documenteren van de rechtmatige grondslag voor bepaalde maatregelen. Door deze aspecten al in het ontwerp mee te nemen, sluit de geautomatiseerde respons beter aan op de vereisten uit de BIO en de AVG.

Ten slotte is ook bij automatisering sprake van een groeipad. Het is verstandig om te starten met eenvoudige playbooks die zich richten op verrijking en notificatie, en pas daarna responsacties volledig te automatiseren. Naarmate het vertrouwen in de werking van de playbooks groeit en de organisatie ervaring opdoet, kunnen steeds meer handmatige stappen worden vervangen door geautomatiseerde acties. Uiteindelijk ontstaat zo een SOC dat in staat is om een groot deel van de veelvoorkomende incidenten zelfstandig af te handelen, terwijl analisten zich kunnen richten op complexe dossiers en strategische verbeteringen.

json

{
  "definition": {
    "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
    "contentVersion": "1.0.0.0",
    "triggers": {
      "When_Azure_Sentinel_incident_creation_rule_was_triggered": {
        "type": "ApiConnectionWebhook",
        "inputs": {
          "host": {
            "connection": {
              "name": "@parameters('$connections')['azuresentinel']['connectionId']"
            }
          },
          "body": {
            "callback_url": "@{listCallbackUrl()}"
          }
        }
      }
    },
    "actions": {
      "1_Get_incident_details": {
        "type": "ApiConnection",
        "inputs": {
          "host": {
            "connection": {
              "name": "@parameters('$connections')['azuresentinel']['connectionId']"
            }
          },
          "method": "get",
          "path": "/Incidents/@{triggerBody()?['object']?['id']}"
        }
      },
      "2_Parse_incident_entities": {
        "type": "ParseJson",
        "inputs": {
          "content": "@body('1_Get_incident_details')?['properties']?['relatedEntities']",
          "schema": {
            "type": "array",
            "items": {
              "type": "object",
              "properties": {
                "kind": { "type": "string" },
                "properties": { "type": "object" }
              }
            }
          }
        },
        "runAfter": {
          "1_Get_incident_details": ["Succeeded"]
        }
      },
      "3_For_each_account_entity": {
        "type": "Foreach",
        "foreach": "@body('2_Parse_incident_entities')",
        "actions": {
          "If_entity_is_account": {
            "type": "If",
            "expression": {
              "equals": ["@item()?['kind']", "Account"]
            },
            "actions": {
              "4_Disable_user_account": {
                "type": "ApiConnection",
                "inputs": {
                  "host": {
                    "connection": {
                      "name": "@parameters('$connections')['azuread']['connectionId']"
                    }
                  },
                  "method": "patch",
                  "path": "/v1.0/users/@{item()?['properties']?['objectId']}",
                  "body": {
                    "accountEnabled": false
                  }
                }
              },
              "5_Revoke_user_sessions": {
                "type": "ApiConnection",
                "inputs": {
                  "host": {
                    "connection": {
                      "name": "@parameters('$connections')['azuread']['connectionId']"
                    }
                  },
                  "method": "post",
                  "path": "/v1.0/users/@{item()?['properties']?['objectId']}/revokeSignInSessions"
                },
                "runAfter": {
                  "4_Disable_user_account": ["Succeeded"]
                }
              },
              "6_Get_user_manager": {
                "type": "ApiConnection",
                "inputs": {
                  "host": {
                    "connection": {
                      "name": "@parameters('$connections')['azuread']['connectionId']"
                    }
                  },
                  "method": "get",
                  "path": "/v1.0/users/@{item()?['properties']?['objectId']}/manager"
                },
                "runAfter": {
                  "5_Revoke_user_sessions": ["Succeeded"]
                }
              },
              "7_Notify_manager_email": {
                "type": "ApiConnection",
                "inputs": {
                  "host": {
                    "connection": {
                      "name": "@parameters('$connections')['office365']['connectionId']"
                    }
                  },
                  "method": "post",
                  "path": "/v2/Mail",
                  "body": {
                    "To": "@{body('6_Get_user_manager')?['mail']}",
                    "Subject": "Security Alert: Employee Account Compromised",
                    "Body": "<html><body><h3>Security Alert</h3><p>The account <strong>@{item()?['properties']?['upnSuffix']}</strong> has been compromised and has been automatically disabled.</p><p><strong>Incident Details:</strong></p><ul><li>Incident ID: @{triggerBody()?['object']?['name']}</li><li>Severity: @{triggerBody()?['object']?['properties']?['severity']}</li><li>Detection: @{triggerBody()?['object']?['properties']?['title']}</li></ul><p>The account has been disabled and all active sessions have been revoked. The user will need to contact IT Support for account recovery.</p><p>Please contact the Security Operations Center if you have questions.</p></body></html>",
                    "Importance": "High"
                  }
                },
                "runAfter": {
                  "6_Get_user_manager": ["Succeeded"]
                }
              },
              "8_Post_to_Teams_SOC_channel": {
                "type": "ApiConnection",
                "inputs": {
                  "host": {
                    "connection": {
                      "name": "@parameters('$connections')['teams']['connectionId']"
                    }
                  },
                  "method": "post",
                  "path": "/v3/beta/teams/@{parameters('TeamsTeamId')}/channels/@{parameters('TeamsChannelId')}/messages",
                  "body": {
                    "body": {
                      "contentType": "html",
                      "content": "<h3>🚨 Compromised Account Alert</h3><p><strong>User:</strong> @{item()?['properties']?['upnSuffix']}<br><strong>Incident:</strong> @{triggerBody()?['object']?['properties']?['title']}<br><strong>Severity:</strong> @{triggerBody()?['object']?['properties']?['severity']}</p><p><strong>Automated Actions Taken:</strong></p><ul><li>✓ Account disabled</li><li>✓ Sessions revoked</li><li>✓ Manager notified</li></ul><p><a href='@{triggerBody()?['object']?['properties']?['incidentUrl']}'>View Incident in Sentinel</a></p>"
                    }
                  }
                },
                "runAfter": {
                  "7_Notify_manager_email": ["Succeeded"]
                }
              },
              "9_Update_incident_comment": {
                "type": "ApiConnection",
                "inputs": {
                  "host": {
                    "connection": {
                      "name": "@parameters('$connections')['azuresentinel']['connectionId']"
                    }
                  },
                  "method": "post",
                  "path": "/Incidents/@{triggerBody()?['object']?['id']}/Comments",
                  "body": {
                    "message": "🤖 Automated Response Completed:\n\n✓ User account disabled\n✓ All active sessions revoked\n✓ Manager notified: @{body('6_Get_user_manager')?['mail']}\n✓ SOC team alerted in Teams\n\nNext steps: SOC analyst should review incident and initiate forensics if needed."
                  }
                },
                "runAfter": {
                  "8_Post_to_Teams_SOC_channel": ["Succeeded"]
                }
              }
            }
          }
        },
        "runAfter": {
          "2_Parse_incident_entities": ["Succeeded"]
        }
      }
    }
  },
  "parameters": {
    "$connections": {
      "value": {
        "azuresentinel": {
          "connectionId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Web/connections/azuresentinel",
          "connectionName": "azuresentinel",
          "id": "/subscriptions/{subscription-id}/providers/Microsoft.Web/locations/westeurope/managedApis/azuresentinel"
        },
        "azuread": {
          "connectionId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Web/connections/azuread",
          "connectionName": "azuread",
          "id": "/subscriptions/{subscription-id}/providers/Microsoft.Web/locations/westeurope/managedApis/azuread"
        },
        "office365": {
          "connectionId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Web/connections/office365",
          "connectionName": "office365",
          "id": "/subscriptions/{subscription-id}/providers/Microsoft.Web/locations/westeurope/managedApis/office365"
        },
        "teams": {
          "connectionId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Web/connections/teams",
          "connectionName": "teams",
          "id": "/subscriptions/{subscription-id}/providers/Microsoft.Web/locations/westeurope/managedApis/teams"
        }
      }
    },
    "TeamsTeamId": {
      "value": "security-operations-team-id"
    },
    "TeamsChannelId": {
      "value": "incidents-channel-id"
    }
  }
}

SOC Metrics & Reporting: BIO 12.6 Compliance Evidence

Een Security Operations Center kan alleen volwassen worden als het niet uitsluitend op gevoel stuurt, maar ook op meetbare prestaties. Voor Nederlandse overheidsorganisaties speelt dit nog sterker, omdat auditors en toezichthouders expliciet bewijs verlangen dat logging, monitoring en incidentafhandeling structureel en aantoonbaar zijn ingericht. Microsoft Sentinel biedt hiervoor een rijk arsenaal aan gegevens dat met behulp van rapportages en dashboards kan worden samengebracht tot duidelijke stuurinformatie. De kunst is om uit de overvloed aan data een beperkt aantal kerncijfers te selecteren die zowel voor het SOC als voor het management relevant zijn.

Een van de belangrijkste kengetallen is de gemiddelde tijd tot detectie. Dit cijfer laat zien hoe snel het SOC in staat is om signalen van een mogelijke aanval op te merken nadat de eerste sporen in de loggegevens verschijnen. Een korte detectietijd verkleint de kans dat een aanvaller zich langdurig in de omgeving kan ingraven en laterale beweging kan uitvoeren. Door deze tijd uit te drukken in minuten en te vergelijken met vooraf afgesproken streefwaarden, wordt zichtbaar of de ingezette detectieregels en processen daadwerkelijk effect sorteren.

Minstens zo belangrijk is de gemiddelde tijd tot eerste reactie. Dit cijfer geeft aan hoe snel na de detectie van een incident de eerste concrete actie wordt ondernomen, zoals het inlichten van een verantwoordelijke, het blokkeren van een account of het isoleren van een systeem. In een omgeving waar veel van de eenvoudige stappen geautomatiseerd zijn, zou deze reactietijd voor kritieke incidenten idealiter binnen een uur moeten blijven. Wanneer uit de cijfers blijkt dat de praktijk achterblijft, is dat een duidelijke aanwijzing dat processen, bezetting of playbooks moeten worden herzien.

Daarnaast is het waardevol om inzicht te hebben in de tijd die nodig is om incidenten daadwerkelijk in te dammen en volledig op te lossen. Deze cijfers tonen niet alleen de effectiviteit van technische maatregelen, maar ook de mate waarin organisatieonderdelen snel kunnen worden betrokken, beslissingen worden genomen en herstelacties worden uitgevoerd. Door onderscheid te maken naar ernstcategorieën, zoals kritisch, hoog en middel, kan het SOC gerichter verbetermaatregelen formuleren en prioriteren.

Een ander cruciaal kengetal is het percentage valse positieven. Een te hoog aandeel meldingen dat uiteindelijk geen echt risico blijkt te vertegenwoordigen, leidt tot vermoeidheid bij analisten en maakt het moeilijker om serieuze dreigingen te herkennen. Door systematisch bij te houden welke alerts worden afgewezen en waarom, kan het detectieportfolio continu worden verfijnd. Dit resulteert in minder ruis, meer focus en uiteindelijk een hogere effectiviteit van het SOC.

Naast deze operationele indicatoren helpt het om zicht te houden op de dekking van detecties ten opzichte van bekende aanvalstechnieken, bijvoorbeeld gebaseerd op het MITRE ATT&CK-raamwerk. Door bij te houden voor welke tactieken en technieken detectieregels aanwezig zijn en hoe vaak deze daadwerkelijk aanslaan, ontstaat een inhoudelijk beeld van de volwassenheid van de monitoring. Dit is waardevolle input voor roadmapbesprekingen en investeringsbeslissingen rond nieuwe detecties of aanvullende producten.

Tot slot zijn de rapportages die met Sentinel kunnen worden opgebouwd een essentieel instrument voor compliance. Door maandelijks of per kwartaal een vast rapport te genereren waarin aantallen incidenten, doorlooptijden, automatiseringsgraad en verbeteracties worden samengebracht, beschikt de organisatie over concreet bewijsmateriaal voor auditors. Hetzelfde rapport kan dienen als communicatiemiddel richting directies en bestuurders, die in één oogopslag zien hoe de digitale weerbaarheid zich ontwikkelt. Zo groeien technische meetwaarden uit tot strategische stuurinformatie die een directe bijdrage levert aan de verantwoording en verdere professionalisering van de beveiligingsorganisatie.

kql

// Monthly SOC Performance Report
// BIO 12.6.1 compliance evidence

let reportStartDate = startofmonth(ago(30d));
let reportEndDate = endofmonth(ago(30d));

print "=" "============================================"
print "SOC Performance Report"
print "Period:", reportStartDate, "to", reportEndDate
print "=" "============================================"
print ""

// 1. Incident Volume
SecurityIncident
| where TimeGenerated between (reportStartDate .. reportEndDate)
| summarize 
    TotalIncidents = count(),
    CriticalIncidents = countif(Severity == "High"),
    HighIncidents = countif(Severity == "Medium"),
    MediumIncidents = countif(Severity == "Low")
| extend ReportSection = "1. INCIDENT VOLUME"
| project ReportSection, TotalIncidents, CriticalIncidents, HighIncidents, MediumIncidents

| union (
    // 2. Mean Time To Detect (MTTD)
    SecurityIncident
    | where TimeGenerated between (reportStartDate .. reportEndDate)
    | where Status != "Closed"
    | extend FirstAlertTime = todatetime(parse_json(tostring(AdditionalData)).alertsCount)
    | extend DetectionTime = datetime_diff('minute', TimeGenerated, FirstAlertTime)
    | summarize AvgMTTD_Minutes = round(avg(DetectionTime), 2)
    | extend ReportSection = "2. MEAN TIME TO DETECT (MTTD)"
    | project ReportSection, AvgMTTD_Minutes, Status = iff(AvgMTTD_Minutes < 15, "✓ Target Met (<15 min)", "✗ Above Target")
)

| union (
    // 3. Mean Time To Respond (MTTR)
    SecurityIncident
    | where TimeGenerated between (reportStartDate .. reportEndDate)
    | where FirstActivityTime != "" and LastActivityTime != ""
    | extend ResponseTime = datetime_diff('hour', todatetime(FirstActivityTime), TimeGenerated)
    | summarize AvgMTTR_Hours = round(avg(ResponseTime), 2)
    | extend ReportSection = "3. MEAN TIME TO RESPOND (MTTR)"
    | project ReportSection, AvgMTTR_Hours, Status = iff(AvgMTTR_Hours < 4, "✓ Target Met (<4 hours)", "✗ Above Target")
)

| union (
    // 4. False Positive Rate
    SecurityAlert
    | where TimeGenerated between (reportStartDate .. reportEndDate)
    | extend IsFalsePositive = iff(Status == "Dismissed" and Classification == "FalsePositive", 1, 0)
    | summarize 
        TotalAlerts = count(),
        FalsePositives = sum(IsFalsePositive)
    | extend FalsePositiveRate = round((toreal(FalsePositives) / toreal(TotalAlerts)) * 100, 2)
    | extend ReportSection = "4. FALSE POSITIVE RATE"
    | project ReportSection, TotalAlerts, FalsePositives, FalsePositiveRate, Status = iff(FalsePositiveRate < 20, "✓ Target Met (<20%)", "✗ Above Target")
)

| union (
    // 5. Top Attack Tactics (MITRE ATT&CK)
    SecurityAlert
    | where TimeGenerated between (reportStartDate .. reportEndDate)
    | extend Tactics = parse_json(ExtendedProperties).Tactics
    | mv-expand Tactics
    | summarize AlertCount = count() by tostring(Tactics)
    | top 5 by AlertCount desc
    | extend ReportSection = "5. TOP ATTACK TACTICS (MITRE ATT&CK)"
    | project ReportSection, Tactic = Tactics, AlertCount
)

| union (
    // 6. Automated Response Success Rate
    SecurityIncident
    | where TimeGenerated between (reportStartDate .. reportEndDate)
    | extend AutomationRun = iff(AdditionalData contains "playbook", 1, 0)
    | summarize 
        IncidentsWithAutomation = sum(AutomationRun),
        TotalIncidents = count()
    | extend AutomationRate = round((toreal(IncidentsWithAutomation) / toreal(TotalIncidents)) * 100, 2)
    | extend ReportSection = "6. AUTOMATION COVERAGE"
    | project ReportSection, IncidentsWithAutomation, TotalIncidents, AutomationRate, Status = iff(AutomationRate > 60, "✓ Good Coverage", "⚠ Improve Automation")
)

| union (
    // 7. BIO 12.6.1 Compliance Status
    print ReportSection = "7. BIO 12.6.1 COMPLIANCE",
          LoggingEnabled = "✓ All critical data sources connected",
          MonitoringActive = "✓ 24/7 SOC monitoring active",
          AnomalyDetection = "✓ UEBA enabled",
          IncidentResponse = "✓ Automated playbooks deployed",
          ComplianceStatus = "COMPLIANT"
)

Microsoft Sentinel biedt Nederlandse overheidsorganisaties een toekomstbestendig fundament voor hun Security Operations Center. Door logverzameling, analyse, geautomatiseerde respons en rapportage in één cloudgebaseerd platform te combineren, ontstaat een omgeving waarin dreigingen sneller worden opgemerkt, gestandaardiseerd worden opgevolgd en aantoonbaar worden vastgelegd. Dit is precies wat nodig is om te voldoen aan de eisen uit de BIO en NIS2, maar ook om in de praktijk de schade van incidenten te beperken en de continuïteit van digitale dienstverlening te waarborgen.

Een succesvolle implementatie begint met een doordachte architectuur en een gestructureerde uitrol via infrastructuur als code. Door vanaf het eerste moment keuzes rond retentie, toegangsbeheer en scheiding naar classificatieniveaus te verankeren in scripts en sjablonen, blijft de omgeving beheersbaar en controleerbaar. De volgende stap is het zorgvuldig aansluiten van logbronnen, met prioriteit voor identiteit, productiviteit en de verschillende Defender-oplossingen, aangevuld met platform- en netwerkgegevens. Dit legt de basis voor een rijk beeld van wat er zich in de omgeving afspeelt.

Daarna verschuift de nadruk naar detectie en respons. Met behulp van KQL wordt ruwe data vertaald naar concrete detectieregels die aansluiten op relevante aanvalstechnieken en specifieke risico’s binnen de organisatie. Door deze regels voortdurend te verbeteren op basis van ervaring, incidentonderzoek en nieuwe dreigingsinformatie, groeit de kwaliteit van de monitoring. Parallel daaraan worden playbooks ontwikkeld die routinematige stappen in de incidentafhandeling automatiseren, waardoor responstijden dalen en analisten zich kunnen richten op de complexe en uitzonderlijke situaties.

Tot slot vormt structurele rapportage de brug naar bestuur, audit en toezichthouders. Door kerncijfers rond detectietijd, reactietijd, valse positieven, automatiseringsgraad en dekkingsgraad van detecties consistent te meten en te delen, wordt zichtbaar hoe het SOC zich ontwikkelt en welke maatregelen effect hebben. Sentinel levert hiervoor de benodigde gegevens en tooling; het is aan de organisatie om hier een volwassen governance- en verbeterproces omheen te bouwen. Wie deze elementen combineert, zet met Sentinel een krachtige stap richting een weerbare, transparante en aantoonbaar goed beheerde digitale overheid.