L1 BIO 12.06.01 ISO A.12.6.1 CIS 2.1.1

Microsoft Defender For Cloud: Inschakelen Op Alle Subscriptions

📅 2025-10-30
⏱️ 8 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender voor Cloud fungeert in de Nederlandse Baseline voor Veilige Cloud als de ruggengraat van integraal beveiligingsbeheer: het platform verbindt configuratiecontrole, detectie, respons en rapportage tot één sturingsinstrument dat iedere Azure-subscription onder dezelfde norm brengt, ongeacht of het gaat om mission critical workloads van een ministerie, data-intensieve omgevingen van een uitvoeringsorganisatie of innovatieve experimenten binnen een gemeentelijke ontwikkelhub. Het biedt een continue dialoog tussen beleidsdoelen en technische realiteit door inzichten uit Secure Score, aanbevelingen en bedreigingssignalen te verbinden aan concrete acties, waardoor CISO's, platformteams en auditors exact kunnen aantonen hoe maatregelen bijdragen aan BIO- en NIS2-doelstellingen. Door de standaard rapportages direct te koppelen aan governance-processen ontstaat een tastbare feedbacklus: iedere configuratiewijziging is zichtbaar, elke afwijking krijgt context en ieder verbeterplan kan worden getoetst op effectiviteit. Die transparantie is essentieel in een gedistribueerde cloudomgeving waarin meerdere autonome teams opereren, want alleen zo blijft de centrale regie over risicoacceptatie, budget en prioritering stevig in handen. Bovendien creëert Defender voor Cloud een gemeenschappelijke taal tussen beleid, architectuur en uitvoering: metrics kunnen rechtstreeks in bestuursrapportages worden opgenomen, lessons learned uit incidenten worden vertaald naar nieuwe beleidsregels en leveranciers krijgen precies te horen welke minimale instellingen contractueel zijn vereist.

Aanbeveling
IMPLEMENTEER VERPLICHT OP ALLE SUBSCRIPTIONS
Risico zonder
Critical
Risk Score
9/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Azure

Wanneer Defender voor Cloud niet uniform is ingeschakeld, vervalt de organisatie in een mozaïek van fragmentarische inzichten waarin elk team zijn eigen meetlat hanteert, kwetsbaarheden slechts lokaal worden opgepakt en bestuurders geen betrouwbaar beeld hebben van de totale weerbaarheid. Compliance-rapportages verzanden dan in Excel-overzichten zonder bronverificatie, audits worden vertraagd doordat bewijsvoering ontbreekt en incidentrespons verliest cruciale minuten omdat onvolledige telemetrie moet worden gecombineerd. Voor Nederlandse overheidsorganisaties, die wettelijk gehouden zijn aan de BIO en de NIS2-richtsnoeren, betekent dit direct een verhoogde kans op bestuursrechtelijke maatregelen of politieke verantwoording bij datalekken. Zonder het geconsolideerde overzicht uit Defender voor Cloud kan de securityorganisatie geen eenduidig beleid afdwingen, blijven shadow IT-resources buiten beeld en mist men de context om investeringen te onderbouwen. Ook de ketenpartners die afhankelijk zijn van betrouwbare publieke diensten lijden hieronder: ze ontvangen geen tijdige waarschuwingen, er is geen zicht op de status van gezamenlijke workloads en vertrouwen in het platform neemt af. Een versnipperde beveiligingsaanpak maakt het bovendien onmogelijk om crisisoefeningen realistisch uit te voeren, omdat niemand zeker weet of detecties overal gelijk zijn ingericht.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze control bevestigt dat Microsoft Defender voor Cloud minimaal op de Foundational CSPM-laag actief is voor iedere subscription binnen de tenant en dat aanvullende workload-specifieke plannen doelbewust zijn geactiveerd op basis van risicobeoordeling. Het bijbehorende script inventariseert alle abonnementen via de Azure Resource Graph, controleert of de Microsoft.Security-provider is geregistreerd, verifieert of het basisplan en – indien van toepassing – de uitgebreide Defender-plannen voor servers, containers, SQL, opslag, App Services, Key Vault en Resource Manager zijn ingeschakeld en rapporteert afwijkingen inclusief tenant-, subscription- en managementgroepcontext. Het resultaat vormt zowel een actielijst voor platformbeheerders als een formeel bewijsmiddel voor auditors, omdat het rapport exact toont waar beveiliging nog ontbreekt, welke kostenramingen horen bij het inschakelen van aanvullende bescherming en welke verantwoordelijkheidsteams op follow-up worden aangesproken. Zo wordt de stap van beleidsuitspraak naar aantoonbare implementatie verkleind en kan de organisatie aantonen dat de minimale maatregelen voor detectie en posturebeheer overal gelijk zijn ingevuld. Daarnaast levert het script ruwe data voor KPI’s in GRC-tools, zodat beleidsadviseurs trendanalyses kunnen uitvoeren en besluiten kunnen nemen over toekomstige investeringen.

Vereisten

Een succesvolle, aantoonbare activering van Defender voor Cloud vraagt om meer dan alleen een schakelaar omzetten; organisaties moeten vooraf bepalen welke abonnementen onder het mandaat vallen, welke verantwoordelijkheden bij platform-, security- en finance-teams liggen en hoe wijzigingsbeheer wordt ingericht zodat niemand buiten de kaders om instellingen kan deactiveren. Deze voorbereiding begint met een actueel overzicht van alle subscriptions, managementgroepen en gekoppelde landing zones, aangevuld met een mapping naar processen voor incidentrespons, risicomanagement en compliance. Daarnaast hoort er een draaiboek te liggen waarin wordt beschreven hoe bevoegdheden worden gedelegeerd, hoe budgetten worden vrijgegeven en hoe de kwaliteitscontrole plaatsvindt. Denk aan het vastleggen van beoordelingscriteria voor Secure Score, een besluitvormingsstructuur voor uitzonderingen en een communicatieplan dat uitlegt waarom bepaalde plannen verplicht zijn gesteld. Door deze organisatorische randvoorwaarden even serieus te nemen als de technische stappen, ontstaat een gedragen aanpak waarin CISO, CIO en lijnmanagement elkaar niet verrassen maar dezelfde taal spreken over wat ‘ingeschakeld’ betekent en hoe dat wordt gemeten. Pas dan kan het technische team gericht automatiseren en rapporteren zonder brandjes te moeten blussen en ontstaat er ruimte om innovaties zoals DevSecOps-werkwijzen of geautomatiseerde landing zones direct binnen hetzelfde governanceframe te laten landen.

  1. Elke betrokken subscription moet minimaal één beheeraccount hebben met de rol Owner, Contributor of Security Admin zodat zowel registratie van de Microsoft.Security-resourceprovider als het inschakelen van plannen zonder vertraging kan plaatsvinden en er geen deadlock ontstaat wanneer centrale automation een wijziging probeert door te voeren. Registreer deze accounts inclusief vervangers en contactgegevens in een centraal register zodat escalaties direct kunnen plaatsvinden.
  2. PowerShell 5.1 of hoger – bij voorkeur PowerShell 7 onder Windows Terminal of Azure Cloud Shell – vormt de basis voor het automatiseren van controles en activaties, omdat de aangeleverde scripts gebruikmaken van moderne cmdlets, support voor parallelle verwerking en veilige opslag van service-principalreferenties. Documenteer welke versies zijn goedgekeurd en welke testcyclus geldt voor updates zodat regressies geen productieonderbrekingen veroorzaken.
  3. De modules Az.Accounts en Az.Security moeten op de beheerwerkplek aanwezig zijn en up-to-date worden gehouden via een intern pakketbeheerproces, zodat de cmdlets `Connect-AzAccount`, `Get-AzSecurityPricing` en `Set-AzSecurityPricing` consistent hetzelfde gedrag vertonen in OTAP- en productieomgevingen. Voer periodieke module-audits uit en houd bij welke scripts afhankelijk zijn van specifieke versies om compatibiliteitsproblemen te voorkomen.
  4. Platform- en compliance-teams hebben toegang tot de Azure Portal nodig om policies, initiatieven en beveiligingsinstellingen visueel te verifiëren, change requests te documenteren en tijdens audits aan te tonen dat de tenantconfiguratie overeenkomt met het beleidskader van de Nederlandse Baseline voor Veilige Cloud. Combineer deze toegang met Privileged Identity Management zodat privileges tijdelijk en auditbaar worden verstrekt.
  5. Netwerktoegang richting Azure Management- en Resource Manager-eindpunten via beveiligde uitgaande verbindingen is noodzakelijk, zowel voor interactieve beheerders als voor automation accounts, zodat scripts niet falen door proxybeperkingen en logging continu naar de gekozen SIEM kan worden doorgestuurd. Monitor deze verbindingen en leg vast welke outbound-rules bij welke automation accounts horen voor forensische traceerbaarheid.
  6. Budgettaire goedkeuring voor de betaalde Defender-plannen moet expliciet zijn vastgelegd per workloadcategorie inclusief TCO-berekening, zodat financiële controllers begrijpen waarom kosten fluctueren en zodat er geen vertraging optreedt wanneer een nieuw project extra bescherming nodig heeft. Neem deze besluiten op in het cloud cost management-proces en koppel ze aan chargeback- of showback-rapportages.

Implementatie

De implementatie van Defender voor Cloud volgt een tweesporenstrategie: enerzijds richt je een geautomatiseerde baseline in die iedere subscription bij onboarding onmiddellijk onder beheer brengt, anderzijds borg je dat beheerdersteams via de portal inzicht blijven houden in uitzonderingen en aanvullende plannen. Start daarom met het vastleggen van een template voor managementgroepen waarin beleid, Azure Policy-initiatieven en RBAC-rollen zijn voorgedefinieerd. Vervolgens koppel je de automation runbooks of GitHub Actions die het script aanroepen aan een change-proces, zodat iedere activering traceerbaar is en je bij audits kunt aantonen wie wanneer welke instelling heeft gewijzigd. Tijdens deze fase is het cruciaal om logging naar Log Analytics en Microsoft Sentinel te activeren, zodat iedere wijziging in Defender-pricing of -instellingen wordt vastgelegd. Bespreek tenslotte met de security office hoe uitzonderingen worden verwerkt; sommige proefabonnementen mogen tijdelijk afwijken, maar dan moet er een verlopen datum en verantwoordelijke in het register staan.

Gebruik PowerShell-script defender-ingeschakeld-all-subscriptions.ps1 (functie Invoke-Remediation) – PowerShell-runbook dat per subscription de Microsoft.Security-provider registreert, het Foundational CSPM-plan inschakelt, optionele workloadplannen toepast op basis van een policy-matrix en alle resultaten logt naar zowel JSON-rapporten als een Log Analytics Workspace voor auditdoeleinden..

Niet elke organisatie kan of wil direct volledig automatiseren. Daarom blijft handmatige activatie via de portal een essentieel scenario, bijvoorbeeld wanneer een crisisteam snel een uitzondering moet verwerken of wanneer een auditor live wil meekijken. Ook hier geldt dat je gestructureerd te werk gaat: gebruik een vooraf goedgekeurde checklist, leg schermafbeeldingen vast, noteer change- en incidentnummers en voer een vier-ogen-controle uit voordat je de wijziging definitief bevestigt. Door deze discipline blijft de configuratie consistent, zelfs wanneer verschillende beheerders deeltaken uitvoeren.

  1. Navigeer in de Azure Portal naar Microsoft Defender voor Cloud en open direct de weergave per managementgroep, zodat je zeker weet dat je binnen de juiste context werkt en niet per ongeluk een labomgeving overslaat.
  2. Kies in het linker menu voor Environment settings en filter op subscriptions zonder actief plan; dit geeft je een dynamische werkvoorraad die je stap voor stap kunt afhandelen en documenteren.
  3. Open een subscription, controleer of de Microsoft.Security-resourceprovider geregistreerd is, en leg de huidige instellingen vast in het wijzigingsdossier voordat je aanpassingen doet; zo kan je altijd terugvallen op de vorige situatie.
  4. Activeer minimaal het Foundational Cloud Security Posture Management-plan en licht richting de proceseigenaar toe dat dit gratis is maar cruciaal voor Secure Score, aanbevelingen en compliance-rapportages.
  5. Voor productie- en hoogrisico-omgevingen schakel je aanvullende Defender-plannen in op basis van de aanwezige workloads, waarbij je de kosten per resourcecategorie documenteert zodat finance en serviceverantwoordelijken weten wat er verandert.
  6. Sla de configuratie op en controleer direct of de status overgaat naar Enabled; maak vervolgens een screenshot en voeg het toe aan het auditdossier zodat bewijsvoering niet pas achteraf hoeft te worden gezocht.
  7. Herhaal dit proces voor elke subscription en werk tussentijds een centraal register bij waarin je noteert wie de wijziging uitvoerde, welke plannen actief zijn en wanneer een herbeoordeling gepland staat.

Wanneer de basis staat, bepaal je welke geavanceerde bescherming nodig is. Dit doe je door per workloadfamilie de risico's, wettelijke verplichtingen en eerder geconstateerde incidenten te inventariseren. Leg vast welke scenario's – bijvoorbeeld ransomware op virtuele machines, laterale beweging via containers of misbruik van beheerderssleutels – al eens zijn voorgevallen en welke detectie je mist. Combineer dat met de architectuurprincipes uit de Nederlandse Baseline voor Veilige Cloud, zodat duidelijk wordt waarom bepaalde plannen verplicht zijn in specifieke zones. Zo ontstaat een onderbouwde aanbeveling richting CIO- en CFO-staf waarin kosten, baten en risico's expliciet zijn gewogen.

  1. Het Defender for Servers-plan (circa €13 per server per maand) is verplicht voor alle productie-VM's en Azure Arc-servers omdat het naast kwetsbaarheidsscans ook EDR-functionaliteit levert en daarmee aansluit op BIO 12.06.01 inzake het beheer van technische kwetsbaarheden.
  2. Het Defender for App Service-plan (ongeveer €13 per instance per maand) beschermt webapplicaties tegen geavanceerde aanvallen en biedt diepgaande logging voor DevSecOps-teams, wat nodig is om aan NIS2-eisen rond detectie en respons te voldoen.
  3. Het Defender for Storage-plan (gemiddeld €8 per opslagaccount per maand) monitort verdachte bestandsactiviteiten en ongebruikelijke toegangspatronen zodat gevoelige datasets in lijn met AVG Artikel 32 worden bewaakt.
  4. Voor Azure SQL-databases en SQL Managed Instances activeer je het Defender for SQL-plan (ca. 5% van de compute-kosten) zodat zowel Advanced Threat Protection als kwetsbaarheidsscanrapportages beschikbaar zijn voor auditors.
  5. AKS-clusters en andere containerworkloads vereisen het Defender for Containers-plan (ongeveer €5 per vCore per maand) om supply chain-aanvallen, privilege escalatie en runtime-afwijkingen tijdig te detecteren.
  6. Key Vaults profiteren van het specifieke Defender-plan (€0,02 per 10.000 transacties) waarmee ongebruikelijke sleuteloperaties, brute-forcepogingen en beheeracties buiten kantooruren direct worden gesignaleerd.
  7. Het Defender for Resource Manager-plan (ongeveer €5 per subscription per maand) beschermt de control plane zelf tegen misbruik van beheerders-API's en sluit aan bij de eis om sabotage van IaC-pijplijnen vroegtijdig op te merken.

monitoring

Gebruik PowerShell-script defender-enabled-all-subscriptions.ps1 (functie Invoke-Monitoring) – Controle- en rapportagescript dat dagelijks alle subscriptions doorloopt, registratiestatussen vergelijkt met de referentiematrix, afwijkingen wegschrijft naar een Log Analytics Workspace en een samenvattend compliance-rapport genereert voor CISO- en platformteams..

Monitoring betekent in deze context niet slechts een lampje dat groen of rood wordt, maar een doorlopende beoordeling van de volwassenheid van je cloudbeveiliging. Het script fungeert als een digitale toezichthouder: bij iedere run controleert het of nieuwe subscriptions automatisch onder het beleid zijn gebracht, of er iemand instellingen heeft uitgezet en of de licentiemodellen overeenkomen met wat financieel is goedgekeurd. De resultaten worden verrijkt met metadata zoals managementgroep, business owner en kriticiteit, zodat rapportages direct bruikbaar zijn voor zowel operationele teams als bestuurders. Wanneer een afwijking wordt gevonden, opent het script automatisch een ticket in het gekozen ITSM-systeem zodat opvolging traceerbaar is. Hierdoor verandert monitoring van een passieve activiteit in een actief governance-instrument.

  1. De registratie van de Microsoft.Security-resourceprovider wordt gevalideerd zodat duidelijk is of een subscription überhaupt in staat is telemetrie te verzenden en Defender-instellingen op te slaan; ontbreekt deze registratie, dan stopt het script niet maar noteert het een kritisch defect met oplossingsinstructies.
  2. Voor elk Defender-plan wordt nagegaan of het prijsniveau overeenkomt met de targetstate uit het beveiligingsdossier; afwijkende configuraties krijgen een risicowaarde mee op basis van de gevoeligheid van de workloads binnen de subscription.
  3. Algemene instellingen zoals automatische provisioning van agents, export naar een Log Analytics Workspace en koppelingen met Microsoft Sentinel worden uitgelezen en vergeleken met de standaard van de Nederlandse Baseline voor Veilige Cloud.
  4. Het eindrapport bevat een duidelijke scheiding tussen compliant en non-compliant subscriptions, aangevuld met de datum van de laatste wijziging, de verantwoordelijke beheerder en de verwachte oplosdatum, zodat het managementteam direct kan sturen op hersteltijd.

Hoewel automatisering de basis vormt, blijft visuele monitoring via de portal en dashboards noodzakelijk om trends te herkennen. CISO-staf en platformeigenaren plannen daarom wekelijkse walk-throughs waarin Secure Score-ontwikkelingen, aanbevelingsbacklogs en alertvolumes worden besproken. Die gesprekken leveren context op die je niet uit ruwe data haalt: waarom daalde de score ondanks volledige activatie, welke business unit heeft een uitzonderingsverzoek ingediend en welke verbeteracties geven het meeste rendement? Door deze ritmiek te combineren met maandelijkse rapportages aan de CIO ontstaat een cultuur waarin beveiliging net zo wordt gemonitord als beschikbaarheid of kosten.

  1. Gebruik het Secure Score-dashboard om te analyseren welke controles de grootste impact hebben op de organisatiebrede score en leg de topverbeteringen vast in kwartaalplannen zodat vooruitgang aantoonbaar is.
  2. Beoordeel de aanbevelingen wekelijks, groepeer ze naar thema's (identiteit, netwerk, data) en wijs eigenaars toe zodat de backlog niet oploopt maar een integraal onderdeel wordt van continuous improvement.
  3. Volg beveiligingswaarschuwingen in realtime en corrigeer waar nodig de alerttuning om false positives te beperken zonder blind spots te creëren; koppel kritieke alerts direct aan het incidentresponsplan.
  4. Gebruik de compliance-weergave tegen de Azure Security Benchmark om BIO- en NIS2-eisen te mappen, zodat auditors direct zien hoe technische maatregelen aansluiten op wettelijke artikelen.
  5. Analyseer de resource-inventaris op afwijkende patronen, zoals subscriptions zonder toegewezen beheerteam of resources die buiten de namingconventie vallen; dit helpt om shadow IT vroegtijdig te detecteren.

Remediatie

Gebruik PowerShell-script defender-enabled-all-subscriptions.ps1 (functie Invoke-Remediation) – Runbook dat voor alle afwijkende subscriptions het juiste Defender-plan inschakelt, logging activeert, wijzigingen archiveert in een configuration baseline en optioneel een Change Request afsluit zodra validatiebewijzen zijn verzameld..

Remediatie stopt niet bij het activeren van een instelling; het gaat om het borgen dat verbeteringen beklijven, dat resultaten gemeten worden en dat lessons learned terugvloeien naar beleid en architectuur. Na een activatie valideert het team daarom automatisch of de gewenste status is bereikt, wordt de output vergeleken met de configuratiebaseline en worden afhankelijkheden zoals Log Analytics-workspaces, budgetalerts en SIEM-integraties gecontroleerd. Tegelijkertijd moet de communicatie richting proceseigenaren en auditors plaatsvinden: zij willen weten welke risico's zijn verholpen, welke vervolgacties openstaan en welke deadlines zijn gehaald. Door remediatie te koppelen aan het verandermanagementproces ontstaat bovendien een spoor van goedkeuringen en testen dat later gebruikt kan worden voor reviews of post-incident-analyses. Leg tijdens dit traject ook vast of aanvullende controls nodig zijn, bijvoorbeeld een Azure Policy die de instelling afdwingt, zodat je voorkomt dat dezelfde afwijking later opnieuw ontstaat. Tot slot hoort er een evaluatiemoment bij waarin platform- en securityteams toetsen of de gekozen aanpak schaalbaar blijft wanneer er nieuwe subscriptions of landing zones bijkomen. Neem hierbij ook lessons learned uit ketenincidenten mee, zodat verbeteringen niet alleen lokaal maar tenantbreed worden doorgevoerd.

  1. Binnen 24 uur na activatie actualiseert Secure Score zijn berekeningen; documenteer het nieuwe percentage, koppel het aan de uitgevoerde controle en analyseer of aanvullende maatregelen nodig zijn om de stijgende lijn vast te houden. Licht deze wijziging toe in de maandelijkse beveiligingsrapportage zodat bestuurders de impact zien.
  2. De aanbevelingen in Defender voor Cloud worden herberekend op basis van de nieuwe configuratie; behandel de meest risicovolle adviezen direct en registreer welke acties in de backlog terechtkomen zodat niets uit het zicht raakt. Gebruik het backlogoverzicht als input voor sprintplanning of kwartaalreviews.
  3. Compliance-dashboards zoals Azure Security Benchmark, BIO en NIS2 vullen zich met verse data; exporteer deze rapportages naar het centrale GRC-systeem zodat auditors altijd de actuele status zien. Leg vast welke bewijsstukken zijn gegenereerd en koppel ze aan het juiste controlenummer in het toetsingskader.
  4. Configureer of verifieer e-mail- en webhooknotificaties voor alerts, zodat zowel SOC-analisten als proceseigenaren automatisch bericht krijgen wanneer een bedreiging wordt gedetecteerd op een recent bijgewerkt subscription. Test de notificaties periodiek om te voorkomen dat spamfilters cruciale meldingen blokkeren.
  5. Evalueer of de subscription al gekoppeld is aan Microsoft Sentinel of een andere SIEM; als dat nog niet zo is, plan de integratie zodat detecties niet versnipperd over meerdere bronnen hoeven te worden opgevolgd. Bewaak daarbij dat retentieperioden en opslaglocaties voldoen aan de afspraken rond gegevensbescherming.
  6. Voer een post-implementatie-evaluatie uit waarin je lessons learned vastlegt, bekijkt of aanvullende automatisering nodig is en bepaalt wanneer de betreffende subscription opnieuw wordt gecontroleerd; dit houdt de verbetercyclus levend. Beschrijf de resultaten in het security improvement register zodat toekomstige projecten hierop kunnen voortbouwen.
  7. Documenteer alle stappen – van scriptuitvoer tot screenshots en change-logs – in een centraal dossier en koppel dit aan zowel het GRC-systeem als het CMDB-record van de subscription. Hierdoor kan iedere auditor de volledige lijn van besluitvorming, uitvoering en validatie reconstrueren.

Compliance en Auditing

Het uniforme activeren van Defender voor Cloud vormt een rechtstreeks bewijsstuk voor meerdere normenkaders die gelden binnen de publieke sector. CIS Azure Foundations Benchmark v3.0.0 controle 2.1.1 schrijft letterlijk voor dat het platform tenantbreed ingeschakeld moet zijn; het scriptresultaat fungeert daarom als audit trail waarmee je direct kunt aantonen dat deze eis is ingevuld. Binnen de BIO valt deze maatregel onder thema 12.06 rondom het beheer van technische kwetsbaarheden en het tijdig detecteren van afwijkingen: door Defender voor Cloud overal actief te hebben, toon je aan dat je continue monitoring en risicobeoordeling uitvoert. ISO 27001:2022 eist in controles A.12.6.1 en A.18.2.3 dat organisaties technische kwetsbaarheden beheren én regelmatig toetsen of maatregelen effectief blijven; de rapportages uit Defender vormen precies de onafhankelijke bron die auditors zoeken. De recente NIS2-richtlijn (Artikel 21) legt extra nadruk op detectie- en monitoringcapaciteiten over de volledige digitale infrastructuur; zonder Defender op alle subscriptions kun je deze verplichting eenvoudigweg niet onderbouwen. Ook AVG Artikel 32, dat passende beveiliging van persoonsgegevens verlangt, wordt ondersteund doordat Defender risico's rond opslag, verwerking en toegang automatisch signaleert. Door deze control correct te implementeren beschik je over één geïntegreerd lemmet voor compliance: uniforme configuraties, reproduceerbare scripts, exporteerbare rapporten en duidelijke eigenaarschapstabellen. Dat verlaagt de auditlast, versnelt assurance-verklaringen en geeft bestuurders het vertrouwen dat toezichthouders – zoals de Algemene Rekenkamer of de Autoriteit Persoonsgegevens – altijd aantoonbare bewijsvoering zullen aantreffen. Daarnaast helpt Defender voor Cloud bij sectorale richtlijnen zoals de BIR 2012 of het Normenkader IBP van gemeenten, omdat dezelfde telemetrie kan worden hergebruikt voor zowel landelijke als lokale rapportages. Door de koppeling met Log Analytics en Microsoft Sentinel kunnen auditors steekproeven uitvoeren op ruwe logdata, wat hun vertrouwen vergroot en voorkomt dat men moet terugvallen op statische screenshots. Neem deze aanpak op in het auditjaarplan en beschrijf hoe bevindingen uit Secure Score en aanbevelingen worden gekoppeld aan verbetermaatregelen, zodat de auditcyclus een continu karakter krijgt in plaats van een momentopname. Werk tenslotte met een controlematrix waarin ieder compliance-criterium is gemapt op een concreet rapport, dataset of scriptoutput; zo weet iedere auditor exact welk bewijs beschikbaar is en welke eigenaar verantwoordelijk is voor updates. Door ook leveranciers en ketenpartners te betrekken in deze matrix kan je aantonen dat uitbestede workloads onder dezelfde monitoring vallen, een vereiste onder zowel BIO als NIS2. Voeg daarbovenop een periodieke interne audit toe waarbij steekproeven worden uitgevoerd op subscriptions met afwijkende kostenpatronen; dit voorkomt blind vertrouwen op geautomatiseerde rapporten en borgt dat mensen daadwerkelijk naar de data kijken. Formuleer tenslotte duidelijke archiveringsrichtlijnen voor logbestanden, rapportages en screenshots zodat ieder bewijsstuk zeven jaar beschikbaar blijft, conform de eisen van Rijksbrede archiefwetgeving. Koppel de resultaten bovendien aan het risicoregister door voor elke afwijking het residuele risico en de gekozen beheersmaatregel vast te leggen; zo ontstaat een traceerbare verbinding tussen technische controles en bestuurlijke besluitvorming. Bouw hiervoor maandelijkse compliance-stand-ups waarin security, audit en business owners gezamenlijk de bevindingen doornemen en prioriteren welke maatregelen als eerste worden opgepakt. Rapporteer de uitkomsten elk kwartaal aan de CIO en aan de portefeuillehouder informatieveiligheid zodat bestuurlijke sturing aantoonbaar plaatsvindt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Cloud: Enabled on All Subscriptions .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.1 Controleert of Microsoft Defender for Cloud is ingeschakeld op alle subscriptions. Defender for Cloud biedt unified security management en threat protection. .NOTES Filename: defender-enabled-all-subscriptions.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/defender-enabled-all-subscriptions.json CIS Control: 2.1.1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender for Cloud: All Subscriptions" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen verhoogt security risk" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "defender-enabled-all-subscriptions" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen verhoogt security risk" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing | Where-Object { $_.PricingTier -eq 'Standard' } if ($pricing.Count -gt 0) { $result.CompliantCount++ $result.Details += "✓ Subscription '$($sub.Name)' heeft Defender enabled ($($pricing.Count) plans)" } else { $result.NonCompliantCount++ $result.Details += "✗ Subscription '$($sub.Name)' heeft Defender NIET enabled" $result.Recommendations += "Enable Defender voor subscription '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen verhoogt security risk" -ForegroundColor Yellow } try { $fixed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard" -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled Defender for: $($sub.Name)" -ForegroundColor Green $fixed++ } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Defender enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Defender disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen verhoogt security risk" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou Defender enablen voor $($result.NonCompliantCount) subscription(s)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder Defender for Cloud op alle subscriptions ontbreekt centrale security visibility wat ongedetecteerde threats, misconfigurations en compliance gaps creëert. Security incidents blijven onopgemerkt, Secure Score kan niet worden gemeten, recommendations voor hardening ontbreken, compliance-status is onbekend. Dit leidt tot verhoogd breach-risico, compliance-schendingen (CIS, NIS2, ISO 27001), en onvermogen om security posture te verbeteren. Geschatte kosten ongedetecteerde breach: €500K-5M. Subscriptions zonder Defender zijn security blind spots.

Management Samenvatting

Defender for Cloud moet enabled zijn op ALLE Azure subscriptions voor unified security monitoring en compliance management. Gratis tier biedt: Secure Score (security posture measurement), Security recommendations (misconfiguration detection), Compliance dashboard (regulatory mapping). Betaalde Defender plans (Servers, Databases, Storage, Containers, App Services) bieden threat detection en vulnerability scanning. Activatie: Azure Portal → Defender for Cloud → Enable per subscription. Free tier: gratis, instant. Betaalde plans: variabel (€4-15/resource/maand). Verplicht voor CIS 2.1.1, BIO, ISO 27001, NIS2. Implementatie: 2-4 uur voor alle subscriptions.