L2 BIO 12.02.01 ISO A.12.2.1 CIS 2.1.2

Microsoft Defender For Cloud: Defender For Servers Plan 2 Inschakelen

📅 2025-10-30
⏱️ 12 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender for Servers Plan 2 biedt bedrijfsniveau endpointdetectie en -respons (EDR) voor Azure virtuele machines en hybride servers met volledige Microsoft Defender for Endpoint-integratie, agentloze kwetsbaarheidsscanning, adaptieve applicatiecontroles en just-in-time VM-toegang. Deze uitgebreide serverbeveiliging is essentieel voor het detecteren van moderne bedreigingen die traditionele antivirusoplossingen volledig omzeilen.

Aanbeveling
IMPLEMENTEER - ZIE defender-for-servers-enabled.json
Risico zonder
Critical
Risk Score
10/10
Implementatie
5u (tech: 3u)
Van toepassing op:
Azure Virtuele machines
Azure Arc servers
On-premises servers

Servers vormen hoogwaardige doelen die vaak bedrijfskritieke applicaties, databases en gevoelige gegevens hosten. Zonder geavanceerde endpointbescherming blijven moderne bedreigingen ongedetecteerd met catastrofale gevolgen voor organisaties. De complexiteit van hedendaagse cyberaanvallen vereist een gelaagde beveiligingsaanpak die verder gaat dan traditionele antivirusoplossingen. Geheugen-gebaseerde malware-aanvallen draaien uitsluitend in het geheugen zonder schijfactiviteiten, waardoor traditionele antivirusoplossingen deze volledig missen omdat ze afhankelijk zijn van bestandsscanning. Deze aanvallen gebruiken legitieme systeemprocessen en geheugentechnieken om detectie te omzeilen, waardoor ze bijzonder gevaarlijk zijn voor organisaties die alleen op handtekening-gebaseerde detectie vertrouwen. PowerShell-exploitatie vindt plaats via verhulde scripts en living-off-the-land binaries, waarbij legitieme systeemhulpprogramma's worden misbruikt voor kwaadaardige doeleinden. Aanvallers gebruiken deze technieken omdat ze moeilijker te detecteren zijn dan traditionele malware, aangezien ze gebruikmaken van tools die al op het systeem aanwezig zijn. Credentialdiefstal gebeurt via tools zoals Mimikatz of LSASS-dumping, waarbij aanvallers wachtwoorden en tokens uit het geheugen extraheren om zich toegang te verschaffen tot andere systemen binnen het netwerk. Deze gestolen authenticatiegegevens vormen een kritiek beveiligingsrisico omdat ze aanvallers in staat stellen om zich te authenticeren als legitieme gebruikers. Laterale beweging vindt plaats via PsExec, WMI, RDP of SMB, waardoor aanvallers zich door het netwerk kunnen verspreiden zonder dat dit wordt opgemerkt door traditionele beveiligingssystemen. Zero-day exploits hebben nog geen handtekeningen, waardoor traditionele detectiemethoden falen omdat deze aanvallen gebruikmaken van onbekende kwetsbaarheden. Ransomware-versleuteling maakt binnen minuten kritieke systemen onbruikbaar, met gemiddelde kosten van twee tot vijf miljoen euro per incident voor Nederlandse organisaties. Deze aanvallen kunnen volledige bedrijfsprocessen stilzetten en leiden tot aanzienlijke financiële verliezen en reputatieschade. Rechtenescalatie gebeurt via kernel-exploits of verkeerd geconfigureerde services, waardoor aanvallers hogere rechten kunnen verkrijgen om hun doelen te bereiken. Persistentiemechanismen worden geïmplementeerd via geplande taken, registerwijzigingen of service-installaties, waardoor aanvallers toegang behouden zelfs na systeemherstel. Traditionele op handtekeningen gebaseerde antivirus detecteert maximaal 40 tot 60 procent van moderne bedreigingen omdat aanvallers versleuteling, verhulling en geheugen-gebaseerde technieken gebruiken om detectie te omzeilen. Microsoft Defender for Servers Plan 2 biedt geavanceerde gedragsanalyse en machine learning-technieken die deze moderne bedreigingen kunnen detecteren, zelfs wanneer ze nog niet eerder zijn gezien. Deze oplossing is vereist voor CIS Azure Foundations Benchmark 2.1.2 en essentieel voor naleving van NIS2, ISO 27001, BIO en AVG, waardoor organisaties kunnen voldoen aan hun wettelijke en regelgevende verplichtingen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle activeert Microsoft Defender for Servers Plan 2 op alle abonnementen, wat de volledige suite van bedrijfsbeveiligingsfuncties inschakelt. Microsoft Defender for Endpoint-integratie biedt volledige endpointdetectie- en responscapaciteiten, waaronder geavanceerde gedragsanalyse die afwijkende activiteiten detecteert die niet door traditionele op handtekeningen gebaseerde methoden worden opgepikt. De bedreigingsjachtfunctionaliteit stelt beveiligingsteams in staat om proactief te zoeken naar indicatoren van compromittering binnen de omgeving, terwijl geautomatiseerd onderzoek en respons de tijd tussen detectie en mitigatie aanzienlijk verkorten. Agentloze kwetsbaarheidsscanning werkt zonder agentimplementatie via schijfmomentopnames, waardoor organisaties snel inzicht krijgen in beveiligingslekken zonder extra overhead of impact op de systeemprestaties. Deze aanpak is bijzonder waardevol voor organisaties die bezorgd zijn over de resource-impact van traditionele agent-gebaseerde scanning. Bedreigings- en kwetsbaarheidsbeheer biedt uitgebreide software-inventarisatie en CVE-tracking, waardoor beveiligingsteams proactief kunnen reageren op bekende kwetsbaarheden voordat deze worden uitgebuit. Het systeem koppelt geïdentificeerde kwetsbaarheden aan specifieke servers en applicaties, waardoor prioritering mogelijk is op basis van risico en bedrijfskritiek. Bestandsintegriteitsbewaking bewaakt kritieke systeem- en applicatiebestanden op ongeautoriseerde wijzigingen, wat essentieel is voor het detecteren van compromitteringen waarbij aanvallers systeembestanden wijzigen om persistentie te verkrijgen of detectie te omzeilen. Adaptieve applicatiecontroles gebruiken machine learning om applicatie-whitelistingregels aan te bevelen op basis van daadwerkelijk gebruikspatronen, waardoor de beveiligingspostuur wordt verbeterd zonder overmatige administratieve last. Deze aanpak is veel efficiënter dan handmatige whitelisting en past zich automatisch aan aan veranderende gebruikspatronen. Just-in-Time VM-toegang sluit RDP- en SSH-poorten automatisch en opent deze alleen op aanvraag met meervoudige authenticatieverificatie, waardoor de aanvalsoppervlakte aanzienlijk wordt verkleind. Deze functionaliteit is bijzonder waardevol voor servers die niet continu beheerders toegang vereisen, omdat het de tijd dat poorten openstaan minimaliseert. Adaptieve netwerkverharding optimaliseert netwerkbeveiligingsgroep-regels op basis van daadwerkelijk verkeer, waardoor onnodige regels worden verwijderd en de beveiligingspostuur wordt verbeterd. Docker-hostverharding biedt containerspecifieke beveiliging voor organisaties die containertechnologie gebruiken, wat essentieel is gezien de unieke beveiligingsuitdagingen die containers met zich meebrengen. Het compliance-dashboard geeft uitgebreid inzicht in de serverbeveiligingspostuur en helpt organisaties bij het aantonen van compliance tijdens audits. Azure Arc-integratie ondersteunt on-premises en multi-cloud servers, waardoor organisaties met hybride omgevingen kunnen profiteren van dezelfde geavanceerde beveiligingsmogelijkheden. Plan 2 biedt aanzienlijk meer mogelijkheden dan Plan 1, dat vijf euro per server per maand kost zonder Microsoft Defender for Endpoint-integratie, en is de aanbevolen tier voor productieservers vanwege de uitgebreide detectie- en responsmogelijkheden. De kosten bedragen dertien euro per server per maand, wat een redelijke investering is gezien de uitgebreide beveiligingsfunctionaliteit die wordt geboden.

Vereisten

Voordat u Microsoft Defender for Servers Plan 2 implementeert, moet u ervoor zorgen dat alle technische en organisatorische vereisten aanwezig zijn. Deze vereisten zijn essentieel voor een succesvolle implementatie en zorgen ervoor dat de beveiligingsoplossing optimaal functioneert binnen uw Azure-omgeving. Het niet voldoen aan deze vereisten kan leiden tot implementatiefouten, onvolledige beveiligingsdekking of complianceproblemen. Daarom is het belangrijk om alle vereisten zorgvuldig te controleren voordat u begint met de implementatie. De eerste vereiste betreft de Azure-abonnementconfiguratie. U moet beschikken over een actief Azure-abonnement met eigenaar- of bijdragerrechten. Deze rechten zijn noodzakelijk omdat de implementatie van Defender for Servers wijzigingen vereist op abonnementsniveau, waaronder het configureren van prijsstelling en het inschakelen van beveiligingsplannen. Zonder deze rechten kunt u de benodigde configuraties niet doorvoeren en zal de implementatie falen. Het is belangrijk om te verifiëren dat de gebruiker of service principal die de implementatie uitvoert over de juiste rechten beschikt, omdat onvoldoende rechten een veelvoorkomende oorzaak zijn van implementatiefouten.

Voor de technische implementatie via PowerShell is versie 5.1 of hoger vereist. PowerShell 5.1 biedt de benodigde cmdlets en functionaliteit voor het beheren van Azure-resources via de commandoregel. Nieuwere versies van PowerShell, zoals PowerShell 7 of hoger, worden ook ondersteund en bieden verbeterde prestaties en beveiligingsfuncties. Daarnaast moeten de PowerShell-modules Az.Accounts en Az.Security geïnstalleerd zijn. De Az.Accounts-module verzorgt de authenticatie en verbinding met Azure, terwijl de Az.Security-module specifieke cmdlets bevat voor het beheren van Defender for Cloud-instellingen. Deze modules kunnen worden geïnstalleerd via de PowerShell Gallery met behulp van de Install-Module-cmdlet. Het is belangrijk om regelmatig updates uit te voeren om te profiteren van de nieuwste functionaliteit en beveiligingspatches. Verouderde modules kunnen leiden tot compatibiliteitsproblemen of missen mogelijk nieuwe beveiligingsfuncties die zijn toegevoegd in recentere versies. Organisaties moeten een proces implementeren voor het regelmatig bijwerken van PowerShell-modules, bij voorkeur als onderdeel van een gestructureerd patchmanagementproces.

De infrastructuurvereisten omvatten Azure virtuele machines of Azure Arc-ingeschakelde servers. Azure Arc maakt het mogelijk om on-premises servers en servers in andere cloudomgevingen te beheren alsof het Azure-resources zijn. Dit is bijzonder waardevol voor organisaties met hybride omgevingen die servers hebben die niet direct in Azure draaien. Voor deze servers moet eerst de Azure Arc-agent worden geïnstalleerd voordat Defender for Servers kan worden geactiveerd. De Azure Arc-agent maakt het mogelijk om deze servers te beheren via de Azure Portal en Azure-beheer-API's, waardoor ze kunnen profiteren van dezelfde beveiligingsoplossingen als native Azure-resources. Daarnaast moet Microsoft Defender voor Cloud reeds zijn ingeschakeld op het abonnement, omdat Defender for Servers een onderdeel vormt van deze bredere beveiligingsoplossing. Microsoft Defender voor Cloud biedt de basisinfrastructuur en configuratie die nodig zijn voor Defender for Servers om correct te functioneren. Zonder deze basisconfiguratie zal Defender for Servers niet kunnen worden geactiveerd of zal het niet correct functioneren.

Financiële overwegingen vormen een belangrijk aspect van de implementatie. Microsoft Defender for Servers Plan 2 kost dertien euro per server per maand en biedt de volledige suite van beveiligingsfuncties, inclusief Microsoft Defender for Endpoint-integratie, agentloze kwetsbaarheidsscanning en adaptieve applicatiecontroles. Plan 1 kost vijf euro per server per maand maar mist de geavanceerde endpointdetectie- en responscapaciteiten van Microsoft Defender for Endpoint. Voor productieomgevingen wordt Plan 2 sterk aanbevolen vanwege de uitgebreide detectie- en responsmogelijkheden die essentieel zijn voor het beschermen tegen moderne bedreigingen. Organisaties moeten een budgetplanning opstellen die rekening houdt met het aantal servers dat moet worden beveiligd en de verwachte groei van de infrastructuur. Het is belangrijk om ook rekening te houden met de kosten van Log Analytics-werkruimten, omdat deze kosten kunnen oplopen bij grote omgevingen met veel servers. Daarnaast moeten organisaties overwegen of er volume-licenties of enterprise-overeenkomsten beschikbaar zijn die de kosten kunnen verlagen. Het is raadzaam om een kostenanalyse uit te voeren voordat u begint met de implementatie, zodat u een duidelijk beeld hebt van de totale kosten van eigendom.

Een Log Analytics-werkruimte is vereist voor gegevensverzameling en -analyse. Deze werkruimte fungeert als centrale opslaglocatie voor beveiligingsgebeurtenissen, waarschuwingen en telemetriegegevens die door Defender for Servers worden gegenereerd. De werkruimte maakt geavanceerde query's en analyses mogelijk via Kusto Query Language, waardoor beveiligingsteams proactief kunnen zoeken naar bedreigingen en anomalieën. Het is belangrijk om de retentieperiode en de geografische locatie van de werkruimte zorgvuldig te configureren, rekening houdend met compliancevereisten zoals de AVG, die specifieke eisen stelt aan de opslag en verwerking van gegevens. De retentieperiode bepaalt hoe lang gegevens beschikbaar blijven voor analyse en moet worden afgestemd op de compliancevereisten van de organisatie. De geografische locatie is belangrijk voor organisaties die moeten voldoen aan gegevensresidencievereisten, zoals die worden gesteld door de AVG of nationale wetgeving. Organisaties moeten ook overwegen om meerdere werkruimten te gebruiken voor verschillende omgevingen of geografische regio's, afhankelijk van hun architectuur en compliancevereisten.

Implementatie

De implementatie van Microsoft Defender for Servers Plan 2 kan worden uitgevoerd via de Azure Portal of via PowerShell. Beide methoden zijn effectief, maar de keuze hangt af van uw voorkeur voor grafische interfaces versus geautomatiseerde scripts. De Azure Portal-methode biedt een gebruiksvriendelijke interface die geschikt is voor eenmalige implementaties of wanneer u visuele bevestiging wilt van de configuratie. Deze methode is ideaal voor organisaties die nog niet veel ervaring hebben met PowerShell of die een visuele bevestiging willen van de configuratie voordat deze wordt toegepast. PowerShell biedt daarentegen meer flexibiliteit voor geautomatiseerde implementaties en is ideaal voor organisaties die Infrastructure as Code principes volgen. PowerShell-implementaties kunnen worden geïntegreerd in CI/CD-pipelines, waardoor consistentie wordt gegarandeerd en menselijke fouten worden geminimaliseerd. Daarnaast maakt PowerShell het mogelijk om implementaties te herhalen en te documenteren, wat belangrijk is voor compliance en auditing doeleinden.

Voor implementatie via de Azure Portal navigeert u naar Microsoft Defender voor Cloud en selecteert u Environment settings. Hier kiest u het abonnement waarop u Defender for Servers wilt activeren. Het is belangrijk om het juiste abonnement te selecteren, omdat de implementatie alleen van toepassing is op het geselecteerde abonnement. Als u meerdere abonnementen hebt, moet u de implementatie herhalen voor elk abonnement dat u wilt beveiligen. Vervolgens opent u de sectie Defender plans, waar u alle beschikbare beveiligingsplannen ziet. Schakel de optie 'servers' in en selecteer Plan 2, dat wordt aanbevolen omdat het Microsoft Defender for Endpoint-integratie en alle geavanceerde functies bevat. Plan 2 biedt aanzienlijk meer beveiligingsfunctionaliteit dan Plan 1, waaronder geavanceerde endpointdetectie- en responscapaciteiten die essentieel zijn voor het beschermen tegen moderne bedreigingen. Na het opslaan van de wijzigingen duurt het vijf tot vijftien minuten voordat de implementatie is voltooid. Gedurende deze tijd worden de benodigde agents en configuraties automatisch geïnstalleerd op de virtuele machines binnen het abonnement. Het is belangrijk om te wachten tot de implementatie is voltooid voordat u wijzigingen aanbrengt of de configuratie controleert, omdat dit kan leiden tot onverwachte resultaten.

Auto-provisioning is een kritieke configuratie die ervoor zorgt dat de Log Analytics-agent of Azure Monitor Agent automatisch wordt geïnstalleerd op nieuwe virtuele machines. Deze functionaliteit moet worden ingeschakeld in de Defender voor Cloud-instellingen onder Auto provisioning. Wanneer auto-provisioning is geactiveerd, worden nieuwe virtuele machines automatisch beveiligd zodra ze worden gemaakt, zonder handmatige interventie. Dit is essentieel voor het handhaven van een consistente beveiligingspostuur in dynamische cloudomgevingen waar regelmatig nieuwe resources worden toegevoegd. Zonder auto-provisioning zouden nieuwe virtuele machines onbeschermd blijven totdat handmatig agents worden geïnstalleerd, wat een significant beveiligingsrisico vormt. Auto-provisioning zorgt ervoor dat alle nieuwe virtuele machines onmiddellijk worden beschermd, waardoor het risico op onbeschermde systemen wordt geminimaliseerd. Organisaties moeten ervoor zorgen dat auto-provisioning is ingeschakeld voor alle relevante agenttypen, inclusief de Log Analytics-agent en de Azure Monitor Agent, afhankelijk van hun voorkeur en architectuur.

Microsoft Defender for Endpoint-integratie wordt automatisch geactiveerd na enkele uren nadat Defender for Servers Plan 2 is ingeschakeld. Deze integratie verbindt uw Azure-servers met de Microsoft Defender for Endpoint-cloudservice, waardoor geavanceerde endpointdetectie- en responscapaciteiten beschikbaar komen. De integratie vereist geen aanvullende configuratie, maar u moet ervoor zorgen dat de servers uitgaande internetverbinding hebben naar de Microsoft Defender for Endpoint-service-eindpunten. Firewallregels moeten worden geconfigureerd om verkeer naar deze eindpunten toe te staan. Het is belangrijk om te controleren of de firewallregels correct zijn geconfigureerd, omdat geblokkeerd verkeer kan leiden tot een mislukte integratie of onvolledige beveiligingsdekking. Organisaties moeten de Microsoft-documentatie raadplegen voor de meest actuele lijst van vereiste eindpunten, omdat deze kunnen veranderen naarmate de service evolueert. Daarnaast moeten organisaties overwegen om netwerkverkeer te monitoren om te verifiëren dat de integratie correct functioneert en dat er geen onverwacht geblokkeerd verkeer is.

Voor geautomatiseerde implementatie via PowerShell gebruikt u de cmdlet Set-AzSecurityPricing met de parameters -Name 'VirtualMachines', -PricingTier 'Standard' en -SubPlan 'P2'. Deze cmdlet configureert het abonnement om Defender for Servers Plan 2 te gebruiken voor alle virtuele machines. Het is belangrijk om eerst verbinding te maken met Azure met behulp van Connect-AzAccount en het juiste abonnement te selecteren met Select-AzSubscription. Zonder deze stappen kan de cmdlet falen of kan de configuratie worden toegepast op het verkeerde abonnement. Voor hybride omgevingen met on-premises servers of servers in andere cloudomgevingen moet eerst de Azure Arc-agent worden geïnstalleerd voordat Defender for Servers kan worden geactiveerd. De Azure Arc-agent maakt het mogelijk om deze servers te beheren alsof het Azure-resources zijn, waardoor ze kunnen profiteren van dezelfde beveiligingsoplossingen. De Azure Arc-agent moet worden geïnstalleerd en geconfigureerd voordat Defender for Servers kan worden geactiveerd, omdat de agent de verbinding vormt tussen de on-premises servers en de Azure-beheerservices. Organisaties moeten ervoor zorgen dat de Azure Arc-agent correct is geconfigureerd en dat de servers kunnen communiceren met de Azure-services voordat ze proberen Defender for Servers te activeren.

Gebruik PowerShell-script defender-servers-on.ps1 (functie Invoke-Remediation) – Automatische activering van Defender voor servers Plan 2 op alle ingeschakeld subscriptions.

Monitoring

Effectieve monitoring van Microsoft Defender for Servers is essentieel om te verzekeren dat de beveiligingsoplossing correct is geconfigureerd en actief bescherming biedt. Monitoring omvat het regelmatig controleren van de prijsstelling, het verificeren van de planconfiguratie en het bewaken van de status van agents en integraties. Deze activiteiten moeten worden uitgevoerd als onderdeel van een gestructureerd beveiligingsbeheerproces dat ervoor zorgt dat alle servers adequaat worden beschermd. Zonder regelmatige monitoring kunnen configuratiefouten onopgemerkt blijven, wat kan leiden tot onbeschermde servers of onvolledige beveiligingsdekking. Organisaties moeten een monitoringproces implementeren dat regelmatig controleert of Defender for Servers correct is geconfigureerd en actief is op alle servers. Dit proces moet worden gedocumenteerd en geïntegreerd in het algemene beveiligingsbeheerproces van de organisatie.

De primaire monitoringmethode voor Defender for Servers is het gebruik van de PowerShell-cmdlet Get-AzSecurityPricing met de parameter -Name 'VirtualMachines'. Deze cmdlet retourneert gedetailleerde informatie over de huidige prijsstelling en het plan dat is geconfigureerd voor virtuele machines. De output toont of de prijsstelling is ingesteld op 'Standard' en welk subplan actief is, waarbij 'P2' aangeeft dat Plan 2 is geactiveerd. Regelmatige controles moeten worden uitgevoerd om te verifiëren dat de configuratie niet onbedoeld is gewijzigd, wat kan gebeuren als gevolg van handmatige wijzigingen of geautomatiseerde scripts die niet correct zijn geconfigureerd. Het is belangrijk om deze controles te automatiseren waar mogelijk, omdat handmatige controles tijdrovend zijn en foutgevoelig kunnen zijn. Organisaties kunnen Azure Monitor-waarschuwingen configureren die worden geactiveerd wanneer de configuratie wordt gewijzigd, waardoor ze onmiddellijk worden gewaarschuwd wanneer er wijzigingen optreden. Daarnaast kunnen organisaties regelmatige rapporten genereren die de configuratiestatus documenteren voor compliance en auditing doeleinden.

Naast het controleren van de prijsstelling moet ook de status van de Microsoft Defender for Endpoint-integratie worden gemonitord. Deze integratie is cruciaal voor de geavanceerde endpointdetectie- en responscapaciteiten en moet actief zijn op alle servers. De integratiestatus kan worden gecontroleerd via de Azure Portal in de Defender voor Cloud-interface, waar u per server kunt zien of de Microsoft Defender for Endpoint-agent correct is geïnstalleerd en verbonden. Het is belangrijk om regelmatig te controleren of alle servers correct zijn geïntegreerd, omdat een mislukte integratie kan leiden tot onvolledige beveiligingsdekking. Daarnaast moeten beveiligingsteams regelmatig de beveiligingswaarschuwingen en incidenten controleren die door Defender for Servers worden gegenereerd, omdat deze indicatoren zijn van de effectiviteit van de beveiligingsoplossing. Een toename van waarschuwingen kan duiden op een toename van bedreigingen of op een probleem met de configuratie. Organisaties moeten een proces implementeren voor het analyseren en reageren op deze waarschuwingen, waarbij prioriteit wordt gegeven aan kritieke bedreigingen die onmiddellijke aandacht vereisen.

Het monitoren van agentstatus vormt een fundamenteel onderdeel van het continue beveiligingsbeheerproces binnen Azure-omgevingen. De Log Analytics-agent of Azure Monitor Agent moet actief en correct functionerend zijn op alle virtuele machines om uitgebreide gegevensverzameling en -analyse mogelijk te maken. Deze agents zijn verantwoordelijk voor het verzamelen van beveiligingsgebeurtenissen, prestatiegegevens en telemetrie-informatie die essentieel zijn voor het detecteren van bedreigingen en het analyseren van beveiligingsincidenten. Wanneer agents niet correct functioneren of niet actief zijn, ontstaan er blinde vlekken in de beveiligingsdekking die aanvallers kunnen uitbuiten om bedreigingen te introduceren zonder gedetecteerd te worden. Deze blinde vlekken vormen een kritiek beveiligingsrisico omdat organisaties niet langer volledig inzicht hebben in wat er gebeurt binnen hun infrastructuur. Agentproblemen kunnen verschillende oorzaken hebben, waaronder netwerkconnectiviteitsproblemen, firewallconfiguratieproblemen, verouderde agentversies of configuratiefouten die de communicatie tussen de agent en de Azure-beheerservices blokkeren. Het is essentieel dat organisaties een gestructureerd monitoringproces implementeren dat regelmatig controleert of alle agents correct functioneren en dat problemen snel worden geïdentificeerd en opgelost. Regelmatige controles moeten systematisch worden uitgevoerd om servers te identificeren die mogelijk problemen hebben met agentcommunicatie of configuratie. Deze controles moeten niet alleen kijken naar of de agent actief is, maar ook naar de kwaliteit van de gegevens die worden verzameld, de latentie van gegevensoverdracht en eventuele foutmeldingen in de agentlogboeken. Geautomatiseerde monitoringoplossingen kunnen deze controles aanzienlijk efficiënter maken door Azure Monitor-waarschuwingen te configureren die automatisch worden geactiveerd wanneer agents niet reageren, wanneer er abnormale patronen worden gedetecteerd in de agentcommunicatie of wanneer er onverwachte configuratiewijzigingen worden geïdentificeerd. Deze geautomatiseerde waarschuwingen maken het mogelijk om snel te reageren op problemen voordat ze leiden tot significante beveiligingsrisico's. Organisaties moeten ook regelmatige gezondheidscontroles uitvoeren die de status van alle agents verifiëren en potentiële problemen identificeren voordat ze kritiek worden. Deze gezondheidscontroles moeten een breed scala aan aspecten omvatten, waaronder de versie van de geïnstalleerde agent, de configuratie-instellingen, de netwerkconnectiviteit naar Azure-eindpunten en de kwaliteit van de verzamelde gegevens. Daarnaast moeten organisaties een gedocumenteerd proces implementeren voor het oplossen van agentproblemen, waarbij duidelijk is wie verantwoordelijk is voor het identificeren en oplossen van problemen, welke escalatieprocedures moeten worden gevolgd en welke specifieke stappen moeten worden ondernomen wanneer een agent niet correct functioneert. Dit proces moet ook procedures bevatten voor het herstellen van agents die zijn gecrasht, het opnieuw installeren van agents die beschadigd zijn en het oplossen van netwerkconnectiviteitsproblemen die de agentcommunicatie blokkeren. Het is belangrijk dat alle betrokkenen, inclusief IT-beheerders, security-analisten en systeembeheerders, bekend zijn met dit proces en weten hoe ze moeten reageren wanneer agentproblemen worden gedetecteerd.

Gebruik PowerShell-script defender-servers-on.ps1 (functie Invoke-Monitoring) – Controleert Defender voor servers pricing tier en plan level met Get-AzSecurityPricing -Name 'VirtualMachines'.

Remediatie

Wanneer monitoring aangeeft dat Microsoft Defender for Servers niet correct is geconfigureerd of niet actief is, moeten onmiddellijk remediatiestappen worden ondernomen. Remediatie omvat het activeren of herconfigureren van Defender for Servers om ervoor te zorgen dat alle servers adequaat worden beschermd. Het is belangrijk om snel te handelen wanneer configuratiefouten worden gedetecteerd, omdat onbeschermde servers een significant beveiligingsrisico vormen voor de organisatie. Elke minuut dat een server onbeschermd is, verhoogt het risico op een succesvolle aanval, wat kan leiden tot datalekken, systeemcompromittering of andere ernstige beveiligingsincidenten. Organisaties moeten een gestructureerd remediatieproces implementeren dat duidelijk definieert wanneer remediatie moet worden uitgevoerd, wie verantwoordelijk is voor het uitvoeren van remediatie, en welke stappen moeten worden ondernomen. Dit proces moet worden gedocumenteerd en regelmatig worden getest om ervoor te zorgen dat het effectief is en dat alle betrokkenen weten wat ze moeten doen wanneer een probleem wordt gedetecteerd.

De primaire remediatiemethode voor het activeren van Defender for Servers Plan 2 is het gebruik van de PowerShell-cmdlet Set-AzSecurityPricing met de parameters -Name 'VirtualMachines', -PricingTier 'Standard' en -SubPlan 'P2'. Deze cmdlet configureert het abonnement om Plan 2 te gebruiken voor alle virtuele machines, waardoor de volledige suite van beveiligingsfuncties wordt geactiveerd. Het is belangrijk om te verifiëren dat u de juiste rechten hebt voordat u deze cmdlet uitvoert, omdat wijzigingen op abonnementsniveau eigenaar- of bijdragerrechten vereisen. Zonder deze rechten zal de cmdlet falen en zal de remediatie niet worden uitgevoerd. Organisaties moeten ervoor zorgen dat de gebruiker of service principal die de remediatie uitvoert over de juiste rechten beschikt, en moeten overwegen om deze rechten te documenteren als onderdeel van het remediatieproces. Daarnaast moeten organisaties overwegen om de remediatie te automatiseren waar mogelijk, omdat dit de tijd tussen detectie en remediatie kan verkorten en menselijke fouten kan minimaliseren.

Na het uitvoeren van de remediatiecmdlet moet u wachten tot de implementatie is voltooid, wat doorgaans vijf tot vijftien minuten duurt. Gedurende deze tijd worden de benodigde agents en configuraties automatisch geïnstalleerd op de virtuele machines. Het is belangrijk om geduldig te zijn tijdens dit proces en niet te proberen om de implementatie te onderbreken of aanvullende wijzigingen aan te brengen, omdat dit kan leiden tot onvolledige of inconsistente configuraties. Het is raadzaam om na de implementatie een verificatiecontrole uit te voeren met behulp van de Get-AzSecurityPricing-cmdlet om te bevestigen dat de configuratie correct is toegepast. Deze verificatie moet worden uitgevoerd voor alle abonnementen waarop remediatie is toegepast, om ervoor te zorgen dat de configuratie consistent is. Als er problemen optreden tijdens de implementatie, controleer dan de Azure-activiteitenlogboeken voor gedetailleerde foutmeldingen die kunnen helpen bij het identificeren van de oorzaak. Deze logboeken bevatten waardevolle informatie over wat er is misgegaan en kunnen helpen bij het oplossen van problemen.

Voor servers waar de agent niet correct functioneert, zijn vaak aanvullende remediatiestappen noodzakelijk om ervoor te zorgen dat de beveiligingsdekking volledig wordt hersteld. Deze situaties vereisen een systematische aanpak waarbij eerst de oorzaak van het probleem wordt geïdentificeerd voordat de juiste remediatiemaatregelen kunnen worden genomen. Het opnieuw installeren van de Log Analytics-agent of Azure Monitor Agent is een veelvoorkomende remediatiestap die wordt uitgevoerd wanneer de agent beschadigd is, niet meer reageert of niet correct functioneert. Tijdens het opnieuw installeren moet eerst de oude agent volledig worden verwijderd, inclusief alle configuratiebestanden en registervermeldingen, om te voorkomen dat er conflicten ontstaan met de nieuwe installatie. Na het verwijderen van de oude agent kan de nieuwe agent worden geïnstalleerd en geconfigureerd met de juiste werkruimte-ID en primaire sleutel. Het is belangrijk om na de installatie te verifiëren dat de agent correct is geconfigureerd en dat de communicatie met de Azure-beheerservices is hersteld. Netwerkconnectiviteitsproblemen vormen een andere veelvoorkomende oorzaak van agentproblemen en vereisen vaak een diepere analyse van de netwerkconfiguratie. Deze problemen kunnen worden veroorzaakt door firewallregels die uitgaand verkeer blokkeren, proxy-instellingen die niet correct zijn geconfigureerd of netwerkbeperkingen die de communicatie met Azure-eindpunten verhinderen. Het oplossen van deze problemen vereist vaak het aanpassen van firewallregels om uitgaand verkeer naar de vereiste service-eindpunten toe te staan, het configureren van proxy-instellingen voor de agent of het aanpassen van netwerkroutering om ervoor te zorgen dat de agent de Azure-beheerservices kan bereiken. In sommige gevallen kan het nodig zijn om de netwerkbeheerder te raadplegen om ervoor te zorgen dat de vereiste netwerkconnectiviteit beschikbaar is. Het is essentieel dat organisaties een gestructureerd probleemoplossingsproces implementeren dat systematisch alle mogelijke oorzaken onderzoekt voordat complexere oplossingen worden overwogen. Dit proces moet beginnen met het controleren van de meest voorkomende oorzaken, zoals netwerkconnectiviteitsproblemen of verkeerd geconfigureerde firewallregels, voordat meer complexe problemen zoals agentbeschadiging of configuratiefouten worden onderzocht. Door deze systematische aanpak te volgen, kunnen organisaties tijd en middelen besparen en ervoor zorgen dat problemen snel en effectief worden opgelost. Organisaties moeten een uitgebreide kennisbank bijhouden met veelvoorkomende agentproblemen en hun bijbehorende oplossingen, zodat beheerders snel kunnen reageren wanneer problemen optreden zonder telkens opnieuw het wiel uit te vinden. Deze kennisbank moet worden bijgewerkt op basis van nieuwe ervaringen en moet regelmatig worden gereviewed om ervoor te zorgen dat de oplossingen nog steeds relevant en effectief zijn. Daarnaast moeten organisaties overwegen om automatische remediatie te implementeren voor veelvoorkomende problemen, zoals het automatisch opnieuw installeren van agents wanneer deze niet reageren gedurende een bepaalde periode. Deze geautomatiseerde remediatie kan de tijd tussen detectie en oplossing aanzienlijk verkorten en kan helpen om ervoor te zorgen dat alle servers continu worden beschermd, zelfs wanneer er problemen optreden met individuele agents.

Gebruik PowerShell-script defender-servers-on.ps1 (functie Invoke-Remediation) – Activeert Defender voor servers Plan 2 met Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard' -SubPlan 'P2'.

Compliance en Auditing

Microsoft Defender for Servers Plan 2 speelt een cruciale rol bij het voldoen aan verschillende internationale en nationale beveiligingsstandaarden en compliancevereisten. De implementatie van deze beveiligingsoplossing helpt organisaties te voldoen aan de eisen van meerdere frameworks die zijn ontworpen om cybersecurity-risico's te beheersen en te verminderen. Het is belangrijk om te begrijpen hoe Defender for Servers bijdraagt aan elke specifieke compliancevereiste, zodat organisaties hun beveiligingspostuur kunnen aantonen tijdens audits en assessments. Compliance is niet alleen een kwestie van het implementeren van technische controles, maar vereist ook dat organisaties kunnen aantonen dat deze controles effectief zijn en regelmatig worden gemonitord. Defender for Servers biedt uitgebreide logging- en auditmogelijkheden die organisaties helpen bij het documenteren van hun beveiligingsmaatregelen en het aantonen van compliance tijdens audits. Organisaties moeten ervoor zorgen dat ze regelmatig compliance-assessments uitvoeren om te verifiëren dat ze blijven voldoen aan de vereisten van de verschillende frameworks.

De CIS Azure Foundations Benchmark versie 3.0.0 bevat controle 2.1.2, die specifiek vereist dat Microsoft Defender voor servers is ingeschakeld. Deze controle maakt deel uit van de Identity and Access Management-sectie en is geclassificeerd als Level 2, wat betekent dat het wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. De CIS Benchmark is een internationaal erkende set van best practices voor cloudbeveiliging en wordt veel gebruikt door organisaties die hun Azure-omgevingen willen beveiligen. Het naleven van deze controle is essentieel voor organisaties die de CIS Benchmark als basis gebruiken voor hun beveiligingsconfiguratie. Organisaties die de CIS Benchmark volgen, moeten regelmatig assessments uitvoeren om te verifiëren dat ze blijven voldoen aan alle controles, inclusief controle 2.1.2. Defender for Servers biedt de benodigde functionaliteit om te voldoen aan deze controle, en de implementatie kan worden geverifieerd met behulp van de Get-AzSecurityPricing-cmdlet. Organisaties moeten ervoor zorgen dat ze documentatie bijhouden die aantoont dat Defender for Servers is geïmplementeerd en actief is, omdat dit vereist is tijdens CIS Benchmark-assessments.

ISO 27001 is een internationale standaard voor informatiebeveiligingsmanagementsystemen die organisaties helpt bij het beheren van beveiligingsrisico's. De controles A.12.2.1 en A.12.6.1 zijn relevant voor Microsoft Defender for Servers. Controle A.12.2.1 betreft de bescherming tegen malware en vereist dat organisaties detectie- en preventiemaatregelen implementeren. Defender for Servers biedt geavanceerde malwarebescherming via Microsoft Defender for Endpoint-integratie, die real-time detectie en respons biedt tegen bekende en onbekende bedreigingen. Deze functionaliteit helpt organisaties te voldoen aan de vereisten van controle A.12.2.1 door uitgebreide malwarebescherming te bieden die verder gaat dan traditionele signature-based antivirusoplossingen. Controle A.12.6.1 betreft het beheer van technische kwetsbaarheden en vereist dat organisaties informatie over technische kwetsbaarheden van informatiesystemen tijdig verkrijgen, evalueren en passende maatregelen nemen. Defender for Servers biedt agentloze kwetsbaarheidsscanning en Threat and Vulnerability Management, die organisaties helpen bij het identificeren en beheren van beveiligingslekken. Deze functionaliteit helpt organisaties te voldoen aan de vereisten van controle A.12.6.1 door proactieve kwetsbaarheidsbeheer te bieden. Organisaties die ISO 27001-certificering nastreven, moeten kunnen aantonen dat ze effectieve beveiligingsmaatregelen hebben geïmplementeerd, en Defender for Servers biedt de benodigde functionaliteit en documentatie om dit te ondersteunen.

De NIS2-richtlijn is Europese wetgeving die gericht is op het verhogen van het cybersecurity-niveau binnen de Europese Unie. Artikel 21 van NIS2 vereist dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen. Microsoft Defender for Servers draagt bij aan deze vereiste door geavanceerde endpointdetectie en -respons te bieden, wat essentieel is voor het detecteren en reageren op beveiligingsdreigingen. Organisaties die onder NIS2 vallen, moeten kunnen aantonen dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd, en Defender for Servers biedt de benodigde functionaliteit en documentatie om deze compliance te ondersteunen. NIS2 vereist ook dat organisaties incidenten melden aan de bevoegde autoriteiten, en Defender for Servers biedt uitgebreide logging- en rapportagemogelijkheden die organisaties helpen bij het documenteren van beveiligingsincidenten. Organisaties moeten ervoor zorgen dat ze een proces hebben voor het melden van incidenten aan de bevoegde autoriteiten, en dat dit proces is geïntegreerd met hun Defender for Servers-implementatie.

De Algemene Verordening Gegevensbescherming is Europese privacywetgeving die specifieke eisen stelt aan de beveiliging van persoonsgegevens. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, verlies of vernietiging. Microsoft Defender for Servers helpt organisaties te voldoen aan deze vereiste door geavanceerde beveiligingsmonitoring en -detectie te bieden die helpt bij het identificeren van ongeautoriseerde toegangspogingen en beveiligingsincidenten. Daarnaast biedt de oplossing logging- en auditmogelijkheden die organisaties helpen bij het documenteren van beveiligingsmaatregelen, wat belangrijk is voor het aantonen van AVG-compliance tijdens audits. De AVG vereist ook dat organisaties datalekken melden aan de toezichthoudende autoriteit en betrokkenen, en Defender for Servers kan helpen bij het detecteren van datalekken door ongeautoriseerde toegangspogingen te identificeren. Organisaties moeten ervoor zorgen dat ze een proces hebben voor het melden van datalekken, en dat dit proces is geïntegreerd met hun Defender for Servers-implementatie. Daarnaast moeten organisaties ervoor zorgen dat de gegevens die door Defender for Servers worden verzameld en opgeslagen, voldoen aan de AVG-vereisten voor gegevensbescherming, inclusief gegevensresidencievereisten en gegevensminimalisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Servers (Alternative Check) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.2 Alternative implementation voor Defender for Servers check. .NOTES Filename: defender-servers-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.2 NOTE: Duplicate van defender-for-servers-enabled.ps1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for Servers" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Servers (Alternative Check) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.2 Alternative implementation voor Defender for Servers check. .NOTES Filename: defender-servers-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.2 NOTE: Duplicate van defender-for-servers-enabled.ps1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for Servers" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { } return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } " throw } } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { } return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Servers (Alternative Check) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.2 Alternative implementation voor Defender for Servers check. .NOTES Filename: defender-servers-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.2 NOTE: Duplicate van defender-for-servers-enabled.ps1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for Servers" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { } return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } " throw } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } Write-Host "[INFO] Monitoring check wordt uitgevoerd..." -ForegroundColor Cyan # TODO: Implementeer monitoring logica Write-Host "[OK] Monitoring check completed" -ForegroundColor Green } catch { Write-Error "Monitoring failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
Critical: Ransomware, malware, credentialdiefstal en zero-day exploits blijven ongedetecteerd zonder Defender for Servers. Gemiddelde ransomwarekosten: twee tot vijf miljoen euro. Compliance: CIS 2.1.2, BIO 12.02, NIS2. Het risico is kritiek voor productievirtuele machines.

Management Samenvatting

Alternatieve verificatie voor Defender for Servers (CIS 2.1.2). Zie defender-for-servers-enabled.json voor volledige implementatie. Plan 2 aanbevolen: endpointdetectie en -respons plus kwetsbaarheidsscanning plus bestandsintegriteitsbewaking plus just-in-time-toegang. Kosten: dertien euro per virtuele machine per maand. Verplicht voor productieservers.