Natuurlijk! Hier is een gestructureerd Identity & Access Management (IAM) Incident Response Plan voor jouw organisatie, gericht op het detecteren, analyseren en reageren op IAM-gerelateerde incidenten, afgestemd op jouw infrastructuur en compliance-eisen. --- **IAM Incident Response Plan voor [Organisatienaam]** **1. Doel en scope** Dit plan beschrijft de procedures voor het detecteren, analyseren en reageren op beveiligingsincidenten gerelateerd aan identiteit en toegang binnen onze Azure Active Directory (AAD)-omgeving, met aandacht voor phishing-aanvallen, credential theft en naleving van GDPR en ISO 27001. **2. Organisatie en verantwoordelijkheden** - **Incident Response Team (IRT):** - *IAM Security Coordinator:* Coördineert incidentbeheer, contactpersoon voor AAD-gerelateerde incidenten. - *IT Beveiligingsteam:* Voert technische analyse uit en implementeert maatregelen. - *Compliance Officer:* Zorgt voor naleving van GDPR en ISO 27001 en documentatie. - **Medewerkers:** - Melden verdachte activiteiten onmiddellijk aan het IRT. **3. Detectie en meldingsprocedures** - **Monitoring en detectie:** - Gebruik Azure Security Center en Azure AD Sign-in logs voor real-time monitoring. - Stel waarschuwingen in voor verdachte activiteiten zoals: - Ongebruikelijke inloglocaties of -tijden. - Multiple mislukte inlogpogingen. - Aanmeldingen zonder Multi-Factor Authenticatie (MFA) op gevoelige accounts. - **Meldingsproces:** - Medewerkers en systeembeheerders melden verdachte incidenten direct aan de IAM Security Coordinator via e-mail of incidentmeldingsformulier. - Documenteer alle meldingen inclusief tijdstip, beschrijving en betrokken accounts. **4. Incidentanalyse** - **Initiale beoordeling:** - Beoordeel of het gedrag een beveiligingsincident betreft, bv. phishing, credential theft of accountcompromittering. - **Verzamelen van bewijs:** - Analyseer Azure AD logs, sign-in logs en MFA-activiteiten. - Controleer recente wijzigingen in accountinstellingen en toegangspatronen. - **Classificatie:** - Classificeer het incident (bijv. phishing, accountcompromittering, brute-force aanval). **5. Reactie en mitigatie** - **Kortetermijnmaatregelen:** - Verander wachtwoorden van getroffen accounts. - Deactiveer verdachte accounts of sessies. - Verhoog de authenticatie-eisen (bv. aanvullende MFA). - **Langetermijnmaatregelen:** - Onderneem stappen zoals het resetten van alle wachtwoorden indien nodig. - Versterk detectie-instellingen en waarschuwingen. - Communiceer met gebruikers over phishing en beveiligingsmaatregelen. **6. Rapportage en documentatie** - Documenteer alle stappen, bevindingen en genomen maatregelen. - Houd een incidentlog bij conform ISO 27001 en GDPR vereisten. **7. Naleving en communicatie** - **GDPR:** - Meld relevante datalekken aan de Autoriteit Persoonsgegevens binnen 72 uur indien persoonsgegevens betrokken zijn. - Informeer getroffen personen indien er een risico op inbreuk op hun rechten en vrijheden bestaat. - **ISO 27001:** - Zorg voor correcte documentatie en rapportage volgens de standaard. - Voer na elke incident een evaluatie uit en update het plan indien nodig. **8. Herstel en follow-up** - Herstel accounts en toegang tot systemen. - Voer een post-incident review uit om oorzaken te identificeren en preventieve maatregelen te verbeteren. - Train medewerkers op nieuwe bedreigingen en beveiligingsbewustzijn. **9. Testen en oefenen** - Voer jaarlijks simulaties uit van IAM-gerelateerde incidenten om de effectiviteit van het plan te waarborgen. --- Heeft u nog specifieke vragen of wensen voor aanvullende details?

Zeker, hierbij een gedetailleerd ontwerp voor een IAM Incident Response Plan, afgestemd op uw organisatie. ### **IAM Incident Response Plan - [Naam Organisatie]** **Document Doel:** Dit plan beschrijft de gestructureerde aanpak voor het detecteren, analyseren, bevatten, uitroeien en herstellen van beveiligingsincidenten die verband houden met identiteiten en toegang binnen [Naam Organisatie]. Het plan is compliant met de vereisten van de AVG/GDPR en ISO 27001. **Bereik:** Van toepassing op alle medewerkers, IT-personeel en het management van [Naam Organisatie], en op alle systemen die gebruikmaken van Azure Active Directory (Azure AD) voor identiteits- en toegangsbeheer. --- ### **1. Rollen en Verantwoordelijkheden** Voor een organisatie van 50 medewerkers is een lichtgewicht, maar duidelijke structuur aanbevolen. * **Alle Medewerkers:** * **Verantwoordelijkheid:** Herkennen en direct melden van verdachte activiteiten (bijv. phishing-pogingen, onverwachte MFA-prompts, vreemde e-mails). * **Meldkanaal:** Rechtstreeks aan de CISO/IT-Manager via een dedicated e-mail (bijv. `security@uwdomein.nl`) of telefoonnummer. * **CISO / IT-Manager (Incident Lead):** * **Verantwoordelijkheid:** Eindverantwoordelijke voor de coördinatie van de incidentrespons. Besluitvorming over escalatie, containmentacties en communicatie. * **IT/Security Team (Incident Response Team - IRT):** * **Verantwoordelijkheid:** Uitvoeren van technische onderzoeken, analyse van logs in Azure AD, nemen van containmentmaatregelen (bijv. resetten wachtwoorden, uitschakelen accounts). * **Management / Directie:** * **Verantwoordelijkheid:** Goedkeuren van grootschalige acties die bedrijfscontinuïteit beïnvloeden, faciliteren van communicatie naar externe partijen indien nodig. --- ### **2. Fasen van Incident Response (Gebaseerd op NIST/ISO 27001)** #### **Fase 1: Voorbereiding (Preparation)** *Dit is de belangrijkste fase om proactief te zijn.* * **Technische Voorbereiding:** * **Azure AD Logging:** Zorg dat Azure AD Audit- en Sign-in Logs zijn ingeschakeld en bewaard voor minimaal 90 dagen (ISO 27001 aanbeveling; controleer specifieke GDPR vereisten voor uw regio). * **Monitoring:** Configureer Azure AD Identity Protection om risicogebeurtenissen (bijv. 'onmogelijke reis', 'anoniem IP-adres', 'gelekte referenties') automatisch te detecteren. Stel waarschuwingen in. * **MFA Beleid:** Houd het MFA-beleid streng. Overweeg voor hoogrisico accounts (admins) een 'number matching'-beleid om MFA-prompt bombing tegen te gaan. * **Conditional Access:** Ontwerp Conditional Access-beleid om toegang te blokkeren vanaf verdachte locaties of apparaten. * **Organisatorische Voorbereiding:** * **Training:** Train medewerkers minimaal halfjaarlijks in het herkennen van phishing-pogingen. * **Communicatieplan:** Houd een lijst bij met noodcontacten voor alle sleutelpersonen. #### **Fase 2: Detectie & Analyse (Detection & Analysis)** *Herkennen van een potentieel IAM-incident.* * **Detectiebronnen:** 1. **Medewerker melding:** Een medewerker meldt een verdachte e-mail of een ongeautoriseerde toegangspoging. 2. **Azure AD Identity Protection Waarschuwing:** Een waarschuwing voor een 'gebruiker met gelekte referenties' of een hoge risicoscore. 3. **Azure AD Sign-in Logs:** Ongebruikelijke inlogpogingen (bijv. midden in de nacht, vanaf onbekende landen). 4. **Microsoft Defender for Cloud Apps:** Detectie van verdachte activiteiten in cloudapps na authenticatie. * **Analyse (Vragen om te stellen):** * Welk account is mogelijk gecompromitteerd? * Wanneer vond de eerste verdachte activiteit plaats? * Welke systemen of data zijn mogelijk benaderd? * Is de MFA omzeild? Zo ja, hoe (bijv. via een sterke sessie)? * Wat is de impact (hoog, medium, laag)? #### **Fase 3: Containment, Uitroeiing & Herstel (Containment, Eradication & Recovery)** *Snel handelen om schade te beperken.* * **Containment (Onmiddellijke acties):** * **Credential Reset:** **Reset onmiddellijk het wachtwoord** van het gecompromitteerde account. Dit verplicht de aanvaller opnieuw te authenticeren. * **Sessie Intrekken:** Verwijder alle actieve sessies van het gebruikeraccount in Azure AD ("Sign out all sessions"). * **Account Uitschakelen:** Indien de ernst hoog is, schakel het account tijdelijk uit. * **Block IP's:** Blokkeer (indien mogelijk) de IP-adressen waar de aanval vandaan kwam via Conditional Access. * **Uitroeiing:** * Onderzoek of de aanvaller backdoors heeft geplaatst (bijv. aangemaakte regels in e-mail, gemodificeerde machtigingen). * Controleer of andere accounts zijn aangetast (lateral movement). * **Herstel:** * Herstel de toegang voor de legitieme gebruiker na het resetten van de referenties en bevestiging van hun identiteit. * Zorg dat MFA opnieuw is geconfigureerd voor het account. * Monitor het account de eerste uren/dagen opnieuw op verdachte activiteiten. #### **Fase 4: Post-Incident Activiteiten (Post-Incident Activity)** *Leren en voldoen aan compliance.* * **Rapportage (Vereist voor GDPR en ISO 27001):** * Documenteer het incident: oorzaak, impact, genomen acties, betrokken personen. * **GDPR Melding:** Bepaal binnen 72 uur of het incident een datalek betreft. Als dat zo is, meld dit aan de Autoriteit Persoonsgegevens en de betrokken personen, indien nodig. * Bewaar alle logboeken en rapporten als bewijsmateriaal. * **Lessons Learned:** * Houd een meeting met het IRT binnen 2 weken na het incident. * Stel vast: Wat ging goed? Wat kan beter? * Pas het IAM-beleid, de monitoring of trainingen aan op basis van de geleerde lessen. --- ### **3. Specifieke Response op Phishing voor Credential Theft** 1. **Detectie:** Medewerker meldt phishing-e-mail. IT bevestigt dat de link naar een neppe Azure AD-inlogpagina leidde. 2. **Analyse:** Controleer Azure AD Sign-in Logs voor inlogpogingen vanaf het tijdstip van de phishing-poging voor het account van de medewerker. Zoek naar risicogebeurtenissen. 3. **Containment:** Voer direct een **wachtwoordreset** en **sessie-intrekking** uit voor het betrokken account, ook als er (nog) geen verdachte inlog is gedetecteerd. Dit is een preventieve maatregel. 4. **Communicatie:** Informeer de medewerker en begeleid hen bij het opnieuw instellen van hun wachtwoord en MFA. --- ### **4. Compliance (GDPR & ISO 27001) Integratie** * **Documentatie (ISO 27001 A.16.1):** Dit plan is de formele documentatie voor incidentbeheer. * **Rapportage (ISO 27001 A.16.1.3):** De post-incident rapportage voldoet aan de eis voor het verzamelen van bewijsmateriaal. * **Verbetering (ISO 27001 A.16.1.6):** De "Lessons Learned" fase zorgt voor continue verbetering. * **Datalekken (GDPR Art. 33 & 34):** Het plan bevat een duidelijke trigger en procedure voor het beoordelen en melden van datalekken. **Volgende Stappen:** 1. **Review:** Laat dit plan reviewen door uw management en eventuele juridische adviseur. 2. **Test:** Organiseer een tafel-oefening om het plan te testen met een simulatie van een phishing-aanval. 3. **Train:** Deel het plan met alle medewerkers en train het IT-team in het gebruik van Azure AD voor onderzoek. Dit plan biedt een robuuste basis die meeschaalt met uw organisatie. Succes met de implementatie.