💼 Management Samenvatting
Geautomatiseerde respons in Microsoft Defender voor Cloud stelt organisaties in staat om beveiligingsincidenten automatisch te detecteren, te analyseren en te reageren zonder handmatige interventie. Deze functionaliteit reduceert de tijd tussen detectie en mitigatie van bedreigingen aanzienlijk, wat cruciaal is voor het beperken van de impact van beveiligingsincidenten in moderne cloudomgevingen.
Aanbeveling
IMPLEMENTEREN VOOR KRITIEKE SYSTEMEN
Risico zonder
High
Risk Score
8/10
Implementatie
12u (tech: 8u)
Van toepassing op:
✓ Azure Subscriptions
✓ Azure Resources
✓ Azure Resources
Beveiligingsincidenten in cloudomgevingen ontwikkelen zich vaak binnen minuten of zelfs seconden, waarbij aanvallers gebruik maken van geautomatiseerde tools om snel toegang te krijgen tot gevoelige gegevens of systemen. Zonder geautomatiseerde responsmechanismen zijn security operations teams afhankelijk van handmatige detectie en reactie, wat kan leiden tot vertragingen van uren of zelfs dagen voordat bedreigingen worden geïdentificeerd en gemitigeerd. Deze vertragingen geven aanvallers de tijd om laterale beweging uit te voeren, gegevens te stelen, systemen te compromitteren en ransomware te implementeren. Geautomatiseerde respons in Defender voor Cloud maakt gebruik van machine learning algoritmes en bedreigingsinformatie om verdachte activiteiten te detecteren en automatisch corrigerende maatregelen te nemen, zoals het isoleren van gecompromitteerde resources, het blokkeren van kwaadaardige IP-adressen, het uitschakelen van verdachte processen, of het activeren van aanvullende beveiligingscontroles. Deze automatische respons vermindert de mean time to detect (MTTD) en mean time to respond (MTTR) aanzienlijk, wat essentieel is voor het beperken van de impact van beveiligingsincidenten. Voor Nederlandse overheidsorganisaties die moeten voldoen aan NIS2-richtlijnen en BIO Baseline vereisten is geautomatiseerde incident response verplicht gesteld voor kritieke systemen en processen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Security, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Security, Az.Resources
Implementatie
Deze controle configureert geautomatiseerde responsacties in Microsoft Defender voor Cloud via workflow automatisering, Logic Apps playbooks, en Azure Automation runbooks. Geautomatiseerde respons kan worden geconfigureerd voor verschillende scenario's, waaronder het automatisch isoleren van gecompromitteerde virtuele machines wanneer ransomware wordt gedetecteerd, het blokkeren van kwaadaardige IP-adressen in netwerkbeveiligingsgroepen wanneer brute force aanvallen worden geïdentificeerd, het uitschakelen van verdachte processen op endpoints wanneer malware wordt gedetecteerd, het activeren van just-in-time VM-toegang wanneer verdachte inlogpogingen worden geïdentificeerd, het verzenden van waarschuwingen naar Security Operations Center (SOC) teams via Microsoft Teams, e-mail of SIEM-systemen, het maken van incident tickets in ITSM-systemen zoals ServiceNow of TOPdesk, het activeren van aanvullende monitoring en logging wanneer verdachte activiteiten worden gedetecteerd, en het uitvoeren van forensische snapshots van virtuele machines voor latere analyse. De controle verifieert dat geautomatiseerde respons workflows zijn geconfigureerd en actief zijn voor kritieke beveiligingsscenario's binnen de organisatie.
Vereisten
Voor het configureren van geautomatiseerde respons in Microsoft Defender voor Cloud moet aan een aantal technische en organisatorische vereisten worden voldaan. Deze vereisten zorgen ervoor dat de geautomatiseerde respons workflows correct functioneren en dat organisaties optimaal kunnen profiteren van de voordelen van geautomatiseerde incident response. Het niet voldoen aan deze vereisten kan leiden tot mislukte automatiseringen, onjuiste responsacties, of complianceproblemen. Daarom is het belangrijk om alle vereisten zorgvuldig te controleren voordat u begint met de configuratie van geautomatiseerde respons workflows.
De primaire licentievereiste voor geautomatiseerde respons is een Microsoft Defender voor Cloud Plan 2 licentie voor de relevante Azure-abonnementen. Plan 2 biedt geavanceerde beveiligingsfuncties inclusief workflow automatisering, Logic Apps integratie, en geavanceerde bedreigingsdetectie die essentieel zijn voor effectieve geautomatiseerde respons. Plan 1 biedt basis beveiligingsfuncties maar mist de geavanceerde automatisering mogelijkheden die nodig zijn voor geautomatiseerde incident response. Organisaties die geautomatiseerde respons willen implementeren moeten daarom investeren in Plan 2 licenties voor alle relevante abonnementen. Daarnaast zijn specifieke beheerdersrechten vereist: eigenaar- of bijdragerrechten op abonnementsniveau zijn nodig voor het configureren van workflow automatisering en Logic Apps playbooks, terwijl Security Administrator rechten nodig zijn voor het configureren van beveiligingsinstellingen en responsacties. Het is belangrijk dat deze rechten op het juiste scope-niveau zijn toegewezen, omdat geautomatiseerde respons workflows vaak meerdere Azure-resources en services beïnvloeden.
Voor de technische implementatie zijn verschillende Azure-services en -resources vereist. Een Azure Logic Apps resource is nodig voor het hosten van geautomatiseerde respons playbooks die beveiligingsincidenten kunnen detecteren, analyseren en reageren. Logic Apps biedt een visuele workflow designer en uitgebreide connectors voor integratie met verschillende Azure-services, Microsoft 365 services, en externe systemen zoals SIEM-oplossingen en ITSM-platformen. Daarnaast is een Azure Automation account vereist voor het hosten van PowerShell runbooks die complexe automatiseringstaken kunnen uitvoeren, zoals het isoleren van virtuele machines, het wijzigen van netwerkbeveiligingsgroepen, of het uitvoeren van forensische snapshots. Azure Automation biedt ook managed identities die kunnen worden gebruikt voor veilige authenticatie zonder wachtwoorden of geheimen. Een Log Analytics workspace is vereist voor het verzamelen en analyseren van beveiligingsgebeurtenissen en waarschuwingen die worden gebruikt als triggers voor geautomatiseerde respons workflows. Deze workspace moet voldoende retentiecapaciteit hebben om historische beveiligingsgebeurtenissen te bewaren voor compliance-doeleinden.
Netwerkconnectiviteit is essentieel voor geautomatiseerde respons workflows. Logic Apps en Azure Automation runbooks moeten toegang hebben tot Azure Resource Manager API's, Microsoft Defender voor Cloud API's, en andere Azure-services om responsacties uit te voeren. Voor organisaties met strikte netwerkbeveiliging kunnen private endpoints worden geconfigureerd om deze connectiviteit te beveiligen, maar dit vereist aanvullende configuratie en netwerkplanning. Daarnaast moeten geautomatiseerde respons workflows toegang hebben tot externe systemen zoals SIEM-oplossingen, ITSM-platformen, of e-mailservices wanneer deze worden gebruikt voor waarschuwingen of incident management. Firewallregels en netwerkbeveiligingsgroepen moeten worden geconfigureerd om deze connectiviteit toe te staan zonder de beveiliging te compromitteren.
Organisatorische vereisten omvatten het definiëren van duidelijke procedures en richtlijnen voor geautomatiseerde respons. Organisaties moeten bepalen welke beveiligingsscenario's geschikt zijn voor volledig geautomatiseerde respons en welke scenario's menselijke beoordeling vereisen voordat acties worden ondernomen. Dit is vooral belangrijk voor kritieke systemen en processen waar automatische acties mogelijk onbedoelde gevolgen kunnen hebben. Daarnaast moeten organisaties processen implementeren voor het monitoren en reviewen van geautomatiseerde respons acties om te verifiëren dat deze correct functioneren en geen onbedoelde neveneffecten veroorzaken. Security operations teams moeten worden getraind in het gebruik en beheer van geautomatiseerde respons workflows, inclusief het begrijpen van hoe workflows worden getriggerd, welke acties worden uitgevoerd, en hoe problemen kunnen worden opgelost wanneer workflows niet correct functioneren.
Compliance-vereisten moeten ook worden overwogen bij het configureren van geautomatiseerde respons. Voor Nederlandse overheidsorganisaties die moeten voldoen aan AVG-vereisten moet worden gewaarborgd dat geautomatiseerde respons acties geen onnodige verwerking van persoonsgegevens veroorzaken en dat alle acties worden gelogd voor audit-doeleinden. NIS2-richtlijnen vereisen dat organisaties geautomatiseerde incident response capaciteiten hebben voor kritieke systemen, wat betekent dat geautomatiseerde respons workflows moeten worden geconfigureerd voor alle relevante beveiligingsscenario's. BIO Baseline vereisten specificeren dat organisaties moeten kunnen aantonen dat beveiligingsincidenten snel worden gedetecteerd en gemitigeerd, wat vereist dat geautomatiseerde respons workflows actief zijn en regelmatig worden getest en gevalideerd.
Implementatie
De implementatie van geautomatiseerde respons in Microsoft Defender voor Cloud begint met het identificeren van de beveiligingsscenario's die geschikt zijn voor automatisering. Niet alle beveiligingsincidenten zijn geschikt voor volledig geautomatiseerde respons; sommige scenario's vereisen menselijke beoordeling en besluitvorming voordat acties worden ondernomen. Organisaties moeten een risicobeoordeling uitvoeren om te bepalen welke scenario's kunnen worden geautomatiseerd zonder onaanvaardbare risico's te introduceren. Veelvoorkomende scenario's die geschikt zijn voor automatisering omvatten ransomware detectie en isolatie, brute force aanval detectie en IP-blokkering, malware detectie en verwijdering, verdachte netwerkactiviteit detectie en netwerksegmentatie, en ongeautoriseerde toegang detectie en account blokkering. Voor elk scenario moeten organisaties de gewenste responsacties definiëren, de risico's van automatische acties beoordelen, en testprocedures ontwikkelen om te verifiëren dat workflows correct functioneren.
De configuratie van geautomatiseerde respons workflows begint in Microsoft Defender voor Cloud via de Azure Portal. Navigeer naar Microsoft Defender voor Cloud en selecteer Workflow automatisering in het menu. Klik op Add workflow automation om een nieuwe geautomatiseerde respons workflow te maken. Geef de workflow een beschrijvende naam, zoals 'Ransomware Detection and VM Isolation', en selecteer het abonnement en de resourcegroep waar de workflow moet worden opgeslagen. Configureer de trigger voor de workflow door te selecteren welke beveiligingswaarschuwingen de workflow moeten activeren. U kunt kiezen uit verschillende waarschuwingen, zoals 'Ransomware detected', 'Suspicious process execution', 'Brute force attack detected', of aangepaste waarschuwingen op basis van KQL-queries. Het is belangrijk om specifieke waarschuwingen te selecteren om te voorkomen dat workflows worden geactiveerd door valse positieven of niet-kritieke gebeurtenissen.
Na het configureren van de trigger moet u de acties definiëren die moeten worden uitgevoerd wanneer de workflow wordt geactiveerd. Microsoft Defender voor Cloud biedt verschillende ingebouwde acties, zoals het isoleren van een virtuele machine, het blokkeren van een IP-adres in een netwerkbeveiligingsgroep, het verzenden van een e-mailmelding, of het maken van een Logic Apps playbook. Voor complexere scenario's kunt u een Logic Apps playbook maken dat meerdere acties kan uitvoeren in een specifieke volgorde. Logic Apps playbooks bieden uitgebreide mogelijkheden voor geautomatiseerde respons, inclusief conditionele logica, loops, en integraties met externe systemen. Bij het configureren van acties is het belangrijk om rekening te houden met de mogelijke impact op bedrijfsvoering en om safeguards in te bouwen om te voorkomen dat automatische acties onbedoelde gevolgen veroorzaken.
Voor geavanceerde geautomatiseerde respons scenario's kunnen organisaties Azure Automation runbooks gebruiken in combinatie met Logic Apps playbooks. Azure Automation runbooks bieden de mogelijkheid om complexe PowerShell-scripts uit te voeren die directe controle bieden over Azure-resources en -services. Runbooks kunnen worden gebruikt voor taken zoals het maken van forensische snapshots van virtuele machines, het verzamelen van logbestanden voor analyse, het wijzigen van netwerkconfiguraties, of het activeren van aanvullende beveiligingscontroles. Runbooks kunnen worden geactiveerd vanuit Logic Apps playbooks via de Azure Automation connector, waardoor organisaties de flexibiliteit hebben om geavanceerde automatiseringstaken uit te voeren als onderdeel van geautomatiseerde respons workflows. Het is belangrijk om runbooks te testen in een testomgeving voordat ze worden gebruikt in productie, omdat onjuiste runbooks kunnen leiden tot onbedoelde wijzigingen of serviceonderbrekingen.
Na het configureren van geautomatiseerde respons workflows is het essentieel om deze te testen en te valideren om te verifiëren dat ze correct functioneren. Testprocedures moeten omvatten het simuleren van beveiligingsincidenten in een testomgeving, het verifiëren dat workflows correct worden geactiveerd, het controleren dat de gewenste acties worden uitgevoerd, en het valideren dat waarschuwingen en notificaties correct worden verzonden. Het is belangrijk om workflows regelmatig te testen, omdat wijzigingen in Azure-services, beveiligingsconfiguraties, of netwerkconfiguraties kunnen leiden tot problemen met workflows. Daarnaast moeten organisaties processen implementeren voor het monitoren van geautomatiseerde respons workflows om te detecteren wanneer workflows falen of onjuiste acties uitvoeren. Monitoring kan worden geïmplementeerd via Azure Monitor, Log Analytics queries, of externe monitoring tools die integratie bieden met Azure-services.
Documentatie is cruciaal voor het effectieve beheer van geautomatiseerde respons workflows. Organisaties moeten documenteren welke workflows zijn geconfigureerd, welke scenario's ze adresseren, welke acties ze uitvoeren, en wie verantwoordelijk is voor het beheer en onderhoud van workflows. Deze documentatie moet regelmatig worden bijgewerkt wanneer workflows worden gewijzigd of nieuwe workflows worden toegevoegd. Daarnaast moeten organisaties processen implementeren voor het reviewen en goedkeuren van wijzigingen aan geautomatiseerde respons workflows, omdat wijzigingen kunnen leiden tot onbedoelde gevolgen of beveiligingsrisico's. Change management processen moeten worden gevolgd voor alle wijzigingen aan workflows, inclusief testen, goedkeuring, en implementatie in productie.
Monitoring en Compliance Controle
Gebruik PowerShell-script automated-response-configured.ps1 (functie Invoke-Monitoring) – PowerShell script voor compliance-controle van geautomatiseerde respons workflows in Microsoft Defender voor Cloud..
Het monitoren van geautomatiseerde respons workflows is essentieel om te waarborgen dat workflows actief zijn, correct functioneren, en de gewenste beveiligingsdoelen bereiken. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat geautomatiseerde respons workflows effectief zijn in het detecteren en mitigeren van beveiligingsincidenten. Monitoring omvat het continu volgen van de status van workflows, het verifiëren dat workflows correct worden geactiveerd wanneer beveiligingsincidenten worden gedetecteerd, het controleren dat de gewenste acties worden uitgevoerd, en het waarborgen dat er geen problemen zijn met workflows die kunnen leiden tot gemiste incidenten of onjuiste responsacties.
Het monitoring script gebruikt Azure PowerShell cmdlets om de configuratie van geautomatiseerde respons workflows te controleren voor elk abonnement binnen de tenant. Het script verifieert of workflow automatisering is ingeschakeld, of er workflows zijn geconfigureerd voor kritieke beveiligingsscenario's, en of workflows actief zijn en correct zijn geconfigureerd. Het script genereert een rapport met details over de status van workflows voor elk gecontroleerd abonnement, inclusief informatie over welke workflows zijn geconfigureerd, welke triggers en acties zijn gedefinieerd, en of er problemen zijn gedetecteerd met workflows. Deze rapporten kunnen worden gebruikt voor compliance-doeleinden, interne audits, en managementrapportage.
Naast het controleren van de configuratie van workflows moeten organisaties ook monitoren of workflows daadwerkelijk worden uitgevoerd en of ze de gewenste resultaten bereiken. Dit kan worden gedaan door Azure Monitor te gebruiken om workflow-uitvoeringen te volgen, door Log Analytics queries uit te voeren om workflow-activiteit te analyseren, of door externe monitoring tools te gebruiken die integratie bieden met Azure Logic Apps en Azure Automation. Organisaties moeten processen implementeren voor het regelmatig reviewen van workflow-uitvoeringen om te verifiëren dat workflows correct functioneren en dat er geen problemen zijn die moeten worden opgelost. Wanneer problemen worden gedetecteerd, moeten deze snel worden opgelost om te waarborgen dat geautomatiseerde respons workflows effectief blijven in het detecteren en mitigeren van beveiligingsincidenten.
Voor compliance-doeleinden moeten organisaties kunnen aantonen dat geautomatiseerde respons workflows actief zijn en regelmatig worden getest en gevalideerd. Dit vereist dat organisaties documentatie bijhouden over welke workflows zijn geconfigureerd, wanneer ze zijn getest, en wat de resultaten waren van tests. Deze documentatie moet worden bewaard voor audit-doeleinden en moet regelmatig worden bijgewerkt wanneer workflows worden gewijzigd of nieuwe workflows worden toegevoegd. Voor organisaties die moeten voldoen aan NIS2-richtlijnen en BIO Baseline vereisten is deze documentatie essentieel om aan te tonen dat geautomatiseerde incident response capaciteiten actief zijn en effectief functioneren.
Remediatie en Implementatie
Gebruik PowerShell-script automated-response-configured.ps1 (functie Invoke-Remediation) – Automatische configuratie van geautomatiseerde respons workflows in Microsoft Defender voor Cloud..
Het remediëren van ontbrekende of onjuist geconfigureerde geautomatiseerde respons workflows is een kritieke beveiligingsmaatregel die moet worden uitgevoerd zodra problemen worden gedetecteerd. Zonder geautomatiseerde respons workflows zijn organisaties afhankelijk van handmatige detectie en reactie, wat kan leiden tot vertragingen in het mitigeren van beveiligingsincidenten en verhoogde risico's voor de organisatie. Het remediatie script kan worden gebruikt om automatisch geautomatiseerde respons workflows te configureren voor kritieke beveiligingsscenario's, hoewel organisaties moeten overwegen om workflows handmatig te configureren via de Azure Portal om volledige controle te hebben over de configuratie en om te verifiëren dat workflows correct zijn geconfigureerd voor de specifieke behoeften van de organisatie.
Bij het configureren van geautomatiseerde respons workflows is het belangrijk om te beginnen met de meest kritieke beveiligingsscenario's, zoals ransomware detectie en isolatie, brute force aanval detectie en IP-blokkering, en malware detectie en verwijdering. Deze scenario's hebben de grootste impact op beveiliging en moeten daarom prioriteit krijgen bij de implementatie van geautomatiseerde respons. Na het configureren van workflows voor kritieke scenario's kunnen organisaties geleidelijk workflows toevoegen voor aanvullende scenario's naarmate ze meer ervaring opdoen met geautomatiseerde respons en vertrouwen opbouwen in de effectiviteit van workflows.
Na het configureren van workflows is het essentieel om deze te testen in een testomgeving voordat ze worden gebruikt in productie. Testprocedures moeten omvatten het simuleren van beveiligingsincidenten, het verifiëren dat workflows correct worden geactiveerd, het controleren dat de gewenste acties worden uitgevoerd, en het valideren dat waarschuwingen en notificaties correct worden verzonden. Het is belangrijk om workflows regelmatig te testen, omdat wijzigingen in Azure-services, beveiligingsconfiguraties, of netwerkconfiguraties kunnen leiden tot problemen met workflows. Daarnaast moeten organisaties processen implementeren voor het monitoren van workflows om te detecteren wanneer workflows falen of onjuiste acties uitvoeren.
Voor organisaties die geavanceerde geautomatiseerde respons willen implementeren kunnen Logic Apps playbooks en Azure Automation runbooks worden gebruikt om complexe automatiseringstaken uit te voeren. Logic Apps playbooks bieden uitgebreide mogelijkheden voor geautomatiseerde respons, inclusief conditionele logica, loops, en integraties met externe systemen. Azure Automation runbooks bieden de mogelijkheid om complexe PowerShell-scripts uit te voeren die directe controle bieden over Azure-resources en -services. Bij het implementeren van geavanceerde workflows is het belangrijk om deze zorgvuldig te ontwerpen en te testen om te verifiëren dat ze correct functioneren en geen onbedoelde gevolgen veroorzaken.
Compliance en Auditing
Geautomatiseerde respons in Microsoft Defender voor Cloud is een essentiële component voor naleving van verschillende cybersecurity frameworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Zonder geautomatiseerde respons kunnen organisaties niet voldoen aan de vereisten van internationale standaarden zoals CIS, ISO 27001 en sectorspecifieke regelgeving zoals de NIS2 richtlijn en BIO Baseline. Deze frameworks vereisen allemaal dat organisaties kunnen aantonen dat beveiligingsincidenten snel worden gedetecteerd en gemitigeerd, wat vereist dat geautomatiseerde respons workflows actief zijn en regelmatig worden getest en gevalideerd.
De NIS2 Richtlijn vereist in Artikel 21 dat organisaties cybersecurity risicobeheersmaatregelen implementeren, inclusief geautomatiseerde incident response capaciteiten voor kritieke systemen. Artikel 21 specificeert dat organisaties technische maatregelen moeten nemen om beveiligingsdreigingen te detecteren, te voorkomen en te reageren op beveiligingsincidenten, waarbij geautomatiseerde respons een essentieel onderdeel vormt van effectieve incident response. Voor organisaties die onder NIS2 vallen is implementatie van geautomatiseerde incident response verplicht gesteld voor kritieke systemen en processen. Niet-naleving kan leiden tot boetes en sancties door de Autoriteit Consument en Markt (ACM) of andere toezichthouders.
De Baseline Informatiebeveiliging Overheid (BIO) vereist in Thema 12.07 dat organisaties beveiligingsincidenten snel detecteren en reageren. Deze norm is specifiek ontwikkeld voor de Nederlandse publieke sector en stelt eisen aan de snelheid en effectiviteit van incident response. Thema 12.07 specificeert dat organisaties moeten kunnen aantonen dat zij processen hebben geïmplementeerd voor het snel detecteren en mitigeren van beveiligingsincidenten, waarbij geautomatiseerde respons een essentieel onderdeel vormt van effectieve incident response. Voor Microsoft 365 en Azure omgevingen betekent dit dat geautomatiseerde respons workflows moeten zijn geconfigureerd voor kritieke beveiligingsscenario's en dat organisaties kunnen aantonen dat workflows actief zijn en regelmatig worden getest.
De ISO 27001 standaard vereist in controle A.16.1.4 dat organisaties geautomatiseerde tools gebruiken voor het monitoren en analyseren van beveiligingsgebeurtenissen. Deze internationale standaard wordt veelvuldig gebruikt door Nederlandse organisaties die certificering nastreven en vormt een belangrijke basis voor informatiebeveiligingsmanagement. Controle A.16.1.4 specificeert dat organisaties moeten kunnen aantonen dat zij geautomatiseerde tools gebruiken voor het detecteren en reageren op beveiligingsincidenten, waarbij geautomatiseerde respons workflows een essentieel onderdeel vormen van deze tools. Voor Microsoft 365 en Azure omgevingen betekent dit dat geautomatiseerde respons workflows moeten zijn geconfigureerd en dat organisaties kunnen aantonen dat workflows effectief functioneren.
Voor audit-doeleinden moeten organisaties kunnen aantonen dat geautomatiseerde respons workflows actief zijn, regelmatig worden getest, en effectief functioneren. Dit vereist dat organisaties documentatie bijhouden over welke workflows zijn geconfigureerd, wanneer ze zijn getest, en wat de resultaten waren van tests. Deze documentatie moet worden bewaard voor audit-doeleinden en moet regelmatig worden bijgewerkt wanneer workflows worden gewijzigd of nieuwe workflows worden toegevoegd. Monitoring scripts kunnen worden gebruikt om te bewijzen dat workflows actief zijn en correct zijn geconfigureerd, terwijl testrapporten kunnen worden gebruikt om aan te tonen dat workflows regelmatig worden getest en effectief functioneren.
Compliance & Frameworks
- BIO: 12.07 - BIO Baseline Informatiebeveiliging Overheid - Thema 12: Snelle detectie en respons op beveiligingsincidenten
- ISO 27001:2022: A.16.1.4 - Geautomatiseerde tools voor beveiligingsmonitoring en incident response
- NIS2: Artikel - Cybersecurity risicobeheersmaatregelen - geautomatiseerde incident response
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Microsoft Defender voor Cloud: Geautomatiseerde Respons Geconfigureerd
.DESCRIPTION
NIS2 Richtlijn - Artikel 21
BIO Baseline - Thema 12.07
Controleert of geautomatiseerde respons workflows zijn geconfigureerd
in Microsoft Defender voor Cloud voor kritieke beveiligingsscenario's.
.NOTES
Filename: automated-response-configured.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/defender-cloud/automated-response-configured.json
NIS2 Article: 21
BIO Control: 12.07
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Security, Az.Resources
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Geautomatiseerde Respons Geconfigureerd"
function Connect-RequiredServices {
try {
if (-not (Get-AzContext)) {
Connect-AzAccount | Out-Null
}
}
catch {
throw "Failed to connect to Azure: $_"
}
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "automated-response-configured"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
try {
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
$result.TotalResources = $subscriptions.Count
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
try {
# Check if workflow automation is configured
# Note: This requires checking Logic Apps and Automation resources
# For now, we check if Defender for Cloud Plan 2 is enabled
$pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue
if ($pricing -and $pricing.PricingTier -eq 'Standard') {
# Check for Logic Apps resources that might be used for automation
$logicApps = Get-AzResource -ResourceType "Microsoft.Logic/workflows" -ErrorAction SilentlyContinue
$automationAccounts = Get-AzResource -ResourceType "Microsoft.Automation/automationAccounts" -ErrorAction SilentlyContinue
if ($logicApps -or $automationAccounts) {
$result.CompliantCount++
$result.Details += "✓ Subscription '$($sub.Name)' heeft geautomatiseerde respons workflows geconfigureerd"
}
else {
$result.NonCompliantCount++
$result.Details += "✗ Subscription '$($sub.Name)' heeft GEEN geautomatiseerde respons workflows geconfigureerd"
$result.Recommendations += "Configureer workflow automatisering voor '$($sub.Name)'"
}
}
else {
$result.NonCompliantCount++
$result.Details += "✗ Subscription '$($sub.Name)' heeft Defender voor Cloud Plan 2 niet ingeschakeld (vereist voor geautomatiseerde respons)"
$result.Recommendations += "Schakel Defender voor Cloud Plan 2 in voor '$($sub.Name)'"
}
}
catch {
$result.NonCompliantCount++
$result.Details += "✗ Subscription '$($sub.Name)': Fout bij controleren - $($_.Exception.Message)"
}
}
$result.IsCompliant = ($result.NonCompliantCount -eq 0)
}
catch {
$result.Details += "ERROR: $($_.Exception.Message)"
}
return $result
}
function Invoke-Remediation {
Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan
Write-Host "`nLET OP: Geautomatiseerde respons workflows moeten handmatig worden geconfigureerd" -ForegroundColor Yellow
Write-Host "via de Azure Portal of via Infrastructure as Code templates." -ForegroundColor Yellow
Write-Host "`nDit script kan alleen controleren of de benodigde resources aanwezig zijn." -ForegroundColor Yellow
try {
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
Write-Host "`nSubscription: $($sub.Name)" -ForegroundColor Cyan
# Check if Defender for Cloud Plan 2 is enabled
$pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue
if (-not $pricing -or $pricing.PricingTier -ne 'Standard') {
Write-Host " [INFO] Defender voor Cloud Plan 2 is niet ingeschakeld" -ForegroundColor Yellow
Write-Host " [INFO] Schakel eerst Defender voor Cloud Plan 2 in via de Azure Portal" -ForegroundColor Yellow
continue
}
# Check for Logic Apps
$logicApps = Get-AzResource -ResourceType "Microsoft.Logic/workflows" -ErrorAction SilentlyContinue
if (-not $logicApps) {
Write-Host " [INFO] Geen Logic Apps workflows gevonden" -ForegroundColor Yellow
Write-Host " [INFO] Maak Logic Apps playbooks aan voor geautomatiseerde respons" -ForegroundColor Yellow
Write-Host " [INFO] Zie: https://learn.microsoft.com/en-us/azure/defender-for-cloud/workflow-automation-logic-apps" -ForegroundColor Gray
}
else {
Write-Host " [OK] Logic Apps workflows gevonden: $($logicApps.Count)" -ForegroundColor Green
}
# Check for Automation Accounts
$automationAccounts = Get-AzResource -ResourceType "Microsoft.Automation/automationAccounts" -ErrorAction SilentlyContinue
if (-not $automationAccounts) {
Write-Host " [INFO] Geen Automation Accounts gevonden" -ForegroundColor Yellow
Write-Host " [INFO] Overweeg Azure Automation voor geavanceerde runbooks" -ForegroundColor Yellow
}
else {
Write-Host " [OK] Automation Accounts gevonden: $($automationAccounts.Count)" -ForegroundColor Green
}
}
Write-Host "`n[INFO] Configureer workflows handmatig via:" -ForegroundColor Cyan
Write-Host " 1. Azure Portal → Defender voor Cloud → Workflow automatisering" -ForegroundColor Gray
Write-Host " 2. Maak Logic Apps playbooks voor kritieke scenario's" -ForegroundColor Gray
Write-Host " 3. Test workflows in een testomgeving voordat u ze in productie gebruikt" -ForegroundColor Gray
}
catch {
Write-Error "Remediation check failed: $_"
}
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White
Write-Host "Geconfigureerd: $($result.CompliantCount)" -ForegroundColor Green
Write-Host "Niet geconfigureerd: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' })
if ($result.Details) {
Write-Host "`nDetails:" -ForegroundColor Yellow
$result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray }
}
if ($result.Recommendations) {
Write-Host "`nAanbevelingen:" -ForegroundColor Yellow
$result.Recommendations | ForEach-Object { Write-Host " • $_" -ForegroundColor Gray }
}
return $result
}
function Invoke-Revert {
Write-Host "`n⚠️ Geautomatiseerde respons uitschakelen wordt NIET aanbevolen" -ForegroundColor Yellow
Write-Host "Dit verhoogt het risico op ongedetecteerde beveiligingsincidenten." -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow
$result = Test-Compliance
Write-Host "Zou controleren op geautomatiseerde respons voor $($result.TotalResources) subscription(s)" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan
if ($result.IsCompliant) {
Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red
}
if ($result.Details) {
Write-Host "`nDetails:" -ForegroundColor Yellow
$result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray }
}
}
}
catch {
Write-Error $_
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder geautomatiseerde respons zijn organisaties afhankelijk van handmatige detectie en reactie, wat kan leiden tot vertragingen van uren of zelfs dagen voordat beveiligingsincidenten worden geïdentificeerd en gemitigeerd. Deze vertragingen geven aanvallers de tijd om laterale beweging uit te voeren, gegevens te stelen, systemen te compromitteren en ransomware te implementeren. Geautomatiseerde respons reduceert de mean time to detect (MTTD) en mean time to respond (MTTR) aanzienlijk, wat essentieel is voor het beperken van de impact van beveiligingsincidenten. Voor Nederlandse overheidsorganisaties die moeten voldoen aan NIS2-richtlijnen en BIO Baseline vereisten is geautomatiseerde incident response verplicht gesteld voor kritieke systemen en processen.
Management Samenvatting
Geautomatiseerde respons in Defender voor Cloud stelt organisaties in staat om beveiligingsincidenten automatisch te detecteren, te analyseren en te reageren zonder handmatige interventie. Configureer workflow automatisering en Logic Apps playbooks voor kritieke scenario's zoals ransomware detectie en isolatie, brute force aanval detectie en IP-blokkering, en malware detectie en verwijdering. Geautomatiseerde respons reduceert MTTD en MTTR aanzienlijk, wat essentieel is voor het beperken van de impact van beveiligingsincidenten. Verplicht voor NIS2 Artikel 21, BIO 12.07, ISO 27001 A.16.1.4. Implementatie: 8-12 uur. Aanbevolen voor alle productieomgevingen.
- Implementatietijd: 12 uur
- FTE required: 0.1 FTE