Instellingen
Beleidsregels
De regels die signalen genereren voor de risicoscore. Composeerbaar, versie-gebonden en volledig auditeerbaar.
Sofy remote access buiten onderhoudsvenster
Detecteert OT-asset alarms waarbij remote access plaatsvindt buiten een goedgekeurd onderhoudsvenster.
Trigger
When Sofy.AssetAccessAlertCondities
- asset.criticality = critical
- maintenanceWindow.active = false
- access.type = remote
Score-impact
Per match toegevoegd aan risicoscore
ServiceNow spoedchange voor externe toegang
Markeert changes die buiten CAB-window versneld worden goedgekeurd en externe toegang tot kritieke netwerkzones openen.
Trigger
When ServiceNow.ChangeApprovedCondities
- change.approvalPath = emergency
- change.window != CAB-approved
- networkZone.criticality = critical
Score-impact
Per match toegevoegd aan risicoscore
Vertrouwelijke rapportage-export naar PDF
Detecteert exports van rapportages met label Vertrouwelijk of Strikt vertrouwelijk naar PDF of XLSX.
Trigger
When Reporting.ExportReportCondities
- sensitivity in confidential, strict
- format in PDF, XLSX
Score-impact
Per match toegevoegd aan risicoscore
Export uit kritieke workspace
Markeert exports uit workspaces die geclassificeerd zijn als kritieke infrastructuur.
Trigger
When Reporting.ExportReportCondities
- workspace in BI-Congestie-Monitor, BI-Veiligheid-LTIR-RIF, BI-NetVerder-Warmtenetten
Score-impact
Per match toegevoegd aan risicoscore
Mail naar prive-domein met bijlage
Detecteert mails met bijlage verzonden naar prive-mailadressen zoals gmail.com, outlook.com, proton.me.
Trigger
When ExchangeOnline.SendMailCondities
- recipient.domain in gmail.com, outlook.com, proton.me, hotmail.com
- hasAttachment = true
Score-impact
Per match toegevoegd aan risicoscore
Look-alike domein detectie
Vergelijkt ontvanger-domein met goedgekeurde partners; markeert typo-squat varianten.
Trigger
When ExchangeOnline.SendMailCondities
- recipient.domain similar_to approved_partners
- recipient.domain != approved_partners
Score-impact
Per match toegevoegd aan risicoscore
API-key / wachtwoord / IBAN detectie
Scant mailbijlagen op patronen die overeenkomen met secrets en kritische identifiers.
Trigger
When ExchangeOnline.AttachmentScanCondities
- attachment.contains pattern API_KEY|PRIVATE_KEY|IBAN_NL
Score-impact
Per match toegevoegd aan risicoscore
Anonieme deellink op kritieke map
Detecteert anoniem-toegankelijke deellinks op site-collections die als kritiek zijn gemarkeerd.
Trigger
When Documents.CreateAnonymousLinkCondities
- site.classification = kritiek
Score-impact
Per match toegevoegd aan risicoscore
Bulk-download (> 50 bestanden in 5 min)
Detecteert bursts van downloads van dezelfde gebruiker binnen een tijdvenster.
Trigger
When FileStorage.DownloadCondities
- files_in_window >= 50
- window_minutes <= 5
Score-impact
Per match toegevoegd aan risicoscore
Externe contractor verheven naar Eigenaar
Detecteert permissiewijzigingen waarbij externe gebruikers de rol Eigenaar of Manage-rechten krijgen op gevoelige sites.
Trigger
When Documents.PermissionChangeCondities
- user.isExternal = true
- role.new in Owner, FullControl
Score-impact
Per match toegevoegd aan risicoscore
Sensitivity downgrade vanaf Strikt vertrouwelijk
Markeert eigenaren die labels verlagen vanaf het hoogste classificatieniveau.
Trigger
When InformationProtection.LabelChangeCondities
- label.before = strict
- label.after != strict
Score-impact
Per match toegevoegd aan risicoscore
Login vanuit nieuw land
Triggert wanneer een gebruiker inlogt vanuit een land dat niet eerder voor deze tenant is gezien.
Trigger
When EntraID.SignInCondities
- geo.country not_in_history tenant_history
Score-impact
Per match toegevoegd aan risicoscore
Mass-recipient e-mail (> 20 ontvangers)
Detecteert outbound mails met grote aantallen externe ontvangers, vaak voorloper van data-mass-share.
Trigger
When ExchangeOnline.SendMailCondities
- recipients.external_count > 20
Score-impact
Per match toegevoegd aan risicoscore
OT-document gedownload door niet-OT-rol
Markeert downloads van OT- / SCADA-documenten door gebruikers buiten de OT-organisatie.
Trigger
When Documents.DownloadCondities
- file.tag contains OT, SCADA
- user.department not_in OT, Techniek
Score-impact
Per match toegevoegd aan risicoscore
Aannemer accessie restricted projectmap
Detecteert toegang tot restricted projectmappen door geidentificeerde aannemers.
Trigger
When Documents.AccessCondities
- user.isExternal = true
- site.restriction = restricted
Score-impact
Per match toegevoegd aan risicoscore
Workspace zonder gevoeligheidslabel
Periodieke check op rapportage-workspaces die geen sensitivity label hebben terwijl ze gevoelige datasets bevatten.
Trigger
Schedule.DailyCondities
- workspace.sensitivity = none
- datasets.containsSensitive = true
Score-impact
Per match toegevoegd aan risicoscore