L1 BIO 16.01.01 ISO A.16.1.2 CIS 2.1.18

E-mailnotificaties Voor Beveiligingswaarschuwingen Ingeschakeld

📅 2025-10-30
⏱️ 8 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

E-mailnotificaties voor Defender voor Cloud-beveiligingswaarschuwingen zorgen ervoor dat beveiligingsteams en abonnementeigenaren onmiddellijk worden geïnformeerd bij beveiligingsincidenten met hoge prioriteit, waardoor snelle incidentrespons mogelijk wordt.

Aanbeveling
IMPLEMENTEER VERPLICHT
Risico zonder
High
Risk Score
8/10
Implementatie
0u
Van toepassing op:
Azure

Zonder e-mailnotificaties blijven kritieke beveiligingswaarschuwingen onopgemerkt totdat iemand actief het Defender-dashboard controleert. Dit vertraagt de incidentrespons aanzienlijk: ransomware-aanvallen blijven urenlang onopgemerkt, succesvolle brute-force-aanvallen worden niet gestopt, gegevensexfiltratie gaat door, gecompromitteerde accounts blijven actief en malware verspreidt zich lateraal door het netwerk. De gemiddelde detectievertraging zonder waarschuwingen bedraagt 4 tot 8 uur tijdens werkuren en 12 tot 48 uur buiten kantooruren. Met e-mailnotificaties wordt deze tijd teruggebracht tot minder dan 15 minuten. Elke minuut vertraging verhoogt de impact van een inbreuk exponentieel, waardoor de financiële en operationele schade snel oploopt.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle configureert e-mailnotificaties voor beveiligingswaarschuwingen met hoge prioriteit naar: de distributielijst van het beveiligingsteam, abonnementeigenaren (voor verantwoordingsplicht) en optioneel: e-mailadressen van de SOC-dienst. De configuratie gebeurt per abonnement via de contactinstellingen van Microsoft Defender voor Cloud. De e-mail bevat: de prioriteit van de waarschuwing, betrokken resources, beschrijving van de dreiging, aanbevolen acties en een link naar de Defender-portal voor gedetailleerde informatie. Deze functionaliteit moet worden gecombineerd met SIEM-integratie (Microsoft Sentinel) voor 24/7 SOC-monitoring.

Vereisten

Voordat e-mailnotificaties voor beveiligingswaarschuwingen kunnen worden geconfigureerd, moeten verschillende technische en organisatorische vereisten worden vervuld. Deze vereisten vormen de basis voor een succesvolle implementatie en zorgen ervoor dat de notificaties betrouwbaar worden afgeleverd en effectief worden gebruikt door het beveiligingsteam. De primaire technische vereiste is dat Microsoft Defender voor Cloud actief moet zijn ingeschakeld op het betreffende Azure-abonnement. Defender voor Cloud vormt de basis voor de beveiligingswaarschuwingen en zonder deze service kunnen er geen notificaties worden gegenereerd. Het is belangrijk om te verifiëren dat Defender voor Cloud niet alleen is ingeschakeld, maar ook correct is geconfigureerd met de juiste beveiligingsplannen voor de verschillende resource-typen in uw omgeving. Voor de geautomatiseerde configuratie via PowerShell is versie 5.1 of hoger vereist. PowerShell 5.1 biedt de benodigde ondersteuning voor de Azure-modules en zorgt voor compatibiliteit met alle benodigde cmdlets. Daarnaast moeten de PowerShell-modules Az.Accounts en Az.Security zijn geïnstalleerd. De Az.Accounts-module verzorgt de authenticatie en verbinding met Azure, terwijl de Az.Security-module specifieke cmdlets biedt voor het beheren van beveiligingsinstellingen, waaronder de e-mailnotificatieconfiguratie. Vanuit een autorisatieperspectief is de Security Administrator-rol vereist voor het configureren van e-mailnotificaties. Deze rol biedt de benodigde machtigingen om de contactinstellingen van Defender voor Cloud te wijzigen. Het is belangrijk om te benadrukken dat deze rol specifieke beveiligingsrechten verleent en alleen moet worden toegekend aan vertrouwde personen die verantwoordelijk zijn voor de beveiligingsconfiguratie. Een kritieke organisatorische vereiste is de beschikbaarheid van een distributielijst-e-mailadres voor het beveiligingsteam. Deze distributielijst moet worden beheerd door de IT-afdeling en moet alle relevante beveiligingsmedewerkers bevatten die betrokken zijn bij incidentrespons. Het is aan te raden om meerdere e-mailadressen te configureren, waaronder een primaire distributielijst voor het beveiligingsteam, individuele e-mailadressen voor abonnementeigenaren en optioneel een e-mailadres voor de SOC-dienst die 24/7 wordt bemand. Ten slotte is een gedocumenteerd incidentresponsproces essentieel. Hoewel e-mailnotificaties de technische basis vormen voor snelle detectie, moet er een duidelijk proces zijn dat beschrijft hoe het beveiligingsteam moet reageren op ontvangen waarschuwingen. Dit proces moet onder meer bevatten: wie verantwoordelijk is voor de eerste beoordeling, welke escalatieprocedures worden gevolgd, hoe waarschuwingen worden geverifieerd en welke acties moeten worden ondernomen op basis van de ernst en het type van de waarschuwing. Zonder een dergelijk proces bestaat het risico dat waarschuwingen worden ontvangen maar niet adequaat worden afgehandeld, waardoor het doel van de notificaties wordt ondermijnd.

Implementatie

Gebruik PowerShell-script email-notificaties-enabled.ps1 (functie Invoke-Remediation) – Configureert e-mailnotificaties per abonnement met Set-AzSecurityContact.

De implementatie van e-mailnotificaties voor beveiligingswaarschuwingen kan op twee manieren worden uitgevoerd: via geautomatiseerde PowerShell-scripts of handmatig via de Azure Portal. Beide methoden leiden tot hetzelfde resultaat, maar de geautomatiseerde aanpak biedt voordelen voor organisaties die meerdere abonnementen moeten configureren of die configuratiebeheer willen integreren in hun infrastructure-as-code workflows. Voor de geautomatiseerde implementatie is het PowerShell-script email-notificaties-enabled.ps1 beschikbaar, dat gebruikmaakt van de functie Invoke-Remediation. Dit script maakt gebruik van de Set-AzSecurityContact-cmdlet uit de Az.Security-module om de e-mailnotificatie-instellingen per abonnement te configureren. Het script kan worden uitgevoerd voor een enkel abonnement of worden aangepast om meerdere abonnementen in batch te configureren. Voordat het script wordt uitgevoerd, moet de gebruiker zijn aangemeld bij Azure met de juiste machtigingen via Connect-AzAccount. Voor handmatige configuratie via de Azure Portal begint het proces met navigeren naar Microsoft Defender voor Cloud in de Azure Portal. Vanuit het hoofdmenu selecteert u 'Omgevingsinstellingen' (Environment settings), waarna u het specifieke abonnement selecteert waarvoor u de notificaties wilt configureren. Binnen de instellingen van het geselecteerde abonnement klikt u op 'E-mailnotificaties' om de notificatieconfiguratie te openen. In het configuratiescherm voor e-mailnotificaties zijn verschillende opties beschikbaar. Ten eerste kunt u aanvullende e-mailadressen toevoegen door de distributielijst van het beveiligingsteam in te voeren. Dit zorgt ervoor dat alle teamleden automatisch worden geïnformeerd over beveiligingswaarschuwingen. Daarnaast kunt u de optie inschakelen om alle gebruikers met specifieke rollen te notificeren, waarbij u de rollen Owner en Contributor selecteert. Dit zorgt ervoor dat abonnementeigenaren en contributors automatisch worden geïnformeerd, wat belangrijk is voor verantwoordingsplicht en snelle escalatie. Een kritieke configuratie-instelling is de selectie van de waarschuwingsprioriteiten waarvoor notificaties moeten worden verzonden. Voor de meeste organisaties wordt aanbevolen om ten minste 'Waarschuwingen met hoge prioriteit' in te schakelen, omdat deze de meest kritieke beveiligingsincidenten vertegenwoordigen die onmiddellijke aandacht vereisen. Voor organisaties met een volwassen Security Operations Center (SOC) kan het ook zinvol zijn om 'Waarschuwingen met gemiddelde prioriteit' in te schakelen, zodat het team een completer beeld krijgt van de beveiligingsstatus. Het is echter belangrijk om te voorkomen dat te veel notificaties worden verzonden, omdat dit kan leiden tot waarschuwingsmoeheid en het risico dat kritieke waarschuwingen worden gemist. Na het configureren van alle gewenste instellingen, klikt u op 'Opslaan' om de configuratie toe te passen. Het is aan te raden om direct na het opslaan een testwaarschuwing te genereren of te wachten op een echte waarschuwing om te verifiëren dat de e-mailnotificaties correct worden afgeleverd. Controleer ook of de e-mails niet in spam- of junkmappen terechtkomen, en overweeg om specifieke e-mailregels in te stellen om ervoor te zorgen dat beveiligingswaarschuwingen altijd zichtbaar blijven.

Monitoring

Gebruik PowerShell-script email-notifications-enabled.ps1 (functie Invoke-Monitoring) – Controleert de configuratie van e-mailnotificaties.

Het monitoren van de e-mailnotificatieconfiguratie is essentieel om ervoor te zorgen dat de notificaties betrouwbaar blijven functioneren en dat eventuele configuratiewijzigingen of problemen tijdig worden gedetecteerd. Regelmatige monitoring helpt bij het handhaven van de beveiligingspostuur en zorgt ervoor dat kritieke beveiligingswaarschuwingen niet onopgemerkt blijven. Het PowerShell-script email-notifications-enabled.ps1 bevat de functie Invoke-Monitoring, die kan worden gebruikt om de huidige configuratie van e-mailnotificaties te controleren. Deze functie haalt de contactinstellingen op voor elk abonnement en verifieert of e-mailnotificaties correct zijn geconfigureerd. De monitoringfunctie controleert onder meer of er e-mailadressen zijn geconfigureerd, welke rollen zijn geselecteerd voor notificaties en voor welke waarschuwingsprioriteiten notificaties zijn ingeschakeld. Naast de geautomatiseerde monitoring via PowerShell-scripts is het belangrijk om periodiek handmatig te verifiëren dat e-mailnotificaties daadwerkelijk worden ontvangen. Dit kan worden gedaan door te controleren of er recente e-mails zijn ontvangen voor beveiligingswaarschuwingen, of door een testwaarschuwing te genereren indien mogelijk. Het is aan te raden om deze verificatie maandelijks uit te voeren, of vaker in omgevingen met een hoog aantal beveiligingsincidenten. Een belangrijk aspect van monitoring is het bijhouden van configuratiewijzigingen. Wanneer e-mailadressen worden gewijzigd, nieuwe distributielijsten worden toegevoegd of instellingen worden aangepast, moet dit worden gedocumenteerd. Dit helpt bij het begrijpen van de configuratiegeschiedenis en maakt het eenvoudiger om problemen op te sporen wanneer notificaties niet worden ontvangen. Overweeg om configuratiewijzigingen te loggen in een change management systeem of een configuratiebeheer database. Monitoring moet ook aandacht besteden aan de leveringsstatus van e-mails. Als e-mails niet worden afgeleverd, kan dit verschillende oorzaken hebben: e-mailadressen kunnen ongeldig zijn geworden, e-mails kunnen in spam- of junkmappen terechtkomen, of er kunnen problemen zijn met de e-mailinfrastructuur. Het is belangrijk om deze problemen proactief te identificeren en op te lossen voordat een kritieke beveiligingswaarschuwing wordt gemist. Voor organisaties met meerdere abonnementen is het aan te raden om een gecentraliseerde monitoringoplossing te implementeren die de configuratie van alle abonnementen controleert. Dit kan worden geautomatiseerd met behulp van Azure Policy of door regelmatig scripts uit te voeren die alle abonnementen doorlopen en de configuratie verifiëren. Dergelijke monitoringoplossingen kunnen ook worden geïntegreerd met SIEM-systemen voor uitgebreidere beveiligingsmonitoring en rapportage.

Compliance en Auditing

E-mailnotificaties voor beveiligingswaarschuwingen zijn een kritieke controle die vereist is door verschillende beveiligings- en compliance frameworks. Het correct implementeren en onderhouden van deze functionaliteit is essentieel voor het voldoen aan regelgevingsvereisten en het demonstreren van een volwassen beveiligingspostuur tijdens audits. De CIS Azure Foundations Benchmark versie 3.0.0 bevat specifiek controle 2.1.18, die vereist dat e-mailnotificaties zijn ingeschakeld voor beveiligingswaarschuwingen. Deze controle is geclassificeerd als Level 1, wat betekent dat deze als essentieel wordt beschouwd voor basisbeveiliging. Tijdens een CIS-audit zal worden gecontroleerd of e-mailnotificaties daadwerkelijk zijn geconfigureerd en of deze correct functioneren. Het is belangrijk om documentatie bij te houden die aantoont dat de configuratie is geïmplementeerd en wordt gemonitord. Vanuit ISO 27001-perspectief zijn de relevante controles A.16.1.2 (Rapportage van beveiligingsgebeurtenissen) en A.16.1.4 (Beoordeling van en besluitvorming over beveiligingsgebeurtenissen). E-mailnotificaties vormen een essentieel onderdeel van het proces voor het rapporteren van beveiligingsgebeurtenissen, omdat ze zorgen voor tijdige kennisgeving van incidenten aan de juiste personen. ISO 27001 vereist dat organisaties procedures hebben voor het rapporteren van beveiligingsgebeurtenissen, en e-mailnotificaties automatiseren een belangrijk deel van dit proces. Tijdens ISO 27001-audits zal worden gecontroleerd of deze procedures effectief zijn geïmplementeerd en of ze voldoen aan de vereisten van de norm. De NIS2-richtlijn (Network and Information Systems Directive 2) bevat in Artikel 23 specifieke vereisten voor de notificatie van significante incidenten. Hoewel e-mailnotificaties op zichzelf niet voldoen aan alle NIS2-vereisten voor incidentnotificatie aan toezichthouders, vormen ze wel een kritieke eerste stap in het detectie- en notificatieproces. NIS2 vereist dat organisaties significante incidenten binnen 24 uur na detectie melden aan de relevante autoriteiten, en e-mailnotificaties zorgen ervoor dat incidenten snel worden gedetecteerd en geëscaleerd naar de juiste personen die verantwoordelijk zijn voor de formele notificatie. Het BIO-kader (Baseline Informatiebeveiliging Overheid) bevat in Thema 16.01 specifieke vereisten voor incidentbeheer. Dit thema beschrijft de noodzaak van effectieve detectie, rapportage en respons op beveiligingsincidenten. E-mailnotificaties zijn een essentiële technische controle die ondersteunt bij het voldoen aan deze vereisten. Nederlandse overheidsorganisaties moeten kunnen aantonen dat zij beschikken over effectieve mechanismen voor het detecteren en rapporteren van beveiligingsincidenten, en e-mailnotificaties vormen hierin een fundamenteel onderdeel. Tijdens compliance-audits zal worden gecontroleerd of e-mailnotificaties correct zijn geconfigureerd, of ze daadwerkelijk functioneren en of er documentatie beschikbaar is die aantoont dat de configuratie wordt gemonitord en onderhouden. Het is belangrijk om auditbewijs bij te houden, waaronder screenshots van de configuratie, testresultaten die aantonen dat notificaties worden ontvangen, en documentatie van de distributielijsten en processen die worden gebruikt voor incidentrespons. Deze documentatie moet worden bewaard voor de vereiste bewaartermijn, die voor veel compliance-frameworks minimaal 7 jaar bedraagt.

Remediatie

Gebruik PowerShell-script email-notifications-enabled.ps1 (functie Invoke-Remediation) – Herstelt de configuratie van e-mailnotificaties indien deze ontbreekt of onjuist is.

Wanneer e-mailnotificaties niet zijn geconfigureerd of wanneer de configuratie onjuist is, moet deze worden hersteld om ervoor te zorgen dat beveiligingswaarschuwingen tijdig worden gedetecteerd en geëscaleerd. Het remediatieproces moet worden uitgevoerd zodra een configuratieprobleem wordt geïdentificeerd, omdat elke vertraging het risico verhoogt dat kritieke beveiligingsincidenten onopgemerkt blijven. Het PowerShell-script email-notifications-enabled.ps1 bevat de functie Invoke-Remediation, die automatisch de juiste configuratie kan toepassen wanneer e-mailnotificaties ontbreken of onjuist zijn geconfigureerd. Deze functie maakt gebruik van de Set-AzSecurityContact-cmdlet om de contactinstellingen te configureren volgens de aanbevolen best practices. Het script kan worden uitgevoerd voor een enkel abonnement of worden aangepast om meerdere abonnementen tegelijk te remediëren. Voordat remediatie wordt uitgevoerd, is het belangrijk om de huidige configuratie te analyseren om te begrijpen wat er ontbreekt of onjuist is. Dit kan worden gedaan met behulp van de monitoringfunctie of door handmatig de configuratie te controleren in de Azure Portal. Zodra de problemen zijn geïdentificeerd, kan het remediatiescript worden uitgevoerd om de configuratie te herstellen. Na het uitvoeren van het remediatiescript moet de configuratie worden geverifieerd om te zorgen dat deze correct is toegepast. Dit kan worden gedaan door de configuratie opnieuw te controleren via de monitoringfunctie of door handmatig de instellingen te bekijken in de Azure Portal. Het is ook aan te raden om een testwaarschuwing te genereren of te wachten op een echte waarschuwing om te verifiëren dat e-mailnotificaties daadwerkelijk worden ontvangen. In sommige gevallen kan het nodig zijn om handmatige remediatie uit te voeren, bijvoorbeeld wanneer de geautomatiseerde scripts niet kunnen worden uitgevoerd of wanneer specifieke configuratieaanpassingen nodig zijn die niet door de scripts worden ondersteund. In dergelijke gevallen moet het handmatige configuratieproces worden gevolgd zoals beschreven in de implementatiesectie, waarbij zorgvuldig wordt gecontroleerd dat alle vereiste instellingen correct zijn geconfigureerd. Het is belangrijk om na remediatie de oorzaak van het configuratieprobleem te onderzoeken. Als e-mailnotificaties bijvoorbeeld zijn uitgeschakeld door een onbedoelde wijziging, moet worden onderzocht wie deze wijziging heeft doorgevoerd en waarom. Dit helpt bij het voorkomen van toekomstige problemen en kan leiden tot verbeteringen in het configuratiebeheerproces. Overweeg om Azure Policy of andere configuratiebeheeroplossingen te implementeren die automatisch configuratiedrift detecteren en herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Email Notifications for Security Alerts .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.18 Controleert of email notifications zijn ingeschakeld voor security alerts. .NOTES Filename: email-notifications-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/email-notifications-enabled.json CIS Control: 2.1.18 .PARAMETER Email Email adres voor security notifications #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][string]$Email ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Email Notifications for Security Alerts" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Email notifications uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "email-notifications-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Email notifications uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $contacts = Get-AzSecurityContact -ErrorAction SilentlyContinue if ($contacts -and $contacts.Email -and $contacts.AlertNotifications -eq 'On') { $result.CompliantCount++ $result.Details += "✓ '$($sub.Name)': Email notifications enabled ($($contacts.Email))" } else { $result.NonCompliantCount++ $result.Details += "✗ '$($sub.Name)': Email notifications NIET enabled" $result.Recommendations += "Enable email notifications voor '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) if ($result.NonCompliantCount -gt 0) { $result.Recommendations += "Run met -Remediation -Email <email>" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan if (-not $Email) { Write-Host "[FAIL] Email parameter required" -ForegroundColor Red Write-Host " Usage: -Remediation -Email 'security@company.com'" -ForegroundColor Yellow return } function Invoke-Revert { Write-Host "`n⚠️ Email notifications uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $fixed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityContact -Name "default" -Email $Email -AlertNotifications On -AlertsToAdmins On -ErrorAction Stop | Out-Null Write-Host " [OK] Configured for: $($sub.Name)" -ForegroundColor Green $fixed++ } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Configured: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Not configured: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Email notifications uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Zou email notifications configureren met: $Email" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder e-mailnotificaties blijven beveiligingswaarschuwingen onopgemerkt totdat beveiligingsteams de portal actief controleren, wat resulteert in vertragingen van uren tot dagen. Ransomware versleutelt systemen voordat een notificatie wordt verzonden, SQL-injectie exfiltreert gegevens onopgemerkt. Elke uur vertraging verhoogt de kosten van een inbreuk met 20 tot 50 procent (gemiddeld €15.000 per uur). Compliance: NIS2-incidentnotificatietermijnen (24/72 uur) worden niet gehaald zonder waarschuwingen. CIS 2.1.18 vereist notificaties. Het risico is kritiek voor alle productieomgevingen.

Management Samenvatting

E-mailnotificatieconfiguratie stuurt Defender voor Cloud-waarschuwingen automatisch naar het beveiligingsteam: waarschuwingen met hoge prioriteit (ransomware, SQL-injectie) worden direct per e-mail verzonden, configureerbare ontvangers (beveiligingsteam en abonnementeigenaren), prioriteitsfiltering (alleen hoog versus alle). Activatie: Defender voor Cloud → E-mailnotificaties → Inschakelen en ontvangers toevoegen. Kosten: gratis. Verplicht CIS 2.1.18, NIS2. Implementatie: 30 minuten. Verkort de gemiddelde detectietijd van uren naar minuten. Verplicht voor productie.