L2 BIO 12.06 ISO A.8.8 CIS 2.1.8

Microsoft Defender Voor Cloud: Microsoft Defender Voor Azure Cosmos DB Inschakelen

📅 2025-10-29
⏱️ 10 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender voor Azure Cosmos DB biedt geavanceerde bedreigingsdetectie voor Azure Cosmos DB-databases met realtime bewaking van verdachte databaseactiviteiten, SQL-injectiedetectie, abnormale toegangspatronen en potentiële gegevensexfiltratieaanvallen op NoSQL- en SQL-API-workloads.

Aanbeveling
IMPLEMENTEER VOOR COSMOS DB-WORKLOADS
Risico zonder
High
Risk Score
8/10
Implementatie
0u
Van toepassing op:
Azure Cosmos DB
NoAzure SQL Databases
Azure

Azure Cosmos DB-databases bevatten vaak kritieke bedrijfsgegevens en zijn direct toegankelijk via internet-eindpunten. Zonder gespecialiseerde databasebeveiliging blijven aanvallen onopgemerkt, zoals SQL-injectie- en NoSQL-injectieaanvallen, brute-force-authenticatiepogingen tegen databaseaccounts, abnormale querypatronen die wijzen op gegevensexfiltratie, toegang vanuit ongebruikelijke locaties of TOR-netwerken, bevoegdheidsescalatie via verkeerd geconfigureerd RBAC, en excessieve gegevensleesoperaties die duiden op verkenning. Traditionele netwerkbeveiliging detecteert deze database-laagaanvallen niet effectief omdat ze binnen legitieme TLS-verbindingen plaatsvinden. Cosmos DB bevat vaak persoonsgegevens binnen de AVG/GDPR-scope, waardoor adequate bewaking wettelijk verplicht is.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze beveiligingsmaatregel activeert Microsoft Defender voor Azure Cosmos DB op alle Azure-abonnementen, waarmee continue bewaking en bedreigingsinformatie wordt toegepast op Cosmos DB-accounts. De oplossing analyseert databasetelemetrie en identificeert SQL-injectiepogingen in queries, abnormale authenticatiepatronen zoals mislukte aanmeldingen en brute-force-aanvallen, ongebruikelijke gegevenstoegangspatronen zoals massale leesoperaties en exportactiviteiten, toegang vanaf verdachte IP-adressen of anonimiserende proxy's, bevoegdheidsescalatiepogingen, databaseconfiguratiewijzigingen en afwijkend applicatiegedrag. Waarschuwingen bevatten concrete details over de aanval, beïnvloede resources, MITRE ATT&CK-mapping en remediatieadviezen. De oplossing integreert met Microsoft Defender voor Cloud voor geïntegreerd beveiligingspositiebeheer en geautomatiseerde responswerkstromen.

Vereisten

Voor de activering van Microsoft Defender voor Azure Cosmos DB zijn verschillende technische en organisatorische voorwaarden vereist die ervoor zorgen dat de implementatie succesvol verloopt en de beveiligingsoplossing optimaal functioneert. Deze vereisten omvatten zowel technische infrastructuur als de juiste machtigingen en toegangsniveaus binnen de Azure-omgeving.

Ten eerste is een Azure-abonnement met eigenaar- of bijdragerrechten essentieel. Deze rechten zijn noodzakelijk omdat de activering van Microsoft Defender voor Azure Cosmos DB wijzigingen vereist op het niveau van de abonnementsconfiguratie. Zonder deze rechten kan de beveiligingsoplossing niet worden geactiveerd of geconfigureerd. Het is belangrijk om te benadrukken dat deze rechten alleen nodig zijn tijdens de initiële configuratie; voor dagelijkse monitoring en het bekijken van waarschuwingen zijn lagere rechten voldoende.

Voor scriptgebaseerde configuratie en automatisering is PowerShell versie 5.1 of hoger vereist. Dit stelt organisaties in staat om de implementatie te automatiseren en consistentie te waarborgen over meerdere abonnementen. De vereiste Az PowerShell-modules omvatten Az.Accounts versie 2.0 of hoger voor authenticatie en abonnementsbeheer, en Az.Security versie 1.0 of hoger voor de specifieke Defender-configuratieopdrachten. Deze modules kunnen eenvoudig worden geïnstalleerd via de PowerShell Gallery met behulp van de Install-Module-cmdlet.

Een kritieke vereiste is dat er daadwerkelijk Azure Cosmos DB-accounts aanwezig zijn in het abonnement. De controle heeft geen effect zonder Cosmos DB-resources, omdat er simpelweg geen databases zijn om te beveiligen. Organisaties moeten ervoor zorgen dat ten minste één Cosmos DB-account is geïmplementeerd voordat ze Defender activeren. Het is belangrijk op te merken dat Defender voor Cosmos DB werkt op alle Cosmos DB-API's, inclusief SQL (Core), MongoDB, Cassandra, Gremlin en Table API. Deze universele ondersteuning betekent dat organisaties met verschillende database-API's allemaal kunnen profiteren van dezelfde beveiligingsoplossing zonder aanvullende configuratie.

Microsoft Defender voor Cloud moet ingeschakeld zijn op abonnementsniveau, hetzij in de gratis tier of in een betaalde tier. Hoewel de gratis tier basisbeveiligingsaanbevelingen biedt, vereist Defender voor Cosmos DB de Standard-tier voor volledige bedreigingsdetectie. Organisaties moeten daarom overwegen om te upgraden naar de Standard-tier om optimaal gebruik te maken van de geavanceerde detectiecapaciteiten. De kosten hiervan zijn afhankelijk van het aantal Cosmos DB-accounts en de regio waarin ze zijn geïmplementeerd.

Netwerkconnectiviteit is essentieel voor het versturen van telemetrie naar de Defender-backend. Cosmos DB-accounts moeten uitgaande internetconnectiviteit hebben om waarschuwingen en beveiligingsgebeurtenissen te kunnen rapporteren. In omgevingen met beperkte netwerkconnectiviteit of private endpoints moeten organisaties ervoor zorgen dat de benodigde uitgaande verbindingen zijn geconfigureerd via firewallregels of netwerkbeveiligingsgroepen.

Toegang tot de Azure Portal is vereist voor de validatie van waarschuwingen en beveiligingsaanbevelingen. Hoewel veel beheeractiviteiten kunnen worden geautomatiseerd via PowerShell of Azure CLI, biedt de portal een gebruiksvriendelijke interface voor het bekijken van gedetailleerde waarschuwingsinformatie, het analyseren van bedreigingspatronen en het volgen van remediatieacties. Voor dagelijkse monitoring en incidentrespons is deze toegang cruciaal.

Ten slotte zijn voldoende RBAC-machtigingen vereist voor het lezen van Defender-waarschuwingen. Minimaal is de rol Security Reader nodig, die leestoegang biedt tot beveiligingsconfiguraties en waarschuwingen zonder de mogelijkheid om wijzigingen aan te brengen. Voor organisaties die geautomatiseerde responswerkstromen willen implementeren, kunnen aanvullende rollen zoals Security Admin of Contributor nodig zijn, afhankelijk van de gewenste automatisering.

Een belangrijk voordeel van Defender voor Cosmos DB is dat de functie geen agents of SDK-wijzigingen vereist. In tegenstelling tot traditionele beveiligingsoplossingen die agents op databaseservers installeren of applicatiecode moeten aanpassen, werkt Defender voor Cosmos DB volledig op platformniveau. Dit betekent dat organisaties de beveiligingsoplossing kunnen activeren zonder hun applicaties te wijzigen of downtime te ervaren. De oplossing analyseert automatisch alle databaseactiviteit via de Azure-platformtelemetrie, waardoor implementatie eenvoudig en niet-invasief is.

Bewaking en Compliance

Gebruik PowerShell-script defender-cosmosdb-on.ps1 (functie Invoke-Monitoring) – PowerShell-script voor nalevingscontrole van de Microsoft Defender voor Azure Cosmos DB-status. Het script controleert alle ingeschakelde abonnementen en rapporteert welke abonnementen Defender voor Cosmos DB hebben ingeschakeld in de Standard-tier of uitgeschakeld in de Free-tier..

Het bewakingsscript vormt de kern van een effectieve compliance-strategie voor Microsoft Defender voor Azure Cosmos DB. Het script gebruikt de Get-AzSecurityPricing-cmdlet met de parameter -Name 'CosmosDb' om de prijscategorie per abonnement te controleren. Deze cmdlet retourneert gedetailleerde informatie over de configuratiestatus van Defender voor Cosmos DB, inclusief of de service is ingeschakeld en in welke tier deze actief is. De Standard-tier betekent dat Defender voor Cosmos DB actief is met volledige bedreigingsdetectiecapaciteiten, terwijl de Free-tier aangeeft dat de service is uitgeschakeld of alleen basisbeveiligingsaanbevelingen biedt.

Het script genereert een uitgebreid rapport dat verschillende belangrijke metrische gegevens bevat. Ten eerste rapporteert het het totale aantal abonnementen dat wordt gecontroleerd, wat organisaties helpt om een volledig overzicht te krijgen van hun Azure-omgeving. Vervolgens categoriseert het script abonnementen op basis van hun Defender-status: het aantal abonnementen met Defender ingeschakeld en het aantal met Defender uitgeschakeld. Deze informatie is cruciaal voor compliance-rapportage, omdat organisaties moeten kunnen aantonen dat alle relevante abonnementen zijn beveiligd volgens de vereisten van frameworks zoals CIS, BIO en ISO 27001.

Voor elk individueel abonnement biedt het script gedetailleerde statusinformatie, inclusief de abonnementsnaam en de unieke abonnements-ID. Deze granulariteit stelt beveiligingsteams in staat om snel te identificeren welke specifieke abonnementen aandacht vereisen en om gerichte remediatieacties uit te voeren. De output kan worden geformatteerd als JSON, CSV of als gestructureerde PowerShell-objecten, waardoor integratie met andere tools en systemen eenvoudig is.

Een best practice voor continue bewaking is om dit script wekelijks uit te voeren via een Azure Automation-runbook of een geplande taak. Deze regelmatige uitvoering garandeert dat Defender niet per ongeluk wordt uitgeschakeld door onbedoelde configuratiewijzigingen of door wijzigingen in abonnementsstructuur. Azure Automation biedt de mogelijkheid om scripts te schedulen en automatisch uit te voeren, met uitgebreide logging en foutafhandeling. Organisaties kunnen ook waarschuwingen configureren die worden geactiveerd wanneer het script detecteert dat Defender is uitgeschakeld op een abonnement dat Cosmos DB-accounts bevat.

Integratie van de scriptoutput in nalevingsdashboards en beveiligingsscorekaarten is essentieel voor effectief beheer op managementniveau. Deze dashboards bieden een visuele weergave van de beveiligingsstatus en helpen bij het identificeren van trends en patronen over tijd. Organisaties kunnen de data gebruiken om compliance-rapporten te genereren voor interne audits of externe certificeringen. De informatie kan ook worden gebruikt om beveiligingsmetrieken te berekenen, zoals het percentage beveiligde Cosmos DB-accounts of de gemiddelde tijd tot remediatie na detectie van een probleem.

Naast het monitoren van de configuratiestatus is het cruciaal om de gegenereerde waarschuwingen in Microsoft Defender voor Cloud actief te bewaken. Deze waarschuwingen bevatten waardevolle informatie over potentiële bedreigingen en beveiligingsincidenten. Organisaties moeten een proces implementeren voor het regelmatig bekijken van deze waarschuwingen, het prioriteren ervan op basis van risiconiveau en het uitvoeren van passende responsacties. Het is belangrijk om te begrijpen dat waarschuwingen niet alleen indicatoren zijn van actieve aanvallen, maar ook kunnen wijzen op configuratiefouten of onjuiste beveiligingspraktijken die moeten worden gecorrigeerd.

Voor geavanceerde beveiligingsbewaking moeten organisaties waarschuwingsroutering configureren naar SIEM-systemen zoals Azure Sentinel of Splunk. Deze integratie maakt gecentraliseerde beveiligingsbewaking mogelijk en stelt organisaties in staat om Cosmos DB-waarschuwingen te correleren met andere beveiligingsgebeurtenissen in hun omgeving. Azure Sentinel biedt native integratie met Microsoft Defender voor Cloud, waardoor waarschuwingen automatisch worden geïmporteerd en kunnen worden geanalyseerd met behulp van geavanceerde query's en machine learning-modellen. Voor organisaties die Splunk gebruiken, kunnen waarschuwingen worden geëxporteerd via de Azure Monitor REST API of via log forwarding-configuraties.

Effectieve bewaking vereist ook het opzetten van responsprocessen en -procedures. Wanneer een waarschuwing wordt gegenereerd, moeten beveiligingsteams weten wie verantwoordelijk is voor onderzoek en remediatie, welke stappen moeten worden ondernomen en binnen welke tijdsframes. Deze processen moeten worden gedocumenteerd en regelmatig worden getest om ervoor te zorgen dat het team voorbereid is op echte beveiligingsincidenten. Organisaties moeten ook overwegen om geautomatiseerde responsacties te implementeren voor veelvoorkomende scenario's, zoals het automatisch blokkeren van verdachte IP-adressen of het tijdelijk uitschakelen van gecompromitteerde accounts.

Remediatie

Gebruik PowerShell-script defender-cosmosdb-on.ps1 (functie Invoke-Remediation) – Automatische activering van Microsoft Defender voor Azure Cosmos DB op alle abonnementen. Het script itereert door alle ingeschakelde abonnementen en schakelt Defender voor Cosmos DB in met Set-AzSecurityPricing -Name 'CosmosDb' -PricingTier 'Standard'..

Het remediatiescript biedt een geautomatiseerde methode om Microsoft Defender voor Azure Cosmos DB te activeren op alle Azure-abonnementen waar de service momenteel is uitgeschakeld. Het script is ontworpen om veilig en efficiënt te werken, met ingebouwde foutafhandeling en logging om ervoor te zorgen dat alle activeringspogingen worden gedocumenteerd. Het script itereert systematisch door alle abonnementen waartoe de gebruiker toegang heeft en controleert de huidige status van Defender voor Cosmos DB voordat wijzigingen worden aangebracht.

Na activering start de bedreigingsdetectie binnen 15 tot 30 minuten. Deze korte opstarttijd betekent dat organisaties snel bescherming krijgen tegen potentiële bedreigingen. Het is belangrijk om te begrijpen dat de eerste 24 tot 48 uur na activering worden gebruikt voor baseline-leren van normale toegangspatronen per Cosmos DB-account. Tijdens deze periode analyseert het systeem de gebruikelijke databaseactiviteit, inclusief typische querypatronen, authenticatiepogingen en gegevenstoegang. Deze baseline is essentieel voor het nauwkeurig identificeren van afwijkende activiteiten, omdat het systeem moet begrijpen wat normaal is voordat het kan detecteren wat abnormaal is.

Na de initiële leerperiode begint het systeem actief afwijkende patronen te detecteren en te rapporteren als beveiligingswaarschuwingen. Deze waarschuwingen kunnen verschillende vormen aannemen, afhankelijk van het type bedreiging dat wordt gedetecteerd. Bijvoorbeeld, het systeem kan waarschuwingen genereren voor SQL-injectiepogingen wanneer het verdachte querypatronen detecteert, of voor brute-force-aanvallen wanneer er meerdere mislukte authenticatiepogingen worden waargenomen. Elke waarschuwing bevat gedetailleerde informatie over de gedetecteerde activiteit, inclusief tijdstempels, bron-IP-adressen en de specifieke Cosmos DB-account die is beïnvloed.

Voor organisaties die de voorkeur geven aan handmatige configuratie via de Azure Portal, is het proces relatief eenvoudig maar vereist aandacht voor detail. Navigeer eerst naar Microsoft Defender voor Cloud in de Azure Portal en selecteer Environment Settings. Deze sectie bevat een overzicht van alle geconfigureerde omgevingen en abonnementen. Selecteer het betreffende abonnement uit de lijst en klik op Defender plans. Dit opent een overzichtspagina met alle beschikbare Defender-plannen, georganiseerd per categorie. Scroll naar de sectie 'Databases' en zoek de optie voor 'Azure Cosmos DB'. Schakel deze in door de bijbehorende schakelaar te activeren en selecteer de Standard-tier voor volledige bedreigingsdetectie. Klik ten slotte op Save om de wijzigingen toe te passen.

Na het opslaan van de configuratie moet de wijziging worden geverifieerd. Wacht ongeveer 30 minuten om het systeem de tijd te geven om de configuratie te verwerken en te activeren. Verifieer vervolgens in het Microsoft Defender voor Cloud-dashboard dat Cosmos DB-accounts zichtbaar zijn onder de beschermde resources. Deze verificatie is belangrijk om te bevestigen dat de activering succesvol was en dat de accounts daadwerkelijk worden bewaakt. Als accounts niet verschijnen, kan dit wijzen op een configuratieprobleem of op het feit dat er geen Cosmos DB-accounts aanwezig zijn in het abonnement.

Een kritiek aandachtspunt is dat Microsoft Defender voor Azure Cosmos DB een betaalde service is met kosten per account per maand. Deze kosten zijn onafhankelijk van de databasegrootte of de throughput, wat betekent dat organisaties een vaste prijs betalen per Cosmos DB-account, ongeacht hoeveel data erin is opgeslagen of hoeveel verkeer het verwerkt. Deze prijsstructuur maakt kostenplanning relatief eenvoudig, maar betekent ook dat organisaties met veel Cosmos DB-accounts aanzienlijke kosten kunnen maken. Het is daarom belangrijk om vooraf de kosten te berekenen en te begrijpen welke accounts daadwerkelijk bescherming nodig hebben.

Voordat het remediatiescript wordt uitgevoerd, is het sterk aanbevolen om de WhatIf-parameter te gebruiken. Deze parameter simuleert de acties die het script zou uitvoeren zonder daadwerkelijke wijzigingen aan te brengen. Dit geeft organisaties de mogelijkheid om te zien welke abonnementen worden beïnvloed en hoeveel Cosmos DB-accounts worden beschermd, zonder dat er kosten worden gemaakt of configuraties worden gewijzigd. De WhatIf-output kan worden gebruikt voor goedkeuringsprocessen of voor het genereren van kostenramingen voordat de daadwerkelijke implementatie plaatsvindt.

Voor actuele kosteninformatie moeten organisaties de Azure-prijscalculator raadplegen, omdat prijzen kunnen variëren per regio en kunnen veranderen over tijd. De calculator biedt gedetailleerde informatie over de kosten per Cosmos DB-account per maand voor verschillende regio's, waardoor organisaties nauwkeurige budgetramingen kunnen maken. Het is ook belangrijk om te overwegen dat Microsoft regelmatig prijswijzigingen doorvoert, dus organisaties moeten de calculator regelmatig raadplegen voor de meest actuele informatie.

Ondanks de kosten is de investering in Microsoft Defender voor Azure Cosmos DB gerechtvaardigd gezien de kritieke aard van de data die typisch in Cosmos DB wordt opgeslagen en de compliance-vereisten die organisaties moeten naleven. De kosten van een beveiligingsincident, inclusief datalekken, operationele verstoringen en mogelijke boetes voor niet-naleving, kunnen aanzienlijk hoger zijn dan de kosten van de beveiligingsoplossing. Bovendien helpen de geavanceerde detectiecapaciteiten organisaties om bedreigingen vroegtijdig te identificeren en te mitigeren, wat de algehele beveiligingspostuur verbetert en het risico op succesvolle aanvallen vermindert.

Compliance en Framework Mapping

Microsoft Defender voor Azure Cosmos DB speelt een cruciale rol in het voldoen aan diverse nationale en internationale compliance frameworks en beveiligingsstandaarden. Deze beveiligingsmaatregel vormt een essentieel onderdeel van een holistische beveiligingsstrategie die organisaties in staat stelt om te voldoen aan zowel technische als organisatorische vereisten van verschillende regelgevende kaders. Het implementeren van deze oplossing is niet alleen een technische keuze, maar ook een strategische investering in compliance en risicobeheer.

Voor Nederlandse overheidsorganisaties is de CIS Azure Foundations Benchmark v3.0.0 een belangrijke referentie. Specifiek vereist control 2.1.8 dat Microsoft Defender voor Azure Cosmos DB is ingesteld op 'On' op Level 2. Deze control maakt deel uit van een reeks beveiligingsmaatregelen die gericht zijn op het beschermen van cloudinfrastructuur tegen geavanceerde bedreigingen. Level 2 controls worden beschouwd als aanbevolen best practices die organisaties moeten implementeren voor een robuuste beveiligingspostuur. Het niet implementeren van deze control kan leiden tot significante beveiligingsrisico's en kan worden geïdentificeerd tijdens externe audits en compliance-evaluaties.

De BIO (Baseline Informatiebeveiliging Overheid) vormt de basis voor informatiebeveiliging binnen de Nederlandse publieke sector. Thema 12.06 richt zich op de controle van technische kwetsbaarheden en vereist databasebeveiligingsbewaking en kwetsbaarheidsdetectie. Dit thema benadrukt het belang van proactieve bewaking en detectie van beveiligingsproblemen voordat ze kunnen worden uitgebuit door aanvallers. Microsoft Defender voor Azure Cosmos DB voldoet aan deze vereiste door continue bewaking van databaseactiviteiten en het identificeren van potentiële kwetsbaarheden en bedreigingen. Daarnaast adresseert Thema 13.01 over netwerkbeveiliging de detectie van verdachte databasetoegang en abnormaal netwerkverkeer. Deze thema's werken samen om een gelaagde beveiligingsbenadering te creëren waarbij zowel netwerk- als applicatielaagbewaking worden gecombineerd.

ISO 27001:2022 biedt een internationaal erkend framework voor informatiebeveiligingsmanagement. Annex A.8.8 behandelt het beheer van technische kwetsbaarheden en vereist proactieve detectie van databasebeveiligingsproblemen. Deze control benadrukt het belang van het identificeren en beheren van kwetsbaarheden voordat ze kunnen worden uitgebuit. Microsoft Defender voor Azure Cosmos DB ondersteunt deze vereiste door het gebruik van machine learning en gedragsanalyse om afwijkende patronen te detecteren die kunnen wijzen op beveiligingsproblemen. Annex A.8.16 richt zich op bewakingsactiviteiten en vereist continue bewaking van databasetoegang en querypatronen. Deze control erkent dat beveiliging niet alleen gaat om preventieve maatregelen, maar ook om het detecteren en reageren op incidenten in real-time.

De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten binnen de Europese Unie, vereist in Artikel 21 de implementatie van cybersecurity-risicobeheersmaatregelen. Dit artikel verplicht organisaties om adequate beveiligingsbewaking en bedreigingsdetectie te implementeren voor kritieke systemen, waaronder databases met bedrijfskritieke of persoonsgegevens. De NIS2-richtlijn benadrukt het belang van proactieve beveiligingsmaatregelen en vereist dat organisaties in staat zijn om bedreigingen te detecteren, te analyseren en erop te reageren. Microsoft Defender voor Azure Cosmos DB biedt deze capaciteiten door geavanceerde bedreigingsdetectie en geautomatiseerde responsmogelijkheden.

De Algemene Verordening Gegevensbescherming (AVG/GDPR) stelt specifieke eisen aan de beveiliging van persoonsgegevens. Artikel 32 vereist adequate technische maatregelen voor de bescherming van persoonsgegevens in databases. Dit artikel benadrukt het belang van passende beveiligingsmaatregelen die rekening houden met de staat van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking. Microsoft Defender voor Azure Cosmos DB ondersteunt organisaties bij het voldoen aan deze vereiste door geavanceerde bewaking en detectie van ongeautoriseerde toegang tot persoonsgegevens. Artikel 33 van de AVG/GDPR vereist een meldplicht voor datalekken binnen 72 uur na ontdekking. Vroege detectie van potentiële datalekken via abnormale gegevenstoegang is essentieel om te voldoen aan deze meldplicht. Microsoft Defender voor Azure Cosmos DB kan organisaties helpen bij het tijdig identificeren van potentiële datalekken door het detecteren van afwijkende toegangspatronen en verdachte activiteiten.

Voor organisaties die werken met creditcardgegevens is PCI-DSS v4.0 Requirement 11.4 van toepassing. Deze requirement vereist beveiligingsbewaking voor databasesystemen met creditcardgegevens. PCI-DSS benadrukt het belang van continue bewaking en logging van alle toegang tot kaarthoudergegevens om te voldoen aan de compliance-vereisten. Microsoft Defender voor Azure Cosmos DB biedt deze bewakingscapaciteiten en kan organisaties helpen bij het voldoen aan PCI-DSS-vereisten door het detecteren en rapporteren van alle relevante beveiligingsgebeurtenissen.

Het NIST Cybersecurity Framework (CSF) biedt een vrijwillig framework dat organisaties helpt bij het beheren van cybersecurity-risico's. DE.CM-7 vereist bewaking voor ongeautoriseerd personeel, verbindingen, apparaten en software. Deze control maakt deel uit van het Detect-functiegebied van het NIST CSF en benadrukt het belang van het identificeren van cybersecurity-gebeurtenissen. Microsoft Defender voor Azure Cosmos DB ondersteunt deze vereiste door het bewaken van alle databasetoegang en het identificeren van ongeautoriseerde activiteiten.

Het implementeren van Microsoft Defender voor Azure Cosmos DB is daarom niet alleen een technische beveiligingsmaatregel, maar ook een strategische investering in compliance en risicobeheer. Organisaties die deze oplossing implementeren, kunnen aantonen dat zij voldoen aan diverse nationale en internationale vereisten en zijn beter voorbereid op audits en compliance-evaluaties. Bovendien helpt de oplossing organisaties bij het verminderen van het risico op datalekken en beveiligingsincidenten, wat kan leiden tot significante kostenbesparingen en het behoud van vertrouwen van stakeholders.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for CosmosDB .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.8 Controleert of Defender for CosmosDB is ingeschakeld. .NOTES Filename: defender-cosmosdb-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.8 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for CosmosDB" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 } $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "CosmosDb" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "CosmosDb" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for CosmosDB .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.8 Controleert of Defender for CosmosDB is ingeschakeld. .NOTES Filename: defender-cosmosdb-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.8 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for CosmosDB" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 } $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "CosmosDb" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "CosmosDb" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } " throw } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } Write-Host "[INFO] Monitoring check wordt uitgevoerd..." -ForegroundColor Cyan # TODO: Implementeer monitoring logica Write-Host "[OK] Monitoring check completed" -ForegroundColor Green } catch { Write-Error "Monitoring failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder Microsoft Defender voor Azure Cosmos DB blijven aanvallen op databaseniveau ongedetecteerd. SQL- en NoSQL-injectieaanvallen via applicatiekwetsbaarheden verwijderen gegevens zonder waarschuwingen, brute-force-authenticatiepogingen op Cosmos DB-eindpunten blijven onopgemerkt, abnormale querypatronen die massale gegevensexport aangeven worden niet herkend, gegevensexfiltratie via legitieme maar excessieve queries blijft ongedetecteerd. Cosmos DB is vaak via internet toegankelijk, wat het een aantrekkelijk doelwit maakt. Compliance: CIS 2.1.8, BIO 12.06/13.01, ISO 27001 A.8.8/A.8.16, NIS2 Artikel 21 vereisen monitoring van databasebedreigingen. AVG-schendingen bij datalekken kunnen leiden tot boetes van €20 miljoen. Detectietijd zonder Defender: gemiddeld meer dan zes maanden.

Management Samenvatting

Microsoft Defender voor Azure Cosmos DB detecteert databasebedreigingen via machine learning: SQL- en NoSQL-injectiepatronen, brute-force-authenticatie (excessieve mislukte aanmeldingen), abnormale gegevenstoegang (bulkexporten, ongebruikelijke querypatronen), verdachte bron-IP-adressen (bekende kwaadaardige bereiken), indicatoren voor gegevensexfiltratie. Activatie: Microsoft Defender voor Cloud → Databases → Azure Cosmos DB → AAN. Kosten: variabel per account (gemiddeld €15-30 per account per maand). Verplicht voor productie-Cosmos DB met gevoelige gegevens. Implementatie: 1-2 uur. Vereist CIS 2.1.8, BIO 12.06, NIS2.