BIO 16.01 ISO A.5.7

Microsoft Defender Voor Cloud: Bedreigingsinformatie Configureren

📅 2025-01-15
⏱️ 15 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Bedreigingsinformatie in Microsoft Defender voor Cloud biedt organisaties toegang tot actuele informatie over bekende bedreigingen, indicatoren van compromittering en aanvalspatronen die worden gebruikt door cybercriminelen, waardoor beveiligingsteams proactief kunnen reageren op bekende bedreigingen voordat deze schade kunnen aanrichten binnen de Azure-omgeving.

Aanbeveling
VERIFIEER AUTOMATISCH INGESCHAKELD
Risico zonder
Medium
Risk Score
6/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
Azure

Zonder geïntegreerde bedreigingsinformatie beschikken organisaties niet over de context en kennis die nodig zijn om bekende bedreigingsindicatoren te herkennen en te interpreteren wanneer deze worden gedetecteerd binnen hun Azure-omgeving. Deze kennis is essentieel omdat moderne cyberaanvallen vaak gebruikmaken van bekende technieken, tools en infrastructuren die al eerder zijn geïdentificeerd door beveiligingsonderzoekers en bedreigingsinformatie-providers. Wanneer organisaties geen toegang hebben tot deze informatie, kunnen zij niet effectief reageren op bekende bedreigingen, zelfs wanneer deze worden gedetecteerd door beveiligingssystemen. Dit gebrek aan context kan leiden tot vertraagde respons, onjuiste prioritering van incidenten en gemiste kansen om aanvallen te voorkomen voordat deze kritieke systemen compromitteren. Bedreigingsinformatie helpt organisaties om de intentie, capaciteiten en tactieken van aanvallers te begrijpen, waardoor zij hun verdedigingsstrategieën kunnen aanpassen aan specifieke bedreigingen die relevant zijn voor hun sector, geografische locatie of organisatietype. Voor Nederlandse overheidsorganisaties is bedreigingsinformatie met name belangrijk omdat zij vaak doelwit zijn van geavanceerde persistent threats en state-sponsored aanvallen die gebruikmaken van specifieke technieken en infrastructuren die bekend zijn bij beveiligingsonderzoekers. Zonder toegang tot deze informatie kunnen organisaties niet effectief verdedigen tegen deze gerichte aanvallen, wat kan leiden tot compromittering van gevoelige overheidsgegevens, verstoring van kritieke dienstverlening en schade aan het vertrouwen van burgers in de digitale overheid. Bedreigingsinformatie is ook essentieel voor het voldoen aan compliance-vereisten zoals vastgelegd in de Baseline Informatiebeveiliging Overheid, die expliciet vereist dat organisaties beschikken over actuele informatie over bedreigingen en kwetsbaarheden. Het ontbreken van adequate bedreigingsinformatie kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in toezichtsancties, reputatieschade en juridische aansprakelijkheid. Daarnaast helpt bedreigingsinformatie organisaties om hun beveiligingsinvesteringen te optimaliseren door te focussen op bedreigingen die het meest relevant zijn voor hun specifieke situatie, waardoor beperkte beveiligingsbudgetten effectiever worden ingezet en de algehele beveiligingspostuur wordt verbeterd.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Microsoft Defender voor Cloud integreert bedreigingsinformatie uit verschillende bronnen, waaronder Microsoft Threat Intelligence, open-source bedreigingsinformatie-feeds en aangepaste bedreigingsinformatie die door organisaties zelf wordt geconfigureerd. Deze geïntegreerde aanpak zorgt ervoor dat beveiligingsteams toegang hebben tot een uitgebreide set bedreigingsindicatoren, waaronder kwaadaardige IP-adressen, domeinen, bestandshashes, URL's en andere indicatoren van compromittering die worden gebruikt door bekende bedreigingsactoren. De bedreigingsinformatie wordt automatisch gekoppeld aan beveiligingswaarschuwingen die worden gegenereerd door Defender voor Cloud, waardoor beveiligingsteams direct context krijgen over de bedreiging, de aanvallers en de gebruikte technieken wanneer een incident wordt gedetecteerd. Deze contextuele informatie is essentieel voor effectieve incidentrespons omdat het beveiligingsteams helpt om de ernst en urgentie van een incident te bepalen, de juiste responsacties te selecteren en de volledige omvang van een compromittering te begrijpen. Defender voor Cloud gebruikt bedreigingsinformatie om waarschuwingen te verrijken met aanvullende context, zoals informatie over de bedreigingsactoren die verantwoordelijk zijn voor de aanval, de motieven achter de aanval, de gebruikte technieken en de potentiële impact op de organisatie. Deze verrijking maakt het mogelijk voor beveiligingsteams om snel te begrijpen wat er gebeurt en welke acties moeten worden ondernomen, zonder dat zij uitgebreid onderzoek hoeven uit te voeren naar elk individueel incident. De bedreigingsinformatie wordt continu bijgewerkt met nieuwe indicatoren en inzichten, waardoor organisaties beschermd blijven tegen de nieuwste bedreigingen zonder dat zij handmatig updates hoeven te configureren of te beheren. Deze automatische bijwerking is essentieel omdat bedreigingslandschappen snel veranderen en nieuwe indicatoren dagelijks worden geïdentificeerd door beveiligingsonderzoekers wereldwijd. Organisaties kunnen ook aangepaste bedreigingsinformatie-feeds configureren die specifieke bedreigingen bevatten die relevant zijn voor hun sector, geografische locatie of organisatietype, waardoor de bedreigingsinformatie nog relevanter en bruikbaarder wordt voor hun specifieke situatie.

Vereisten

Voor het effectief gebruiken van bedreigingsinformatie in Microsoft Defender voor Cloud zijn specifieke vereisten van toepassing die essentieel zijn voor een succesvolle implementatie en optimale werking van de functionaliteit. Deze vereisten vormen de fundamentele basis voor een effectieve bedreigingsinformatie-integratie en zorgen ervoor dat organisaties volledig kunnen profiteren van de geavanceerde detectie- en responscapaciteiten die bedreigingsinformatie biedt. Het is van cruciaal belang om te begrijpen dat bedreigingsinformatie een volledig geïntegreerd onderdeel is van Azure Defender voor Cloud en niet als een aparte service wordt aangeboden. Deze architecturale keuze betekent dat de primaire vereiste het hebben van een actief Azure Defender voor Cloud-abonnement is. Azure Defender voor Cloud moet zijn ingeschakeld op het Azure-abonnement of de beheergroep waarop de bedreigingsinformatie-functionaliteit moet worden gebruikt. Zonder een actief Defender voor Cloud-abonnement is de bedreigingsinformatie-integratie volledig onbeschikbaar en kunnen organisaties geen gebruik maken van de geavanceerde detectiecapaciteiten die deze functionaliteit biedt. Deze afhankelijkheid is bewust gekozen door Microsoft om een geïntegreerde beveiligingservaring te bieden waarbij bedreigingsinformatie naadloos wordt gecombineerd met andere beveiligingsfuncties van Defender voor Cloud.

De vereisten omvatten ook de noodzakelijke toegangsrechten en rollen binnen Azure. Beheerders moeten beschikken over de juiste Azure RBAC-rollen om bedreigingsinformatie-instellingen te kunnen configureren en beheren. De rol van Beveiligingsbeheerder of Beveiligingslezer is doorgaans voldoende voor het bekijken van bedreigingsinformatie, terwijl voor het configureren van instellingen de rol van Beveiligingsbeheerder of eigenaar van het abonnement vereist is. Deze rolgebaseerde toegangscontrole zorgt ervoor dat alleen geautoriseerd personeel toegang heeft tot gevoelige beveiligingsinformatie en configuratie-instellingen, wat bijdraagt aan het principe van minimale bevoegdheden dat essentieel is voor een goede beveiligingspostuur. Organisaties moeten een proces implementeren voor het toewijzen en beheren van deze rollen, inclusief regelmatige reviews om te verifiëren dat alleen geautoriseerde personen toegang hebben tot bedreigingsinformatie-functionaliteit.

Daarnaast is het belangrijk dat de Azure-omgeving correct is geconfigureerd met de benodigde logboekregistratie en bewaking. Azure Monitor en Azure Log Analytics moeten beschikbaar zijn om de bedreigingsinformatie-gegevens te kunnen verzamelen, analyseren en rapporteren. Deze services vormen de technische basis voor het opslaan en verwerken van de bedreigingsinformatie die door Defender voor Cloud wordt verzameld en geanalyseerd. Zonder deze monitoring-infrastructuur kan bedreigingsinformatie wel worden gedetecteerd, maar kunnen organisaties geen gebruik maken van de geavanceerde analyse- en rapportagefuncties die essentieel zijn voor effectief beveiligingsbeheer. Voor organisaties die werken met meerdere Azure-abonnementen of beheergroepen is het raadzaam om te overwegen om bedreigingsinformatie-integratie centraal in te stellen via Azure Policy of via beheergroepen. Deze centrale aanpak zorgt voor consistente configuratie binnen de gehele organisatie en vereenvoudigt het beheer en de bewaking van de bedreigingsinformatie-functionaliteit aanzienlijk. Bovendien maakt centrale configuratie het mogelijk om compliance-vereisten uniform toe te passen en te verifiëren, wat met name belangrijk is voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte beveiligingsstandaarden.

Het is ook belangrijk om te vermelden dat bedreigingsinformatie-integratie automatisch wordt ingeschakeld wanneer Azure Defender voor Cloud wordt geactiveerd. Dit betekent dat organisaties geen aanvullende configuratiestappen hoeven uit te voeren om de functionaliteit te activeren, maar wel moeten verifiëren dat deze daadwerkelijk actief is en correct functioneert binnen hun omgeving. Deze automatische activering is een bewuste keuze van Microsoft om ervoor te zorgen dat alle organisaties die Defender voor Cloud gebruiken direct profiteren van bedreigingsinformatie zonder extra configuratie-inspanning. Echter, verificatie blijft essentieel omdat technische problemen of configuratiefouten kunnen voorkomen dat de functionaliteit daadwerkelijk operationeel is, zelfs wanneer deze theoretisch zou moeten werken. Organisaties moeten daarom regelmatig controleren of bedreigingsinformatie correct wordt verwerkt en of waarschuwingen worden gegenereerd op basis van bekende bedreigingsindicatoren.

Monitoring

Gebruik PowerShell-script defender-threat-intelligence.ps1 (functie Invoke-Monitoring) – Controleren.

Bedreigingsinformatie is volledig ingebouwd in Defender voor Cloud en vormt een essentieel onderdeel van de beveiligingsbewaking binnen Azure-omgevingen. Het bewaken van bedreigingsinformatie-integratie is cruciaal voor organisaties om te verzekeren dat de beveiligingsdetectie optimaal functioneert en dat bekende bedreigingsindicatoren effectief worden geïdentificeerd en gemeld. Bewaking omvat verschillende complexe aspecten, waaronder het verifiëren van de activatiestatus van bedreigingsinformatie, het analyseren van gegenereerde waarschuwingen, en het evalueren van de effectiviteit van de detectiecapaciteiten. Deze multidimensionale aanpak van bewaking is essentieel omdat bedreigingsinformatie alleen waarde heeft wanneer deze correct functioneert en daadwerkelijk bijdraagt aan de beveiligingsdoelstellingen van de organisatie. Organisaties moeten regelmatig controleren of bedreigingsinformatie-integratie actief is binnen hun Azure Defender voor Cloud-omgeving. Dit kan worden gedaan via de Azure-portal, waar beheerders de status van bedreigingsinformatie kunnen bekijken in het Defender voor Cloud-dashboard. Deze verificatie is niet alleen een eenmalige activiteit, maar moet deel uitmaken van een continue bewakingsstrategie die ervoor zorgt dat de functionaliteit op elk moment operationeel is. De bewaking moet periodiek worden uitgevoerd, bij voorkeur wekelijks of maandelijks, afhankelijk van de beveiligingsvereisten en het risicoprofiel van de organisatie. Voor organisaties met een hoog risicoprofiel of die werken met zeer gevoelige gegevens, zoals Nederlandse overheidsorganisaties, is wekelijkse verificatie aan te bevelen. Voor organisaties met een lager risicoprofiel kan maandelijkse verificatie voldoende zijn, mits er geautomatiseerde monitoring is ingericht die onmiddellijk waarschuwt bij problemen.

Het is belangrijk om te begrijpen dat bedreigingsinformatie-integratie automatisch wordt ingeschakeld wanneer Azure Defender voor Cloud wordt geactiveerd, maar organisaties moeten verifiëren dat deze functionaliteit daadwerkelijk actief is en correct functioneert. Deze verificatie is essentieel omdat technische problemen, configuratiefouten of netwerkproblemen kunnen voorkomen dat bedreigingsinformatie correct wordt verwerkt, zelfs wanneer de functionaliteit theoretisch actief zou moeten zijn. Bewaking omvat ook het analyseren van de waarschuwingen die worden gegenereerd op basis van bedreigingsinformatie. Deze waarschuwingen kunnen betrekking hebben op bekende kwaadaardige IP-adressen, domeinen, bestandshashes of andere indicatoren van compromittering die worden gedetecteerd binnen de Azure-omgeving. Beveiligingsteams moeten deze waarschuwingen regelmatig beoordelen om te bepalen of ze legitieme bedreigingen vertegenwoordigen of mogelijk valse positieven zijn. Deze analyse is cruciaal omdat het helpt om de kwaliteit van de bedreigingsinformatie te beoordelen en om te voorkomen dat beveiligingsteams worden overweldigd door onjuiste waarschuwingen. Het bewaken van bedreigingsinformatie omvat ook het evalueren van de kwaliteit en relevantie van de gegenereerde waarschuwingen. Organisaties moeten bijhouden hoeveel waarschuwingen worden gegenereerd, hoeveel daarvan daadwerkelijk legitieme bedreigingen vertegenwoordigen, en hoeveel valse positieven zijn. Deze statistische analyse kan worden gebruikt om de effectiviteit van de bedreigingsinformatie-integratie te beoordelen en waar nodig aanpassingen te maken aan de configuratie of aan de manier waarop waarschuwingen worden verwerkt. Door deze metrics bij te houden kunnen organisaties trends identificeren en hun beveiligingsprocessen continu verbeteren.

Daarnaast is het belangrijk om te bewaken of bedreigingsinformatie-feeds regelmatig worden bijgewerkt met nieuwe bedreigingsindicatoren. Microsoft werkt continu de bedreigingsinformatie-feeds bij met nieuwe informatie over bekende bedreigingen, en organisaties moeten verifiëren dat hun systeem toegang heeft tot deze bijgewerkte feeds. Deze verificatie is belangrijk omdat verouderde bedreigingsinformatie minder effectief is bij het detecteren van nieuwe bedreigingen, wat de beveiligingspostuur van de organisatie kan verzwakken. Bewaking moet ook aandacht besteden aan de integratie tussen bedreigingsinformatie en andere beveiligingsservices binnen Azure, zoals Azure Sentinel of andere SIEM-oplossingen die door de organisatie worden gebruikt. Deze integratie is essentieel voor een holistische beveiligingsaanpak waarbij bedreigingsinformatie wordt gecombineerd met andere beveiligingsgegevens om een compleet beeld te krijgen van de beveiligingssituatie. Het is raadzaam om geautomatiseerde bewaking in te stellen die regelmatig de status van bedreigingsinformatie-integratie controleert en waarschuwingen genereert wanneer problemen worden gedetecteerd. Dit kan worden gedaan via Azure Monitor, Azure Automation of andere bewakingstools die beschikbaar zijn binnen de Azure-omgeving. Geautomatiseerde bewaking helpt ervoor te zorgen dat eventuele problemen met bedreigingsinformatie-integratie snel worden geïdentificeerd en opgelost, waardoor de beveiligingspostuur van de organisatie wordt verbeterd en de tijd tot detectie en respons wordt verkort.

Compliance en Auditing

Bedreigingsinformatie-integratie in Azure Defender voor Cloud speelt een cruciale rol bij het voldoen aan verschillende compliance- en auditvereisten die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige gegevens. Compliance met relevante normen en standaarden is essentieel voor het waarborgen van een adequate beveiligingspostuur en het demonstreren van zorgvuldigheid bij het beheren van beveiligingsrisico's. De implementatie van bedreigingsinformatie-integratie draagt direct bij aan het voldoen aan specifieke controlevereisten binnen verschillende compliance-frameworks die van toepassing zijn op de Nederlandse publieke sector. Deze compliance-ondersteuning is niet alleen belangrijk voor het voldoen aan wettelijke verplichtingen, maar ook voor het waarborgen van vertrouwen bij burgers en stakeholders die verwachten dat hun gegevens adequaat worden beschermd. Binnen het Baseline Informatiebeveiliging Overheid (BIO) kader is controle 16.01 van toepassing op bedreigingsinformatie. Deze controle vereist dat organisaties beschikken over actuele informatie over bedreigingen en kwetsbaarheden die relevant zijn voor hun informatievoorziening. Bedreigingsinformatie-integratie in Azure Defender voor Cloud voorziet in deze behoefte door automatisch toegang te bieden tot actuele bedreigingsinformatie van Microsoft en andere betrouwbare bronnen. Deze informatie wordt continu bijgewerkt en geïntegreerd in de beveiligingsdetectie, waardoor organisaties kunnen voldoen aan de vereisten van BIO 16.01 zonder handmatige interventie. Deze automatische bijwerking is essentieel omdat bedreigingslandschappen snel veranderen en handmatige updates niet snel genoeg kunnen worden uitgevoerd om effectief te zijn.

Daarnaast is ISO 27001 controle A.5.7 van toepassing, die betrekking heeft op bedreigingsinformatie en het beheer van bedreigingen. Deze controle vereist dat organisaties informatie verzamelen over bedreigingen en deze gebruiken om hun beveiligingsmaatregelen te verbeteren. Bedreigingsinformatie-integratie in Azure Defender voor Cloud ondersteunt deze controle door automatisch bedreigingsinformatie te verzamelen, te analyseren en te gebruiken voor het genereren van beveiligingswaarschuwingen. Dit helpt organisaties om proactief te reageren op bekende bedreigingen en hun beveiligingsmaatregelen aan te passen op basis van actuele bedreigingsinformatie. Deze proactieve aanpak is essentieel voor moderne beveiligingsstrategieën die zich richten op preventie in plaats van alleen reactie. Voor auditdoeleinden is het belangrijk dat organisaties kunnen aantonen dat bedreigingsinformatie-integratie actief is en correct functioneert. Dit kan worden gedaan door regelmatig de status van bedreigingsinformatie-integratie te verifiëren en documentatie bij te houden van de gegenereerde waarschuwingen en de daaropvolgende acties. Deze documentatie moet gedetailleerd genoeg zijn om auditors te overtuigen dat de functionaliteit daadwerkelijk wordt gebruikt en effectief bijdraagt aan de beveiligingsdoelstellingen van de organisatie. Auditlogboeken moeten worden bewaard die aantonen dat bedreigingsinformatie-integratie actief is en dat waarschuwingen op basis van bedreigingsinformatie worden gegenereerd en verwerkt. Deze logboeken moeten voldoen aan de bewaartermijnen die zijn vastgelegd in de compliance-frameworks, zoals de zeven jaar bewaartermijn die vaak wordt vereist voor auditdoeleinden.

Organisaties moeten ook kunnen aantonen dat bedreigingsinformatie-feeds regelmatig worden bijgewerkt en dat de functionaliteit correct is geconfigureerd binnen hun Azure-omgeving. Deze verificatie kan worden gedaan door regelmatige controles uit te voeren en documentatie bij te houden van de configuratie-instellingen en eventuele wijzigingen die daarin worden aangebracht. Compliance met deze normen vereist niet alleen technische implementatie, maar ook organisatorische maatregelen. Organisaties moeten procedures hebben voor het verwerken van waarschuwingen die worden gegenereerd op basis van bedreigingsinformatie, en moeten kunnen aantonen dat deze procedures worden gevolgd. Deze procedures moeten duidelijk zijn gedocumenteerd en regelmatig worden getest om te verzekeren dat ze effectief zijn en correct worden uitgevoerd. Daarnaast moeten organisaties regelmatig evalueren of de bedreigingsinformatie-integratie effectief bijdraagt aan hun beveiligingsdoelstellingen en of aanpassingen nodig zijn om beter te voldoen aan compliance-vereisten. Deze evaluatie moet deel uitmaken van een continue verbeteringsproces dat ervoor zorgt dat de beveiligingsmaatregelen blijven voldoen aan de veranderende eisen van compliance-frameworks en bedreigingslandschappen. Het is ook belangrijk om te vermelden dat bedreigingsinformatie-integratie kan bijdragen aan het voldoen aan andere compliance-vereisten, zoals die binnen de Algemene Verordening Gegevensbescherming (AVG), door te helpen bij het detecteren en voorkomen van beveiligingsincidenten die kunnen leiden tot gegevenslekken. Door proactief bedreigingen te detecteren en te reageren, kunnen organisaties het risico op gegevenslekken verminderen en beter voldoen aan hun verplichtingen onder de AVG om passende technische en organisatorische maatregelen te treffen voor de beveiliging van persoonsgegevens.

Remediatie

Gebruik PowerShell-script defender-threat-intelligence.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie met betrekking tot bedreigingsinformatie-integratie in Azure Defender voor Cloud omvat verschillende complexe aspecten, waaronder het inschakelen van de functionaliteit wanneer deze niet actief is, het oplossen van configuratieproblemen, en het verifiëren dat de functionaliteit correct functioneert. Het is belangrijk om te begrijpen dat bedreigingsinformatie-integratie automatisch wordt ingeschakeld wanneer Azure Defender voor Cloud wordt geactiveerd, maar er kunnen situaties zijn waarin verificatie of herconfiguratie nodig is. Deze situaties kunnen ontstaan door technische problemen, configuratiefouten, of veranderingen in de Azure-omgeving die de functionaliteit kunnen beïnvloeden. Wanneer bedreigingsinformatie-integratie niet actief is of niet correct functioneert, moeten organisaties systematisch stappen ondernemen om dit te verhelpen. Deze systematische aanpak is essentieel omdat het helpt om de onderliggende oorzaak van het probleem te identificeren en te verhelpen, in plaats van alleen de symptomen aan te pakken. De eerste stap in het remediatieproces is het verifiëren van de status van Azure Defender voor Cloud. Als Defender voor Cloud niet is ingeschakeld, moet dit eerst worden geactiveerd voordat bedreigingsinformatie-integratie kan functioneren. Dit kan worden gedaan via de Azure-portal, waar beheerders Azure Defender voor Cloud kunnen inschakelen voor hun abonnementen of beheergroepen. Deze activering is een eenvoudige maar cruciale stap die vaak wordt overgeslagen wanneer organisaties problemen ondervinden met bedreigingsinformatie-integratie. Zodra Defender voor Cloud actief is, wordt bedreigingsinformatie-integratie automatisch ingeschakeld en beschikbaar gemaakt, wat betekent dat er geen aanvullende configuratiestappen nodig zijn om de functionaliteit te activeren.

Als bedreigingsinformatie-integratie niet correct functioneert ondanks dat Defender voor Cloud actief is, moeten organisaties grondig controleren of er configuratieproblemen zijn. Dit kan onder meer betrekking hebben op toegangsrechten, netwerkconnectiviteit, of andere technische problemen die de functionaliteit kunnen beïnvloeden. Beheerders moeten verifiëren dat de juiste Azure RBAC-rollen zijn toegewezen en dat er geen blokkades zijn die de toegang tot bedreigingsinformatie-feeds kunnen belemmeren. Deze verificatie moet systematisch worden uitgevoerd, waarbij elke mogelijke oorzaak wordt gecontroleerd en uitgesloten voordat wordt overgegaan tot de volgende mogelijke oorzaak. Remediatie kan ook betrekking hebben op het verbeteren van de effectiviteit van bedreigingsinformatie-integratie door het optimaliseren van configuratie-instellingen of door het integreren van aanvullende bedreigingsinformatie-bronnen. Organisaties kunnen bijvoorbeeld overwegen om aangepaste bedreigingsinformatie-feeds toe te voegen aan hun Azure Defender voor Cloud-configuratie, naast de standaard Microsoft-bedreigingsinformatie-feeds. Deze aangepaste feeds kunnen specifieke bedreigingen bevatten die relevant zijn voor de organisatie of de sector waarin deze actief is, wat kan helpen om de detectiecapaciteiten te verbeteren en beter te voldoen aan specifieke beveiligingsvereisten van de organisatie.

Het remediatieproces moet ook aandacht besteden aan het verwerken van waarschuwingen die worden gegenereerd op basis van bedreigingsinformatie. Wanneer waarschuwingen worden gegenereerd, moeten beveiligingsteams deze snel analyseren en passende acties ondernemen. Deze snelheid is essentieel omdat bedreigingen zich snel kunnen verspreiden en elke vertraging in de respons kan leiden tot aanzienlijke schade. De acties die worden ondernomen kunnen onder meer betrekking hebben op het blokkeren van kwaadaardige IP-adressen, het isoleren van gecompromitteerde systemen, of het uitvoeren van aanvullende forensische analyses om de omvang en impact van de bedreiging te bepalen. Organisaties moeten procedures hebben voor het verwerken van deze waarschuwingen en moeten ervoor zorgen dat deze procedures regelmatig worden getest en bijgewerkt om te verzekeren dat ze effectief blijven in het licht van veranderende bedreigingslandschappen. Daarnaast is het belangrijk om regelmatig te evalueren of de bedreigingsinformatie-integratie effectief bijdraagt aan de beveiligingsdoelstellingen van de organisatie. Als blijkt dat de functionaliteit niet de verwachte resultaten oplevert, moeten organisaties grondig onderzoeken wat de oorzaak is en waar nodig aanpassingen maken. Dit kan onder meer betrekking hebben op het verfijnen van waarschuwingsregels, het aanpassen van de configuratie, of het integreren van aanvullende tools of services die de effectiviteit kunnen verbeteren. Deze evaluatie moet deel uitmaken van een continue verbeteringsproces dat ervoor zorgt dat de beveiligingsmaatregelen blijven voldoen aan de veranderende eisen van de organisatie en het bedreigingslandschap.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender voor Cloud: Bedreigingsinformatie Verificatie .DESCRIPTION BIO Baseline - Controle 16.01 ISO 27001 - Controle A.5.7 NIS2 Richtlijn - Artikel 21 Verifieert of bedreigingsinformatie-integratie actief is in Azure Defender voor Cloud. Bedreigingsinformatie wordt automatisch ingeschakeld wanneer Defender voor Cloud actief is. .NOTES Filename: defender-threat-intelligence.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/defender-threat-intelligence.json BIO Control: 16.01 ISO 27001: A.5.7 NIS2 Article: 21 .EXAMPLE .\defender-threat-intelligence.ps1 -Monitoring Voert een controle uit op alle abonnementen en rapporteert de status van bedreigingsinformatie. .EXAMPLE .\defender-threat-intelligence.ps1 -Remediation Verifieert en activeert bedreigingsinformatie-integratie indien nodig. #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter(HelpMessage = "Toon wat er zou gebeuren zonder wijzigingen door te voeren")] [switch]$WhatIf, [Parameter(HelpMessage = "Voer monitoring en rapportage uit")] [switch]$Monitoring, [Parameter(HelpMessage = "Verifieer en activeer bedreigingsinformatie-integratie")] [switch]$Remediation, [Parameter(HelpMessage = "Herstel de configuratie (niet aanbevolen)")] [switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender voor Cloud - Bedreigingsinformatie" function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure-services indien nodig. #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Write-Verbose "Geen actieve Azure-sessie gevonden. Verbinden..." Connect-AzAccount -ErrorAction Stop | Out-Null Write-Verbose "Succesvol verbonden met Azure" } else { Write-Verbose "Azure-sessie is al actief" } } catch { Write-Error "Fout bij verbinden met Azure: $_" throw } } function Test-Compliance { <# .SYNOPSIS Controleert of bedreigingsinformatie-integratie actief is. .OUTPUTS PSCustomObject met compliance-status per abonnement. #> [CmdletBinding()] param() Write-Verbose "Compliance-controle uitvoeren voor: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "defender-threat-intelligence" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() Timestamp = Get-Date } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count Write-Verbose "Gevonden $($subscriptions.Count) actieve abonnement(en)" foreach ($sub in $subscriptions) { try { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Verbose "Controleren abonnement: $($sub.Name) ($($sub.Id))" # Controleer of Defender voor Cloud is ingeschakeld # Bedreigingsinformatie is automatisch beschikbaar wanneer Defender voor Cloud actief is $pricing = Get-AzSecurityPricing -ErrorAction SilentlyContinue # Bedreigingsinformatie is beschikbaar wanneer ten minste één Defender-plan actief is $hasDefenderEnabled = $false $enabledPlans = @() if ($pricing) { # Controleer verschillende Defender-plannen $plans = @("VirtualMachines", "AppServices", "StorageAccounts", "SqlServers", "SqlServerVirtualMachines", "KeyVaults", "Dns", "Containers", "Arm") foreach ($plan in $plans) { try { $planPricing = Get-AzSecurityPricing -Name $plan -ErrorAction SilentlyContinue if ($planPricing -and $planPricing.PricingTier -eq 'Standard') { $hasDefenderEnabled = $true $enabledPlans += $plan } } catch { # Plan bestaat mogelijk niet voor dit abonnement } } } if ($hasDefenderEnabled) { $result.CompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Compliant" Message = "✓ Abonnement '$($sub.Name)': Defender voor Cloud is actief - Bedreigingsinformatie is beschikbaar" EnabledPlans = $enabledPlans -join ", " } } else { $result.NonCompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Non-Compliant" Message = "✗ Abonnement '$($sub.Name)': Defender voor Cloud is niet actief - Bedreigingsinformatie is niet beschikbaar" EnabledPlans = "Geen" } $result.Recommendations += "Activeer ten minste één Defender-plan op '$($sub.Name)' om bedreigingsinformatie te activeren" } } catch { $result.NonCompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Error" Message = "✗ Abonnement '$($sub.Name)': Fout bij controleren - $($_.Exception.Message)" EnabledPlans = "Onbekend" } Write-Warning "Fout bij controleren abonnement '$($sub.Name)': $_" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { Write-Error "Fout tijdens compliance-controle: $_" $result.Details += [PSCustomObject]@{ SubscriptionName = "Error" SubscriptionId = "Error" Status = "Error" Message = "ERROR: $($_.Exception.Message)" EnabledPlans = "Onbekend" } } return $result } function Invoke-Remediation { <# .SYNOPSIS Verifieert en activeert bedreigingsinformatie-integratie indien nodig. #> [CmdletBinding(SupportsShouldProcess)] param() Write-Host "`nRemediatie starten voor: $PolicyName..." -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "LET OP: Bedreigingsinformatie wordt automatisch ingeschakeld" -ForegroundColor Yellow Write-Host "wanneer ten minste één Defender-plan actief is." -ForegroundColor Yellow Write-Host "========================================" -ForegroundColor Cyan try { $fixed = 0 $failed = 0 $skipped = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { try { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Verbose "Verwerken abonnement: $($sub.Name)" # Controleer huidige status $hasDefenderEnabled = $false $plans = @("VirtualMachines", "AppServices", "StorageAccounts", "SqlServers", "SqlServerVirtualMachines", "KeyVaults", "Dns", "Containers", "Arm") foreach ($plan in $plans) { try { $planPricing = Get-AzSecurityPricing -Name $plan -ErrorAction SilentlyContinue if ($planPricing -and $planPricing.PricingTier -eq 'Standard') { $hasDefenderEnabled = $true break } } catch { # Plan bestaat mogelijk niet voor dit abonnement } } if ($hasDefenderEnabled) { Write-Host " [OK] Bedreigingsinformatie beschikbaar: $($sub.Name)" -ForegroundColor Green Write-Host " Defender voor Cloud is actief - bedreigingsinformatie is geïntegreerd" -ForegroundColor Gray $skipped++ } else { Write-Host " [INFO] Defender voor Cloud niet actief: $($sub.Name)" -ForegroundColor Yellow Write-Host " Activeer ten minste één Defender-plan om bedreigingsinformatie te activeren" -ForegroundColor Gray Write-Host " Voorbeeld: Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard'" -ForegroundColor Gray $fixed++ } } catch { Write-Host " ✗ Mislukt voor $($sub.Name): $($_.Exception.Message)" -ForegroundColor Red Write-Warning "Fout bij remediatie voor abonnement '$($sub.Name)': $_" $failed++ } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "[INFO] Bedreigingsinformatie status gecontroleerd" -ForegroundColor Cyan if ($skipped -gt 0) { Write-Host "[OK] Actief: $skipped abonnement(en)" -ForegroundColor Green } if ($fixed -gt 0) { Write-Host "[WAARSCHUWING] Defender voor Cloud niet actief: $fixed abonnement(en)" -ForegroundColor Yellow } if ($failed -gt 0) { Write-Host "[WAARSCHUWING] Mislukt: $failed abonnement(en)" -ForegroundColor Yellow } Write-Host "`nBelangrijke opmerkingen:" -ForegroundColor Cyan Write-Host " • Bedreigingsinformatie is automatisch beschikbaar wanneer Defender voor Cloud actief is" -ForegroundColor Gray Write-Host " • Geen aanvullende configuratie vereist" -ForegroundColor Gray Write-Host " • Bedreigingsinformatie wordt continu bijgewerkt door Microsoft" -ForegroundColor Gray Write-Host " • Controleer de status via: Azure Portal → Defender voor Cloud → Bedreigingsinformatie" -ForegroundColor Gray } catch { Write-Error "Remediatie mislukt: $_" throw } } function Invoke-Monitoring { <# .SYNOPSIS Voert uitgebreide monitoring en rapportage uit. #> [CmdletBinding()] param() $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Abonnementen: $($result.TotalResources)" -ForegroundColor White Write-Host "Bedreigingsinformatie beschikbaar: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Bedreigingsinformatie niet beschikbaar: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) Write-Host "Tijdstip controle: $($result.Timestamp.ToString('yyyy-MM-dd HH:mm:ss'))" -ForegroundColor Gray if ($result.Details) { Write-Host "`nDetails per abonnement:" -ForegroundColor Yellow foreach ($detail in $result.Details) { $color = switch ($detail.Status) { "Compliant" { "Green" } "Non-Compliant" { "Red" } "Error" { "Yellow" } default { "Gray" } } Write-Host " $($detail.Message)" -ForegroundColor $color if ($detail.EnabledPlans -and $detail.EnabledPlans -ne "Geen" -and $detail.EnabledPlans -ne "Onbekend") { Write-Host " Actieve Defender-plannen: $($detail.EnabledPlans)" -ForegroundColor Gray } } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($recommendation in $result.Recommendations) { Write-Host " • $recommendation" -ForegroundColor Gray } } Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle abonnementen hebben toegang tot bedreigingsinformatie." -ForegroundColor Green Write-Host "Bekende bedreigingsindicatoren worden automatisch gedetecteerd." -ForegroundColor Green } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) abonnement(en) hebben geen toegang tot bedreigingsinformatie." -ForegroundColor Red Write-Host "Activeer Defender voor Cloud om bedreigingsinformatie te activeren." -ForegroundColor Yellow } return $result } function Invoke-Revert { <# .SYNOPSIS Herstelt de configuratie (niet aanbevolen). #> [CmdletBinding(SupportsShouldProcess)] param() Write-Host "`n⚠️ WAARSCHUWING: Bedreigingsinformatie uitschakelen wordt NIET aanbevolen" -ForegroundColor Yellow Write-Host "Dit verhoogt het risico op ongedetecteerde bekende bedreigingen." -ForegroundColor Yellow Write-Host "Organisaties missen context over bedreigingsactoren en aanvalspatronen." -ForegroundColor Yellow Write-Host "`nBedreigingsinformatie wordt automatisch uitgeschakeld wanneer" -ForegroundColor Gray Write-Host "alle Defender-plannen worden uitgeschakeld." -ForegroundColor Gray Write-Host "`nLET OP: Dit wordt sterk afgeraden en kan leiden tot compliance-problemen." -ForegroundColor Red } # Hoofdscript try { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan Write-Host "Microsoft Defender voor Cloud" -ForegroundColor Cyan Write-Host "Bedreigingsinformatie Verificatie" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODUS ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Bedreigingsinformatie status zou worden gecontroleerd voor $($result.TotalResources) abonnement(en)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { # Standaard: basis compliance-controle $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle $($result.TotalResources) abonnement(en) hebben toegang tot bedreigingsinformatie." -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) van $($result.TotalResources) abonnement(en) hebben geen toegang tot bedreigingsinformatie." -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $($_.Message)" -ForegroundColor Gray } } Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray Write-Host "Gebruik -Remediation om de status te verifiëren" -ForegroundColor Gray } } catch { Write-Error "Fout in defender-threat-intelligence.ps1: $_" exit 1 } finally { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder bedreigingsinformatie blijven bekende kwaadaardige IP-adressen, domeinen en hashes onopgemerkt. Aanvallen van bekende bedreigingsactoren genereren geen waarschuwingen met context. Het risico is gemiddeld - bedreigingsinformatie is een standaard Defender-functionaliteit die automatisch wordt ingeschakeld wanneer Defender voor Cloud actief is.

Management Samenvatting

Bedreigingsinformatie-integratie is automatisch ingeschakeld in Defender voor Cloud - detecteert bekende kwaadaardige indicatoren (IP-adressen, domeinen, hashes) via Microsoft-bedreigingsinformatie-feeds. Verificatie: Defender voor Cloud → Bedreigingsinformatie actief. Gratis, automatisch. Geen actie vereist - zuivere verificatiecontrole.