L1 BIO 16.01 ISO A.5.24 CIS 2.1.23

Microsoft Defender For Cloud: Aanvullende E-mailadressen Configureren Voor Security Alerts

📅 2025-10-29
⏱️ 10 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het configureren van aanvullende e-mailadressen in Microsoft Defender voor Cloud zorgt ervoor dat kritieke beveiligingswaarschuwingen en aanbevelingen naar meerdere ontvangers worden verzonden. Deze maatregel voorkomt dat belangrijke beveiligingsmeldingen onopgemerkt blijven wanneer de primaire contactpersoon niet beschikbaar is en garandeert adequate incidentrespons en escalatie. Door meerdere ontvangers te configureren ontstaat er een robuust notificatiesysteem dat continue beschikbaarheid van security awareness waarborgt.

Aanbeveling
IMPLEMENTEER VERPLICHT
Risico zonder
Medium
Risk Score
6/10
Implementatie
2u (tech: 0.5u)
Van toepassing op:
Azure
Microsoft Defender voor Cloud

Beveiligingswaarschuwingen die slechts naar één persoon worden gestuurd, vormen een ernstig risico in de incidentresponsketen. Deze single point of failure creëert verschillende kwetsbaarheden die de organisatie blootstellen aan onnodige risico's. Tijdens vakantieperiodes, ziekteverlof, personeelswisselingen of bij werkoverlast kunnen kritieke beveiligingsmeldingen ongelezen blijven in de mailbox van de primaire contactpersoon. Dit leidt tot vertraagde detectie van beveiligingsincidenten, wat aanzienlijke schade kan veroorzaken. Onderzoeken tonen aan dat elke uur vertraging in incidentdetectie de gemiddelde kosten van een datalek met duizenden euro's verhoogt. Door meerdere e-mailadressen te configureren ontstaat redundantie in het notificatieproces en kunnen verschillende stakeholders gelijktijdig worden geïnformeerd. Dit omvat het security team, SOC-operators, het incidentrespons team en optioneel management. Wanneer een incident wordt gedetecteerd, ontvangen alle relevante partijen direct een melding, wat de response time aanzienlijk verkort. Deze aanpak voldoet bovendien aan compliance vereisten voor incidentmelding zoals gesteld in de NIS2-richtlijn, de BIO-normen en ISO 27001. Organisaties die onder deze frameworks vallen, zijn verplicht om adequate contactprocedures te hebben waarbij meerdere contactpersonen beschikbaar zijn voor het melden van beveiligingsincidenten.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze beveiligingsmaatregel configureert aanvullende e-mailadressen voor Microsoft Defender voor Cloud beveiligingsnotificaties op subscriptionniveau. De configuratie omvat het instellen van minimaal twee tot drie e-mailadressen voor verschillende rollen binnen de organisatie. Dit kunnen security teamleden zijn, SOC-operators, incidentrespons teamleden en optioneel management voor escalatie van kritieke incidenten. Alle geconfigureerde adressen ontvangen automatisch meldingen over high-severity alerts, beveiligingsaanbevelingen, compliance status updates en kwetsbaarheidsbeoordelingen. De best practice is het gebruik van zowel distributielijsten of gedeelde mailboxes voor teamcontinuïteit, als individuele accounts voor directe verantwoordelijkheid en snelle actie. De notificaties kunnen worden geconfigureerd voor verschillende severity levels, waarbij organisaties kunnen kiezen om alleen kritieke meldingen te ontvangen of alle severity levels voor een compleet overzicht. Bovendien kunnen notificaties gefilterd worden op basis van resource type, subscription of alert type, waardoor teams gericht geïnformeerd worden over relevante bedreigingen voor hun specifieke verantwoordelijkheden.

Vereisten

Voor het succesvol configureren van aanvullende e-mailadressen in Microsoft Defender voor Cloud zijn verschillende voorwaarden vereist die zowel technisch als organisatorisch van aard zijn. Deze vereisten zorgen ervoor dat de configuratie correct wordt geïmplementeerd en dat de notificaties betrouwbaar worden afgeleverd aan de juiste ontvangers. Ten eerste heeft u een Azure subscription nodig met de juiste toegangsrechten. Het account waarmee u de configuratie uitvoert moet beschikken over de rol Owner, Contributor of Security Admin op het niveau van de subscription. Deze rechten zijn essentieel omdat de configuratie van security contacts wordt toegepast op subscriptionniveau en wijzigingen in beveiligingsinstellingen vereisen deze bevoegdheden. Zonder deze rechten kunt u de configuratie niet aanpassen of zal de wijziging worden geweigerd door het Azure Resource Manager-systeem. Voor geautomatiseerde configuratie via PowerShell is het noodzakelijk om PowerShell versie 5.1 of hoger te hebben geïnstalleerd. Bovendien moet u de benodigde Az PowerShell modules installeren en up-to-date houden. Specifiek zijn de modules Az.Accounts (minimaal versie 2.0) en Az.Security (minimaal versie 1.0) vereist. De Az.Accounts module verzorgt de authenticatie met Azure, terwijl de Az.Security module de cmdlets bevat voor het beheren van security contacts. Het is aanbevolen om regelmatig te controleren of u de nieuwste versies van deze modules gebruikt om ervoor te zorgen dat alle functionaliteit beschikbaar is en eventuele beveiligingspatches zijn geïnstalleerd. Naast geautomatiseerde configuratie moet u ook toegang hebben tot de Azure Portal voor handmatige configuratie en validatie. Hoewel PowerShell de voorkeur heeft voor herhaalbare en geautomatiseerde implementaties, is de Azure Portal handig voor ad-hoc wijzigingen en visuele verificatie van de huidige configuratie. De Portal-interface biedt een overzichtelijke weergave van alle geconfigureerde e-mailadressen en maakt het eenvoudig om testnotificaties te versturen. Een kritiek onderdeel van de vereisten betreft de e-mailadressen zelf. U moet beschikken over minimaal twee tot drie gevalideerde en actieve e-mailadressen voor beveiligingsnotificaties. Deze adressen moeten daadwerkelijk in gebruik zijn en regelmatig worden gemonitord. Het is essentieel dat de mailboxen voldoende capaciteit hebben om de notificaties te ontvangen en dat e-mailrouting correct is geconfigureerd. Een veelvoorkomend probleem is dat Azure alerts in de spam- of ongewenste map terechtkomen, waardoor ze onopgemerkt blijven. Daarom moet u ervoor zorgen dat de mailbox-routing en filtering correct is geconfigureerd voor het ontvangen van Azure-alerts. Dit omvat het instellen van regels in uw e-mailsysteem om berichten van Azure te markeren als vertrouwd en prioriteit te geven. Optioneel maar sterk aanbevolen is het gebruik van distributielijsten of gedeelde mailboxes voor teamnotificaties. Deze aanpak biedt verschillende voordelen: continuïteit wanneer teamleden afwezig zijn, gedeelde verantwoordelijkheid voor het monitoren van alerts, en een centrale locatie waar alle teamleden toegang hebben tot de notificaties. Distributielijsten maken het eenvoudig om teamleden toe te voegen of te verwijderen zonder de Azure-configuratie te wijzigen, wat de beheerbaarheid verbetert. Ten slotte moet Microsoft Defender voor Cloud ingeschakeld zijn op de subscription. Dit kan op de gratis tier of de betaalde tier. De gratis tier biedt al de benodigde functionaliteit voor het configureren van e-mailnotificaties, hoewel de betaalde tier aanvullende functies biedt zoals geavanceerde bedreigingsbescherming en compliance assessments. Zonder Defender voor Cloud ingeschakeld kunnen geen security contacts worden geconfigureerd en zullen geen notificaties worden verzonden.

Monitoring en Validatie

Gebruik PowerShell-script aanvullend-email-adressen-configured.ps1 (functie Invoke-Monitoring) – PowerShell script voor compliance checking van de aanvullend email adressen configuratie. Het script controleert alle Azure subscriptions binnen de tenant en rapporteert per subscription het aantal geconfigureerde email contacten, de status van alert notificaties en of admins worden genotificeerd..

Monitoring en validatie van de configuratie van aanvullende e-mailadressen is essentieel om te garanderen dat de beveiligingsnotificaties betrouwbaar worden afgeleverd. Het monitoring script maakt gebruik van de Get-AzSecurityContact cmdlet om de huidige configuratie op te halen en te valideren. Het script controleert systematisch alle Azure subscriptions binnen de tenant en rapporteert per subscription het aantal geconfigureerde e-mailcontacten, de status van alertnotificaties en of beheerders worden genotificeerd. Het script valideert drie kritieke aspecten van de configuratie: ten eerste controleert het of er daadwerkelijk e-mailadressen zijn geconfigureerd. Dit is de meest basale vereiste voor het ontvangen van notificaties. Zonder geconfigureerde e-mailadressen kunnen geen meldingen worden verzonden, waardoor de organisatie volledig afhankelijk is van de primaire contactpersoon. Ten tweede verifieert het script of AlertNotifications is ingeschakeld (status 'On'). Deze instelling bepaalt of waarschuwingen daadwerkelijk worden verzonden naar de geconfigureerde contacten. Zelfs als e-mailadressen zijn geconfigureerd, maar AlertNotifications is uitgeschakeld, zullen er geen notificaties worden verzonden. Ten derde controleert het script of AlertsToAdmins is geactiveerd. Deze instelling zorgt ervoor dat subscription owners en contributors ook notificaties ontvangen, wat een aanvullende laag van redundantie biedt. Hoewel deze instelling niet de primaire methode is voor teamnotificaties, kan het nuttig zijn als backup mechanisme. De output van het script toont per subscription gedetailleerde informatie over het aantal geconfigureerde contacten en een compliance status (compliant of non-compliant). Een subscription wordt als compliant beschouwd wanneer minimaal twee e-mailadressen zijn geconfigureerd, AlertNotifications is ingeschakeld en de e-mailadressen valide zijn. Deze informatie kan worden gebruikt voor compliance rapportage en auditdoeleinden. Het script kan worden geïntegreerd in geautomatiseerde compliance dashboards en rapportageworkflows. Door het script regelmatig uit te voeren, bijvoorbeeld dagelijks of wekelijks, kunnen organisaties proactief controleren of de configuratie correct blijft en of er geen wijzigingen zijn aangebracht die de compliance in gevaar brengen. Voor continue monitoring kan het script worden ingepland via Azure Automation runbooks of als scheduled task op een centrale server. Dit zorgt ervoor dat de monitoring automatisch plaatsvindt zonder handmatige tussenkomst. Naast technische monitoring is het ook belangrijk om periodiek te valideren of de geconfigureerde e-mailadressen daadwerkelijk actief zijn en regelmatig worden gemonitord. Het versturen van testnotificaties, bijvoorbeeld maandelijks, is een goede praktijk om te verifiëren dat alle geconfigureerde adressen correct werken en dat berichten niet in spamfolders terechtkomen.

Remediatie

Gebruik PowerShell-script additional-email-addresses-configured.ps1 (functie Invoke-Remediation) – Het remediation script configureert aanvullende e-mailadressen voor Microsoft Defender voor Cloud security notificaties op subscription niveau..

Het remediation script biedt een geautomatiseerde manier om aanvullende e-mailadressen te configureren voor Microsoft Defender voor Cloud notificaties. Het script gebruikt de Set-AzSecurityContact cmdlet om e-mailadressen te configureren met AlertNotifications ingesteld op 'On' en AlertsToAdmins op 'On'. Deze instellingen zorgen ervoor dat zowel de geconfigureerde contacten als subscription beheerders notificaties ontvangen. Voor het uitvoeren van het script gebruikt u de parameter -Emails gevolgd door een comma-separated lijst van e-mailadressen. Een voorbeeld van de juiste syntaxis is: ./aanvullend-email-adressen-configured.ps1 -Remediation -Emails 'security@organisatie.nl','soc@organisatie.nl','incidents@organisatie.nl'. Het script ondersteunt minimaal twee tot drie e-mailadressen, waarbij wordt aanbevolen om zowel individuele accounts als distributielijsten te gebruiken voor optimale continuïteit. Voordat de configuratie wordt toegepast, valideert het script automatisch of de mailboxadressen een correct formaat hebben. Deze validatie controleert of de e-mailadressen voldoen aan de standaard e-mailadresformaten en voorkomt configuratiefouten die later tot problemen kunnen leiden. Indien een e-mailadres niet valide is, wordt er een foutmelding getoond en wordt de configuratie niet toegepast. Na de configuratie verzendt het script automatisch een testnotificatie om de werking te verifiëren. Deze testnotificatie wordt verzonden naar alle geconfigureerde e-mailadressen en dient als bewijs dat de configuratie correct werkt en dat berichten daadwerkelijk worden afgeleverd. Het is belangrijk om te controleren of alle ontvangers de testnotificatie hebben ontvangen en dat deze niet in spamfolders terecht is gekomen. Voor organisaties met meerdere Azure subscriptions kan het script worden uitgevoerd in een loop om alle subscriptions tegelijk te configureren. Dit is vooral handig voor grotere organisaties die tientallen of honderden subscriptions beheren. Het script kan ook worden geïntegreerd in Azure Policy remediation tasks, waardoor de configuratie automatisch wordt toegepast wanneer subscriptions worden aangemaakt of wanneer de configuratie wordt gewijzigd. Naast de geautomatiseerde aanpak via PowerShell kan de configuratie ook handmatig worden uitgevoerd via de Azure Portal. Navigeer naar Microsoft Defender voor Cloud, selecteer Environment Settings, klik op de subscription waarop u de configuratie wilt toepassen, en kies vervolgens Email notificaties. Vul onder 'aanvullend email adressen' de gewenste adressen in, gescheiden door puntkomma's. Stel 'alle gebruikers met de volgende roles' in op Owner, Contributor en Security Admin, en klik op Save om de configuratie op te slaan. Na handmatige configuratie is het belangrijk om de werking te testen door via de 'Send test email' functie een testmail te versturen naar alle geconfigureerde adressen. Deze functie is beschikbaar in de Azure Portal en stelt u in staat om direct te verifiëren of alle ontvangers de notificatie hebben ontvangen. Controleer bij elk geconfigureerd e-mailadres of de testnotificatie is aangekomen en of deze niet in de spamfolder terecht is gekomen.

Implementatie Stappenplan

Voor een succesvolle implementatie van aanvullende e-mailadressen is een gestructureerde aanpak essentieel. Dit stappenplan zorgt ervoor dat alle aspecten van de configuratie correct worden uitgevoerd en dat de notificaties betrouwbaar worden afgeleverd. De eerste stap betreft het bepalen welke rollen en personen beveiligingswaarschuwingen moeten ontvangen. Dit omvat typisch het Security Team voor algemene beveiligingsincidenten, de SOC voor operationele monitoring, het incidentrespons team voor daadwerkelijke incidentafhandeling, en optioneel Management voor escalatie van kritieke incidenten. Het is belangrijk om voor elke rol te definiëren wat het doel is van de notificaties en welke actie wordt verwacht wanneer een melding wordt ontvangen. Dit voorkomt dat notificaties worden genegeerd of dat er verwarring ontstaat over wie verantwoordelijk is voor welke actie. De tweede stap omvat het creëren van gedeelde mailboxes of distributielijsten voor teamnotificaties indien dit nog niet is gebeurd. Een voorbeeld is het aanmaken van een distributielijst zoals security-alerts@organisatie.nl die alle relevante teamleden bevat. Deze aanpak biedt continuïteit wanneer individuele teamleden afwezig zijn en zorgt ervoor dat de verantwoordelijkheid voor het monitoren van alerts gedeeld wordt door het hele team. Bovendien maakt het eenvoudig om teamleden toe te voegen of te verwijderen zonder de Azure-configuratie te wijzigen. De derde stap vereist validatie dat alle e-mailadressen actief zijn en correct worden gerouteerd. Dit betekent dat u moet verifiëren dat elk e-mailadres daadwerkelijk in gebruik is, dat de mailbox voldoende capaciteit heeft, en dat e-mailrouting correct is geconfigureerd. Het is aanbevolen om met elk e-mailadres een testbericht te versturen om te controleren of berichten daadwerkelijk worden afgeleverd. Let erop dat e-mailadressen die niet regelmatig worden gecontroleerd of die niet meer in gebruik zijn, moeten worden verwijderd uit de configuratie. De vierde stap betreft het testen van de mailboxcapaciteit en filterinstellingen om te voorkomen dat alerts in spam terechtkomen. Dit is een kritiek onderdeel omdat veel e-mailsystemen automatisch berichten van onbekende bronnen markeren als spam. Configureer e-mailregels om berichten van Azure te markeren als vertrouwd en prioriteit te geven. Dit omvat het toevoegen van Azure IP-adressen aan whitelists, het configureren van e-mailfilters om berichten met specifieke onderwerpregels door te laten, en het instellen van mailboxquota's om te voorkomen dat de mailbox vol raakt. De vijfde stap is het uitvoeren van het remediation script met de -WhatIf parameter om te zien wat er zou worden geconfigureerd zonder daadwerkelijk wijzigingen aan te brengen. Deze parameter is zeer nuttig omdat het u in staat stelt om te controleren of de configuratie correct is voordat deze wordt toegepast. Het script toont precies welke wijzigingen worden gemaakt en welke e-mailadressen worden geconfigureerd. Dit voorkomt configuratiefouten en geeft u de mogelijkheid om wijzigingen te maken indien nodig. De zesde stap is het daadwerkelijk uitvoeren van het remediation script zonder de -WhatIf parameter om de configuratie toe te passen. Zorg ervoor dat u de juiste PowerShell modules hebt geïnstalleerd en dat u bent aangemeld met een account dat de benodigde rechten heeft. Het script configureert de e-mailadressen en schakelt de benodigde notificatie-instellingen in. Na uitvoering zou u een bevestiging moeten ontvangen dat de configuratie succesvol is toegepast. De zevende stap is het versturen van een testnotificatie via Azure Portal of het script om de configuratie te verifiëren. Deze testnotificatie dient als bewijs dat de configuratie correct werkt en dat berichten daadwerkelijk worden afgeleverd. In de Azure Portal kunt u via de 'Send test email' functie direct een testnotificatie versturen. Het script verzendt automatisch een testnotificatie na de configuratie. De achtste stap vereist dat u controleert of alle geconfigureerde adressen de testnotificatie hebben ontvangen. Dit betekent dat u met elke ontvanger moet verifiëren dat de notificatie is aangekomen en dat deze niet in de spamfolder terecht is gekomen. Indien een ontvanger de notificatie niet heeft ontvangen, moet u de e-mailconfiguratie controleren en eventuele problemen oplossen voordat u verdergaat. De negende stap omvat het documenteren van de geconfigureerde e-mailadressen en bijbehorende verantwoordelijkheden. Deze documentatie is essentieel voor compliance doeleinden en voor het beheer van de configuratie. Documenteer welke e-mailadressen zijn geconfigureerd, welke rol elke ontvanger heeft, wat de verwachte respons is op notificaties, en hoe de escalatieprocedure werkt. Deze documentatie moet regelmatig worden bijgewerkt wanneer er wijzigingen zijn in het team of in de verantwoordelijkheden. De tiende en laatste stap is het plannen van periodieke reviews, minimaal jaarlijks, om de geldigheid van e-mailadressen te controleren. Dit omvat het verifiëren dat alle geconfigureerde adressen nog steeds actief zijn en regelmatig worden gecontroleerd, dat teamleden die zijn vertrokken uit de configuratie zijn verwijderd, en dat nieuwe teamleden zijn toegevoegd indien nodig. Deze reviews zorgen ervoor dat de configuratie up-to-date blijft en dat de notificaties betrouwbaar blijven worden afgeleverd aan de juiste personen.

Compliance en Framework Mapping

De configuratie van aanvullende e-mailadressen voor Microsoft Defender voor Cloud beveiligingsnotificaties draagt significant bij aan het voldoen aan verschillende compliance frameworks en beveiligingsstandaarden die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector. Deze beveiligingsmaatregel vormt een essentieel onderdeel van een robuust incidentmanagementproces en helpt organisaties om te voldoen aan zowel internationale als nationale compliance vereisten. De CIS Azure Foundations Benchmark versie 3.0.0 bevat specifieke richtlijnen voor de configuratie van beveiligingscontacten. Regel 2.1.23 vereist expliciet dat aanvullende e-mailadressen worden geconfigureerd met een security contact e-mailadres. Deze regel is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd. De regel stelt dat minimaal één aanvullend e-mailadres moet worden geconfigureerd voor beveiligingsnotificaties vanuit Microsoft Defender voor Cloud, naast de standaard subscription owner notificaties. Deze vereiste voorkomt dat beveiligingswaarschuwingen afhankelijk zijn van een enkele contactpersoon en zorgt voor redundantie in het notificatieproces. Voor Nederlandse overheidsorganisaties is de BIO (Baseline Informatiebeveiliging Overheid) van cruciaal belang. Thema 16.01 behandelt verantwoordelijkheden en procedures voor informatiebeveiligingsincidentenbeheer, waaronder contactprocedures en escalatiepaden. De BIO vereist dat organisaties duidelijke procedures hebben voor het detecteren, rapporteren en beoordelen van informatiebeveiligingsincidenten. Dit omvat het hebben van meerdere contactpunten en gedefinieerde escalatieprocedures. De configuratie van aanvullende e-mailadressen voldoet direct aan deze vereiste door ervoor te zorgen dat meerdere personen of teams gelijktijdig worden geïnformeerd over beveiligingsincidenten, wat de responsetijd verkort en de continuïteit van incidentmanagement waarborgt. De ISO 27001:2022 standaard bevat verschillende controls die relevant zijn voor incidentmanagement en contactprocedures. Control A.5.24 behandelt de planning en voorbereiding voor informatiebeveiligingsincidentbeheer, inclusief contactinformatie voor incidentrespons. Deze control vereist dat organisaties adequate contactprocedures hebben geïmplementeerd voordat incidenten plaatsvinden. De configuratie van aanvullende e-mailadressen vormt een essentieel onderdeel van deze planning, omdat het ervoor zorgt dat de juiste personen worden gecontacteerd wanneer een incident wordt gedetecteerd. Control A.5.25 betreft de beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen, inclusief procedures voor evaluatie en escalatie. Deze control vereist dat organisaties processen hebben voor het beoordelen van beveiligingsgebeurtenissen en het nemen van beslissingen over de juiste respons. Door meerdere e-mailadressen te configureren, kunnen verschillende rollen binnen de organisatie gelijktijdig worden geïnformeerd, wat een snellere beoordeling en besluitvorming mogelijk maakt. Security teams kunnen technische beoordelingen uitvoeren, terwijl management kan worden geïnformeerd voor escalatiebeslissingen. Control A.5.26 behandelt de respons op informatiebeveiligingsincidenten en vereist dat organisaties effectieve responsprocedures hebben geïmplementeerd. Adequate notificatie is een fundamenteel onderdeel van effectieve incidentrespons, omdat het ervoor zorgt dat de juiste personen op het juiste moment worden geïnformeerd. De configuratie van aanvullende e-mailadressen maakt een snellere respons mogelijk door parallelle notificatie van verschillende teams en rollen, wat de tijd tot respons aanzienlijk verkort. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, bevat in Artikel 23 specifieke verplichtingen voor het melden van incidenten. Deze richtlijn vereist dat organisaties significante incidenten melden aan bevoegde autoriteiten binnen gestelde termijnen: een early warning binnen 24 uur en een formele melding binnen 72 uur. Om aan deze termijnen te voldoen, is het essentieel dat organisaties adequate contact- en escalatieprocedures hebben geïmplementeerd. De configuratie van aanvullende e-mailadressen zorgt ervoor dat meerdere personen gelijktijdig worden geïnformeerd over incidenten, wat de kans vergroot dat meldingen binnen de vereiste termijnen worden gedaan. Zonder meerdere contactpunten bestaat het risico dat incidenten onopgemerkt blijven of te laat worden gemeld, wat kan leiden tot aanzienlijke boetes. De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als GDPR, bevat in Artikel 33 de verplichting om persoonsgegevenslekken te melden aan de toezichthoudende autoriteit. Deze melding moet plaatsvinden binnen 72 uur na ontdekking van het lek. Voor het voldoen aan deze verplichting is het cruciaal dat organisaties adequate contactprocedures hebben voor het detecteren en melden van datalekken. De configuratie van aanvullende e-mailadressen voor beveiligingsnotificaties zorgt ervoor dat datalekken snel worden gedetecteerd en dat de juiste personen worden geïnformeerd om de melding te kunnen doen. Dit is met name belangrijk omdat Microsoft Defender voor Cloud waarschuwingen kan genereren over verdachte activiteiten die kunnen wijzen op een datalek. Het NIST Cybersecurity Framework bevat in de DE.AE (Detectieprocessen) categorie vereisten voor het detecteren van anomalieën en gebeurtenissen. Deze categorie vereist dat organisaties processen hebben geïmplementeerd voor het detecteren van beveiligingsgebeurtenissen en het begrijpen van de impact ervan. De configuratie van aanvullende e-mailadressen draagt bij aan deze detectieprocessen door ervoor te zorgen dat beveiligingswaarschuwingen betrouwbaar worden afgeleverd aan de juiste personen, wat een snellere detectie en beoordeling van gebeurtenissen mogelijk maakt. Naast deze specifieke compliance vereisten, draagt de configuratie van aanvullende e-mailadressen ook bij aan algemene beveiligingsbest practices zoals gedefinieerd in verschillende frameworks. Het elimineren van single points of failure in beveiligingsprocessen is een fundamenteel principe in cybersecurity, en de configuratie van meerdere contactpunten voor beveiligingsnotificaties is een directe toepassing van dit principe. Bovendien draagt deze maatregel bij aan business continuity planning door ervoor te zorgen dat beveiligingsnotificaties betrouwbaar worden afgeleverd, zelfs wanneer individuele teamleden niet beschikbaar zijn. Voor organisaties die onder meerdere compliance frameworks vallen, is het belangrijk om te erkennen dat de configuratie van aanvullende e-mailadressen een gemeenschappelijke vereiste is die bijdraagt aan het voldoen aan verschillende standaarden. Door deze maatregel te implementeren, kunnen organisaties efficiënt werken aan compliance met meerdere frameworks zonder dat voor elk framework afzonderlijke maatregelen nodig zijn. Dit maakt de configuratie van aanvullende e-mailadressen een zeer kosteneffectieve manier om aan verschillende compliance vereisten te voldoen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Additional Email Addresses for Alerts .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.23 Verificeert dat additional email addresses zijn geconfigureerd voor alerts. .NOTES Filename: additional-email-addresses-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.23 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf, [Parameter()][string[]]$Emails ) $ErrorActionPreference = 'Stop' $PolicyName = "Additional Email Addresses" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $contacts = Get-AzSecurityContact $result = @{ HasContacts = $contacts.Count -gt 0; EmailCount = 0 } if ($contacts) { $result.EmailCount = $contacts.Email.Count } return $result } function Invoke-Remediation { if (-not $Emails) { Write-Host "[FAIL] Emails parameter required: -Emails email@domain.com" -ForegroundColor Red return } Set-AzSecurityContact -Name "default" -Email $Emails[0] -AlertNotifications On -AlertsToAdmins On Write-Host "[OK] Configured emails: $($Emails -join ', ')" -ForegroundColor Green } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Additional Email Addresses for Alerts .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.23 Verificeert dat additional email addresses zijn geconfigureerd voor alerts. .NOTES Filename: additional-email-addresses-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.23 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf, [Parameter()][string[]]$Emails ) $ErrorActionPreference = 'Stop' $PolicyName = "Additional Email Addresses" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $contacts = Get-AzSecurityContact $result = @{ HasContacts = $contacts.Count -gt 0; EmailCount = 0 } if ($contacts) { $result.EmailCount = $contacts.Email.Count } return $result } function Invoke-Remediation { if (-not $Emails) { Write-Host "[FAIL] Emails parameter required: -Emails email@domain.com" -ForegroundColor Red return } Set-AzSecurityContact -Name "default" -Email $Emails[0] -AlertNotifications On -AlertsToAdmins On Write-Host "[OK] Configured emails: $($Emails -join ', ')" -ForegroundColor Green } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.EmailCount) email contact(s) configured" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.HasContacts) { "`n[OK] Contacts configured" } else { "`n[FAIL] No contacts" }) } } catch { Write-Error $_ exit 1 } " throw } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.EmailCount) email contact(s) configured" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.HasContacts) { "`n[OK] Contacts configured" } else { "`n[FAIL] No contacts" }) } } catch { Write-Error $_ exit 1 } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } Write-Host "[INFO] Monitoring check wordt uitgevoerd..." -ForegroundColor Cyan # TODO: Implementeer monitoring logica Write-Host "[OK] Monitoring check completed" -ForegroundColor Green } catch { Write-Error "Monitoring failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder meerdere e-mailadressen geconfigureerd voor Microsoft Defender voor Cloud beveiligingswaarschuwingen ontstaat een enkel punt van falen in beveiligingsnotificatieprocessen wat kritieke vertragingen in incidentrespons veroorzaakt. Beveiligingswaarschuwingen blijven onopgemerkt bij afwezigheid van de primaire contactpersoon door vakantie, ziekte, verloop of tijdzoneverschillen, wat betekent dat kritieke beveiligingsincidenten zoals ransomware-aanvallen, SQL-injecties, succesvolle brute-force pogingen of gegevensexfiltratiepogingen uren of dagen ongedetecteerd blijven terwijl aanvallers vrijelijk opereren. Elke uur vertraging in incidentdetectie verhoogt de gemiddelde kosten van een datalek met €15.000 volgens IBM. E-mailbezorgfouten naar een enkele ontvanger door mailboxquota, spamfilters of e-mailserverproblemen resulteren in volledig verlies van waarschuwingen zonder back-up notificatiekanalen. Microsoft Defender kan niet garanderen dat e-mailbezorging 100 procent betrouwbaar is. Teamcontinuïteit ontbreekt waarbij beveiligingskennis geconcentreerd is bij één persoon en diens afwezigheid volledige beveiligingsblindheid creëert. Vakantieperiodes zijn hoogrisicoperiodes voor aanvallers. Escalatievertragingen ontstaan omdat slechts één persoon waarschuwingen ontvangt en deze moet doorsturen naar geschikte responders in plaats van parallelle notificatie van het gehele beveiligingsteam. NIS2-nalevingsschendingen zijn onvermijdelijk: Artikel 23 vereist incidentmelding binnen 24 uur (vroege waarschuwing) en 72 uur (formele melding). Een enkel contactpunt creëert een onacceptabel risico voor gemiste deadlines wat leidt tot regelgevingsboetes tot €10 miljoen of 2 procent van de jaarlijkse omzet. ISO 27001 A.5.24-26 incidentmanagementcontrols vereisen adequate contactprocedures met redundantie. Een enkel e-mailadres is onvoldoende. BIO 16.01 incidentmanagement voor overheidsorganisaties verplicht meerdere contactpunten voor 24/7 beveiligingsdekking. Bedrijfscontinuïteitsplanning faalt omdat beveiligingsnotificatie niet bestand is tegen individuele onbeschikbaarheid. Het risico is hoog voor alle Azure-omgevingen met productieworkloads, kritiek voor 24/7 diensten die onmiddellijke incidentrespons vereisen, en verplicht voor naleving voor NIS2-scope organisaties en overheidsinstanties onder BIO.

Management Samenvatting

Additional Email Addresses configuratie voor Microsoft Defender for Cloud implementeert redundante security notification channels door minimaal 2-3 email-adressen te configureren die ALLE Defender security alerts ontvangen, wat single point of failure elimineert en team-based incident response enabled. Best practices: Minimaal 3 email recipients: Security team lead (primary), Security team member 2 (backup), Security team member 3 (tertiary backup tijdens vacations). Gebruik shared mailboxes/distribution lists voor team coverage: security-alerts@company.com (distribution list naar hele security team voor parallel awareness), soc-team@company.com (SOC team indien dedicated security operations center), it-management@company.com (IT leadership voor high-severity alerts). Include verschillende tijdzones indien global operations voor 24/7 coverage. Email types die worden verstuurd: High-severity security alerts (ransomware, SQL injection, brute force successes) - immediate action required, Medium-severity alerts (suspicious activities, policy violations) - investigate within 24 uur, Security recommendations (misconfigurations, compliance gaps) - remediate within SLA, Weekly/monthly summary reports (security posture trends). Configuratie: Azure Portal → Microsoft Defender for Cloud → Environment settings → Email notifications → Additional email addresses (comma-separated), Configure severity thresholds (High alleen vs All severities - aanbevolen All voor comprehensive awareness). Test notification delivery: Trigger test alert en verify alle configured emails ontvangen notification binnen 5 minuten. Deze maatregel is verplicht voor ALLE Azure productie-subscriptions, mandatory voor NIS2 Artikel 23 compliance (incident notification deadlines), vereist voor ISO 27001 A.5.24-26 en BIO 16.01, en essential voor business continuity van security operations. Implementatie-effort: 30 minuten technical (email configuration, testing), 1-2 uur organizational (identificeren appropriate contacts, verkrijgen email addresses, documenteren escalation procedures). Geen Azure-kosten - pure configuration. Return on investment komt van: prevented incident response delays (gemiddeld €15K/uur cost reduction), compliance met NIS2 notification deadlines (avoid €10M fines), team-based security awareness in plaats van individual dependency, en business continuity voor security operations tijdens personnel changes/absences.