L2 BIO 12.04.02 ISO A.12.6.1 CIS Azure - Defender for DNS

Microsoft Defender For Cloud: Defender For DNS Inschakelen (Legacy Feature)

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Microsoft Defender for DNS was een cloud-native DNS-threatdetectieservice die alle DNS-query's van Azure-resources monitort op kwaadaardige domeinen zoals Command & Control-servers, phishing-sites, malware-distributie en gegevensexfiltratie via DNS-tunneling. Deze functie is inmiddels geïntegreerd in Defender for Servers en Defender for App Service als onderdeel van de moderne Microsoft Defender for Cloud-architectuur. Dit artikel beschrijft de legacy standalone implementatie voor historische referentie en compliance-doeleinden.

Aanbeveling
LEGACY - NU IN DEFENDER FOR SERVERS
Risico zonder
Medium
Risk Score
6/10
Implementatie
5u (tech: 2u)
Van toepassing op:
Azure

DNS-query's vormen een betrouwbare indicator van beveiligingsdreigingen omdat vrijwel alle malware en aanvallen DNS gebruiken voor communicatie. Zonder DNS-monitoring blijven kritieke aanvalsindicatoren onzichtbaar voor beveiligingsteams. Deze onzichtbaarheid creëert een gevaarlijke blinde vlek in de beveiligingsarchitectuur van organisaties, waardoor aanvallers ongezien kunnen opereren. Malware gebruikt Command & Control-communicatie waarbij gecompromitteerde virtuele machines DNS-query's maken naar door aanvallers gecontroleerde domeinen voor het ontvangen van instructies en het exfiltreren van gegevens. Deze communicatiepatronen zijn vaak het eerste teken dat een systeem is gecompromitteerd, maar blijven onopgemerkt zonder gespecialiseerde DNS-monitoring. Traditionele netwerkbeveiligingsoplossingen missen deze subtiele maar gevaarlijke communicatiepatronen omdat DNS-verkeer meestal als vertrouwd wordt beschouwd. DNS-tunneling is een geavanceerde techniek waarbij aanvallers gegevens stelen via DNS-query's, wat traditionele firewalls omzeilt omdat DNS-verkeer doorgaans altijd is toegestaan. Deze techniek maakt het mogelijk om zelfs kleine hoeveelheden gevoelige gegevens langzaam maar gestaag uit te lekken zonder detectie. Organisaties die geen DNS-monitoring hebben geïmplementeerd, lopen het risico dat aanvallers maandenlang gegevens kunnen exfiltreren zonder opgemerkt te worden. Phishing-aanvallen triggeren DNS-query's naar phishing-sites wanneer gebruikers op kwaadaardige links klikken, voordat ze hun inloggegevens invoeren. Deze vroegtijdige DNS-query's kunnen beveiligingsteams waarschuwen voordat gebruikers daadwerkelijk gevoelige informatie verstrekken. Door DNS-query's te monitoren kunnen organisaties phishing-campagnes detecteren en blokkeren voordat ze slachtoffers maken. Cryptominers maken DNS-query's naar mining pool-domeinen voor het coördineren van mining-activiteiten. Deze query's zijn vaak herkenbaar door hun specifieke patronen en frequentie, waardoor DNS-monitoring een effectieve manier is om cryptomining-activiteiten te detecteren. Door deze activiteiten vroegtijdig te identificeren, kunnen organisaties onnodige cloudkosten voorkomen en de prestaties van hun systemen beschermen. Domain Generation Algorithms (DGA) genereren dynamisch Command & Control-domeinen om detectie te ontwijken. Deze algoritmes maken het mogelijk voor malware om duizenden mogelijke domeinen te genereren, waarvan er slechts een paar daadwerkelijk worden gebruikt voor communicatie. Zonder geavanceerde DNS-monitoring en dreigingsinformatie kunnen organisaties deze dynamisch gegenereerde domeinen niet identificeren voordat malware actief wordt. Traditionele firewalls en netwerkbeveiligingsgroepen blokkeren mogelijk kwaadaardig verkeer, maar kunnen DNS-gebaseerde dreigingen niet identificeren zonder geavanceerde dreigingsinformatie. Deze traditionele beveiligingsoplossingen zijn ontworpen om verkeer te blokkeren op basis van IP-adressen en poorten, maar DNS-query's passeren deze controles omdat ze deel uitmaken van de normale netwerkoperaties. Dit maakt DNS een ideale vector voor aanvallers die traditionele beveiligingsmaatregelen willen omzeilen. Defender for DNS monitort alle DNS-query's van Azure-resources, inclusief virtuele machines, App Services, containers en Functions, en gebruikt Microsoft's dreigingsinformatie-feeds die zijn gebouwd op analyse van miljarden DNS-query's wereldwijd. Deze omvangrijke dataset stelt Microsoft in staat om patronen te herkennen die individuele organisaties niet zouden kunnen identificeren. De dreigingsinformatie wordt aangevuld met machine learning voor anomaliedetectie van nieuw geregistreerde domeinen, DGA-patronen en ongebruikelijke queryvolumes. Real-time waarschuwingen worden gegenereerd wanneer een resource een bekend kwaadaardig domein bevraagt, waardoor beveiligingsteams onmiddellijk kunnen reageren op potentiële bedreigingen.

PowerShell Modules Vereist
Primary API: Azure REST API
Connection: Connect-AzAccount
Required Modules: Az.Security

Implementatie

Deze maatregel betreft een legacy functie die oorspronkelijk 'Defender for DNS' heette maar nu is geïntegreerd in Microsoft Defender for Cloud als onderdeel van de Defender for Servers- en Defender for App Service-abonnementen. Deze integratie vertegenwoordigt een belangrijke evolutie in Microsoft's benadering van cloudbeveiliging, waarbij gespecialiseerde beveiligingsfuncties worden geconsolideerd in overkoepelende platforms. De DNS-threatdetectiecapaciteiten omvatten Microsoft dreigingsinformatie-feeds voor bekende kwaadaardige domeinen. Deze feeds worden continu bijgewerkt op basis van wereldwijde dreigingsinformatie en bevatten informatie over miljoenen kwaadaardige domeinen. De feeds worden aangevuld met machine learning-gebaseerde anomaliedetectie van verdachte DNS-patronen, waardoor het systeem niet alleen bekende dreigingen kan identificeren maar ook nieuwe, voorheen onbekende bedreigingen kan detecteren. De detectiecapaciteiten van Defender for DNS omvatten de identificatie van Command & Control-communicatie, waarbij gecompromitteerde systemen communiceren met door aanvallers gecontroleerde servers. Daarnaast worden phishing-sites gedetecteerd, waardoor organisaties kunnen worden gewaarschuwd wanneer gebruikers proberen verbinding te maken met kwaadaardige websites. Malware-distributiedomeinen worden geïdentificeerd, waardoor de verspreiding van malware kan worden beperkt. Cryptomining pools worden gedetecteerd, waardoor ongeautoriseerde cryptomining-activiteiten kunnen worden gestopt. Tot slot worden DNS-tunnelingpogingen geïdentificeerd, waarbij aanvallers proberen gegevens te exfiltreren via DNS-query's. Waarschuwingen worden real-time gegenereerd in Defender for Cloud met gedetailleerde informatie over welke resource de query heeft gemaakt, naar welk domein, en waarom het als verdacht wordt geclassificeerd. Deze gedetailleerde informatie stelt beveiligingsteams in staat om snel te beoordelen of een waarschuwing daadwerkelijk een bedreiging vertegenwoordigt of een valse positieve melding is. De waarschuwingen bevatten contextuele informatie die helpt bij het begrijpen van de omvang en ernst van de dreiging. De kosten bedroegen per miljoen DNS-query's circa €0,70 per miljoen, wat kosteneffectief was in vergelijking met alternatieve DNS-beveiligingsoplossingen. Deze kostenstructuur maakte het voor organisaties van alle groottes mogelijk om DNS-monitoring te implementeren zonder buitensporige kosten. Belangrijk om te benadrukken is dat dit een legacy-artikel betreft - de functie wordt automatisch ingeschakeld wanneer Defender for Servers of Defender for App Service worden geactiveerd. Er is geen apart 'Defender for DNS'-abonnement meer sinds de Microsoft Defender for Cloud-rebranding. Voor nieuwe implementaties moet Defender for Servers worden ingeschakeld, wat automatische DNS-bescherming omvat zonder dat er aanvullende configuratie of abonnementen nodig zijn.

Vereisten

Voor de implementatie van DNS-threatdetectie via Microsoft Defender for Cloud zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten zorgen ervoor dat de DNS-monitoring effectief kan worden ingezet en dat organisaties optimaal kunnen profiteren van de beveiligingscapaciteiten. Een grondige voorbereiding en planning van deze vereisten is essentieel voor een succesvolle implementatie en het maximaliseren van de beveiligingswaarde. De primaire technische vereiste is een actief Azure-abonnement met voldoende rechten voor het configureren van beveiligingsservices. Het Azure-abonnement moet toegang hebben tot Microsoft Defender for Cloud, de centrale beveiligingsservice die alle Defender-functies beheert. Zonder een actief Defender for Cloud-abonnement kan DNS-threatdetectie niet worden geactiveerd. Organisaties moeten ervoor zorgen dat hun Azure-abonnement in goede staat verkeert en dat er voldoende machtigingen zijn voor beveiligingsbeheerders om Defender for Cloud te configureren. Dit omvat meestal de rol van Security Admin of vergelijkbare bevoegdheden binnen de Azure Active Directory-omgeving. Microsoft Defender for Cloud moet zijn ingeschakeld op het Azure-abonnement of de beheergroep waar de resources zich bevinden. Defender for Cloud fungeert als het centrale platform voor alle beveiligingsfuncties, inclusief de geïntegreerde DNS-bescherming. Organisaties moeten ervoor zorgen dat Defender for Cloud is geconfigureerd op het juiste scope-niveau, ofwel op abonnementsniveau of op beheergroepniveau voor enterprise-implementaties. Voor grotere organisaties met meerdere abonnementen is het vaak efficiënter om Defender for Cloud te configureren op beheergroepniveau, waardoor consistentie wordt gewaarborgd across alle abonnementen. Deze aanpak vereenvoudigt het beheer en zorgt ervoor dat alle resources automatisch worden beschermd zonder dat er per abonnement configuratie nodig is. Azure-resources die DNS-query's genereren moeten aanwezig zijn in het abonnement. Dit omvat virtuele machines, App Services, containers, Azure Functions en andere compute-resources die uitgaande DNS-query's maken. Deze resources vormen de bronnen van DNS-verkeer dat moet worden gemonitord. Zonder actieve resources die DNS-query's genereren, heeft DNS-monitoring geen waarde omdat er geen verkeer is om te analyseren. Organisaties moeten een inventarisatie maken van alle resources die DNS-query's genereren om te bepalen welke resources worden beschermd door DNS-threatdetectie. Dit helpt bij het plannen van de implementatie en het begrijpen van de scope van de monitoring. Voor geavanceerde beveiligingsoperaties is Microsoft Sentinel optioneel maar sterk aanbevolen. Sentinel fungeert als Security Information and Event Management (SIEM) platform dat waarschuwingen van Defender for Cloud kan aggregeren, correleren en analyseren. Door Sentinel te integreren kunnen organisaties waarschuwingen van DNS-threatdetectie combineren met andere beveiligingssignalen voor een holistische beveiligingspostuur. Sentinel biedt geavanceerde analytics, dreigingsjacht-capaciteiten en geautomatiseerde responsmogelijkheden die de effectiviteit van DNS-threatdetectie aanzienlijk verhogen. Voor organisaties met een Security Operations Center (SOC) is Sentinel vrijwel onmisbaar omdat het de centrale hub vormt voor alle beveiligingsgebeurtenissen en waarschuwingen. Organisatorische vereisten omvatten de aanwezigheid van beveiligingsoperaties-personeel dat is getraind in het interpreteren van DNS-threatdetectiewaarschuwingen. Beveiligingsanalisten moeten begrijpen hoe DNS-gebaseerde aanvallen werken en hoe ze moeten reageren op waarschuwingen over kwaadaardige DNS-query's. Deze kennis is essentieel omdat DNS-threatdetectie alleen effectief is als de gegenereerde waarschuwingen correct worden geïnterpreteerd en snel worden opgevolgd. Daarnaast moeten er processen zijn voor het onderzoeken en reageren op DNS-threatdetectiewaarschuwingen, inclusief escalatieprocedures voor kritieke dreigingen. Deze procedures moeten duidelijk gedefinieerd zijn en regelmatig worden getest om ervoor te zorgen dat beveiligingsteams snel kunnen reageren wanneer een echte bedreiging wordt gedetecteerd. Financiële vereisten betreffen de kosten van Defender for Servers of Defender for App Service, die de DNS-bescherming omvatten. Organisaties moeten budget toewijzen voor deze Defender-abonnementen, waarbij de kosten afhankelijk zijn van het aantal servers of App Service-exemplaren dat wordt beschermd. De DNS-bescherming zelf is geïntegreerd en genereert geen extra kosten bovenop de Defender for Servers of Defender for App Service-abonnementen. Dit maakt DNS-bescherming zeer kosteneffectief omdat organisaties geen apart abonnement hoeven aan te schaffen. Organisaties moeten echter wel rekening houden met de totale kosten van Defender for Servers of Defender for App Service bij het plannen van hun beveiligingsbudget. Ten slotte moeten er netwerkvereisten worden overwogen. DNS-query's moeten kunnen worden gemonitord, wat betekent dat er geen DNS-encryptie (DNS-over-HTTPS of DNS-over-TLS) moet worden gebruikt die de query's verbergt voor monitoring. Organisaties die DNS-encryptie implementeren moeten overwegen hoe dit de effectiviteit van DNS-threatdetectie beïnvloedt en mogelijk aanvullende monitoringoplossingen implementeren. Dit is een belangrijk aandachtspunt omdat DNS-encryptie de privacy van gebruikers verbetert maar tegelijkertijd het zicht van beveiligingsteams beperkt. Organisaties moeten een balans vinden tussen privacy en beveiligingsmonitoring, waarbij mogelijk een hybride aanpak nodig is waarbij sommige DNS-query's versleuteld blijven en andere worden gemonitord voor beveiligingsdoeleinden. Deze balans is cruciaal omdat te veel encryptie het zicht van beveiligingsteams kan beperken, terwijl te weinig encryptie de privacy van gebruikers kan schaden.

Implementatie

De implementatie van DNS-threatdetectie via Microsoft Defender for Cloud is een gestructureerd proces dat begint met het activeren van de juiste Defender-abonnementen. Belangrijk om te begrijpen is dat DNS-bescherming niet meer beschikbaar is als standalone functie, maar is geïntegreerd in Defender for Servers en Defender for App Service. Deze integratie vereenvoudigt de implementatie aanzienlijk omdat organisaties geen apart DNS-beschermingsabonnement meer hoeven te configureren. Deze architectuurwijziging heeft de implementatiecomplexiteit aanzienlijk verminderd en maakt het mogelijk voor organisaties om met een enkele configuratie zowel serverbeveiliging als DNS-bescherming te activeren. De implementatie start in de Azure Portal door te navigeren naar Microsoft Defender for Cloud. Binnen Defender for Cloud moet de beheerder naar Environment settings gaan, waar alle geconfigureerde Azure-abonnementen en beheergroepen worden weergegeven. Selecteer het Azure-abonnement of de beheergroep waar DNS-bescherming moet worden geactiveerd. Dit is cruciaal omdat Defender-instellingen worden toegepast op abonnements- of beheergroepniveau, wat betekent dat alle resources binnen dat scope automatisch worden beschermd. Voor grote organisaties met complexe Azure-omgevingen is het belangrijk om zorgvuldig te selecteren welke abonnementen of beheergroepen worden geconfigureerd, omdat dit directe invloed heeft op welke resources worden gemonitord. Binnen de Defender plans-sectie van het geselecteerde abonnement moeten de juiste plannen worden geactiveerd. Voor DNS-bescherming van virtuele machines moet Defender for Servers worden ingeschakeld door de schakelaar op 'On' te zetten. Defender for Servers omvat automatisch DNS-threatdetectie voor alle virtuele machines binnen het abonnement, zonder dat er aanvullende configuratie nodig is. Deze automatische activatie betekent dat zodra Defender for Servers is ingeschakeld, DNS-monitoring onmiddellijk actief wordt voor alle virtuele machines. Voor webapplicaties die worden gehost op Azure App Service moet Defender for App Service worden geactiveerd, wat eveneens automatisch DNS-bescherming omvat voor alle App Service-exemplaren. Het is belangrijk om op te merken dat beide plannen nodig kunnen zijn als een organisatie zowel virtuele machines als App Services heeft, omdat elk plan de resources beschermt die onder dat specifieke service type vallen. Na activering begint Microsoft Defender for Cloud automatisch met het monitoren van alle DNS-query's die worden gegenereerd door de beschermde resources. Er is geen aanvullende configuratie nodig voor de DNS-threatdetectie zelf, omdat deze volledig geïntegreerd is in de Defender for Servers en Defender for App Service-abonnementen. De dreigingsinformatie-feeds worden automatisch bijgewerkt en machine learning-modellen analyseren continu DNS-patronen voor anomaliedetectie. Deze automatische updates zorgen ervoor dat de detectiecapaciteiten altijd up-to-date zijn met de nieuwste dreigingsinformatie, zonder dat organisaties handmatige updates hoeven uit te voeren. Het machine learning-model verbetert continu door te leren van nieuwe patronen en dreigingen, waardoor de detectienauwkeurigheid na verloop van tijd toeneemt. Monitoring van DNS-threatdetectie gebeurt via de Security alerts-sectie in Defender for Cloud. Beheerders kunnen navigeren naar Security alerts en filteren op DNS-gerelateerde dreigingen om alle waarschuwingen te bekijken die zijn gegenereerd door DNS-threatdetectie. Elke waarschuwing bevat gedetailleerde informatie over de resource die de verdachte DNS-query heeft gemaakt, het doel-domein, de dreigingstype en aanbevelingen voor remediatie. Deze gedetailleerde informatie is cruciaal voor beveiligingsanalisten om snel te kunnen bepalen of een waarschuwing daadwerkelijk een bedreiging vertegenwoordigt en welke acties moeten worden ondernomen. De waarschuwingen kunnen ook worden geëxporteerd voor verder onderzoek of worden geïntegreerd met andere beveiligingsinstrumenten. Voor geavanceerde organisaties die Microsoft Sentinel gebruiken, kunnen DNS-threatdetectiewaarschuwingen automatisch worden doorgestuurd naar Sentinel voor geavanceerde correlatie en analyse. Dit vereist de configuratie van een data connector tussen Defender for Cloud en Sentinel, wat kan worden gedaan via de Sentinel-werkruimte in de Azure Portal. Eenmaal geconfigureerd, worden alle DNS-threatdetectiewaarschuwingen automatisch gesynchroniseerd naar Sentinel waar ze kunnen worden gecorreleerd met andere beveiligingssignalen. Deze correlatie is van onschatbare waarde omdat het beveiligingsteams helpt om patronen te identificeren die anders onopgemerkt zouden blijven. Door DNS-waarschuwingen te combineren met andere beveiligingsgebeurtenissen kunnen organisaties complexe aanvallen detecteren die meerdere systemen en diensten omvatten. Na de initiële implementatie moeten organisaties procesdocumentatie opstellen voor het reageren op DNS-threatdetectiewaarschuwingen. Dit omvat het definiëren van escalatiepaden voor verschillende dreigingsniveaus, het opstellen van playbooks voor veelvoorkomende DNS-aanvallen zoals Command & Control-communicatie en DNS-tunneling, en het trainen van beveiligingsoperaties-personeel in het interpreteren en reageren op DNS-threatdetectiewaarschuwingen. Deze documentatie is essentieel omdat het ervoor zorgt dat alle teamleden weten hoe ze moeten reageren op verschillende soorten waarschuwingen en welke stappen moeten worden genomen in geval van een echte bedreiging. Playbooks moeten regelmatig worden bijgewerkt op basis van nieuwe dreigingen en ervaringen met eerdere incidenten. Regelmatige evaluatie van de DNS-threatdetectie-effectiviteit is essentieel. Organisaties moeten periodiek de gegenereerde waarschuwingen analyseren om te bepalen of er vals-positieve meldingen zijn die tuning vereisen, of dat er nieuwe dreigingspatronen worden gedetecteerd die aanvullende aandacht vereisen. Deze evaluatie moet deel uitmaken van de reguliere beveiligingsoperaties-processen. Door regelmatig de effectiviteit te evalueren kunnen organisaties de kwaliteit van hun DNS-monitoring verbeteren en ervoor zorgen dat ze optimaal profiteren van de beschikbare beveiligingscapaciteiten. Dit omvat ook het identificeren van trends in gedetecteerde dreigingen en het aanpassen van beveiligingsstrategieën op basis van deze inzichten.

Compliance

DNS-threatdetectie via Microsoft Defender for Cloud draagt bij aan de naleving van verschillende belangrijke beveiligingsstandaarden en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven. De implementatie van DNS-monitoring en dreigingsdetectie is expliciet vereist of sterk aanbevolen in meerdere compliance-frameworks. Het begrijpen van deze compliance-vereisten is essentieel voor organisaties die moeten voldoen aan wettelijke en regelgevende verplichtingen, vooral in de publieke sector waar beveiligingsstandaarden vaak strikter zijn dan in de private sector. De CIS Azure Benchmark Level 2 bevat specifieke aanbevelingen voor het monitoren en detecteren van beveiligingsdreigingen in Azure-omgevingen. Deze benchmark is ontwikkeld door het Center for Internet Security en wordt wereldwijd erkend als een best practice framework voor cloudbeveiliging. DNS-threatdetectie valt onder de CIS-controles voor dreigingsdetectie en respons, waarbij wordt vereist dat organisaties mechanismen hebben om kwaadaardige activiteiten te detecteren, inclusief DNS-gebaseerde aanvallen. Door Defender for Servers of Defender for App Service te activeren, voldoen organisaties automatisch aan deze CIS-vereisten omdat DNS-bescherming is geïntegreerd in deze Defender-abonnementen. Dit maakt het voor organisaties veel eenvoudiger om CIS-compliant te zijn zonder dat er aanvullende complexe configuraties nodig zijn. Het Baseline Informatiebeveiliging Overheid (BIO) framework vereist in controle 12.04 (Dreigingsdetectie) dat organisaties systemen hebben voor het detecteren van beveiligingsdreigingen. BIO is het Nederlandse nationale beveiligingsframework dat specifiek is ontwikkeld voor overheidsorganisaties en is gebaseerd op internationale standaarden zoals ISO 27001. DNS-threatdetectie is een kritieke component van dreigingsdetectie omdat veel moderne aanvallen DNS gebruiken voor communicatie en gegevensexfiltratie. Door DNS-query's te monitoren en te analyseren op kwaadaardige patronen, voldoen organisaties aan de BIO-vereisten voor proactieve dreigingsdetectie. De implementatie van DNS-threatdetectie via Defender for Cloud biedt concrete bewijslast voor auditors dat de organisatie voldoet aan BIO-controle 12.04. Deze bewijslast is belangrijk tijdens audits omdat auditors objectief bewijs willen zien van geïmplementeerde beveiligingsmaatregelen. ISO 27001 controle A.12.6.1 (Technisch kwetsbaarheidsbeheer) vereist dat organisaties technische kwetsbaarheden identificeren en beoordelen. ISO 27001 is de internationale standaard voor informatiebeveiligingsmanagement en wordt wereldwijd erkend. DNS-threatdetectie draagt bij aan deze controle door het identificeren van verdachte DNS-activiteiten die kunnen wijzen op gecompromitteerde systemen of actieve aanvallen. Door real-time waarschuwingen te genereren wanneer resources communiceren met bekende kwaadaardige domeinen, helpt DNS-threatdetectie organisaties om technische kwetsbaarheden en actieve exploits te identificeren voordat ze tot grootschalige incidenten leiden. Deze proactieve benadering van kwetsbaarheidsbeheer is essentieel voor het handhaven van een sterke beveiligingspostuur en het minimaliseren van het risico op gegevenslekken. Voor organisaties die werken met persoonsgegevens en moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG), draagt DNS-threatdetectie bij aan de beveiligingsvereisten van artikel 32 (Beveiliging van de verwerking). De AVG is de Europese privacywetgeving die strikte eisen stelt aan hoe organisaties persoonsgegevens moeten beveiligen. Artikel 32 vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. DNS-tunneling en andere DNS-gebaseerde aanvallen kunnen worden gebruikt voor het exfiltreren van persoonsgegevens, waardoor DNS-monitoring een belangrijke beveiligingsmaatregel is voor AVG-naleving. Het ontbreken van adequate beveiligingsmaatregelen kan leiden tot grote boetes en reputatieschade, vooral als dit resulteert in een gegevenslek waarbij persoonsgegevens zijn gecompromitteerd. De NEN-ISO/IEC 27002-richtlijn, die aanvullende begeleiding biedt voor informatiebeveiligingsbeheer, bevat specifieke aanbevelingen voor netwerkbeveiliging en dreigingsdetectie. Deze richtlijn is de Nederlandse versie van de ISO 27002-standaard en biedt gedetailleerde richtlijnen voor het implementeren van informatiebeveiligingscontroles. DNS-threatdetectie valt onder deze aanbevelingen omdat het netwerkverkeer monitort en analyseert op tekenen van kwaadaardige activiteiten. Door DNS-query's te monitoren, kunnen organisaties netwerkgebaseerde aanvallen detecteren die anders onopgemerkt zouden blijven. Dit is belangrijk omdat netwerkbeveiliging een fundamenteel onderdeel is van informatiebeveiliging en DNS-monitoring een kritieke component is van een complete netwerkbeveiligingsstrategie. Voor Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Rijksdienst (BIR), is DNS-threatdetectie relevant voor de beveiligingsmaatregelen die worden vereist voor cloud-omgevingen. De BIR is specifiek ontwikkeld voor Nederlandse rijksoverheidsorganisaties en bevat aanvullende eisen bovenop het BIO-framework. De BIR bevat specifieke eisen voor het monitoren en beveiligen van cloud-resources, waarbij DNS-threatdetectie een belangrijke component is van een complete cloud-beveiligingsstrategie. Deze eisen zijn vaak strenger dan die voor andere overheidsorganisaties omdat rijksoverheidsorganisaties vaak werken met zeer gevoelige informatie die extra bescherming vereist. Bij compliance-audits moeten organisaties kunnen aantonen dat DNS-threatdetectie is geïmplementeerd en actief is. Dit vereist documentatie van de Defender for Servers of Defender for App Service-configuratie, bewijs dat DNS-bescherming is geactiveerd, en voorbeelden van waarschuwingen die zijn gegenereerd door DNS-threatdetectie. Regelmatige rapportage over DNS-threatdetectie-activiteiten helpt organisaties om compliance te demonstreren aan auditors en toezichthouders. Deze rapportage moet zowel kwantitatieve als kwalitatieve informatie bevatten, zoals het aantal gedetecteerde dreigingen, de soorten dreigingen die zijn gedetecteerd, en de genomen responsacties. Goede documentatie en rapportage zijn essentieel voor een succesvolle audit en helpen organisaties om hun compliance-status te handhaven.

Remediatie

Gebruik PowerShell-script defender-dns-on-legacy.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for DNS (Legacy) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.12 Controleert of Defender for DNS is ingeschakeld (legacy plan). .NOTES Filename: defender-dns-on-legacy.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.12 NOTE: Defender for DNS is deprecated, replaced by Defender for Servers P2 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for DNS (Legacy)" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false; TotalResources = 0; CompliantCount = 0; NonCompliantCount = 0 } $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "Dns" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) return $result } function Invoke-Remediation { Write-Host "⚠️ Defender for DNS is deprecated" -ForegroundColor Yellow Write-Host " Use Defender for Servers Plan 2 instead" -ForegroundColor Gray } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for DNS (Legacy) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.12 Controleert of Defender for DNS is ingeschakeld (legacy plan). .NOTES Filename: defender-dns-on-legacy.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.12 NOTE: Defender for DNS is deprecated, replaced by Defender for Servers P2 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for DNS (Legacy)" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false; TotalResources = 0; CompliantCount = 0; NonCompliantCount = 0 } $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "Dns" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) return $result } function Invoke-Remediation { Write-Host "⚠️ Defender for DNS is deprecated" -ForegroundColor Yellow Write-Host " Use Defender for Servers Plan 2 instead" -ForegroundColor Gray } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan Write-Host "⚠️ NOTE: Defender for DNS is deprecated" -ForegroundColor Yellow } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_; exit 1 } " throw } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan Write-Host "⚠️ NOTE: Defender for DNS is deprecated" -ForegroundColor Yellow } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder DNS-threatmonitoring blijven command-and-control-communicatie, phishing-domeinen en gegevensexfiltratie via DNS-tunneling ongedetecteerd. Malware gebruikt DNS voor Command & Control-communicatie naar aanvalsinfrastructuur, wat onopgemerkt blijft zonder DNS-laaganalyse. Traditionele netwerkbeveiligingsoplossingen zoals firewalls en netwerkbeveiligingsgroepen kunnen DNS-gebaseerde aanvallen niet effectief detecteren omdat DNS-verkeer doorgaans altijd is toegestaan. Het risico is gemiddeld, maar DNS-monitoring is nu geïntegreerd in Defender for Servers en Defender for App Service, waardoor organisaties automatisch bescherming krijgen wanneer deze Defender-abonnementen zijn geactiveerd.

Management Samenvatting

Defender for DNS was een legacy standalone functie - DNS-threatdetectie is nu geïntegreerd in Defender for Servers en Defender for App Service. De functie detecteert Command & Control-communicatie via DNS, phishing-domeinen, DNS-tunneling voor gegevensexfiltratie, cryptomining-activiteiten en Domain Generation Algorithm-patronen. Activatie: Schakel Defender for Servers in (omvat automatisch DNS-monitoring). Kosten: Inbegrepen in Defender for Servers-abonnement. Implementatie: Zie defender-servers-on.json voor moderne implementatie-instructies. Deze legacy-check is alleen voor historische compliance-doeleinden.