L2 BIO 12.06 ISO A.12.6.1 CIS 2.1.17

Microsoft Defender Voor Cloud: Agentless Scanning Voor Virtuele Machines Inschakelen

📅 2025-10-29
⏱️ 12 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Agentless Scanning in Microsoft Defender voor Cloud biedt een geavanceerde beveiligingsoplossing die Azure virtuele machines automatisch scant op kwetsbaarheden, malware en blootgestelde geheimen zonder dat er agents geïnstalleerd hoeven te worden. Deze innovatieve aanpak werkt door middel van periodieke schijfsnapshots die buiten de productieomgeving worden geanalyseerd, waardoor volledige beveiligingsbeoordeling mogelijk is zonder enige impact op de prestaties of beschikbaarheid van de virtuele machines.

Aanbeveling
IMPLEMENTEREN VOOR VOLLEDIGE VM-BEVEILIGING
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Azure

Traditionele agent-gebaseerde scanning kent fundamentele beperkingen die de effectiviteit en betrouwbaarheid van beveiligingsmonitoring aanzienlijk kunnen beïnvloeden. Deze beperkingen vormen een serieus risico voor organisaties die afhankelijk zijn van uitsluitend agent-gebaseerde beveiligingsoplossingen. Ten eerste vereist deze aanpak de installatie en het continue onderhoud van agents op elke individuele virtuele machine binnen de omgeving. Dit proces brengt aanzienlijke operationele overhead met zich mee, omdat beheerders moeten zorgen voor correcte installatie, configuratie, updates en monitoring van agents op honderden of zelfs duizenden virtuele machines. Elke agent moet worden geconfigureerd, bijgewerkt wanneer nieuwe versies beschikbaar komen, en gemonitord om te verzekeren dat deze correct functioneert. Daarnaast verbruiken deze agents waardevolle systeembronnen zoals processorcapaciteit en geheugen op de virtuele machines waarop ze draaien. In productieomgevingen waar elke procent processor- of geheugencapaciteit kritiek is voor de prestaties van applicaties, kan dit resulteren in merkbare prestatievermindering. Voor resource-gevoelige workloads kan dit zelfs leiden tot schaalbaarheidsproblemen of de noodzaak om extra virtuele machines in te richten om de overhead te compenseren. Een kritiek beveiligingsrisico dat vaak wordt onderschat is dat beveiligingsagents kunnen worden uitgeschakeld, gemanipuleerd of volledig verwijderd door geavanceerde aanvallers die toegang tot een systeem hebben verkregen. Wanneer een aanvaller administratorrechten heeft verworven op een virtuele machine, kan deze eenvoudig de beveiligingsagent stoppen, de configuratie wijzigen om bepaalde scans te omzeilen, of de agent volledig deïnstalleren. Dit betekent dat de beveiligingsmonitoring volledig wordt omzeild op systemen die al zijn gecompromitteerd, waardoor aanvallers ongedetecteerd kunnen blijven opereren. Bovendien werkt agent-gebaseerde scanning fundamenteel niet voor virtuele machines die zijn uitgeschakeld of in een gestopte staat verkeren. Agents kunnen alleen actief zijn en scans uitvoeren wanneer de virtuele machine daadwerkelijk draait en het besturingssysteem is opgestart. Dit creëert aanzienlijke blinde vlekken in de beveiligingsdekking, vooral voor ontwikkelomgevingen die regelmatig worden gestopt om kosten te besparen, testomgevingen die alleen tijdens werkuren actief zijn, of back-up systemen die periodiek worden opgestart. Tijdens de perioden dat deze virtuele machines offline zijn, kunnen kwetsbaarheden zich ophopen zonder dat deze worden gedetecteerd. Tot slot kunnen agents compatibiliteitsproblemen veroorzaken met bestaande applicaties, specifieke Linux-distributies die niet volledig worden ondersteund, of gespecialiseerde workloads die conflicteren met agent-processen. Agentless scanning elimineert al deze fundamentele problemen door een radicaal andere aanpak te gebruiken waarbij schijfsnapshots worden gemaakt en deze volledig buiten de productieomgeving worden geanalyseerd op gescheiden Microsoft-infrastructuur. Deze aanpak biedt absoluut geen prestatie-impact op virtuele machines omdat alle analyse plaatsvindt op gescheiden Microsoft-infrastructuur die volledig losstaat van de productievirtuele machines. Aanvallers kunnen agentless scanning niet omzeilen omdat het volledige scanproces plaatsvindt buiten de virtuele machine en volledig buiten de controle van potentiële aanvallers valt. Bovendien kunnen ook offline of uitgeschakelde virtuele machines worden gescand via de laatste beschikbare snapshot, waardoor continue beveiligingsdekking wordt geboden ongeacht de operationele status van de virtuele machine. Het systeem detecteert bovendien manipulatie van agents door de snapshot-analyse te vergelijken met agent-rapportages, wat een extra beveiligingslaag biedt en helpt bij het identificeren van gecompromitteerde systemen. Deze methode vormt een essentiële component van een verdediging-in-diepte strategie die naast agent-gebaseerde bescherming functioneert om gelaagde beveiligingscontroles te bieden.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle verifieert of agentless scanning beschikbaar en correct geconfigureerd is via Microsoft Defender voor servers Plan 2 binnen de Azure-omgeving. De functionaliteit vertegenwoordigt een geavanceerde beveiligingsoplossing die werkt volgens een volledig geautomatiseerd proces dat periodiek schijfsnapshots maakt van alle virtuele machines binnen een abonnement zonder enige downtime of prestatie-impact te veroorzaken. Het proces begint wanneer het systeem automatisch schijfsnapshots genereert van virtuele machines die gebruikmaken van beheerde schijven. Deze snapshots worden gemaakt op een manier die volledig transparant is voor de virtuele machine en de applicaties die daarop draaien, waardoor er geen onderbreking in de service plaatsvindt. De gegenereerde snapshots worden vervolgens veilig gekopieerd naar een volledig geïsoleerde scanomgeving binnen de Microsoft-infrastructuur, waar uitgebreide en diepgaande beveiligingsanalyse plaatsvindt. Deze geïsoleerde omgeving is volledig gescheiden van productiesystemen en biedt een veilige omgeving voor grondige analyse zonder enig risico voor de productieomgeving. Het systeem analyseert de snapshots op een breed scala aan beveiligingsaspecten met behulp van geavanceerde technologieën. Software-inventarisatie en versiebeheer vormen een cruciaal onderdeel van deze analyse, waarbij het systeem nauwkeurig identificeert welke softwarecomponenten zijn geïnstalleerd op elke virtuele machine, inclusief besturingssysteemversies, geïnstalleerde applicaties, libraries, frameworks en alle bijbehorende versienummers. Deze inventarisatie maakt het mogelijk om verouderde softwareversies te identificeren die mogelijk kwetsbaarheden bevatten. Daarnaast wordt elke snapshot uitgebreid vergeleken met de meest actuele CVE-database om bekende kwetsbaarheden te detecteren die specifiek gerelateerd zijn aan de geïnstalleerde softwareversies. Deze vergelijking maakt gebruik van uitgebreide kwetsbaarheidsdatabases die continu worden bijgewerkt met de nieuwste bedreigingsinformatie, waardoor organisaties proactief kunnen reageren op bekende beveiligingsproblemen voordat deze worden geëxploiteerd. Malware en bedreigingen worden geïdentificeerd door middel van geavanceerde signatuurgebaseerde detectie die gebruikmaakt van Microsoft's uitgebreide threat intelligence-database, evenals gedragsanalyse die afwijkende patronen en verdachte activiteiten kan detecteren die mogelijk wijzen op geavanceerde persistent threats of zero-day aanvallen. Het systeem scant ook grondig op blootgestelde geheimen en credentials die mogelijk in configuratiebestanden, logbestanden of andere bestanden op de schijf zijn opgeslagen. Dit omvat hardcoded wachtwoorden, API-sleutels, private SSH-sleutels, database verbindingsreeksen en andere gevoelige informatie die niet in platte tekst zou moeten worden opgeslagen. Deze detectie is bijzonder waardevol omdat het helpt bij het voorkomen van credentiallekken die kunnen leiden tot verdere compromittering van systemen. Tot slot worden misconfiguraties en hardening-problemen geïdentificeerd door de systeemconfiguratie te vergelijken met beveiligingsbest practices en compliance-standaarden. Scans worden automatisch uitgevoerd met een standaard frequentie van elke 24 uur, hoewel organisaties deze frequentie kunnen aanpassen via configuratie-instellingen om te voldoen aan specifieke beveiligingsvereisten of compliance-verplichtingen. Alle scanresultaten worden naadloos geïntegreerd in de aanbevelingen van Defender voor Cloud, waardoor beveiligingsteams een centraal en overzichtelijk dashboard krijgen van alle bevindingen met prioritering, gedetailleerde beschrijvingen en concrete stappen voor herstel. Om gegevensbescherming en privacy te waarborgen worden alle snapshots versleuteld tijdens transport naar de scanomgeving en tijdens opslag, en worden ze automatisch en permanent verwijderd na voltooiing van de analyse, waardoor er geen sporen van gevoelige gegevens achterblijven. Deze functionaliteit is standaard inbegrepen bij Microsoft Defender voor servers Plan 2 en Microsoft Defender CSPM zonder aanvullende licentie- of configuratiekosten, waardoor het een kosteneffectieve manier is om uitgebreide beveiligingsdekking te bieden.

Vereisten

Voor het gebruik van agentless scanning moeten organisaties voldoen aan een aantal technische en organisatorische vereisten. Ten eerste is een Azure-abonnement vereist waarbij de gebruiker beschikt over de rol van Eigenaar of Inzender op het abonnementsniveau. Deze rechten zijn noodzakelijk omdat agentless scanning configuratie-instellingen op abonnementsniveau vereist en omdat het maken van snapshots beheerdersrechten nodig heeft. Voor de automatisering en monitoring van agentless scanning is PowerShell 5.1 of hoger vereist, wat standaard beschikbaar is op moderne Windows-systemen en ook kan worden geïnstalleerd op Linux- en macOS-systemen. Daarnaast moeten de Azure PowerShell-modules Az.Accounts en Az.Security zijn geïnstalleerd, waarbij Az.Accounts de basisconnectiviteit met Azure biedt en Az.Security specifieke cmdlets bevat voor het beheren van Microsoft Defender voor Cloud-instellingen. Een fundamentele vereiste is dat Microsoft Defender voor servers Plan 2 moet zijn ingeschakeld op abonnementsniveau, of alternatief Microsoft Defender CSPM moet actief zijn. Deze licentievereiste is essentieel omdat agentless scanning alleen beschikbaar is binnen deze premium Defender-abonnementen en niet beschikbaar is in de gratis tier. Voor de virtuele machines zelf is het belangrijk dat deze gebruikmaken van beheerde schijven, omdat onbeheerde schijven niet worden ondersteund door de agentless scanning-functionaliteit. Dit betekent dat organisaties mogelijk hun bestaande virtuele machines moeten migreren naar beheerde schijven voordat agentless scanning kan worden gebruikt. Daarnaast moet er voldoende quotum beschikbaar zijn op het Azure-abonnement voor snapshotoperaties, omdat elke scan een tijdelijke snapshot vereist die quota verbruikt. Voor netwerkconnectiviteit is het belangrijk dat er verbinding mogelijk is voor het overdragen van snapshots naar de Microsoft-analyseomgeving. Deze verbinding kan plaatsvinden via het openbare internet, maar voor verhoogde beveiliging kunnen organisaties ook privé-eindpunten configureren om de snapshotoverdracht via een privénetwerk te laten verlopen. Tot slot moeten beveiligingsteams toegang hebben tot de Azure Portal om de scanresultaten te kunnen bekijken en te analyseren, waarbij de rol Beveiligingslezer of hoger vereist is voor het bekijken van Defender voor Cloud-aanbevelingen en scanrapporten.

Monitoring

Gebruik PowerShell-script agentless-scanning-on.ps1 (functie Invoke-Monitoring) – PowerShell-script voor het monitoren of agentless scanning beschikbaar is. Het script controleert of Defender voor servers met de prijscategorie VirtualMachines is ingeschakeld op het Standard-niveau, wat aangeeft dat agentless scanning beschikbaar is..

Het monitoring-script vormt een essentieel onderdeel van de continue verificatie dat agentless scanning correct is geconfigureerd en beschikbaar is binnen de Azure-omgeving. Het script maakt gebruik van de PowerShell-cmdlet Get-AzSecurityPricing met de parameter -Name 'VirtualMachines' om te verifiëren of Microsoft Defender voor servers is ingeschakeld en op welk prijsniveau dit is geconfigureerd. Deze verificatie is cruciaal omdat agentless scanning alleen beschikbaar is wanneer Microsoft Defender voor servers Plan 2 actief is op het Standard-prijsniveau. Wanneer het script een Standard-tier detecteert, betekent dit dat agentless scanning is inbegrepen en volledig beschikbaar is voor gebruik binnen het abonnement. Het Standard-tier vertegenwoordigt het premium abonnementsniveau dat vereist is voor agentless scanning-functionaliteit en biedt naast agentless scanning ook andere geavanceerde beveiligingsfuncties zoals just-in-time VM-toegang, adaptieve toepassingscontroles en geavanceerde bedreigingsbescherming. Deze combinatie van functies maakt het Standard-tier tot een uitgebreide beveiligingsoplossing die organisaties helpt bij het implementeren van een verdediging-in-diepte strategie. Als het script daarentegen een Free-tier detecteert, betekent dit dat agentless scanning niet beschikbaar is, omdat deze functionaliteit alleen is inbegrepen bij de premium Defender-abonnementen. Deze situatie vereist actie van de organisatie om Microsoft Defender voor servers Plan 2 te activeren voordat agentless scanning kan worden gebruikt. Het is belangrijk om te begrijpen dat agentless scanning standaard automatisch is ingeschakeld wanneer Microsoft Defender voor servers Plan 2 wordt geactiveerd op een abonnement, zonder dat aanvullende configuratiestappen vereist zijn. Deze automatische activering zorgt ervoor dat organisaties direct profiteren van de beveiligingsvoordelen zonder complexe configuratieprocedures. Echter, organisaties kunnen via extensies en geavanceerde configuratie-instellingen specifieke aspecten van de agentless scanning aanpassen om te voldoen aan hun unieke beveiligingsvereisten. Deze aanpassingsmogelijkheden omvatten het configureren van de scanfrequentie, het instellen van uitsluitingen voor specifieke virtuele machines of resourcegroepen die mogelijk niet gescand hoeven te worden, en het aanpassen van de retentieperiode van scanresultaten voor compliance- of auditdoeleinden. Het monitoring-script kan worden geïntegreerd in geautomatiseerde compliance-controles en periodieke verificatieprocessen om te waarborgen dat agentless scanning beschikbaar blijft en correct is geconfigureerd. Deze integratie is bijzonder waardevol voor organisaties die moeten voldoen aan strikte compliance-vereisten zoals CIS Benchmarks, BIO-normen of ISO 27001-certificering, waarbij regelmatige verificatie van beveiligingsconfiguraties verplicht is. Voor continue monitoring kunnen organisaties dit script opnemen in hun reguliere beveiligingsaudits of het integreren met Azure Automation voor geplande controles die automatisch waarschuwingen genereren wanneer agentless scanning niet beschikbaar is of wanneer de configuratie is gewijzigd. Deze geautomatiseerde monitoring benadering zorgt ervoor dat beveiligingsteams proactief worden geïnformeerd over eventuele configuratiewijzigingen of problemen met de agentless scanning-functionaliteit, waardoor snelle reactie en herstel mogelijk is voordat beveiligingsgaten ontstaan.

Remediatie

Gebruik PowerShell-script agentless-scanning-on.ps1 (functie Invoke-Remediation) – Herstellen van agentless scanning-configuratie.

Agentless scanning is automatisch inbegrepen wanneer Microsoft Defender voor servers Plan 2 of Microsoft Defender CSPM is ingeschakeld op abonnementsniveau, waardoor het activatieproces naadloos en zonder complexe configuratiestappen verloopt. Het activatieproces begint met het inschakelen van Microsoft Defender voor servers Plan 2 op het abonnementsniveau, wat kan worden gedaan via verschillende methoden afhankelijk van de voorkeur en automatisering van de organisatie. De Azure Portal biedt een gebruiksvriendelijke interface waarbij beheerders eenvoudig kunnen navigeren naar de Defender voor Cloud-instellingen en daar Microsoft Defender voor servers Plan 2 kunnen activeren met enkele muisklikken. Voor organisaties die automatisering prefereren, biedt Azure PowerShell uitgebreide cmdlets die het mogelijk maken om Defender voor servers Plan 2 programmatisch te activeren, wat bijzonder waardevol is voor grootschalige omgevingen met meerdere abonnementen. Azure CLI biedt een alternatieve command-line interface voor organisaties die werken in Linux- of macOS-omgevingen of die de voorkeur geven aan CLI-tools boven PowerShell. Zodra Defender voor servers Plan 2 is geactiveerd, wordt agentless scanning automatisch geactiveerd binnen enkele uren zonder dat aanvullende configuratiestappen vereist zijn. Deze automatische activering is een belangrijk voordeel omdat het beveiligingsteams tijd bespaart en ervoor zorgt dat er geen configuratiefouten kunnen optreden tijdens het handmatige instellen van de functionaliteit. Het systeem start automatisch met het voorbereiden van de scaninfrastructuur en het configureren van de benodigde componenten voor snapshot-analyse, waarbij alle benodigde resources worden ingericht binnen de Microsoft-cloudinfrastructuur. Deze voorbereiding omvat het opzetten van de geïsoleerde scanomgeving, het configureren van de snapshot-mechanismen, en het initialiseren van de analyse-engine die de beveiligingsscans zal uitvoeren. De eerste scans starten doorgaans binnen 24 uur na de activering van Defender voor servers Plan 2, waarbij het systeem begint met het maken van initiële snapshots van alle virtuele machines binnen het abonnement die voldoen aan de vereisten voor agentless scanning. Deze eerste scancyclus is bijzonder uitgebreid omdat het systeem een volledige inventarisatie maakt van alle virtuele machines en hun beveiligingsstatus. Organisaties kunnen de status en configuratie van agentless scanning verifiëren in de Azure Portal door te navigeren naar Defender voor Cloud, vervolgens naar Environment Settings te gaan en daar de sectie Agentless scanning te selecteren. In deze interface kunnen beheerders een uitgebreid overzicht zien van alle aspecten van de agentless scanning-functionaliteit, inclusief welke virtuele machines worden gescand, wanneer de laatste scan heeft plaatsgevonden, wat de status is van de verschillende scancomponenten, en welke bevindingen zijn gedetecteerd tijdens de scans. Deze interface biedt ook inzicht in de scanhistorie, waardoor beheerders trends kunnen identificeren en de effectiviteit van beveiligingsmaatregelen kunnen monitoren. Optioneel kunnen organisaties de scanfrequentie en uitsluitingen configureren via extensies en geavanceerde instellingen, waarbij ze bijvoorbeeld kunnen specificeren dat bepaalde virtuele machines of resourcegroepen moeten worden uitgesloten van scanning om te voldoen aan specifieke operationele vereisten of compliance-verplichtingen. Deze uitsluitingsmogelijkheden zijn bijzonder waardevol voor ontwikkelomgevingen waar bepaalde testconfiguraties mogelijk niet gescand hoeven te worden, of voor virtuele machines die tijdelijk buiten gebruik zijn maar nog niet zijn verwijderd. Daarnaast kunnen organisaties de scanfrequentie aanpassen van de standaard 24-uurs cyclus naar een andere interval, zoals wekelijks of tweemaal per dag, afhankelijk van hun specifieke beveiligingsvereisten en risicoprofiel. Het monitoren van scanresultaten gebeurt via de Security Recommendations-sectie in Defender voor Cloud, waar alle bevindingen worden gepresenteerd als aanbevelingen met prioritering op basis van risiconiveau, gedetailleerde beschrijvingen van de gedetecteerde problemen, en concrete stappen voor herstel. Deze aanbevelingen zijn geïntegreerd in het bredere Defender voor Cloud-dashboard, waardoor beveiligingsteams een centraal overzicht krijgen van alle beveiligingsproblemen binnen hun Azure-omgeving. Er is geen apart remediatiescript nodig omdat agentless scanning automatisch wordt ingeschakeld samen met Defender voor servers. Voor de daadwerkelijke activering van Defender voor servers Plan 2 verwijst het remediatiescript naar het script defender-for-servers-enabled.ps1, dat de volledige configuratie en activering van Defender voor servers Plan 2 afhandelt, inclusief de automatische activering van agentless scanning als onderdeel van dit proces. Dit geïntegreerde aanpak zorgt ervoor dat organisaties een complete beveiligingsoplossing krijgen zonder dat ze meerdere scripts of configuratiestappen hoeven uit te voeren.

Compliance en Auditing

Deze controle helpt organisaties bij het voldoen aan verschillende internationale en nationale beveiligingsstandaarden en compliance-frameworks. Binnen het CIS Azure Foundations Benchmark v3.0.0 wordt specifiek verwezen naar controle 2.1.17, die expliciet vereist dat agentless scanning voor machines is ingeschakeld. Deze controle is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. De implementatie van agentless scanning stelt organisaties in staat om te voldoen aan deze CIS-vereiste door een geautomatiseerde en continue kwetsbaarheidsscanning te bieden zonder de operationele impact die traditionele agent-gebaseerde methoden met zich meebrengen. Voor Nederlandse overheidsorganisaties is de BIO Baseline Informatiebeveiliging Overheid van groot belang, waarbij Thema 12.06 specifiek ingaat op het beheer van technische kwetsbaarheden en de noodzaak van systematische kwetsbaarheidsbeoordeling. Agentless scanning ondersteunt deze BIO-vereiste door een gestructureerde en herhaalbare aanpak te bieden voor het identificeren en beoordelen van kwetsbaarheden in Azure-omgevingen, waarbij de resultaten kunnen worden gebruikt voor risicobeoordeling en prioritering van herstelacties. Binnen de ISO 27001-standaard wordt in controle A.12.6.1 het beheer van technische kwetsbaarheden behandeld, waarbij wordt benadrukt dat organisaties regelmatig kwetsbaarheidsbeoordelingen moeten uitvoeren zonder significante operationele impact. Agentless scanning voldoet aan deze vereiste door periodieke scans uit te voeren die geen invloed hebben op de prestaties of beschikbaarheid van productiesystemen, terwijl tegelijkertijd een uitgebreide beoordeling van beveiligingskwetsbaarheden wordt geboden. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten binnen de Europese Unie, vereist in Artikel 21 dat organisaties cybersecurity risicobeheersmaatregelen implementeren, waaronder kwetsbaarheidsbeheer en beoordelingscapaciteiten. Agentless scanning biedt deze capaciteiten door geautomatiseerde detectie en rapportage van kwetsbaarheden, wat organisaties helpt bij het voldoen aan de NIS2-vereisten voor proactief risicobeheer. Binnen het NIST Cybersecurity Framework wordt in de functie Detect (DE) en specifiek in DE.CM-8 vereist dat kwetsbaarheidsscans worden uitgevoerd. Agentless scanning voldoet aan deze vereiste door regelmatige, geautomatiseerde scans uit te voeren die zijn geïntegreerd in het bredere beveiligingsmonitoring- en detectieproces. Voor auditdoeleinden kunnen organisaties bewijs leveren van compliance door screenshots te maken van de agentless scanning-configuratie in de Azure Portal, de status van de Defender voor servers prijscategorie per abonnement te documenteren, scanresultaten en bevindingen te archiveren, en een lijst bij te houden van virtuele machines die worden gedekt door agentless scanning. Deze documentatie moet worden bewaard volgens de organisatorische bewaartermijnen, waarbij voor overheidsorganisaties vaak een bewaartermijn van zeven jaar wordt gehanteerd voor auditbewijs.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Agentless Scanning for VMs .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.17 Controleert of agentless scanning is enabled in Defender for Servers. .NOTES Filename: agentless-scanning-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.17 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $PolicyName = "Agentless Scanning for VMs" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Agentless Scanning for VMs .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.17 Controleert of agentless scanning is enabled in Defender for Servers. .NOTES Filename: agentless-scanning-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.17 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $PolicyName = "Agentless Scanning for VMs" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n${PolicyName}: Checking configuration..." -ForegroundColor Cyan $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -eq 'Standard') { Write-Host "[OK] Defender for Servers enabled (includes agentless scanning)" -ForegroundColor Green } else { Write-Host "[FAIL] Defender for Servers not enabled" -ForegroundColor Red Write-Host " Agentless scanning requires Defender for Servers Plan 2" -ForegroundColor Yellow } } elseif ($Remediation) { Write-Host "`n⚠️ Agentless scanning is included with Defender for Servers" -ForegroundColor Yellow Write-Host " Enable Defender for Servers to activate agentless scanning" -ForegroundColor Gray } else { $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -eq 'Standard') { Write-Host "[OK] Agentless scanning available (via Defender for Servers)" -ForegroundColor Green } else { Write-Host "[FAIL] Agentless scanning not available" -ForegroundColor Red } } } catch { Write-Error $_; exit 1 } " throw } } try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n${PolicyName}: Checking configuration..." -ForegroundColor Cyan $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -eq 'Standard') { Write-Host "[OK] Defender for Servers enabled (includes agentless scanning)" -ForegroundColor Green } else { Write-Host "[FAIL] Defender for Servers not enabled" -ForegroundColor Red Write-Host " Agentless scanning requires Defender for Servers Plan 2" -ForegroundColor Yellow } } elseif ($Remediation) { Write-Host "`n⚠️ Agentless scanning is included with Defender for Servers" -ForegroundColor Yellow Write-Host " Enable Defender for Servers to activate agentless scanning" -ForegroundColor Gray } else { $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -eq 'Standard') { Write-Host "[OK] Agentless scanning available (via Defender for Servers)" -ForegroundColor Green } else { Write-Host "[FAIL] Agentless scanning not available" -ForegroundColor Red } } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Agentless Scanning for VMs .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.17 Controleert of agentless scanning is enabled in Defender for Servers. .NOTES Filename: agentless-scanning-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.17 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $PolicyName = "Agentless Scanning for VMs" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat #> [CmdletBinding()] param() $Remediation = $true try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Agentless Scanning for VMs .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.17 Controleert of agentless scanning is enabled in Defender for Servers. .NOTES Filename: agentless-scanning-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.17 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $PolicyName = "Agentless Scanning for VMs" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder agentless scanning blijft de beveiligingszichtbaarheid beperkt tot virtuele machines met functionerende agents, wat aanzienlijke blinde vlekken creëert in de beveiligingsmonitoring. Virtuele machines zonder geïnstalleerde agents als gevolg van implementatiefouten, mislukte agentinstallaties of bewuste agent-vrije architecturen blijven volledig ongescand voor kwetsbaarheden en malware. Dit betekent dat kritieke CVEs zoals Log4Shell, Spring4Shell of Windows zero-days ongedetecteerd blijven op deze systemen, wat actieve exploitatie mogelijk maakt zonder dat het beveiligingsteam hiervan op de hoogte is. Uitgeschakelde virtuele machines worden niet gescand door agent-gebaseerde scanning omdat agents alleen actief zijn tijdens de werking van de virtuele machine. Dit creëert een aanzienlijke scanningkloof voor virtuele machines die alleen parttime draaien, zoals ontwikkelomgevingen die 's avonds worden uitgeschakeld, waarbij kwetsbaarheden zich ophopen tijdens offline perioden zonder detectie. Agentmanipulatie door geavanceerde aanvallers die toegang tot een virtuele machine hebben verkregen, kunnen beveiligingsagents uitschakelen, manipuleren of verwijderen om detectie te ontwijken. Agent-only scanning vormt een enkel storingspunt dat kan worden omzeild door aanvallers met verhoogde rechten. Het verdediging-in-diepte-principe wordt geschonden omdat slechts één scanmethode bestaat zonder onafhankelijke verificatielaag. Beveiligingsbest practices vereisen gelaagde controles waarbij agentless scanning agent-gebaseerde bevindingen verifieert en vice versa. Geheimen in platte tekst zoals hardcoded credentials, API-sleutels en private SSH-sleutels in bestandssystemen van virtuele machines blijven ongedetecteerd zonder agentless schijfsanalyse die bestandsinhoud kan scannen. Agent-gebaseerde scanning richt zich op runtime maar mist opgeslagen geheimen. Malware-detectiekloof ontstaat omdat agent-gebaseerde antimalware kan worden uitgeschakeld door malware zelf, terwijl agentless scanning deze manipulatie detecteert. Het risico is hoog voor omgevingen met diverse VM-typen, gemiddeld voor standaard altijd-actieve agent-beschermde virtuele machines, en verplicht voor verdediging-in-diepte beveiligingsarchitecturen die gelaagde controles vereisen.

Management Samenvatting

Agentless scanning voor Microsoft Defender voor Cloud biedt geavanceerde kwetsbaarheids- en malwarescanning zonder enige impact op de productieomgeving door periodieke schijfsnapshots van virtuele machines te analyseren buiten de productieomgeving, zonder dat er agents geïnstalleerd hoeven te worden of de prestaties van virtuele machines worden beïnvloed. De voordelen van agentless scanning zijn talrijk en significant. Ten eerste is er absoluut geen prestatie-impact op virtuele machines omdat alle snapshots worden geanalyseerd op volledig gescheiden Microsoft-infrastructuur die losstaat van productievirtuele machines. Dit betekent dat organisaties uitgebreide beveiligingsscanning kunnen uitvoeren zonder zich zorgen te maken over resourceverbruik of prestatievermindering. Het systeem kan virtuele machines scannen zonder dat er agents aanwezig zijn, wat bijzonder waardevol is voor agent-vrije architecturen waar organisaties bewust hebben gekozen om geen agents te installeren, voor virtuele machines waar agentinstallatie is mislukt of niet mogelijk is, en voor Linux-distributies die mogelijk geen volledige agentsupport hebben. Een uniek voordeel is dat uitgeschakelde virtuele machines ook kunnen worden gescand via de laatste beschikbare schijfsnapshot, waardoor offline systemen toch worden gecontroleerd en er geen blinde vlekken ontstaan in de beveiligingsdekking. De scanning is volledig manipulatiebestendig omdat aanvallers die toegang hebben verkregen tot gecompromitteerde virtuele machines agentless scanning niet kunnen uitschakelen, aangezien het volledige scanproces plaatsvindt buiten de virtuele machine op Microsoft-infrastructuur die volledig buiten hun controle valt. Het systeem biedt volledige bestandssysteemanalyse voor detectie van gevoelige geheimen zoals hardcoded wachtwoorden, API-sleutels en private SSH-sleutels die mogelijk in configuratiebestanden zijn opgeslagen. Malware-signature scanning gebeurt via Microsoft's uitgebreide threat intelligence-database, en software-inventarisatie wordt uitgevoerd zonder enige agentoverhead of resourceverbruik op de productievirtuele machines. Agentless scanning werkt via automatische schijfsnapshots die standaard elke 24 uur worden gemaakt, hoewel deze frequentie kan worden geconfigureerd naar de behoeften van de organisatie. De snapshot wordt veilig gekopieerd naar Microsoft-analyse-infrastructuur waar een diepgaande en uitgebreide scan plaatsvindt voor besturingssysteem- en softwarekwetsbaarheden via CVE-detectie, malwaresignaturen, blootgestelde geheimen en beveiligingsmisconfiguraties. Alle resultaten worden naadloos gepubliceerd naar Defender voor Cloud-aanbevelingen en waarschuwingen, en de originele snapshot wordt automatisch en permanent verwijderd na analyse om te voldoen aan gegevensretentie- en privacyvereisten. Agentless scanning is automatisch inbegrepen bij Defender voor servers Plan 2 zonder extra kosten en wordt standaard ingeschakeld bij Plan 2-activatie zonder dat aanvullende configuratiestappen vereist zijn. Deze maatregel is sterk aanbevolen voor volledige VM-beveiligingsdekking, essentieel voor omgevingen met gemengde VM-typen, waardevol voor verdediging-in-diepte-architecturen met gelaagde scanning, en ondersteunt CIS 2.1.17 en BIO 12.06 kwetsbaarheidsbeheercompliance. Implementatie gebeurt volledig automatisch bij Defender voor servers P2-activering, waarbij organisaties optioneel de scanfrequentie kunnen configureren en de eerste scanresultaten kunnen verifiëren na ongeveer zeven dagen. Er zijn geen extra licentie- of configuratiekosten bovenop Defender voor servers P2. Het rendement op investering komt van volledige beveiligingszichtbaarheid inclusief agent-vrije en uitgeschakelde virtuele machines, manipulatiebestendige scanning die agent-omzeiling detecteert, detectie van geheimen die credentiallekken voorkomt, en verdediging-in-diepte-compliance via onafhankelijke verificatielaag die naast traditionele agent-gebaseerde bescherming functioneert.