L2 BIO 13.01 ISO A.13.1.1 CIS 2.1.22

Microsoft Defender For Cloud: Adaptive Network Hardening Inschakelen

📅 2025-10-29
⏱️ 10 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Adaptive Network Hardening in Microsoft Defender voor Cloud analyseert netwerkverkeerpatronen en genereert intelligente aanbevelingen voor het verstrakken van netwerkbeveiligingsgroep-regels, waardoor het aanvalsoppervlak wordt geminimaliseerd terwijl legitiem verkeer behouden blijft.

Aanbeveling
IMPLEMENTEER VOOR INTERNETGERICHTE VIRTUELE MACHINES
Risico zonder
Medium
Risk Score
6/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Azure

Handmatig configureren van netwerkbeveiligingsgroep-regels is complex en foutgevoelig, vaak resulterend in te permissieve regels die onnodig veel verkeer toestaan. Dit vergroot het aanvalsoppervlak voor aanvallers die poorten kunnen scannen en exploiteren. Tegelijkertijd is het moeilijk om precies te weten welk verkeer legitiem is zonder operationele impact te veroorzaken. Adaptive Network Hardening gebruikt machine learning en bedreigingsinformatie om netwerkbeveiligingsgroep-regels automatisch te optimaliseren op basis van daadwerkelijk verkeer en bekende dreigingsindicatoren.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze regel monitort Adaptive Network Hardening-aanbevelingen in Microsoft Defender voor Cloud. De functionaliteit analyseert: historisch netwerkverkeer naar en van internetgerichte virtuele machines, vergelijkt daadwerkelijk verkeer met huidige netwerkbeveiligingsgroep-configuratie, identificeert te permissieve regels die niet gebruikt worden, genereert concrete verhardingsaanbevelingen met voorgestelde regelwijzigingen. De aanbevelingen bevatten specifieke bron-IP-bereiken, poorten en protocollen die veilig geblokkeerd kunnen worden. Implementatie van aanbevelingen gebeurt handmatig door beheerders na beoordeling, waardoor volledige controle behouden blijft.

Vereisten

Voor het succesvol implementeren en gebruiken van Adaptive Network Hardening in Microsoft Defender voor Cloud moeten organisaties aan een aantal specifieke technische en organisatorische vereisten voldoen. Deze vereisten zijn essentieel om ervoor te zorgen dat de functionaliteit correct werkt en betrouwbare aanbevelingen kan genereren voor het optimaliseren van netwerkbeveiligingsgroepen. Ten eerste is een actieve Azure-abonnement met minimaal Reader-rechten vereist. Deze rechten zijn nodig om de netwerkconfiguraties en aanbevelingen te kunnen bekijken. Hoewel Reader-rechten voldoende zijn voor monitoring, zijn Contributor-rechten of hoger nodig wanneer organisaties de gegenereerde aanbevelingen daadwerkelijk willen implementeren via geautomatiseerde scripts of de Azure Portal. Voor het uitvoeren van monitoring- en implementatiescripts is PowerShell 5.1 of hoger noodzakelijk. PowerShell 7.x wordt aanbevolen voor betere cross-platform compatibiliteit en verbeterde prestaties. Daarnaast moeten de specifieke Az PowerShell-modules geïnstalleerd zijn: Az.Accounts voor authenticatie en abonnementsbeheer, en Az.Security voor toegang tot de beveiligingsaanbevelingen van Microsoft Defender voor Cloud. Een kritieke vereiste is dat Microsoft Defender voor Servers moet zijn ingeschakeld op abonnementsniveau. Adaptive Network Hardening is een functie die exclusief beschikbaar is binnen het Defender for Servers Plan 2-aanbod. Dit betekent dat organisaties een betaald abonnement nodig hebben, wat ongeveer twaalf euro per virtuele machine per maand kost. Zonder deze licentie is de functionaliteit niet beschikbaar en kunnen er geen netwerkhardening-aanbevelingen worden gegenereerd. De virtuele machines die moeten worden geanalyseerd moeten internet-facing zijn en moeten beschikken over geconfigureerde Netwerkbeveiligingsgroepen (NSG's). Internet-facing betekent dat de VM's een publiek IP-adres hebben of via een load balancer of application gateway toegankelijk zijn vanaf het internet. VM's die alleen intern communiceren kunnen ook worden geanalyseerd, maar de grootste waarde wordt behaald bij systemen die direct blootgesteld zijn aan internetverkeer. Voor het genereren van nauwkeurige en betrouwbare aanbevelingen is minimaal veertien dagen aan netwerkverkeersdata vereist. Deze periode is nodig omdat het machine learning-model een baseline moet kunnen opstellen van normaal netwerkverkeer. Tijdens deze periode analyseert het systeem de daadwerkelijke verkeerspatronen, inclusief bron-IP-adressen, bestemmingspoorten, protocollen en verkeersvolumes. Zonder voldoende historische data kunnen de aanbevelingen onbetrouwbaar zijn of leiden tot het blokkeren van legitiem verkeer. Tot slot is toegang tot de Azure Portal vereist voor het bekijken en beoordelen van de gegenereerde aanbevelingen. Hoewel de aanbevelingen ook programmatisch kunnen worden opgehaald via de Azure Security API, biedt de portal de meest gebruiksvriendelijke interface voor het analyseren van de voorgestelde wijzigingen, het bekijken van confidence scores en het implementeren van goedgekeurde aanbevelingen.

Monitoring

Gebruik PowerShell-script adaptive-network-hardening-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor monitoring van Adaptive Network Hardening-aanbevelingen. Het script haalt alle actieve aanbevelingen op die gerelateerd zijn aan adaptieve netwerkverharding en rapporteert het aantal en details van deze aanbevelingen..

Het monitoren van Adaptive Network Hardening-aanbevelingen is een continu proces dat organisaties in staat stelt om inzicht te krijgen in de beveiligingsstatus van hun netwerkconfiguraties en om tijdig te reageren op nieuwe aanbevelingen die door het machine learning-model worden gegenereerd. Het monitoringproces vormt de basis voor een proactieve beveiligingsaanpak waarbij netwerkbeveiligingsgroepen regelmatig worden geëvalueerd en geoptimaliseerd. Het monitoring script gebruikt de Get-AzSecurityRecommendation cmdlet uit de Az.Security PowerShell-module om alle actieve aanbevelingen op te halen die gerelateerd zijn aan Adaptive Network Hardening. Het script filtert specifiek op aanbevelingen die 'Adaptive Network' bevatten in de weergavenaam, wat zorgt voor een gerichte selectie van relevante netwerkhardening-aanbevelingen. Deze filtering is belangrijk omdat Microsoft Defender voor Cloud honderden verschillende soorten aanbevelingen kan genereren, variërend van identiteitsbeheer tot gegevensbescherming. Na het ophalen van de aanbevelingen toont het script zowel een overzichtelijk totaal aantal gevonden aanbevelingen als gedetailleerde informatie per individuele aanbeveling. Deze details omvatten typisch de naam van de virtuele machine waarvoor de aanbeveling geldt, de specifieke NSG-regels die moeten worden aangepast, de voorgestelde wijzigingen (zoals het beperken van bron-IP-adresbereiken of het sluiten van ongebruikte poorten), en een confidence score die aangeeft hoe betrouwbaar de aanbeveling is op basis van de machine learning-analyse. Het monitoringproces is uitsluitend gericht op het verzamelen en rapporteren van informatie. Dit betekent dat het script geen automatische remediatie uitvoert en geen wijzigingen aanbrengt aan de netwerkbeveiligingsgroepen. Deze aanpak is bewust gekozen omdat netwerkconfiguratiewijzigingen een directe impact kunnen hebben op de beschikbaarheid van applicaties en services. Door handmatige review en goedkeuring te vereisen, kunnen organisaties ervoor zorgen dat alleen veilige en gevalideerde wijzigingen worden doorgevoerd. Voor effectieve monitoring wordt aanbevolen om het script regelmatig uit te voeren, bijvoorbeeld wekelijks of maandelijks, afhankelijk van de omvang van de Azure-omgeving en de frequentie waarmee nieuwe virtuele machines worden toegevoegd of netwerkconfiguraties worden gewijzigd. Organisaties kunnen het script ook integreren in geautomatiseerde monitoringworkflows, waarbij de resultaten worden gelogd in een centrale logging-oplossing of worden doorgestuurd naar een Security Information and Event Management (SIEM) systeem voor verdere analyse en correlatie met andere beveiligingsgebeurtenissen. Naast het uitvoeren van het monitoring script kunnen organisaties de aanbevelingen ook direct bekijken in de Azure Portal onder de sectie Microsoft Defender voor Cloud. De portal biedt een gebruiksvriendelijke interface waar aanbevelingen kunnen worden gefilterd, gesorteerd en geëxporteerd voor verdere analyse. Voor grotere omgevingen met tientallen of honderden virtuele machines biedt programmatische monitoring via PowerShell echter de mogelijkheid om de aanbevelingen te integreren in bestaande IT-beheerprocessen en rapportagetools.

Remediatie

Gebruik PowerShell-script adaptive-network-hardening-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Het remediëren van Adaptive Network Hardening-aanbevelingen vereist een zorgvuldige en gefaseerde aanpak om ervoor te zorgen dat netwerkbeveiligingsgroepen worden geoptimaliseerd zonder de beschikbaarheid van kritieke bedrijfsapplicaties te verstoren. In tegenstelling tot veel andere beveiligingsaanbevelingen in Microsoft Defender voor Cloud, worden Adaptive Network Hardening-aanbevelingen niet automatisch geïmplementeerd. Deze bewuste keuze is gebaseerd op het feit dat netwerkconfiguratiewijzigingen directe gevolgen kunnen hebben voor de connectiviteit en functionaliteit van systemen. Het remediatieproces begint met het grondig bekijken van de aanbevelingen in de Azure Portal onder de sectie Microsoft Defender voor Cloud. Beheerders moeten elke aanbeveling individueel analyseren en begrijpen welke specifieke wijzigingen worden voorgesteld. Dit omvat het identificeren van de virtuele machine waarvoor de aanbeveling geldt, het bekijken van de huidige NSG-configuratie, en het begrijpen van de voorgestelde wijzigingen zoals het beperken van bron-IP-adresbereiken, het sluiten van ongebruikte poorten, of het aanpassen van protocoltoegang. Vervolgens moeten beheerders de voorgestelde NSG-regelwijzigingen per virtuele machine analyseren. Dit betekent dat voor elke aanbeveling moet worden geëvalueerd of de voorgestelde wijzigingen legitiem bedrijfsverkeer kunnen blokkeren. Bijvoorbeeld, als een aanbeveling suggereert om een bepaalde poort te sluiten, moeten beheerders verifiëren dat deze poort inderdaad niet wordt gebruikt door applicaties of services. Evenzo moeten bij het beperken van bron-IP-adresbereiken alle legitieme bronnen worden geïdentificeerd en opgenomen in de nieuwe configuratie. Een kritieke stap in het validatieproces is het verifiëren dat legitiem bedrijfsverkeer niet wordt geblokkeerd. Dit kan worden gedaan door de voorgestelde wijzigingen te testen in een niet-productieomgeving, door netwerkverkeerslogs te analyseren om te bevestigen welke IP-adressen en poorten daadwerkelijk worden gebruikt, en door te overleggen met applicatie-eigenaren en netwerkbeheerders over de verwachte verkeerspatronen. Implementatie van aanbevelingen moet gefaseerd gebeuren, waarbij eerst test- en ontwikkelomgevingen worden aangepast voordat wijzigingen worden doorgevoerd in productieomgevingen. Deze gefaseerde aanpak maakt het mogelijk om eventuele problemen te identificeren en op te lossen voordat kritieke systemen worden beïnvloed. Na implementatie in testomgevingen en na een periode van monitoring en validatie, kunnen de wijzigingen worden doorgevoerd in productieomgevingen. Na implementatie van de aanbevelingen is continue monitoring van de applicatiefunctionaliteit essentieel. Beheerders moeten controleren of alle applicaties en services normaal blijven functioneren, of er geen onverwachte connectiviteitsproblemen zijn ontstaan, en of gebruikers nog steeds toegang hebben tot de benodigde resources. Eventuele problemen moeten onmiddellijk worden geïdentificeerd en aangepakt. Gelukkig biedt Azure de mogelijkheid om wijzigingen terug te draaien via de NSG-versiegeschiedenis. Als een geïmplementeerde aanbeveling onverwachte problemen veroorzaakt, kunnen beheerders terugkeren naar de vorige NSG-configuratie. Deze rollback-functionaliteit biedt een veiligheidsnet en maakt het mogelijk om snel te reageren op eventuele negatieve gevolgen van netwerkconfiguratiewijzigingen. Er is bewust geen automatische remediatie beschikbaar voor deze regel vanwege het inherente risico op het blokkeren van legitiem verkeer. Netwerkconfiguraties zijn complex en kunnen afhankelijkheden hebben die niet altijd duidelijk zijn uit de machine learning-analyse. Handmatige review en goedkeuring door ervaren beheerders is daarom verplicht om ervoor te zorgen dat alleen veilige en gevalideerde wijzigingen worden doorgevoerd die de beveiliging verbeteren zonder de bedrijfsvoering te verstoren.

Compliance en Auditing

De implementatie van Adaptive Network Hardening draagt significant bij aan het voldoen aan verschillende belangrijke beveiligings- en compliance-standaarden die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige gegevens. Deze regel helpt organisaties om te demonstreren dat zij proactieve maatregelen nemen om hun netwerkinfrastructuur te beveiligen en te optimaliseren volgens best practices en wettelijke vereisten. Voor de CIS Azure Foundations Benchmark versie 3.0.0 is deze regel specifiek gerelateerd aan controle 2.1.22, die vereist dat organisaties Adaptive Network Hardening-aanbevelingen van Microsoft Defender voor Cloud monitoren. Deze controle maakt deel uit van de Level 2-aanbevelingen, die gericht zijn op organisaties met hogere beveiligingsvereisten. Door regelmatig de gegenereerde aanbevelingen te bekijken, te evalueren en waar mogelijk te implementeren, kunnen organisaties aantonen dat zij voldoen aan deze specifieke CIS-vereiste. De CIS Benchmark wordt wereldwijd erkend als een belangrijke standaard voor cloudbeveiliging en wordt vaak gebruikt als basis voor security audits en assessments. Voor de BIO (Baseline Informatiebeveiliging Overheid) is deze regel relevant voor Thema 13.01, dat zich richt op netwerkbeveiliging, specifiek netwerksegmentatie en netwerkbeheersing. De BIO vereist dat overheidsorganisaties passende maatregelen nemen om netwerken te segmenteren en toegang te controleren volgens het principe van least privilege. Adaptive Network Hardening ondersteunt deze vereiste door automatisch te identificeren waar netwerkbeveiligingsgroepen kunnen worden geoptimaliseerd om onnodige toegang te beperken, wat direct bijdraagt aan betere netwerksegmentatie en gecontroleerde toegang. Binnen de ISO 27001-standaard zijn met name de controles A.13.1.1 (Network controls) en A.13.1.3 (Segregation in networks) relevant. ISO 27001 A.13.1.1 vereist dat organisaties netwerkbeheer en netwerkbeveiliging implementeren, inclusief het beheren van netwerktoegang en het beschermen van netwerkservices. A.13.1.3 richt zich specifiek op netwerksegmentatie, waarbij organisaties moeten aantonen dat netwerken zijn gesegmenteerd om onbevoegde toegang te voorkomen. Adaptive Network Hardening helpt bij beide controles door data-gedreven inzichten te bieden in netwerkconfiguraties en door concrete aanbevelingen te genereren voor het verbeteren van netwerkbeveiliging en segmentatie. Voor de NIS2-richtlijn (Network and Information Systems Directive 2) is Artikel 21 relevant, dat zich richt op cybersecurity risicobeheer, met specifieke aandacht voor netwerksegmentatie. NIS2 vereist dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Netwerksegmentatie wordt expliciet genoemd als een belangrijke maatregel. Door Adaptive Network Hardening te gebruiken, kunnen organisaties aantonen dat zij proactief werken aan het verbeteren van netwerksegmentatie en het verminderen van het aanvalsoppervlak, wat direct bijdraagt aan de NIS2-vereisten. Binnen het NIST Cybersecurity Framework (CSF) is de categorie PR.AC-5 (Network integrity is protected) relevant. Deze categorie vereist dat organisaties maatregelen nemen om de integriteit van netwerken te beschermen. Adaptive Network Hardening draagt hieraan bij door te helpen bij het identificeren en oplossen van netwerkconfiguratieproblemen die de netwerkintegriteit kunnen compromitteren, zoals te permissieve firewallregels of ongebruikte poorten die open staan. Voor auditdoeleinden is het belangrijk dat organisaties kunnen aantonen dat zij regelmatig Adaptive Network Hardening-aanbevelingen monitoren, evalueren en waar mogelijk implementeren. Dit kan worden gedaan door het bijhouden van logs van monitoring runs, het documenteren van geëvalueerde aanbevelingen, het vastleggen van geïmplementeerde wijzigingen, en het bijhouden van de rationale achter beslissingen om bepaalde aanbevelingen wel of niet te implementeren. Deze documentatie is essentieel voor het aantonen van compliance tijdens audits en assessments.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Adaptive Network Hardening .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.22 Controleert Adaptive Network Hardening recommendations in Defender. .NOTES Filename: adaptive-network-hardening-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.22 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Adaptive Network Hardening" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } try { Connect-RequiredServices if ($Monitoring) { $recommendations = Get-AzSecurityRecommendation | Where-Object { $_.RecommendationDisplayName -like "*Adaptive*Network*" } Write-Host "`n${PolicyName}: $($recommendations.Count) recommendations" -ForegroundColor Cyan if ($recommendations.Count -gt 0) { Write-Host "`nRecommendations found:" -ForegroundColor Yellow $recommendations | ForEach-Object { Write-Host " - $($_.RecommendationDisplayName)" -ForegroundColor Gray } } } else { Write-Host "`n[OK] Adaptive Network Hardening check completed" -ForegroundColor Green } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $recommendations = Get-AzSecurityRecommendation | Where-Object { $_.RecommendationDisplayName -like "*Adaptive*Network*" } Write-Host "`n${PolicyName}: $($recommendations.Count) recommendations" -ForegroundColor Cyan if ($recommendations.Count -gt 0) { Write-Host "`nRecommendations found:" -ForegroundColor Yellow $recommendations | ForEach-Object { Write-Host " - $($_.RecommendationDisplayName)" -ForegroundColor Gray } } } else { Write-Host "`n[OK] Adaptive Network Hardening check completed" -ForegroundColor Green } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder Adaptive Network Hardening blijven netwerkbeveiligingsgroep-configuraties suboptimaal waarbij te permissieve regels onnodig aanvalsoppervlak creëren. Handmatig geconfigureerde netwerkbeveiligingsgroep-regels zijn vaak te breed waarbij beheerders uit voorzichtigheid brede IP-bereiken toestaan (0.0.0.0/0, hele subnets) of onnodige poorten openen omdat exacte vereisten onduidelijk zijn - dit betekent dat aanvallers poortscanning kunnen uitvoeren op ongebruikte maar open poorten, kwetsbaarheidsexploitatie mogelijk wordt via onnodig blootgestelde services, en laterale verplaatsing wordt vergemakkelijkt door te brede interne netwerktoegangsregels. Daadwerkelijke verkeerspatronen verschillen aanzienlijk van geconfigureerde regels waarbij tachtig procent van toegestane poorten en protocollen in de praktijk nooit worden gebruikt volgens Microsoft-telemetrie - deze ongebruikte toestemmingen zijn pure aanvalsvectoren zonder zakelijke waarde. Handmatige netwerkbeveiligingsgroep-optimalisatie is praktisch onhaalbaar voor omgevingen met vijftig of meer virtuele machines omdat netwerkbeheerders geen tijd of tools hebben om per virtuele machine daadwerkelijk verkeer te analyseren en regels dienovereenkomstig af te stemmen - het resultaat is dat initieel permissieve regels permanent blijven staan, zelfs als vereisten veranderen. Netwerkzichtbaarheid ontbreekt waarbij beveiligingsteams niet weten welke netwerkbeveiligingsgroep-regels daadwerkelijk worden gebruikt versus geconfigureerd, wat verweesde regels en regelsprawl veroorzaakt. Compliance-hiaten ontstaan waarbij ISO 27001 A.13.1.3 netwerksegmentatie en BIO 13.01 netwerktoegang met minimale rechten moeilijk aan te tonen zijn zonder data-gedreven netwerkbeveiligingsgroep-optimalisatie. Aanvalsoppervlak blijft onnodig groot wat de impactradius van compromissen vergroot - een gecompromitteerde virtuele machine met te permissieve uitgaande regels kan gemakkelijker laterale verplaatsing naar andere virtuele machines maken. Het risico is gemiddeld voor algemene virtuele machines, hoog voor internetgerichte workloads (webservers, applicatiegateways, bastion hosts) waar netwerkbeveiligingsgroep-optimalisatie kritiek is voor aanvalsoppervlakreductie, en compliance-relevant voor organisaties onder BIO en ISO 27001 die netwerkbeleid met minimale rechten moeten aantonen.

Management Samenvatting

Adaptive Network Hardening gebruikt machine learning om netwerkbeveiligingsgroep-regels te analyseren tegen daadwerkelijke netwerkverkeerspatronen en intelligente aanbevelingen te genereren voor netwerkbeveiligingsgroep-optimalisatie die aanvalsoppervlak reduceren zonder zakelijke connectiviteit te verstoren. Het systeem analyseert daadwerkelijke inkomende en uitgaande verkeerspatronen over een periode van veertien of meer dagen om een betrouwbare baseline te kunnen opstellen. Tijdens deze analyseperiode worden geconfigureerde netwerkbeveiligingsgroep-regels vergeleken met daadwerkelijk gebruikte poorten en protocollen, waarbij het systeem bron-IP-adressen die daadwerkelijk verbinden vergelijkt met toegestane IP-bereiken. Daarnaast wordt protocolgebruik geanalyseerd, waarbij onderscheid wordt gemaakt tussen TCP en UDP verkeer en specifieke poortnummers worden geïdentificeerd die daadwerkelijk in gebruik zijn. Op basis van deze analyse genereert het systeem concrete aanbevelingen voor netwerkoptimalisatie. Deze aanbevelingen omvatten het verstrakken van bron-IP-bereiken van brede configuraties zoals 0.0.0.0/0 naar specifieke waargenomen IP-adressen die daadwerkelijk verbinding maken. Ongebruikte poorttoestemmingen worden geïdentificeerd en voorgesteld voor verwijdering wanneer een poort wel is toegestaan maar er geen verkeer is waargenomen gedurende de analyseperiode. Protocollen worden beperkt tot alleen de waargenomen typen, en voor frequent aanvallende bron-IP-adressen worden weigerregels voorgesteld. Belangrijk is dat aanbevelingen niet automatisch worden toegepast. Handmatige beoordeling en goedkeuring zijn vereist voordat wijzigingen worden doorgevoerd. Elke aanbeveling bevat een gedetailleerde uitleg waarom de regelwijziging wordt aanbevolen, een betrouwbaarheidsscore gebaseerd op machine learning-analyse die aangeeft of de aanbeveling hoge, gemiddelde of lage betrouwbaarheid heeft, een voorvertoning van de nieuwe netwerkbeveiligingsgroep-regelconfiguratie, en een optie voor one-click-toepassing na goedkeuring. Adaptive Network Hardening is onderdeel van Microsoft Defender voor Servers en vereist een Defender voor Servers Plan 2 licentie, wat een betaalde functie is. De functionaliteit wordt automatisch ingeschakeld voor internetgerichte virtuele machines die beschikken over bestaande netwerkbeveiligingsgroepen. Deze maatregel is sterk aanbevolen voor internetgerichte virtuele machines zoals webservers, applicatielagen en jump boxes waar netwerkbeveiliging kritiek is. Voor interne virtuele machines met complexe netwerkbeveiligingsgroep-configuraties kan de functionaliteit ook waardevol zijn. De maatregel ondersteunt compliance met verschillende standaarden, waaronder CIS 2.1.22, BIO 13.01, en ISO 27001 A.13.1.3. De implementatie vereist een Defender voor Servers licentie tegen ongeveer twaalf euro per virtuele machine per maand. De implementatie van Adaptive Network Hardening verloopt relatief eenvoudig omdat de functionaliteit automatisch wordt ingeschakeld wanneer Defender voor Servers is geactiveerd. Na activering is het belangrijk om minimaal veertien dagen te wachten voordat de machine learning-baseline is opgesteld en betrouwbare aanbevelingen kunnen worden gegenereerd. Beheerders dienen aanbevelingen maandelijks te beoordelen, wat typisch twee tot vier uur in beslag neemt afhankelijk van het aantal virtuele machines en de complexiteit van de netwerkconfiguraties. Na beoordeling kunnen goedgekeurde wijzigingen worden toegepast via de Azure Portal of via geautomatiseerde scripts. Er zijn geen extra kosten verbonden aan Adaptive Network Hardening bovenop de Defender voor Servers licentie. Het rendement op investering komt voort uit een gereduceerd aanvalsoppervlak via data-gedreven netwerkbeveiligingsgroep-optimalisatie waarbij gemiddeld dertig procent regelverstrakking mogelijk is. Door het sluiten van ongebruikte poorten wordt exploitatie voorkomen en wordt het aanvalsoppervlak aanzienlijk verkleind. De functionaliteit ondersteunt compliance met netwerkbeleid dat minimale rechten vereist, wat essentieel is voor organisaties die moeten voldoen aan BIO en ISO 27001 vereisten. Daarnaast biedt de geautomatiseerde regeloptimalisatievoorstellen aanzienlijke operationele efficiëntie in vergelijking met handmatige verkeersanalyse, wat tijd en middelen bespaart voor beveiligingsteams.