L2 BIO 10.01 ISO A.8.24 CIS 2.1.7

Microsoft Defender For Cloud: Defender For Key Vault Inschakelen

📅 2025-10-29
⏱️ 8 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender voor Key Vault detecteert afwijkende toegangspatronen, grootschalige enumeratie van geheimen, verdachte service principal activiteit en potentiële pogingen tot diefstal van inloggegevens op Azure Key Vaults via gedragsanalyses en bedreigingsinformatie.

Aanbeveling
IMPLEMENTEER VOOR KEY VAULT BESCHERMING
Risico zonder
Critical
Risk Score
10/10
Implementatie
0u
Van toepassing op:
Azure
Microsoft Defender voor Cloud
Azure Key Vault
Secretsbeheer
Certificaatbeheer

Key Vaults bevatten de meest gevoelige referenties: API-sleutels, databaseverbindingsstrings, certificaten en versleutelingssleutels. Compromittering van een Key Vault betekent volledige infrastructuurcompromittering. Veelvoorkomende aanvallen zijn grootschalige enumeratie van geheimen door gecompromitteerde service principals, ongebruikelijke geografische toegang (diefstal van inloggegevens), brute force pogingen op Key Vault toegangsbeleidsregels en verdachte certificaatdownloads. Zonder Defender voor Key Vault blijven pogingen tot diefstal van inloggegevens onopgemerkt. Traditionele auditlogs zijn onvoldoende voor realtime detectie van subtiele enumeratieaanvallen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle activeert Microsoft Defender voor Key Vault op abonnementniveau. De functie biedt: detectie van afwijkende toegangspatronen (ongebruikelijk queryvolume, geografische anomalieën, toegang buiten kantooruren), detectie van grootschalige enumeratie van geheimen (snelle sequentiële ophaalbewerkingen van geheimen), monitoring van verdachte service principal activiteit, detectie van ongebruikelijke certificaatbewerkingen, TOR/anonyme proxy toegangspogingen en integratie met Microsoft bedreigingsinformatie voor bekende kwaadaardige actoren. Waarschuwingen worden gegenereerd bij: grootschalige downloads van geheimen, toegang vanuit verdachte IP-adressen, ongebruikelijke vault-enumeratie en potentiële patronen voor diefstal van inloggegevens.

Vereisten

Voor het inschakelen van Microsoft Defender voor Key Vault moeten organisaties voldoen aan een aantal technische en organisatorische vereisten. Deze vereisten zijn essentieel om ervoor te zorgen dat de implementatie succesvol verloopt en dat de beveiligingsmonitoring effectief functioneert. Ten eerste is toegang tot de Azure-abonnementen met de juiste bevoegdheden vereist. De persoon die de implementatie uitvoert, moet beschikken over roltoewijzingen op abonnementsniveau, specifiek de rol van Owner of Security Administrator. Deze rechten zijn noodzakelijk omdat Defender voor Key Vault wordt geconfigureerd op abonnementniveau en directe invloed heeft op de beveiligingsinstellingen van alle Key Vaults binnen dat abonnement. Daarnaast moeten er daadwerkelijk Azure Key Vaults aanwezig zijn in de omgeving. Hoewel het mogelijk is om Defender voor Key Vault in te schakelen zonder actieve vaults, heeft dit pas betekenis wanneer er Key Vaults worden gebruikt die monitoring vereisen. Organisaties moeten een overzicht hebben van alle Key Vaults binnen hun abonnementen om te kunnen bepalen welke vaults bescherming nodig hebben. Voor de technische implementatie is PowerShell 5.1 of hoger vereist op de computer waar de configuratie wordt uitgevoerd. PowerShell vormt het primaire gereedschap voor automatisering en configuratie binnen Azure-omgevingen. De specifieke Az PowerShell-modules die nodig zijn, zijn Az.Accounts en Az.Security. De Az.Accounts-module verzorgt de authenticatie en verbinding met Azure, terwijl de Az.Security-module de specifieke cmdlets bevat voor het configureren van Defender voor Key Vault. Hoewel niet strikt verplicht, is het sterk aanbevolen om diagnostische logging in te schakelen op alle Key Vaults. Diagnostische logging verzamelt gedetailleerde informatie over toegangspogingen, bewerkingen en gebeurtenissen binnen de Key Vaults. Deze logs vormen de basis voor de gedragsanalyses die Defender voor Key Vault uitvoert. Zonder diagnostische logging is de effectiviteit van de bedreigingsdetectie aanzienlijk verminderd. Tot slot moeten organisaties rekening houden met de kostenstructuur van Defender voor Key Vault. De service wordt gefactureerd per Key Vault per maand, waarbij de exacte kosten afhankelijk zijn van het volume aan bewerkingen en de hoeveelheid gegenereerde waarschuwingen. Organisaties met veel Key Vaults moeten een budget reserveren voor deze beveiligingsservice, waarbij de kosten moeten worden afgewogen tegen het kritieke beveiligingsniveau dat wordt geboden.

Monitoring

Gebruik PowerShell-script defender-for-key-vault-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor het controleren of Microsoft Defender voor Key Vault is ingeschakeld via Get-AzSecurityPricing..

Het monitoringproces voor Microsoft Defender voor Key Vault vormt een essentieel onderdeel van de continue beveiligingsbewaking binnen Azure-omgevingen. Dit proces zorgt ervoor dat de beveiligingsservice niet alleen correct is geconfigureerd, maar ook daadwerkelijk actief functioneert en effectief bedreigingen detecteert. Het monitoring script voert regelmatig geautomatiseerde controles uit om te verifiëren of alle benodigde configuraties op hun plaats zijn en of de service naar behoren werkt. De primaire controle die het script uitvoert, is het verificeren van de pricing tier voor Key Vaults binnen het Azure-abonnement. Het script controleert specifiek of de 'KeyVaults' pricing tier is ingesteld op 'Standard'. Deze instelling activeert automatisch Defender voor Key Vault voor alle Key Vaults die zich binnen het abonnement bevinden. De 'Standard' tier biedt uitgebreide bedreigingsdetectie mogelijkheden die niet beschikbaar zijn in de 'Free' tier, waaronder geavanceerde gedragsanalyses, integratie met bedreigingsinformatie en real-time waarschuwingen. Wanneer de pricing tier correct is ingesteld op 'Standard', betekent dit dat alle Key Vaults binnen het abonnement worden beschermd door geavanceerde bedreigingsdetectie. Deze detectie omvat monitoring van toegangspatronen, detectie van verdachte activiteiten en integratie met Microsoft's wereldwijde bedreigingsinformatie. Het script gebruikt de Get-AzSecurityPricing cmdlet om de huidige status op te halen en te vergelijken met de vereiste instelling. Deze cmdlet retourneert gedetailleerde informatie over de configuratie van alle Defender-services binnen het abonnement, waardoor organisaties snel kunnen identificeren of er configuratiewijzigingen zijn aangebracht. Naast de verificatie van de pricing tier configuratie, kan het monitoring script ook controleren op daadwerkelijke waarschuwingen die zijn gegenereerd door Defender voor Key Vault. Deze waarschuwingen geven aan of er verdachte activiteiten zijn gedetecteerd die nader onderzoek vereisen. Het is belangrijk dat organisaties deze waarschuwingen regelmatig beoordelen en waar nodig actie ondernemen. Een effectief monitoringproces omvat niet alleen het controleren van de configuratie, maar ook het analyseren van gegenereerde waarschuwingen om trends en patronen te identificeren die kunnen wijzen op systematische beveiligingsproblemen. Het monitoringproces moet regelmatig worden uitgevoerd, bij voorkeur als onderdeel van een geautomatiseerde controle workflow. Veel organisaties integreren deze controles in hun CI/CD pipelines of configureren geplande taken die dagelijks of wekelijks worden uitgevoerd. Dit zorgt ervoor dat eventuele configuratiewijzigingen of problemen snel worden gedetecteerd voordat ze een beveiligingsrisico vormen. Automatisering van het monitoringproces vermindert niet alleen de kans op menselijke fouten, maar zorgt ook voor consistente en betrouwbare beveiligingscontroles. Voor organisaties die moeten voldoen aan compliance-vereisten zoals CIS Azure Foundations Benchmark of BIO-normen, vormt het monitoringproces ook een cruciaal onderdeel van de auditdocumentatie. De resultaten van de monitoringcontroles moeten worden vastgelegd en bewaard als bewijs van continue beveiligingsbewaking. Deze documentatie toont aan dat organisaties proactief hun Key Vault-beveiliging monitoren en snel kunnen reageren op potentiële bedreigingen. Auditoren verwachten dat organisaties kunnen aantonen dat zij regelmatig controleren of beveiligingsmaatregelen correct zijn geconfigureerd en actief functioneren. Een goed ingericht monitoringproces omvat ook het bijhouden van historische trends en het analyseren van patronen in waarschuwingen. Door over een langere periode data te verzamelen, kunnen organisaties beter begrijpen wat normale activiteit is en wat afwijkend gedrag vormt. Deze historische context verbetert de nauwkeurigheid van bedreigingsdetectie en helpt organisaties om valse positieven te verminderen, waardoor beveiligingsteams zich kunnen focussen op echte bedreigingen.

Remediatie

Gebruik PowerShell-script defender-for-key-vault-enabled.ps1 (functie Invoke-Remediation) – Automatische activering van Microsoft Defender voor Key Vault via Set-AzSecurityPricing..

Het remediatieproces voor Microsoft Defender voor Key Vault is een gestructureerde aanpak om ervoor te zorgen dat de beveiligingsservice correct wordt geactiveerd en geconfigureerd binnen Azure-omgevingen. Wanneer het monitoring script vaststelt dat Defender voor Key Vault niet is ingeschakeld, kan het remediatie script automatisch de benodigde configuratie aanpassen. Dit proces is essentieel voor het handhaven van een consistente beveiligingspostuur en het snel oplossen van configuratiefouten die de beveiliging kunnen compromitteren. De remediatie start met het activeren van de 'Standard' pricing tier voor Key Vaults binnen het abonnement. Dit gebeurt via de Set-AzSecurityPricing cmdlet, die de benodigde PowerShell-modules gebruikt om programmatisch de configuratie aan te passen. Het script voert eerst een verificatie uit om te bevestigen dat de uitvoerende gebruiker over de vereiste bevoegdheden beschikt, waarna de pricing tier wordt bijgewerkt. Deze verificatie is cruciaal omdat onbevoegde wijzigingen aan beveiligingsconfiguraties ernstige gevolgen kunnen hebben voor de algehele beveiligingspostuur van de organisatie. Direct na activering beginnen de bedreigingsdetectiemogelijkheden van Defender voor Key Vault te functioneren. Anomaliedetectie start onmiddellijk, hoewel de nauwkeurigheid van deze detectie in de loop van de tijd zal verbeteren. Het systeem bouwt gedragslijnen op door de normale toegangspatronen te analyseren gedurende een periode van zeven tot veertien dagen. Tijdens deze periode verzamelt het systeem informatie over gebruikelijke toegangstijden, geografische locaties, frequentie van bewerkingen en typische gebruikspatronen van service principals en gebruikers. Deze leerperiode is essentieel voor het ontwikkelen van nauwkeurige detectiemodellen die onderscheid kunnen maken tussen normale activiteit en verdacht gedrag. Deze gedragslijnen vormen de basis voor accurate anomaliedetectie. Zodra het systeem een duidelijk beeld heeft van normale activiteit, kan het betrouwbaar afwijkingen identificeren die mogelijk wijzen op beveiligingsbedreigingen. Voorbeelden van dergelijke anomalieën zijn toegang vanuit ongebruikelijke geografische locaties, toegang buiten normale kantooruren, plotselinge toename van het aantal query's of ongebruikelijke patronen in het ophalen van geheimen. Het systeem gebruikt machine learning algoritmen om deze patronen te herkennen en te classificeren op basis van historische data en bekende aanvalsmethoden. Na de activering is het cruciaal dat organisaties regelmatig de waarschuwingen monitoren in het Microsoft Defender voor Cloud dashboard. Dit dashboard biedt een centraal overzicht van alle beveiligingswaarschuwingen die zijn gegenereerd door Defender voor Key Vault, samen met andere Defender-services. Beveiligingsteams moeten deze waarschuwingen dagelijks beoordelen en prioriteren op basis van de ernst en het potentiële risico. Een effectief waarschuwingsbeheerproces omvat het categoriseren van waarschuwingen, het toewijzen van verantwoordelijkheden voor onderzoek en het bijhouden van de status van elke waarschuwing totdat deze is opgelost. Voor hoogwaardige waarschuwingen, zoals grootschalige enumeratie van geheimen of toegang vanuit bekende kwaadaardige IP-adressen, moeten organisaties direct actie ondernemen. Dit kan het blokkeren van specifieke service principals, het herroepen van toegangstokens of het uitvoeren van een gedetailleerd forensisch onderzoek omvatten. Het is belangrijk dat organisaties voorafgaand aan de implementatie duidelijk gedefinieerde responsprocedures hebben ontwikkeld voor verschillende typen waarschuwingen. Deze procedures moeten specifieke stappen bevatten voor het onderzoeken van incidenten, het isoleren van bedreigingen en het herstellen van normale operaties na een beveiligingsincident. Het remediatieproces moet ook aandacht besteden aan de integratie met bestaande security operations centers (SOCs) en incidentresponsprocedures. Waarschuwingen kunnen worden doorgestuurd naar SIEM-systemen via Azure Monitor en Event Hubs, waardoor ze kunnen worden opgenomen in bestaande beveiligingsmonitoring workflows. Deze integratie zorgt ervoor dat Key Vault-beveiligingsincidenten op dezelfde manier worden behandeld als andere beveiligingsgebeurtenissen binnen de organisatie. Een goed geïntegreerd systeem stelt beveiligingsteams in staat om een holistisch beeld te krijgen van alle beveiligingsbedreigingen, ongeacht waar ze zich voordoen in de IT-infrastructuur. Naast de technische implementatie moet het remediatieproces ook aandacht besteden aan communicatie en documentatie. Wanneer Defender voor Key Vault wordt geactiveerd, moeten relevante stakeholders worden geïnformeerd over de wijziging en de implicaties daarvan. Dit omvat het documenteren van de reden voor activering, de verwachte voordelen en eventuele wijzigingen in beveiligingsprocessen. Goede documentatie is essentieel voor compliance-doeleinden en helpt bij het begrijpen van de beveiligingsconfiguratie tijdens toekomstige audits of incidentonderzoeken.

Compliance en Auditing

Het implementeren van Microsoft Defender voor Key Vault helpt organisaties voldoen aan diverse internationale en nationale compliance-vereisten en beveiligingsstandaarden. Deze compliance-verplichtingen zijn met name relevant voor Nederlandse overheidsorganisaties en kritieke infrastructuurbedrijven die onder strikte beveiligingsregelgeving vallen. Compliance is niet alleen een juridische verplichting, maar vormt ook een fundamenteel onderdeel van een effectieve beveiligingsstrategie die organisaties helpt beschermen tegen cyberbedreigingen. De CIS Azure Foundations Benchmark v3.0.0 bevat specifieke vereisten voor de beveiliging van Azure Key Vaults. Control 2.1.7 vereist expliciet dat Microsoft Defender voor Key Vault is ingeschakeld op abonnementniveau. Deze controle is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. Organisaties die streven naar CIS-compliantie moeten kunnen aantonen dat deze controle actief is geconfigureerd en wordt gemonitord. De CIS Benchmark wordt wereldwijd erkend als een belangrijke beveiligingsstandaard en wordt vaak gebruikt als basis voor cloud security assessments en audits. Voor Nederlandse overheidsorganisaties vormt de BIO Baseline Informatiebeveiliging Overheid een fundamentele beveiligingsstandaard. Thema 10.01 behandelt cryptografische regels en key management security. Deze thema benadrukt het belang van adequate beveiliging voor cryptografische sleutels en de noodzaak van monitoring en detectie van onbevoegde toegang. Microsoft Defender voor Key Vault biedt deze monitoringfunctionaliteit en draagt daarmee bij aan het voldoen aan de BIO-vereisten voor key management. De BIO-normen zijn specifiek ontwikkeld voor de Nederlandse publieke sector en vormen een verplicht kader voor alle overheidsorganisaties die werken met gevoelige informatie. De internationale ISO 27001:2022 standaard bevat controle A.8.24, die betrekking heeft op het gebruik van cryptografie en key management. Deze controle vereist dat organisaties geschikte cryptografische controles implementeren voor de bescherming van informatie, inclusief adequate procedures voor het beheer van cryptografische sleutels gedurende hun gehele levenscyclus. De monitoring- en detectiemogelijkheden van Defender voor Key Vault ondersteunen organisaties bij het voldoen aan deze vereisten door continue bewaking van sleuteltoegang en gebruik. ISO 27001 is een wereldwijd erkende standaard voor informatiebeveiligingsmanagementsystemen en wordt vaak gebruikt als basis voor certificering en compliance-verificatie. Met de implementatie van de NIS2-richtlijn in Nederlandse wetgeving worden aanvullende beveiligingsvereisten gesteld aan operators van essentiële diensten en belangrijke entiteiten. Artikel 21 van de NIS2-richtlijn heeft betrekking op referenties en geheimenbeheer en vereist dat organisaties adequate maatregelen implementeren voor de beveiliging en monitoring van toegangsgegevens en geheimen. Microsoft Defender voor Key Vault biedt geavanceerde bedreigingsdetectie die helpt voldoen aan deze NIS2-vereisten. De NIS2-richtlijn is een Europese richtlijn die is geïmplementeerd in Nederlandse wetgeving en stelt specifieke eisen aan de cybersecurity van kritieke organisaties. Het Amerikaanse NIST Special Publication 800-57 bevat aanbevelingen voor key management binnen cryptografische systemen. Hoewel dit document oorspronkelijk is ontwikkeld voor Amerikaanse federale organisaties, wordt het wereldwijd gebruikt als best practice richtlijn. De aanbevelingen in NIST SP 800-57 benadrukken het belang van bescherming tegen ongeautoriseerde toegang tot cryptografische sleutels en de noodzaak van monitoring en detectie van onbevoegde gebruikspatronen. De functionaliteit van Defender voor Key Vault sluit direct aan bij deze aanbevelingen. NIST-richtlijnen worden algemeen erkend als autoriteit op het gebied van cybersecurity en worden vaak gebruikt als referentie voor het ontwikkelen van beveiligingsbeleid en procedures. Voor audit- en compliance-doeleinden moeten organisaties kunnen aantonen dat Defender voor Key Vault actief is geconfigureerd en dat waarschuwingen worden gemonitord en behandeld. Dit vereist het bijhouden van documentatie over de configuratie, regelmatige beoordelingen van gegenereerde waarschuwingen en het onderhouden van logs en bewijsmateriaal voor auditdoeleinden. De bewaarperiode voor dergelijke auditdocumentatie is meestal minimaal zeven jaar, in lijn met algemene audit- en compliance-vereisten. Goede documentatie is essentieel voor het aantonen van compliance tijdens audits en helpt organisaties om hun beveiligingsmaatregelen te verantwoorden tegenover stakeholders, regelgevers en certificeringsinstanties. Naast deze specifieke standaarden zijn er ook sectorale compliance-vereisten die relevant kunnen zijn, afhankelijk van de industrie waarin een organisatie actief is. Financiële instellingen moeten bijvoorbeeld voldoen aan aanvullende regelgeving zoals de DNB-richtlijnen, terwijl zorgorganisaties moeten voldoen aan specifieke privacy- en beveiligingsvereisten. Microsoft Defender voor Key Vault kan helpen bij het voldoen aan deze diverse compliance-vereisten door een gestandaardiseerde aanpak te bieden voor key management beveiliging die kan worden aangepast aan specifieke sectorale eisen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Key Vault .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.7 Controleert of Microsoft Defender for Key Vault is ingeschakeld. Biedt threat detection voor Key Vault access patterns. .NOTES Filename: defender-for-key-vault-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/defender-for-key-vault-enabled.json CIS Control: 2.1.7 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender for Key Vault" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "defender-for-key-vault-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "KeyVaults" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ $result.Details += "✓ '$($sub.Name)': Defender for Key Vault enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ '$($sub.Name)': Defender for Key Vault DISABLED" $result.Recommendations += "Enable Defender for Key Vault op '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $fixed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "KeyVaults" -PricingTier "Standard" -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled for: $($sub.Name)" -ForegroundColor Green $fixed++ } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou enablen voor $($result.NonCompliantCount) subscription(s)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder Microsoft Defender voor Key Vault blijven pogingen tot diefstal van inloggegevens via Key Vault-compromittering volledig ongedetecteerd, wat resulteert in een stille kill chain waarbij aanvallers ongehinderd toegang kunnen krijgen tot alle gevoelige referenties. Grootschalige enumeratie van geheimen waarbij gecompromitteerde service principals alle geheimen binnen enkele minuten kunnen exfiltreren, blijft volledig onopgemerkt omdat traditionele auditlogs onvoldoende zijn voor realtime detectie van dergelijke subtiele aanvallen. Afwijkende toegangspatronen die kunnen wijzen op compromitteringen worden niet herkend, omdat zonder geavanceerde gedragsanalyses er geen waarschuwingen worden gegenereerd voor verdacht gedrag. De impact van een dergelijke compromittering is enorm: volledige infrastructuurcompromittering omdat Key Vault alle referenties bevat die nodig zijn voor toegang tot kritieke systemen, laterale beweging naar alle verbonden systemen en services, en uitgebreide datalekken over alle applicaties die afhankelijk zijn van de gecompromitteerde referenties. Vanuit compliance-perspectief vereisen CIS 2.1.7, BIO 10.01 en NIS2 Artikel 21 expliciet Key Vault-monitoring, waardoor organisaties die deze controle niet implementeren niet voldoen aan verplichte beveiligingsstandaarden. Het risico is kritiek voor Key Vaults met productiereferenties, omdat compromittering van deze vaults directe toegang betekent tot productiesystemen en gevoelige data.

Management Samenvatting

Microsoft Defender voor Key Vault detecteert via geavanceerde gedragsanalyses verschillende typen bedreigingen: grootschalige enumeratie van geheimen waarbij verdachte bulk ophaalbewerkingen van geheimen worden uitgevoerd binnen korte tijdperioden, afwijkende toegangspatronen die ongebruikelijke tijden, IP-adressen of volumes omvatten, onbevoegde toegangspogingen door niet-geautoriseerde entiteiten, en overmatige mislukte authenticatiepogingen die kunnen wijzen op brute force aanvallen. Real-time waarschuwingen worden automatisch gegenereerd en doorgestuurd naar beveiligingsteams via het Microsoft Defender voor Cloud dashboard. Activatie gebeurt eenvoudig via Defender voor Cloud door naar Key Vault te navigeren en de service in te schakelen. De kostenstructuur bedraagt ongeveer €0,02 per 10.000 bewerkingen, met een minimaal bedrag dat typisch uitkomt op €2 tot €5 per vault per maand afhankelijk van het gebruik. Deze controle is verplicht voor organisaties die moeten voldoen aan CIS 2.1.7, BIO 10.01 en NIS2-vereisten. De implementatie neemt ongeveer 30 minuten in beslag en is essentieel voor alle productie Key Vaults die gevoelige referenties bevatten.