💼 Management Samenvatting
Het continu monitoren van de Azure Security Score vormt een fundamentele pijler voor effectieve cloudbeveiligingsgovernance binnen Nederlandse overheidsorganisaties. Door systematische monitoring en rapportage van de beveiligingspositie kunnen bestuurders, CISO's en security teams inzicht krijgen in de ontwikkeling van beveiligingscontroles over tijd, prioritering aanbrengen in remediatie-inspanningen en aantoonbaar voldoen aan compliance-vereisten zoals de Baseline Informatiebeveiliging Overheid (BIO), de NIS2-richtlijn en internationale standaarden zoals ISO 27001. Zonder actieve monitoring blijft de beveiligingspositie een momentopname zonder context over trends, verbeteringen en achteruitgang, waardoor organisaties niet kunnen aantonen dat zij hun beveiligingsposture proactief beheren en continu verbeteren.
Aanbeveling
IMPLEMENTEREN
Risico zonder
High
Risk Score
7/10
Implementatie
6u (tech: 4u)
Van toepassing op:
✓ Azure
✓ Azure-abonnementen
✓ Multi-cloud omgevingen
✓ Azure-abonnementen
✓ Multi-cloud omgevingen
Azure Security Score monitoring is essentieel omdat het organisaties in staat stelt om objectief te meten hoe effectief beveiligingscontroles zijn geïmplementeerd en onderhouden binnen hun cloudomgeving. Zonder systematische monitoring beschikken organisaties niet over kwantitatieve data om te beoordelen of beveiligingsinvesteringen resultaat opleveren, kunnen security teams geen concrete verbeterdoelen stellen of meten, blijft de compliance-status onbekend en wordt prioritering van remediatie-inspanningen ad-hoc uitgevoerd zonder dat er inzicht is in welke aanbevelingen de grootste impact hebben. Voor Nederlandse overheidsorganisaties is het ontbreken van security score monitoring extra problematisch omdat toezichthouders zoals de Autoriteit Consument en Markt (ACM) bij NIS2-audits verwachten dat organisaties kunnen aantonen hoe zij hun beveiligingsposture monitoren en verbeteren. De BIO vereist in thema 11.01 expliciet dat organisaties beleidsmatige borging realiseren en continu werken aan verbetering van de informatiebeveiliging, wat zonder monitoring niet aantoonbaar is. Daarnaast maakt het ontbreken van score monitoring het onmogelijk om trends te identificeren, zoals dalende scores door nieuwe services die worden ingeschakeld zonder beveiligingsconfiguratie, of stijgende scores als gevolg van succesvolle remediatieprogramma's. Security score monitoring biedt daarentegen objectieve meting van de beveiligingspositie op een schaal van nul tot honderd procent, waarbij aanbevelingen gewogen worden op basis van hun impact op de beveiliging, trendzichtbaarheid over tijd, vergelijking met branchegemiddelden en executive-vriendelijke rapportage die bestuurders kunnen gebruiken voor verantwoording richting toezichthouders en het bestuur.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Security
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Security
Implementatie
Deze best practice beschrijft het proces voor het implementeren van continue monitoring en rapportage van de Azure Security Score binnen Azure-abonnementen. De monitoring omvat het regelmatig ophalen van de huidige security score per abonnement, het bijhouden van trends over tijd, het analyseren van aanbevelingen met hoge, middel en lage impact, en het genereren van rapporten voor verschillende stakeholders binnen de organisatie. Het proces omvat het configureren van geautomatiseerde monitoring via Azure PowerShell, Azure Monitor of Logic Apps workflows die dagelijks of wekelijks de security score ophalen en opslaan voor trendanalyse. Daarnaast beschrijft deze best practice hoe organisaties de monitoring kunnen integreren met bestaande governance-processen, zoals wekelijkse security stand-ups, maandelijkse CISO-rapportages, driemaandelijkse bestuursrapportages en jaarlijkse compliance-audits. De best practice bevat richtlijnen voor het instellen van drempelwaarden voor alerts wanneer de score onder een bepaald niveau daalt, het configureren van dashboards voor real-time zichtbaarheid van de beveiligingspositie, en het opzetten van workflows voor automatische escalatie naar security teams wanneer kritieke dalingen worden gedetecteerd. Best practice is om een security score van meer dan tachtig procent te handhaven voor productieomgevingen als teken van een volwassen beveiligingspositie, terwijl ontwikkel- en testomgevingen acceptabel zijn met een score van meer dan zeventig procent gezien de lagere risico's en de behoefte aan flexibiliteit tijdens ontwikkeling.
Vereisten en Voorbereiding
Voor het succesvol implementeren van Azure Security Score monitoring moeten organisaties voldoen aan verschillende technische, licentie- en organisatorische vereisten die essentieel zijn voor een effectieve monitoring-oplossing. Deze vereisten vormen de fundamentele basis waarop de monitoring wordt gebouwd en zijn cruciaal om ervoor te zorgen dat de implementatie succesvol verloopt en dat organisaties betrouwbare data verzamelen voor trendanalyse en compliance-rapportage.
De primaire technische vereiste is dat Microsoft Defender voor Cloud actief is ingeschakeld op alle relevante Azure-abonnementen waarvan de security score moet worden gemonitord. Defender voor Cloud verzamelt de beveiligingsgegevens en genereert de aanbevelingen die ten grondslag liggen aan de security score berekening. Zonder deze service is het onmogelijk om een accurate security score te genereren. Organisaties moeten ervoor zorgen dat Defender voor Cloud is ingeschakeld op zowel productie- als niet-productieomgevingen, hoewel de prioriteit uiteraard ligt bij productieomgevingen waar de beveiligingsrisico's het grootst zijn. Het is belangrijk om te verifiëren dat Defender voor Cloud daadwerkelijk actief is en dat er geen configuratiewaarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de service die de score-berekening beïnvloeden.
Voor de automatisering van monitoring en rapportage is PowerShell versie 5.1 of hoger vereist, of PowerShell Core versie 7.0 of hoger voor cross-platform compatibiliteit op Linux- en macOS-systemen. PowerShell vormt de basis voor het uitvoeren van scripts die de security score data ophalen, analyseren en rapporteren. Moderne organisaties gebruiken vaak PowerShell 7.x voor cross-platform compatibiliteit, maar de minimale vereiste blijft versie 5.1 voor compatibiliteit met oudere systemen en modules. Specifieke PowerShell-modules zijn essentieel voor het werken met Azure Security Score: de Az.Accounts module verzorgt de authenticatie en verbinding met Azure, terwijl de Az.Security module de specifieke cmdlets bevat voor het ophalen van security score gegevens en aanbevelingen. Deze modules moeten geïnstalleerd zijn op alle systemen waar monitoring scripts worden uitgevoerd, inclusief CI/CD pipelines, Azure Automation runbooks en geautomatiseerde rapportagesystemen.
Vanuit een beveiligingsperspectief is minimaal de Security Reader rol vereist op de Azure-abonnementen die gemonitord moeten worden. Deze rol biedt leestoegang tot beveiligingsgegevens zonder de mogelijkheid om configuraties te wijzigen, wat ideaal is voor monitoring doeleinden. Voor organisaties die monitoring willen automatiseren via service principals of managed identities, moet deze service principal de Security Reader rol hebben op alle relevante abonnementen of op management group niveau voor automatische overerving. Het is belangrijk om te werken volgens het principe van least privilege en alleen de minimale benodigde rechten toe te kennen voor monitoring doeleinden.
Naast technische vereisten is een gestructureerd proces voor maandelijkse score review cruciaal voor effectieve monitoring. Dit proces moet duidelijk definiëren wie verantwoordelijk is voor het analyseren van de score, hoe trends worden geïdentificeerd, welke acties worden ondernomen bij scoreverlaging, en hoe resultaten worden gecommuniceerd naar management en stakeholders. Zonder een dergelijk proces blijft monitoring ad-hoc en wordt de waarde van security score monitoring niet volledig benut. Organisaties moeten ook afspraken maken over hoe vaak de score wordt gemonitord: voor productieomgevingen is dagelijkse monitoring aanbevolen om snel te kunnen reageren op wijzigingen, terwijl voor niet-productieomgevingen wekelijkse monitoring voldoende kan zijn.
Voor het opslaan van historische score data en trendanalyse is het belangrijk om een data-opslagoplossing te hebben, zoals Azure Log Analytics, Azure Storage, of een SQL database. Deze opslag maakt het mogelijk om scores over langere perioden bij te houden en trends te analyseren, wat essentieel is voor driemaandelijkse en jaarlijkse rapportages. Organisaties moeten ook overwegen om alerting te configureren die wordt geactiveerd wanneer de score onder een bepaald drempelniveau daalt, zodat security teams direct kunnen worden geïnformeerd en actie kunnen ondernemen voordat de score verder daalt.
Implementatie
De implementatie van Azure Security Score monitoring vereist een gestructureerde aanpak die begint met het opzetten van geautomatiseerde dataverzameling, gevolgd door configuratie van opslag en rapportage, en tot slot de integratie met bestaande governance-processen. Het implementatieproces kan worden uitgevoerd via verschillende methoden, afhankelijk van de voorkeur en automatiseringvereisten van de organisatie, maar een geautomatiseerde aanpak wordt sterk aanbevolen om consistentie te waarborgen en de belasting op beheerders te minimaliseren.
De eerste stap in het implementatieproces is het opzetten van geautomatiseerde dataverzameling die regelmatig de security score ophaalt voor alle relevante Azure-abonnementen. Dit kan worden uitgevoerd via Azure PowerShell scripts die worden gepland via Azure Automation, via Logic Apps workflows die worden getriggerd volgens een planning, of via Azure Functions die op tijdstippen worden uitgevoerd. De script controleert alle abonnementen in de tenant, haalt de huidige security score op met behulp van de Get-AzSecuritySecureScore cmdlet uit de Az.Security module, en slaat deze data op in een opslagoplossing zoals Azure Log Analytics of Azure Storage. Het is belangrijk om bij elk metingpunt ook metadata op te slaan, zoals het tijdstip van meting, het abonnement-ID, de huidige score, het maximale aantal beschikbare punten, en het aantal behaalde punten, zodat later uitgebreide analyses kunnen worden uitgevoerd.
Naast het ophalen van de algemene security score moet de monitoring ook inzicht bieden in de uitsplitsing van aanbevelingen naar impactniveau. De Get-AzSecurityRecommendation cmdlet kan worden gebruikt om alle aanbevelingen op te halen en te categoriseren op basis van hun severity level (High, Medium, Low), zodat organisaties kunnen zien hoeveel aanbevelingen er zijn in elke categorie en welke impact deze hebben op de totale score. Deze uitsplitsing is essentieel voor prioritering van remediatie-inspanningen, omdat aanbevelingen met hoge impact de grootste scorewinst opleveren wanneer ze worden geïmplementeerd.
Na het opzetten van dataverzameling moet er een dashboard worden geconfigureerd voor real-time zichtbaarheid van de beveiligingspositie. Dit dashboard kan worden gebouwd met Azure Monitor workbooks, Power BI dashboards die data uit Azure Log Analytics ophalen, of custom web dashboards die gebruik maken van de Azure Resource Manager API. Het dashboard moet de huidige score per abonnement tonen, trends over tijd visualiseren, vergelijkingen maken met historische scores, en alerts tonen wanneer drempelwaarden worden overschreden. Voor Nederlandse overheidsorganisaties is het belangrijk dat het dashboard ook compliance-indicatoren toont die aantonen hoe de score zich verhoudt tot de vereisten van BIO, NIS2 en andere relevante frameworks.
Het configureren van alerts is een kritieke stap in de implementatie om te verzekeren dat security teams direct worden geïnformeerd wanneer de score onder een bepaald niveau daalt of wanneer significante wijzigingen worden gedetecteerd. Azure Monitor kan worden gebruikt om alertregels te configureren die worden geactiveerd wanneer de security score onder een drempelwaarde daalt, wanneer er een significante daling is in vergelijking met de vorige meting, of wanneer er nieuwe aanbevelingen met hoge impact worden toegevoegd. Deze alerts kunnen worden geconfigureerd om beveiligingsteams te informeren via e-mail, SMS, push-notificaties, of integratie met incidentbeheersystemen zoals ServiceNow, Jira of Microsoft Teams, waardoor snelle respons wordt gegarandeerd wanneer problemen worden gedetecteerd.
Tot slot moet de monitoring worden geïntegreerd met bestaande governance-processen, zoals wekelijkse security stand-ups, maandelijkse CISO-rapportages, driemaandelijkse bestuursrapportages en jaarlijkse compliance-audits. Dit betekent dat rapportages moeten worden gegenereerd in formaten die passen bij deze processen, dat data beschikbaar moet zijn voor verschillende stakeholders, en dat er duidelijk afgesproken processen zijn voor het bespreken van scoreontwikkelingen en het prioriteren van remediatie-inspanningen. Door deze integratie wordt security score monitoring een natuurlijk onderdeel van de organisatiecultuur in plaats van een losstaande activiteit.
Monitoring en Verificatie
Gebruik PowerShell-script security-score-monitored.ps1 (functie Invoke-Monitoring) – Controleert de Azure Security Score voor alle abonnementen en rapporteert trends en aanbevelingen.
Effectieve monitoring van de Azure Security Score vereist een gestructureerde aanpak die zowel technische als organisatorische aspecten omvat. Het monitoringproces moet inzicht bieden in de huidige beveiligingspositie, trends identificeren over tijd, en actiegerichte informatie leveren voor continue verbetering en compliance-rapportage.
Het primaire dashboard voor Security Score monitoring bevindt zich in Microsoft Defender voor Cloud, waar een overzicht wordt getoond van de huidige score per abonnement, de totale beschikbare punten, en de behaalde punten. Dit dashboard biedt ook inzicht in de uitsplitsing van aanbevelingen naar impactniveau (hoog, middel, laag) en toont trends over tijd. Organisaties moeten dit dashboard regelmatig raadplegen, bij voorkeur dagelijks voor productieomgevingen en wekelijks voor niet-productieomgevingen, maar moeten zich niet uitsluitend hierop verlaten voor diepgaande analyses. Voor geautomatiseerde monitoring en trendanalyse is het belangrijk om scripts te gebruiken die regelmatig de score ophalen en opslaan voor historische vergelijking.
Wekelijkse review van nieuwe aanbevelingen vormt een kritieke activiteit in het monitoringproces. Elke week verschijnen er nieuwe aanbevelingen op basis van wijzigingen in de Azure-omgeving, nieuwe services die worden ingeschakeld, of updates in de beveiligingsstandaarden. Het beveiligingsteam moet wekelijks tijd reserveren om deze nieuwe aanbevelingen te evalueren, te prioriteren op basis van impact en risico, en ze toe te wijzen aan de juiste resource-eigenaren. Deze wekelijkse review voorkomt dat aanbevelingen zich opstapelen en zorgt voor tijdige actie, wat essentieel is voor het handhaven van een goede security score.
Maandelijkse score trending analyse gaat verder dan het bekijken van de huidige score en onderzoekt patronen over tijd. Deze analyse identificeert of de score stijgt, daalt of stabiel blijft, en probeert de onderliggende oorzaken te begrijpen. Een dalende trend kan bijvoorbeeld wijzen op nieuwe services die zijn ingeschakeld zonder beveiligingsconfiguratie, wijzigingen in compliance-vereisten, of nieuwe aanbevelingen die zijn toegevoegd aan de Security Score berekening. Door deze trends te begrijpen, kunnen organisaties proactief actie ondernemen voordat de score significant daalt. Maandelijkse trendanalyses moeten worden gedocumenteerd en gerapporteerd aan de CISO en andere relevante stakeholders, zodat zij op de hoogte blijven van de ontwikkeling van de beveiligingspositie.
Driemaandelijkse executive reporting met jaar-op-jaar vergelijking biedt management inzicht in de langetermijnontwikkeling van de beveiligingspositie. Deze rapporten moeten niet alleen de cijfers tonen, maar ook de context uitleggen: welke initiatieven hebben bijgedragen aan scoreverbetering, welke uitdagingen zijn tegengekomen, en wat zijn de plannen voor de komende periode. Jaar-op-jaar vergelijking helpt bij het demonstreren van vooruitgang en het rechtvaardigen van beveiligingsinvesteringen, wat essentieel is voor het verkrijgen van budgetgoedkeuring en het behouden van bestuurlijke steun voor beveiligingsinitiatieven.
Het stellen van concrete doelen is essentieel voor effectieve monitoring. Voor productieomgevingen wordt een score van meer dan tachtig procent aanbevolen als teken van een volwassen beveiligingspositie. Voor ontwikkel- en testomgevingen kan een iets lagere score van meer dan zeventig procent acceptabel zijn, gezien de lagere risico's en de behoefte aan flexibiliteit tijdens ontwikkeling. Deze doelen moeten realistisch zijn en rekening houden met de specifieke context van de organisatie, maar moeten ook ambitieus genoeg zijn om continue verbetering te stimuleren. Wanneer de score onder deze doelen daalt, moeten automatische alerts worden geactiveerd en moet er een gestructureerd proces zijn voor het prioriteren en uitvoeren van remediatie-inspanningen.
Compliance en Auditing
Azure Security Score monitoring is niet alleen een maatstaf voor beveiligingspositie, maar vormt ook een krachtig instrument voor het aantonen van naleving van verschillende compliance frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. De score is gebaseerd op de Azure Security Benchmark, die op zijn beurt is afgestemd op internationale beveiligingsstandaarden, waardoor organisaties kunnen aantonen dat zij voldoen aan meerdere compliance-vereisten tegelijkertijd.
De Baseline Informatiebeveiliging Overheid (BIO) vereist in thema 11.01 dat organisaties beleidsmatige borging realiseren en continu werken aan verbetering van de informatiebeveiliging. Security Score monitoring biedt een kwantitatieve maatstaf die aantoont hoe organisaties hun beveiligingsposture monitoren en verbeteren, wat essentieel is voor het aantonen van BIO-naleving. Daarnaast vereist BIO thema 12.06 dat organisaties kwetsbaarheden beheren en monitoren, wat wordt ondersteund door de aanbevelingen die ten grondslag liggen aan de Security Score. Door regelmatige monitoring en rapportage van de Security Score kunnen organisaties aantonen dat zij voldoen aan deze BIO-vereisten en kunnen zij tijdens audits bewijs leveren van continue verbetering van de beveiligingspositie.
De NIS2-richtlijn vereist in artikel 21 dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen, inclusief het monitoren en detecteren van beveiligingsincidenten. Security Score monitoring helpt organisaties te voldoen aan deze vereisten door continue monitoring van de beveiligingspositie te bieden en door te identificeren welke beveiligingscontroles moeten worden verbeterd. Nederlandse organisaties die onder NIS2 vallen, kunnen Security Score monitoring gebruiken als onderdeel van hun risicobeheerproces en als bewijs van geïmplementeerde beveiligingsmaatregelen. Tijdens NIS2-audits door de Autoriteit Consument en Markt (ACM) kunnen organisaties rapportages van Security Score monitoring gebruiken om aan te tonen hoe zij hun beveiligingsposture monitoren en verbeteren.
De ISO 27001-standaard vereist in controle A.12.4.1 dat organisaties gebeurtenissen loggen en audittrails bijhouden, en in controles A.18.2.2 en A.18.2.3 dat organisaties structurele evaluatie van compliance en technische conformiteit uitvoeren. Security Score monitoring ondersteunt deze vereisten door continue evaluatie van de beveiligingspositie te bieden en door tijdgestempelde bewijzen te leveren van geïmplementeerde beveiligingscontroles. Organisaties die ISO 27001 gecertificeerd zijn of willen worden, kunnen Security Score monitoring gebruiken als onderdeel van hun continue verbeteringsproces en als bewijs van geïmplementeerde beveiligingscontroles tijdens certificeringsaudits.
Voor auditing en compliance-doeleinden is het belangrijk om regelmatig bewijs te verzamelen dat aantoont dat Security Score monitoring actief is en correct functioneert, inclusief historische score data, trendanalyses, rapportages en documentatie van verbeteracties. Dit bewijs kan worden verkregen via de Azure Portal, Azure PowerShell-cmdlets, de Azure Resource Manager API, of geautomatiseerde scripts die regelmatig worden uitgevoerd om compliance-rapportages te genereren. Auditlogboeken moeten worden bewaard voor de vereiste retentietijd, typisch zeven jaar voor Nederlandse overheidsorganisaties volgens de Archiefwet, en moeten regelmatig worden beoordeeld om te verzekeren dat de monitoring actief blijft en dat alle beveiligingsgebeurtenissen correct worden gelogd en opgeslagen.
Remediatie
Gebruik PowerShell-script security-score-monitored.ps1 (functie Invoke-Remediation) – Genereert geautomatiseerde rapportages en alerts wanneer de Security Score onder drempelwaarden daalt.
Remediatie van beveiligingsaanbevelingen om de Security Score te verbeteren vereist een gestructureerde aanpak die rekening houdt met de impact van aanbevelingen, de beschikbare resources, en de mogelijke verstoring van bedrijfsprocessen. Het remediatieproces begint met het identificeren en prioriteren van aanbevelingen op basis van hun impact op de Security Score en het beveiligingsrisico, waarbij aanbevelingen met hoge impact altijd voorrang krijgen omdat deze de grootste scorewinst opleveren en de meest significante beveiligingsrisico's adresseren.
Voor veel aanbevelingen kan remediatie worden geautomatiseerd via PowerShell scripts of Azure Policy, wat vooral effectief is voor aanbevelingen die betrekking hebben op het inschakelen van logging, het configureren van netwerkbeveiligingsgroepen, of het toepassen van standaardbeveiligingsinstellingen. Het gebruik van geautomatiseerde remediatie zorgt voor consistentie en vermindert de kans op menselijke fouten, terwijl het ook de belasting op security teams vermindert. Sommige aanbevelingen vereisen echter handmatige interventie of goedkeuring voordat ze kunnen worden geïmplementeerd, vooral wanneer deze betrekking hebben op toegangscontroles die kunnen invloed hebben op wie toegang heeft tot welke resources.
Na implementatie van remediatie is het belangrijk om te verifiëren dat de aanbeveling daadwerkelijk is opgelost en dat de Security Score dienovereenkomstig is verbeterd. Dit kan enige tijd duren, omdat Defender voor Cloud periodiek de beveiligingsstatus evalueert. Organisaties moeten een proces hebben om de status van remediaties te volgen en te verifiëren dat ze succesvol zijn voltooid, waarbij geautomatiseerde monitoring kan helpen bij het detecteren wanneer scores verbeteren als gevolg van remediatie-inspanningen.
Compliance & Frameworks
- CIS M365: Control N/A (L1) - Security Score monitoring is een best practice voor beveiligingsgovernance
- BIO: 11.01, 12.06 - Beleidsmatige borging en kwetsbaarheidsbeheer - Monitoring en continue verbetering
- ISO 27001:2022: A.12.4.1, A.18.2.2, A.18.2.3 - Gebeurtenissen loggen en compliance evaluatie - Continue monitoring van beveiligingspositie
- NIS2: Artikel - Cybersecurity risicobeheer - Monitoring en detectie van beveiligingsincidenten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Azure Security Score Monitoring Ingeschakeld
.DESCRIPTION
Monitort de Azure Security Score voor alle abonnementen en rapporteert trends,
aanbevelingen en compliance-status voor continue beveiligingsgovernance.
.NOTES
Filename: security-score-monitored.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/defender-cloud/security-score-monitored.json
BIO Controls: 11.01, 12.06
ISO 27001: A.12.4.1, A.18.2.2, A.18.2.3
NIS2 Article: 21
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Security
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Azure Security Score Monitoring"
function Connect-RequiredServices {
try {
if (-not (Get-AzContext)) {
Connect-AzAccount -ErrorAction Stop | Out-Null
}
Write-Verbose "Verbonden met Azure"
}
catch {
throw "Failed to connect to Azure: $_"
}
}
function Test-Compliance {
Write-Verbose "Retrieving Security Score for all subscriptions: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "security-score-monitored"
PolicyName = $PolicyName
IsCompliant = $true # Informational monitoring control
TotalSubscriptions = 0
SubscriptionsWithScore = 0
Details = @()
Recommendations = @()
SubscriptionScores = @()
}
try {
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
$result.TotalSubscriptions = $subscriptions.Count
$overallCurrentScore = 0
$overallMaxScore = 0
$subscriptionsWithValidScore = 0
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null
try {
$secureScore = Get-AzSecuritySecureScore -ErrorAction Stop | Select-Object -First 1
if ($secureScore -and $secureScore.Score) {
$currentScore = $secureScore.Score.Current
$maxScore = $secureScore.Score.Max
$percentage = if ($maxScore -gt 0) { [math]::Round(($currentScore / $maxScore) * 100, 2) } else { 0 }
$overallCurrentScore += $currentScore
$overallMaxScore += $maxScore
$subscriptionsWithValidScore++
$scoreInfo = @{
SubscriptionName = $sub.Name
SubscriptionId = $sub.Id
CurrentScore = $currentScore
MaxScore = $maxScore
Percentage = $percentage
}
$result.SubscriptionScores += $scoreInfo
$status = if ($percentage -ge 80) { "✓" } elseif ($percentage -ge 70) { "⚠" } else { "✗" }
$result.Details += "$status Subscription '$($sub.Name)': Score $percentage% ($currentScore/$maxScore)"
if ($percentage -lt 80) {
$result.Recommendations += "Subscription '$($sub.Name)' heeft score onder 80% ($percentage%) - Review aanbevelingen"
}
}
else {
$result.Details += "✗ Subscription '$($sub.Name)': Geen Security Score data beschikbaar"
$result.Recommendations += "Verifieer dat Defender voor Cloud is ingeschakeld op '$($sub.Name)'"
}
}
catch {
$result.Details += "✗ Subscription '$($sub.Name)': Fout bij ophalen score - $($_.Exception.Message)"
}
}
$result.SubscriptionsWithScore = $subscriptionsWithValidScore
if ($subscriptionsWithValidScore -gt 0 -and $overallMaxScore -gt 0) {
$overallPercentage = [math]::Round(($overallCurrentScore / $overallMaxScore) * 100, 2)
if ($overallPercentage -lt 80) {
$result.Recommendations += "Algemene Security Score is $overallPercentage% - Streef naar >80% voor volwassen beveiligingspositie"
}
$result.Details += "`nAlgemene Security Score: $overallPercentage% ($overallCurrentScore/$overallMaxScore)"
$result.Details += "Gemonitorde abonnementen: $subscriptionsWithValidScore/$($result.TotalSubscriptions)"
}
# Check if monitoring is active
if ($result.SubscriptionsWithScore -eq 0) {
$result.IsCompliant = $false
$result.Recommendations += "Geen Security Score data beschikbaar - Verifieer Defender voor Cloud configuratie"
}
else {
$result.IsCompliant = $true
}
}
catch {
$result.Details += "ERROR: $($_.Exception.Message)"
$result.IsCompliant = $false
}
return $result
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Totaal abonnementen: $($result.TotalSubscriptions)" -ForegroundColor White
Write-Host "Abonnementen met score: $($result.SubscriptionsWithScore)" -ForegroundColor $(if ($result.SubscriptionsWithScore -gt 0) { 'Green' } else { 'Red' })
Write-Host "`nSecurity Score Details:" -ForegroundColor Yellow
foreach ($detail in $result.Details) {
if ($detail -like "✓*") {
Write-Host " $detail" -ForegroundColor Green
}
elseif ($detail -like "⚠*") {
Write-Host " $detail" -ForegroundColor Yellow
}
elseif ($detail -like "✗*") {
Write-Host " $detail" -ForegroundColor Red
}
else {
Write-Host " $detail" -ForegroundColor Gray
}
}
if ($result.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Yellow
foreach ($rec in $result.Recommendations) {
Write-Host " • $rec" -ForegroundColor Cyan
}
}
Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "[OK] MONITORING ACTIEF" -ForegroundColor Green
Write-Host "`nSecurity Score monitoring is actief op $($result.SubscriptionsWithScore) abonnement(en)." -ForegroundColor Green
Write-Host "Best practice: Handhaaf score >80% voor productieomgevingen." -ForegroundColor Gray
}
else {
Write-Host "[FAIL] MONITORING PROBLEEM" -ForegroundColor Red
Write-Host "`nSecurity Score data is niet beschikbaar. Verifieer Defender voor Cloud configuratie." -ForegroundColor Red
}
Write-Host "`nTips:" -ForegroundColor Cyan
Write-Host " • Review aanbevelingen wekelijks voor beste resultaten" -ForegroundColor Gray
Write-Host " • Stel alerts in bij score daling onder 80%" -ForegroundColor Gray
Write-Host " • Genereer maandelijkse trend rapportages" -ForegroundColor Gray
Write-Host " • Integreer score monitoring in governance processen" -ForegroundColor Gray
return $result
}
function Invoke-Remediation {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Security Score Monitoring - Remediatie" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "`nDit is een monitoring-only control." -ForegroundColor Yellow
Write-Host "Remediatie bestaat uit het opzetten van geautomatiseerde monitoring en rapportage.`n" -ForegroundColor Gray
$result = Test-Compliance
Write-Host "Huidige Monitoring Status:" -ForegroundColor Yellow
Write-Host " Abonnementen met score: $($result.SubscriptionsWithScore)/$($result.TotalSubscriptions)" -ForegroundColor $(if ($result.SubscriptionsWithScore -eq $result.TotalSubscriptions) { 'Green' } else { 'Yellow' })
if ($result.SubscriptionsWithScore -lt $result.TotalSubscriptions) {
Write-Host "`nAanbevelingen voor verbetering:" -ForegroundColor Cyan
Write-Host " 1. Verifieer dat Defender voor Cloud is ingeschakeld op alle abonnementen" -ForegroundColor Gray
Write-Host " 2. Configureer geautomatiseerde monitoring via Azure Automation of Logic Apps" -ForegroundColor Gray
Write-Host " 3. Stel alerts in voor score dalingen via Azure Monitor" -ForegroundColor Gray
Write-Host " 4. Zet een dashboard op voor real-time score zichtbaarheid" -ForegroundColor Gray
Write-Host " 5. Integreer score rapportages in maandelijkse CISO reviews" -ForegroundColor Gray
}
else {
Write-Host "`n[OK] Monitoring is actief op alle abonnementen." -ForegroundColor Green
Write-Host "Overweeg om geautomatiseerde alerts en rapportages te configureren voor continue monitoring.`n" -ForegroundColor Gray
}
Write-Host "`nVoor geautomatiseerde monitoring:" -ForegroundColor Cyan
Write-Host " • Gebruik dit script in Azure Automation runbooks (dagelijks/weekelijks)" -ForegroundColor Gray
Write-Host " • Sla score data op in Azure Log Analytics voor trendanalyse" -ForegroundColor Gray
Write-Host " • Configureer Azure Monitor alerts bij score dalingen" -ForegroundColor Gray
Write-Host " • Genereer maandelijkse rapportages voor bestuurders" -ForegroundColor Gray
return $result
}
function Invoke-Revert {
Write-Host "`n⚠️ Geen revert actie voor monitoring control" -ForegroundColor Yellow
Write-Host "Monitoring kan worden gestopt door het script niet meer uit te voeren." -ForegroundColor Gray
Write-Host "Het wordt echter NIET aanbevolen om monitoring te stoppen.`n" -ForegroundColor Red
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow
$result = Test-Compliance
Write-Host "Zou monitoring status rapporteren voor $($result.TotalSubscriptions) abonnement(en)" -ForegroundColor Yellow
if ($result.SubscriptionsWithScore -lt $result.TotalSubscriptions) {
Write-Host "`nAbonnementen zonder score data:" -ForegroundColor Yellow
$result.Details | Where-Object { $_ -like "✗*" } | ForEach-Object {
Write-Host " $_" -ForegroundColor Gray
}
}
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
if ($result.SubscriptionsWithScore -gt 0) {
$avgPercentage = if ($result.SubscriptionScores.Count -gt 0) {
[math]::Round(($result.SubscriptionScores | Measure-Object -Property Percentage -Average).Average, 2)
} else { 0 }
Write-Host "`nStatus: " -NoNewline -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "[OK] MONITORING ACTIEF" -ForegroundColor Green
}
else {
Write-Host "[FAIL] MONITORING PROBLEEM" -ForegroundColor Red
}
Write-Host "Gemonitorde abonnementen: $($result.SubscriptionsWithScore)/$($result.TotalSubscriptions)" -ForegroundColor White
if ($avgPercentage -gt 0) {
$color = if ($avgPercentage -ge 80) { 'Green' } elseif ($avgPercentage -ge 70) { 'Yellow' } else { 'Red' }
Write-Host "Gemiddelde Security Score: $avgPercentage%" -ForegroundColor $color
}
}
else {
Write-Host "`nStatus: [FAIL] GEEN SCORE DATA" -ForegroundColor Red
Write-Host "Geen Security Score data beschikbaar op enig abonnement." -ForegroundColor Red
}
Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray
Write-Host "Gebruik -Remediation voor monitoring setup aanbevelingen`n" -ForegroundColor Gray
}
}
catch {
Write-Error $_
exit 1
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder Security Score monitoring beschikken organisaties niet over kwantitatieve data om te beoordelen of beveiligingsinvesteringen resultaat opleveren, kunnen security teams geen concrete verbeterdoelen stellen, blijft de compliance-status onbekend en wordt prioritering ad-hoc uitgevoerd. Voor Nederlandse overheidsorganisaties is het ontbreken van monitoring extra problematisch omdat toezichthouders verwachten dat organisaties kunnen aantonen hoe zij hun beveiligingsposture monitoren en verbeteren, wat zonder monitoring niet aantoonbaar is.
Management Samenvatting
Security Score monitoring biedt objectieve meting van de beveiligingspositie, trendzichtbaarheid over tijd, en executive-vriendelijke rapportage. Implementatie via geautomatiseerde scripts kost gemiddeld vier tot zes uur aan technische configuratie, waarna dagelijkse of wekelijkse monitoring automatisch verloopt. Best practice is om een score van meer dan tachtig procent te handhaven voor productieomgevingen. Monitoring is essentieel voor BIO-naleving (thema 11.01, 12.06), NIS2-vereisten (artikel 21) en ISO 27001-compliance (A.18.2.2, A.18.2.3).
- Implementatietijd: 6 uur
- FTE required: 0.05 FTE