L2 BIO 11.01 ISO A.18.2.2 CIS 2.1.24

Microsoft Defender For Cloud: Defender CSPM Inschakelen Voor Posture Management

📅 2025-10-29
⏱️ 12 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender Cloud Security Posture Management (CSPM) vormt het centrale zenuwstelsel van de beveiligingsbewaking binnen Azure doordat de dienst configuraties, identiteiten en netwerkpaden voortdurend beoordeelt. Het platform combineert inzichten uit de cloud security graph, agentloze kwetsbaarheidsscans en externe aanvalsoppervlakdetectie, zodat bestuurders en security engineers realtime overzicht krijgen van risico's die anders verborgen blijven. Door deze samenhangende bril te bieden verandert Defender CSPM gefragmenteerde logdata in concrete stuurinformatie voor besluitvorming binnen de Nederlandse publieke sector.

Aanbeveling
IMPLEMENTEER VOOR ENTERPRISE SECURITY POSTURE
Risico zonder
Critical
Risk Score
9/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Azure

Cloudomgevingen binnen de Nederlandse overheid groeien harder dan traditionele beveiligingsprocessen kunnen bijbenen. Nieuwe workloads worden binnen minuten uitgerold, tijdelijke projectteams creëren eigen configuraties en gedeelde platformen zoals Azure Landing Zones bevatten honderden beleidsregels die op elkaar moeten aansluiten. Zonder geautomatiseerde posture-analyse ontstaan blinde vlekken: een vergeten opslagaccount blijft publiek toegankelijk, identiteiten erven per ongeluk beheerdersrechten en legacy-VM's worden niet meer gepatcht omdat niemand de verantwoordelijkheid voelt. Aanvallers hebben daardoor genoeg tijd om zwakke combinaties te zoeken, bijvoorbeeld een openbaar IP-adres in combinatie met een ruim netwerkregel en een onversleutelde schijf. Defender CSPM monitort deze configuratieketens continu, prioriteert de bevindingen op basis van technische impact en koppelt ze direct aan de verantwoordelijke teams. De dienst levert bovendien governance-inzichten op managementniveau, waardoor bestuurders kunnen aantonen dat de BIO, AVG en NIS2-vereisten aantoonbaar zijn geborgd.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze control activeert het CloudPosture-prijsplan van Defender voor Cloud en ontsluit daarmee een samenhangend pakket aan functies. Alle Azure-resources worden continu vergeleken met beveiligingsbenchmarks en maatwerkbeleid, waarna de cloud security graph relaties legt tussen identiteiten, secrets, netwerksegmenten en data-opslag. Attack path analysis simuleert hoe een dreigingsactor de omgeving zou doorkruisen en laat zien welke stap de hoogste risicoverlaging oplevert. Governance dashboards tonen nalevingsscores voor CIS, ISO 27001 en de BIO, inclusief trendinformatie voor directies. External Attack Surface Management (EASM) brengt publiek zichtbare assets in kaart, inclusief vergeten subdomeinen, oude testomgevingen en verkeerd geconfigureerde Application Gateways. Ten slotte biedt agentloze kwetsbaarheidsscanning inzicht in misconfiguraties van virtuele machines zonder dat beheerders agents hoeven te plaatsen, wat essentieel is voor streng gereguleerde omgevingen.

Vereisten

Succesvolle activering van Defender CSPM vraagt om meer dan het toggelen van een instelling: zowel de technische randvoorwaarden als de organisatorische governance moeten vooraf zijn geregeld. Door in deze voorbereidingsfase afspraken te maken over rollen, bevoegdheden en ondersteunende tooling voorkomt u dat de ingebouwde signalering direct wordt overstemd door false positives of ownership-discussies. Gebruik het onderstaande overzicht als checklist voordat u doorgaat naar implementatie. Plan ook een korte risicoanalyse waarin u beschrijft hoe vaak posture-evaluaties moeten draaien, welke contactpersonen beslissingen nemen en hoe escalatie naar het CISO-office verloopt. Koppel deze afspraken aan het reguliere veranderproces zodat posturebeheer structureel onderdeel wordt van portfolio- en releaseplanning.

  1. Een Azure-subscriptie waarin u Owner- of Security Admin-rechten bezit is noodzakelijk omdat de wijziging invloed heeft op kosten, beleidsinstellingen en mogelijke uitzonderingen. Documenteer voordat u begint welk mandaat u gebruikt, welke andere tenants of management groups geraakt worden en hoe terugdraaien plaatsvindt wanneer tijdens een audit onverwachte effecten naar voren komen. Door deze governance expliciet vast te leggen voorkomt u escalaties tussen platformteams en lijnorganisaties. Maak in het change-dossier zichtbaar welke Owner de verantwoordelijkheid draagt, welke fallback-scenario's zijn gedefinieerd en hoe u de wijziging terugdraait wanneer onverwachte kosten optreden.
  2. PowerShell 5.1 of hoger is vereist omdat de moderne Az-modules hiervan afhankelijk zijn en omdat logging, transcriptie en Just Enough Administration daar standaard in kunnen worden afgedwongen. Controleer op de beheerserver de .NET-versie, de uitvoering van Execution Policies en het gebruik van transcript logging zodat iedere wijziging traceerbaar blijft voor zowel interne als externe audits. Voeg aan het installatiehandboek toe hoe PowerShell wordt bijgewerkt, welke antivirusuitsluitingen eventueel nodig zijn en hoe u scripts signeert voordat ze in productie gaan.
  3. De modules Az.Accounts en Az.Security moeten in de laatst goedgekeurde versie beschikbaar zijn. Plaats ze bij voorkeur in een beveiligde interne repository, valideer de cryptografische handtekeningen en registreer in het wijzigingslogboek wanneer een update is getest. Zo borgt u dat scripts voor onboarding, monitoring en offboarding dezelfde versie gebruiken en dat het platformteam eenduidig support kan bieden. Leg vast wie patches keurt, hoe dependency-management verloopt en hoe vaak u controleert of API-versies veranderen zodat automatisering niet onverwachts faalt.
  4. Microsoft Defender voor Cloud moet minimaal in de gratis detectielaag actief zijn zodat basisinventarisatie en policy-evaluatie reeds draaien. Deze onderlaag zorgt ervoor dat aanbevelingen, beveiligingswaarschuwingen en compliance-gegevens al gestandaardiseerd beschikbaar zijn, waardoor de overstap naar het CSPM-plan vooral een functionele uitbreiding is in plaats van een disruptieve herconfiguratie. Documenteer welke detectieregels binnen Defender voor Cloud al actief zijn, welke uitzonderingen van kracht zijn en hoe deze uitzonderingen opnieuw worden beoordeeld zodra CSPM aanvullende signalen genereert.
  5. Zorg dat de subscriptie minstens tien representatieve Azure-resources bevat: denk aan virtuele machines, PaaS-databases, opslagaccounts en identiteiten. Hoe rijker het landschap, hoe beter de graph-analyse patronen kan herkennen. Voor kleinere pilots kunt u tijdelijke workloads creëren zodat de eerste aanbevelingen voldoende context leveren om direct waarde te tonen aan bestuurders. Registreer bovendien in het CMDB welke resources bewust buiten scope vallen en waarom, zodat posture-rapportages altijd een eenduidige interpretatie hebben tijdens audits.
  6. Toegang tot de Azure Portal voor attack-pathvisualisatie is essentieel voor de dagelijkse samenwerking tussen security officers en platform engineers. Configureer rolgebaseerde toegang, activeer meervoudige authenticatie en spreek af welk SOC-dashboard als bron van waarheid geldt. Zo kunnen bevindingen inclusief visuele graph-weergave tijdens stand-ups of CAB-sessies worden besproken zonder dat men afhankelijk is van schermafbeeldingen of exportbestanden. Voorzie key-users van handleidingen, demo's en contactpersonen zodat inzichten uit de portal direct worden vertaald naar acties binnen beheer- en ontwikkelteams.

Implementatie

Wanneer de randvoorwaarden staan, volgt een stapsgewijze implementatie die zowel operationeel als financieel voorspelbaar moet verlopen. Documenteer per stap welke rollen betrokken zijn, welke goedkeuring nodig is en hoe de resultaten worden vastgelegd. De onderstaande volgorde helpt om eerst governance in te regelen, daarna de technische schakel om te zetten en tot slot de kwaliteit van de data te controleren. Maak van iedere fase een werkpakket met een duidelijke definition of done, zodat zowel security als operations weet wanneer het veilig is om door te gaan naar de volgende stap.

  1. Start in het Defender voor Cloud-dashboard binnen de Azure Portal, navigeer naar Environment settings en selecteer de betreffende subscriptie. Licht tijdens deze stap toe welke beleidskaders u activeert en leg een screenshot vast van de uitgangssituatie. Zo kan iedere auditor achteraf zien dat de wijziging bewust en gecontroleerd is doorgevoerd en welke instellingen destijds golden. Beschrijf meteen welke landing zones of resource groups volgen en welke validaties u na elke uitbreiding uitvoert.
  2. Doorloop het prijs- en impactscherm zorgvuldig, leg in het CAB-dossier vast welke kostenacceptatie is afgegeven en noteer het verwachte tijdsvenster van vijftien tot zestig minuten voor de eerste datavulling. Communiceer naar het SOC dat aanbevelingen in deze periode nog onvolledig zijn, zodat vroege bevindingen niet per ongeluk als definitief worden beschouwd. Neem bijvoorbeeld budgetgrenzen en chargeback-afspraken op zodat finance-teams begrijpen hoe posture-verbeteringen worden bekostigd.
  3. Gebruik Set-AzSecurityPricing -Name 'CloudPosture' -PricingTier 'Standard' als u een geautomatiseerde uitrol uitvoert of meerdere subscripties tegelijk wilt onboarden. Integreer de opdracht in een CI/CD-pipeline met staged approvals en logging naar een centraal auditkanaal zodat alle acties reproduceerbaar en herleidbaar zijn. Leg naast de pipeline ook vast welke secrets of service-principals worden gebruikt en hoe rotatie wordt afgedwongen.
  4. Controleer na activering of Attack Path Analysis, de Cloud Security Graph en de posture-score dashboards data tonen die overeenkomt met de werkelijkheid. Neem steekproeven: bijvoorbeeld een opslagaccount dat u bewust publiek heeft gemaakt voor testdoeleinden moet worden herkend; verschijnt het niet, dan dient u connectiviteit, bevoegdheden of policy-toewijzing te onderzoeken. Rapporteer deze steekproeven in een gedeeld dashboard zodat afwijkingen niet alleen in individuele notities blijven hangen.
  5. Activeer ten slotte External Attack Surface Management (EASM) voor de relevante domeinen en subdomijnen. Beschrijf duidelijk wie verantwoordelijk is voor het onderhouden van de domeinlijst, hoe nieuwe projecten worden toegevoegd en welke responstijd geldt wanneer EASM een onbekend internetexposure detecteert. Combineer dit met DNS-changeprocessen zodat nieuwe projecten automatisch in het EASM-scopebestand terechtkomen.

Gebruik PowerShell-script defender-easm-enabled.ps1 (functie Invoke-Remediation) – Het script defender-easm-enabled.ps1 voert deze stappen herhaalbaar uit door subscriptions te inventariseren, noodzakelijke modules te valideren en vervolgens de CloudPosture-prijslaag te activeren. Het script logt elke wijziging met tijdstempel, beleidscontext en uitvoerende identiteit, zodat SOC- en auditteams de volledige geschiedenis kunnen terugvinden. Bovendien bevat het controles die stoppen zodra een subscription al op Standard staat, waardoor dubbele facturatie of onnodige API-calls worden voorkomen. Het script genereert bovendien een samenvatting per subscription met kosteninschatting, waardoor besluitvormers exact weten welke financiële impact hoort bij het verhogen van de beveiligingspositie. Door ingebouwde health-checks die API-limieten bewaken en automatisch hertries plannen blijft de uitvoering stabiel, ook wanneer tientallen tenants tegelijk worden bijgewerkt, en ontvangen teams tijdige signalen zodra throttling dreigt..

Monitoring

Gebruik PowerShell-script defender-easm-enabled.ps1 (functie Invoke-Monitoring) – De functie Invoke-Monitoring in hetzelfde script controleert periodiek met Get-AzSecurityPricing of de gekozen subscription daadwerkelijk de Standard-laag handhaaft. Resultaten worden verrijkt met metadata zoals management group, eigenaar en laatst uitgevoerde wijziging, waarna het script ze exporteert naar CSV of een Log Analytics-workspace. Hierdoor kunnen SOC-analisten afwijkingen correleren met change windows, terwijl auditors één bron hebben om naleving van het CSPM-beleid te bewijzen. Daarnaast kan de functie een Adaptive Alert versturen richting Teams of e-mail zodra een subscription terugvalt naar de gratis laag, bewaart het script de volledige response in een append-only log voor forensische analyse en kan het dezelfde meetwaardes naar Microsoft Sentinel publiceren zodat detectie- en posturedata samenkomen. Tevens kunnen drempelwaarden worden vastgelegd zodat het script bij afwijkende posture-scores automatisch een ServiceNow- of TOPdesk-ticket opent, inclusief bijlagen met ruwe API-responses en verantwoordelijke eigenaar. Dezelfde module kan gezondheidsmetingen naar Azure Monitor sturen zodat capaciteit automatisch schaalt wanneer API-calls toenemen, en bevat een fallback-mechanisme dat rapportagedata veilig wegschrijft naar een secundaire locatie wanneer het primaire opslagaccount tijdelijk niet beschikbaar is..

Effectieve monitoring gaat verder dan het checken van een prijsplan. Gebruik de scriptuitvoer als startpunt voor servicelevel-rapportages: combineer de posture-score, het aantal open aanbevelingen per categorie en het aantal gedetecteerde attack paths, en bespreek deze trends maandelijks in het security-beraad. Geef het SOC duidelijke drempelwaarden, bijvoorbeeld maximaal vijf kritieke misconfiguraties per subscription en een reactietijd van twee werkdagen wanneer EASM een nieuw publiek endpoint vindt. Wanneer de drempel wordt overschreden, activeert u een runbook waarin platformteams en proceseigenaren gezamenlijk bepalen welke acties (patchen, segmenteren, secrets roteren) prioriteit krijgen. Documenteer elke stap zodat lessons learned weer terugvloeien naar beleid en ontwerpprincipes. Combineer technische statistieken met procesindicatoren, zoals de doorlooptijd van tickets of het percentage aanbevelingen dat binnen de afgesproken service window is opgelost. Koppel de datasets aan Power BI om trends over kwartalen te tonen en bespreek afwijkingen direct met proceseigenaren, zodat niet alleen het SOC maar ook lijnmanagers verantwoordelijkheid nemen. Integreer ten slotte automatische kwaliteitscontroles die toetsen of scripts nog succesvol authenticeren, zodat credentialrotatie of Conditional Access-wijzigingen niet onopgemerkt de monitoring stilleggen. Door lessons learned vast te leggen in een kennisbank ontstaat een feedbacklus waarbij elke afwijking leidt tot een verbeterde standaard, bijvoorbeeld aangepaste Azure Policy-initiatieven of scherpere tagging-richtlijnen. Beschrijf in runbooks hoe uitbijters moeten worden onderzocht: welke logboeken controleert men eerst, welke teams leveren aanvullende context en hoe wordt een bevinding gesloten. Door scenario-oefeningen (bijvoorbeeld 'subscription valt terug naar Free tier') jaarlijks te herhalen blijft iedereen vertrouwd met de meetketen. Voeg aan het runbook een duidelijke beslisboom toe waarbij u per type afwijking vastlegt of herstel via configuratie, identity of netwerkmaatregelen moet plaatsvinden. Organiseer daarnaast table-topoefeningen waarin het SOC, platformbeheer en proceseigenaren samen een fictief posture-incident doorlopen; zo wordt duidelijk wie wanneer het voortouw neemt en hoe communicatie richting bestuurders verloopt. Voorzie de rapportages van duidelijke annotaties waarin u uitlegt waarom bepaalde spikes acceptabel waren, zodat historisch inzicht behouden blijft wanneer medewerkers wisselen. Gebruik bovendien synthetische controles die op vaste tijden een testsubscriptie controleren; valt deze test, dan weet u dat het monitoringsproces zelf aandacht nodig heeft.

Remediatie

Gebruik PowerShell-script defender-easm-enabled.ps1 (functie Invoke-Remediation) – De functie Invoke-Remediation zet niet alleen het CloudPosture-plan aan, maar controleert vooraf of de gebruikte service-principal ten minste de rol Security Admin bezit en of er actieve blokkades zijn op management-groepsniveau. Daarna voert het script Set-AzSecurityPricing uit, controleert de response-code en schrijft zowel successen als fouten weg naar een centraal opslagaccount met immutability-retentie. Optioneel kan hetzelfde script een notificatie sturen naar Microsoft Teams of het ITSM-platform zodat change-coördinatoren direct weten dat de posture-upgrade is afgerond of dat handmatige tussenkomst nodig is. De functie ondersteunt bovendien dry-run scenario's waarin alleen de benodigde permissies en verwachte API-calls worden gerapporteerd, kan een rollback-script starten of een ITSM-ticket aanmaken bij fouten en laat zich integreren met Azure Automation of GitHub Actions zodat approvals inclusief bewijsstukken automatisch worden afgedwongen. Het script valideert bovendien kosten- en budgetinstellingen, zodat onverwachte verhogingen direct aan Financiën worden gemeld, en bevat hooks voor business continuity-tests waarin gecontroleerd wordt of cloudbeveiliging tijdens een uitwijkprocedure actief blijft. Voor implementaties in netwerken met strikte segmentatie controleert het script of noodzakelijke firewall- en proxyregels actief zijn, waarna automatisch een checklist voor het changeteam wordt gegenereerd zodat geen enkele voorbereidende taak wordt gemist..

Na activering bouwt de cloud security graph zich binnen een uur op. Plan gedurende deze periode een gecontroleerde validatie waarbij u bewust enkele configuraties aanpast om te bevestigen dat aanbevelingen en attack paths verschijnen zoals verwacht. Binnen 24 uur hoort de volledige keten van identiteiten, data en netwerksegmenten zichtbaar te zijn; zo niet, onderzoek dan of beleidsregels conflicteren of dat datacollectie door een firewall wordt geblokkeerd. External Attack Surface Management kan enkele dagen nodig hebben om alle DNS-records, certificaten en historische data te analyseren. Communiceer dit verwachtingsmanagement expliciet naar bestuurders zodat zij begrijpen dat de echte waarde ontstaat wanneer ook follow-upprocessen, zoals wijzigingsverzoeken of patch-sprints, zijn gestart. Houd ondertussen een nauwkeurig logboek bij van iedere remediatieactie en koppel die aan de corresponderende aanbeveling ID zodat continu verbeteren onderdeel wordt van de standaardoperatie. Plan daarbij een communicatiepakket voor applicatie-eigenaren, inclusief uitleg over de betekenis van posture-scores, zodat opvolgacties niet vertragen door onduidelijkheid. Gebruik geplande herbeoordelingen om te controleren of eerdere kritiekpunten daadwerkelijk zijn opgelost en leg deze resultaten vast in hetzelfde dossier als de oorspronkelijke afwijking. Veranker tenslotte een escalatiepad waarin het CISO-office wordt geïnformeerd zodra kritieke aanbevelingen langer dan afgesproken openstaan, zodat strategische capaciteit kan worden vrijgemaakt. Plan bovendien proefherstelprocedures waarin u simuleert hoe een verkeerd geconfigureerde instelling wordt teruggedraaid, zodat runbooks direct paraat zijn wanneer een fout zich in productie voordoet. Koppel de remediatieplanning aan releasekalenders zodat wijzigingen niet botsen met andere kritieke deploys. Neem ook lesson-learned-sessies op in het traject, waarin u bekijkt of architectuurblauwdrukken of standaardconfiguraties moeten worden bijgewerkt op basis van de nieuwste posturebevindingen. Organiseer gezamenlijke sessies met applicatie- en proceseigenaren waarin u toelicht welke remediaties gepland staan, welke testscenario's worden gebruikt en welke fallbackprocedures klaarliggen. Zo ontstaat vertrouwen dat postureverbeteringen de dienstverlening niet verstoren en dat lessons learned direct worden teruggekoppeld naar ontwerpprincipes. Sluit het traject af met een formele evaluatie waarin u meet of posture-scores daadwerkelijk zijn verbeterd, welke organisatorische drempels zijn weggenomen en welke acties naar de volgende iteratie worden doorgeschoven.

Compliance en Auditing

Defender CSPM levert aantoonbare bewijslast richting toezichthouders doordat elke aanbeveling herleidbaar is naar een controleregel in internationale en nationale normen. Door de posture-rapportages te koppelen aan het centrale compliance-dashboard kan de CISO binnen enkele minuten laten zien hoe technische maatregelen bijdragen aan de naleving van beleid, risicosturing en auditvereisten. Gebruik de onderstaande referenties om de vertaalslag te maken tussen de techniek en de formele kaders. Neem posture-trends op in de reguliere directierapportage, verbind er risicokleuren aan en licht toe welke investeringen nodig zijn om openstaande bevindingen te sluiten. Door retentie-eisen, bijvoorbeeld zeven jaar archivering van posture-rapportages en onderliggende exportbestanden, direct te borgen voorkomt u discussie tijdens audits. Betrek privacy officers en functionarissen gegevensbescherming vroegtijdig zodat zij begrijpen welke posturemetingen persoonsgegevens kunnen bevatten en hoe u dataminimalisatie toepast bij exports.

  1. CIS Azure Foundations Benchmark v3.0.0, control 2.1.24, schrijft expliciet voor dat Defender CSPM ingeschakeld moet zijn. Door de aanbevelingen uit het platform te exporteren naar het CIS-rapportagesjabloon kunt u per control aantonen welke resources compliant zijn, welke uitzonderingen lopen en welke acties gepland staan. Dit rapport vormt een vast onderdeel van de kwartaalreview met de Chief Information Security Officer. Koppel deze stukken aan het centrale verwerkingsregister, zodat de relatie tussen technische maatregelen en gegevensverwerkingen helder blijft. Leg vast wie deze rapporten opstelt, welke kwaliteitscontrole wordt uitgevoerd en hoe afwijkingen naar de security board worden gecommuniceerd.
  2. Binnen de Baseline Informatiebeveiliging Overheid (BIO) sluit deze control aan op thema 11.01 over beleidsmatige borging en thema 12.06 over kwetsbaarheidsbeheer. Door posture-scores per taakorganisatie te koppelen aan de risicodossiers ontstaat een integraal beeld van waar aanvullende maatregelen, zoals segmentatie of identity hardening, noodzakelijk zijn. Vergeet niet de verantwoordingsplicht richting Algemene Rekenkamer te ondersteunen met dezelfde datasets. Documenteer eveneens hoe uitkomsten met bedrijfscontinuïteitsteams worden gedeeld zodat risico's voor vitale processen zichtbaar blijven.
  3. ISO 27001-controles A.18.2.2 en A.18.2.3 vragen om structurele evaluatie van compliance én technische conformiteit. De dashboards van Defender CSPM leveren hiervoor tijdgestempelde bewijzen, terwijl de ingebouwde workflowmodule toont welke maatregelen zijn opgevolgd en wie deze heeft goedgekeurd. Daarmee voldoet u zowel aan de documentatie-eisen als aan het principe van continue verbetering. Voeg de posture-bewijzen toe aan het Statement of Applicability en onderteken wijzigingen via het bestaande ISMS-proces. Beschrijf daarnaast hoe leveranciers en partners toegang krijgen tot relevante delen van de rapportages zonder vertrouwelijke informatie te zien.
  4. Artikel 21 van de NIS2-richtlijn benadrukt dat essentiële en belangrijke organisaties een doorlopend risicobeheerproces moeten onderhouden. Door de attack-pathanalyses en EASM-inzichten van Defender CSPM op te nemen in de periodieke risicobeoordeling, laat u zien dat detectie- én preventiemaatregelen voortdurend worden aangescherpt op basis van actuele dreigingen. Noteer in het risicoregister welke verbeteracties uit de analyses volgen en welke termijnen zijn afgesproken. Zorg ervoor dat elke actie een eigenaar, deadline en status meekrijgt zodat auditors de voortgang kunnen volgen.
  5. Het NIST Cybersecurity Framework, specifiek ID.RA-1, vereist dat assetkwetsbaarheden systematisch worden geïdentificeerd. Defender CSPM levert hiervoor agentloze inventarisatiegegevens, gekoppeld aan duidelijke eigenaarinformatie. Stel een workflow in waarbij elke kritieke bevinding automatisch een ticket in het ITSM-systeem opent, zodat traceerbaarheid richting audits gegarandeerd is. Wanneer het ITSM-systeem KPI's rapporteert over oplostijden kunt u deze direct koppelen aan de NIST-controles, zodat u evidence per kwartaal kunt overleggen. Combineer deze inzichten met periodieke maturity-assessments zodat u kunt laten zien hoe posturebeheer zich jaar op jaar ontwikkelt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender CSPM (Cloud Security Posture Management) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.24 Controleert of Defender CSPM (CloudPosture) is ingeschakeld. .NOTES Filename: defender-easm-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.24 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender CSPM" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false; TotalResources = 0; CompliantCount = 0; NonCompliantCount = 0 } $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "CloudPosture" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "CloudPosture" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender CSPM (Cloud Security Posture Management) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.24 Controleert of Defender CSPM (CloudPosture) is ingeschakeld. .NOTES Filename: defender-easm-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.24 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender CSPM" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false; TotalResources = 0; CompliantCount = 0; NonCompliantCount = 0 } $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "CloudPosture" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "CloudPosture" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_; exit 1 } " throw } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_; exit 1 } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } Write-Host "[INFO] Monitoring check wordt uitgevoerd..." -ForegroundColor Cyan # TODO: Implementeer monitoring logica Write-Host "[OK] Monitoring check completed" -ForegroundColor Green } catch { Write-Error "Monitoring failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder Defender CSPM blijft zicht op de werkelijke cloudbeveiligingspositie gefragmenteerd en zijn ketens van misconfiguraties slechts na incidenten terug te reconstrueren. Gecombineerde risico's, zoals een publiek opslagaccount dat wordt benaderd via een slecht bewaakte identity, blijven onopgemerkt waardoor aanvallers langdurig kunnen rondkijken. Ook ontbreekt aantoonbare compliance richting CIS 2.1.24, BIO-thema 11 en NIS2 Artikel 21, waardoor bestuurders geen verdedigbaar verhaal hebben richting toezichthouders.

Management Samenvatting

Defender CSPM levert geïntegreerde attack-pathanalyse, cloud security graph-visualisaties, governance op schaal, External Attack Surface Management en agentloze kwetsbaarheidsscans. Activering via Defender voor Cloud → Pricing → CloudPosture Standard kost gemiddeld twee tot vier uur aan voorbereiding en validatie, waarna posture-scores, nalevingsrapportages en automatische aanbevelingen direct beschikbaar zijn. Voor organisaties met meerdere kritieke workloads is dit plan onmisbaar om risico's te reduceren en audits te versnellen.