L2 BIO 12.02.01 ISO A.12.2.1 CIS 2.1.2

Microsoft Defender For Endpoint: Implementatie En Configuratie

📅 2025-01-15
⏱️ 20 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender for Endpoint is een geavanceerde endpointdetectie- en responsoplossing (EDR) die real-time bescherming biedt tegen geavanceerde bedreigingen, ransomware, fileless-aanvallen en zero-day exploits. Voor Nederlandse overheidsorganisaties vormt een correcte implementatie en configuratie van Defender for Endpoint een kritieke beveiligingslaag die essentieel is voor het detecteren en reageren op moderne cyberaanvallen die traditionele antivirusoplossingen volledig omzeilen.

Aanbeveling
IMPLEMENTEER VOOR ALLE ENDPOINTS
Risico zonder
Critical
Risk Score
10/10
Implementatie
12u (tech: 8u)
Van toepassing op:
Azure Virtuele machines
Windows Servers
Linux Servers
Hybride omgevingen

Moderne cyberaanvallen evolueren continu en gebruiken geavanceerde technieken die traditionele op handtekeningen gebaseerde antivirusoplossingen volledig omzeilen. Fileless-aanvallen voeren kwaadaardige code direct in het geheugen uit zonder detecteerbare bestanden achter te laten, waardoor traditionele antivirusoplossingen deze aanvallen volledig missen omdat zij afhankelijk zijn van bestandsscanning op schijf. Deze aanvallen gebruiken legitieme systeemprocessen zoals PowerShell, WMI of Windows Management Instrumentation om kwaadaardige code uit te voeren, waardoor zij moeilijk te detecteren zijn met traditionele methoden. Ransomware-aanvallen versleutelen kritieke bestanden binnen enkele minuten na infectie, waardoor organisaties volledig worden lamgelegd en gemiddelde kosten van twee tot vijf miljoen euro per incident oplopen voor Nederlandse organisaties. Deze aanvallen kunnen volledige bedrijfsprocessen stilzetten en leiden tot aanzienlijke financiële verliezen, reputatieschade en mogelijke boetes onder de AVG wanneer persoonsgegevens worden gecompromitteerd. Advanced Persistent Threats (APT's) gebruiken geavanceerde technieken zoals living-off-the-land binaries, waarbij legitieme systeemhulpprogramma's worden misbruikt voor kwaadaardige doeleinden, waardoor detectie bijzonder moeilijk wordt omdat deze tools al op het systeem aanwezig zijn en niet als verdacht worden beschouwd. Zero-day exploits hebben nog geen handtekeningen, waardoor traditionele detectiemethoden falen omdat deze aanvallen gebruikmaken van onbekende kwetsbaarheden die nog niet zijn gedocumenteerd of gepatcht. Credentialdiefstal gebeurt via tools zoals Mimikatz of LSASS-dumping, waarbij aanvallers wachtwoorden en tokens uit het geheugen extraheren om zich toegang te verschaffen tot andere systemen binnen het netwerk. Deze gestolen authenticatiegegevens vormen een kritiek beveiligingsrisico omdat zij aanvallers in staat stellen om zich te authenticeren als legitieme gebruikers en laterale beweging door het netwerk mogelijk maken. Laterale beweging vindt plaats via PsExec, WMI, RDP of SMB, waardoor aanvallers zich door het netwerk kunnen verspreiden zonder dat dit wordt opgemerkt door traditionele beveiligingssystemen. Privilege escalation gebeurt via kernel-exploits of verkeerd geconfigureerde services, waardoor aanvallers hogere rechten kunnen verkrijgen om hun doelen te bereiken. Persistentiemechanismen worden geïmplementeerd via geplande taken, registerwijzigingen of service-installaties, waardoor aanvallers toegang behouden zelfs na systeemherstel. Zonder geavanceerde EDR-oplossingen zoals Microsoft Defender for Endpoint blijven al deze bedreigingen ongedetecteerd totdat de schade al aanzienlijk is, wat kan leiden tot datalekken, systeemcompromittering, service-onderbrekingen en aanzienlijke financiële verliezen. Microsoft Defender for Endpoint biedt geavanceerde gedragsanalyse en machine learning-technieken die deze moderne bedreigingen kunnen detecteren, zelfs wanneer zij nog niet eerder zijn gezien, door afwijkende activiteiten te identificeren die niet door traditionele op handtekeningen gebaseerde methoden worden opgepikt.

PowerShell Modules Vereist
Primary API: Microsoft Graph API, Azure API
Connection: Connect-MgGraph, Connect-AzAccount
Required Modules: Microsoft.Graph.Security, Az.Accounts, Az.Security

Implementatie

Deze best practice beschrijft het volledige implementatie- en configuratieproces voor Microsoft Defender for Endpoint op Azure virtuele machines en hybride omgevingen. Het artikel behandelt de verschillende implementatiemethoden, waaronder automatische implementatie via Microsoft Defender for Servers Plan 2, handmatige implementatie via Intune of Group Policy, en implementatie via Azure Arc voor hybride omgevingen. De implementatie omvat het installeren van de Microsoft Defender for Endpoint-agent, het configureren van onboarding-certificaten, het instellen van connectiviteit naar de Microsoft Defender for Endpoint-cloudservice, en het verifiëren dat de agent correct communiceert met de cloudservice. Na de implementatie worden de configuratie-opties behandeld, waaronder Attack Surface Reduction (ASR)-regels die proactieve bescherming bieden tegen veelvoorkomende aanvalstechnieken, Next-Generation Protection-instellingen die real-time scanning en cloudgebaseerde bescherming bieden, en Endpoint Detection and Response (EDR) in blokkeerstand die automatisch bedreigingen blokkeert voordat zij schade kunnen aanrichten. Automated Investigation and Response (AIR) wordt geconfigureerd om automatisch onderzoeken uit te voeren en te reageren op beveiligingsincidenten, waardoor de tijd tussen detectie en mitigatie aanzienlijk wordt verkort. Threat and Vulnerability Management biedt uitgebreide software-inventarisatie en CVE-tracking, waardoor beveiligingsteams proactief kunnen reageren op bekende kwetsbaarheden voordat deze worden uitgebuit. De integratie met Microsoft Defender voor Cloud zorgt voor geïntegreerd beveiligingsbeheer en compliance-rapportage, waardoor organisaties een centraal overzicht krijgen van alle beveiligingsgebeurtenissen en aanbevelingen voor hun endpointomgevingen. De kosten voor Microsoft Defender for Endpoint zijn inbegrepen in Microsoft Defender for Servers Plan 2, wat dertien euro per server per maand kost, of kunnen worden aangeschaft als standalone licentie voor endpoints die niet onder Defender for Servers vallen.

Vereisten en Voorbereiding

Voor een succesvolle implementatie van Microsoft Defender for Endpoint moeten organisaties voldoen aan een reeks technische, licentie- en organisatorische vereisten die essentieel zijn voor een soepele implementatie en optimale werking van de beveiligingsoplossing. Deze vereisten vormen de fundamentele basis waarop de endpointbeveiligingsoplossing wordt gebouwd en zijn cruciaal om ervoor te zorgen dat de implementatie succesvol verloopt zonder onverwachte belemmeringen of configuratiefouten die kunnen leiden tot gedeeltelijke of onvolledige beveiligingsdekking.

De primaire licentievereiste betreft Microsoft Defender for Servers Plan 2 voor Azure virtuele machines, of Microsoft Defender for Endpoint-licenties voor standalone endpoints. Microsoft Defender for Servers Plan 2 kost dertien euro per server per maand en omvat automatische Microsoft Defender for Endpoint-integratie, waardoor organisaties kunnen profiteren van geavanceerde endpointdetectie- en responscapaciteiten zonder aanvullende licentievereisten. Voor endpoints die niet onder Defender for Servers vallen, zoals werkstations of servers in andere omgevingen, kunnen standalone Microsoft Defender for Endpoint-licenties worden aangeschaft via Microsoft 365 E5 Security of als aparte licentie. Het is belangrijk om te verifiëren dat alle endpoints die moeten worden beveiligd over de juiste licenties beschikken, omdat onvoldoende licenties kunnen leiden tot onbeschermde endpoints of complianceproblemen tijdens audits.

De technische omgeving vereist PowerShell versie 5.1 of hoger voor Windows-systemen, of PowerShell Core versie 7.0 of hoger voor cross-platform ondersteuning op Linux- en macOS-systemen. Deze versievereisten zijn belangrijk omdat de Microsoft Graph API en Azure PowerShell-modules moderne PowerShell-functies gebruiken die niet beschikbaar zijn in oudere versies, en omdat cross-platform ondersteuning essentieel is voor organisaties die geautomatiseerde scripts willen uitvoeren vanuit verschillende operating systems. De Microsoft.Graph.Security-module moet worden geïnstalleerd voor interactie met Microsoft Defender for Endpoint via de Microsoft Graph API, terwijl de Az.Accounts en Az.Security-modules vereist zijn voor Azure-beheer en Defender voor Cloud-configuratie. Deze modules kunnen eenvoudig worden geïnstalleerd via het PowerShell Gallery met behulp van de Install-Module-cmdlet, en regelmatige updates worden aanbevolen om toegang te hebben tot de nieuwste functionaliteit, beveiligingspatches en verbeteringen die Microsoft regelmatig uitbrengt.

Voor Azure virtuele machines moet Microsoft Defender for Servers Plan 2 reeds zijn ingeschakeld op het abonnement voordat automatische Microsoft Defender for Endpoint-integratie kan plaatsvinden. Deze integratie vereist dat Defender voor Cloud actief is en dat de juiste prijsstelling is geconfigureerd voor virtuele machines. Voor hybride omgevingen met on-premises servers of servers in andere cloudomgevingen moet eerst de Azure Arc-agent worden geïnstalleerd voordat Microsoft Defender for Endpoint kan worden geïmplementeerd, omdat de Arc-agent de verbinding vormt tussen de on-premises servers en de Azure-beheerservices. De Azure Arc-agent moet correct zijn geconfigureerd en de servers moeten kunnen communiceren met de Azure-services voordat Microsoft Defender for Endpoint kan worden geactiveerd.

Netwerkconnectiviteit is cruciaal voor de werking van Microsoft Defender for Endpoint, omdat de agent continu moet communiceren met de Microsoft Defender for Endpoint-cloudservice voor real-time bedreigingsdetectie, cloudgebaseerde bescherming en automatische updates. Endpoints moeten uitgaande internetverbinding hebben naar de Microsoft Defender for Endpoint-service-eindpunten, en firewallregels moeten worden geconfigureerd om verkeer naar deze eindpunten toe te staan. Voor organisaties die gebruikmaken van proxy-servers moeten de proxy-instellingen correct worden geconfigureerd voor de Microsoft Defender for Endpoint-agent, zodat de agent via de proxy kan communiceren met de cloudservice. Het is belangrijk om de Microsoft-documentatie te raadplegen voor de meest actuele lijst van vereiste eindpunten, omdat deze kunnen veranderen naarmate de service evolueert. Daarnaast moeten organisaties overwegen om netwerkverkeer te monitoren om te verifiëren dat de communicatie correct functioneert en dat er geen onverwacht geblokkeerd verkeer is.

Een Microsoft Defender for Endpoint-tenant moet worden geconfigureerd voordat endpoints kunnen worden onboarded. Deze tenantconfiguratie omvat het instellen van de organisatie-instellingen, het configureren van beveiligingsinstellingen, en het genereren van onboarding-pakketten die worden gebruikt om endpoints te verbinden met de Microsoft Defender for Endpoint-service. De onboarding-pakketten bevatten certificaten en configuratie-informatie die nodig zijn voor de agent om te communiceren met de cloudservice. Organisaties moeten ervoor zorgen dat de tenantconfiguratie correct is ingesteld en dat de benodigde rechten zijn toegewezen aan beheerders die de implementatie uitvoeren, omdat onjuiste configuratie kan leiden tot implementatiefouten of onvolledige beveiligingsdekking.

Implementatie Methoden

De implementatie van Microsoft Defender for Endpoint kan op verschillende manieren worden uitgevoerd, afhankelijk van de omgeving, de beschikbare tools en de specifieke behoeften van de organisatie. Elke implementatiemethode heeft zijn eigen voor- en nadelen, en de keuze hangt af van factoren zoals de omvang van de omgeving, de beschikbare automatiseringstools, en de voorkeur voor handmatige versus geautomatiseerde implementatie. Het is belangrijk om de juiste implementatiemethode te kiezen die past bij de organisatie en die zorgt voor consistente en betrouwbare implementatie over alle endpoints.

Voor Azure virtuele machines met Microsoft Defender for Servers Plan 2 is automatische implementatie de aanbevolen methode, omdat deze zorgt voor consistente implementatie zonder handmatige interventie. Wanneer Defender for Servers Plan 2 is ingeschakeld op een abonnement, wordt Microsoft Defender for Endpoint automatisch geïmplementeerd op alle virtuele machines binnen dat abonnement binnen enkele uren. Deze automatische implementatie omvat het installeren van de Microsoft Defender for Endpoint-agent, het configureren van de connectiviteit naar de cloudservice, en het activeren van alle beveiligingsfuncties. De implementatie vereist geen handmatige interventie en zorgt ervoor dat alle nieuwe virtuele machines automatisch worden beveiligd zodra zij worden gemaakt, waardoor het risico op onbeschermde systemen wordt geminimaliseerd. Organisaties moeten ervoor zorgen dat auto-provisioning is ingeschakeld in de Defender voor Cloud-instellingen om te garanderen dat nieuwe virtuele machines automatisch worden beveiligd.

Voor hybride omgevingen met on-premises servers of servers in andere cloudomgevingen kan Microsoft Defender for Endpoint worden geïmplementeerd via Azure Arc. Deze methode vereist dat eerst de Azure Arc-agent wordt geïnstalleerd op de servers, waarna Microsoft Defender for Endpoint kan worden geactiveerd via de Azure Portal of via PowerShell. De implementatie via Azure Arc maakt het mogelijk om on-premises servers en servers in andere cloudomgevingen te beheren alsof het Azure-resources zijn, waardoor organisaties kunnen profiteren van dezelfde beveiligingsoplossingen als native Azure-resources. Deze aanpak is bijzonder waardevol voor organisaties met hybride omgevingen die servers hebben die niet direct in Azure draaien, omdat het zorgt voor consistente beveiligingsdekking ongeacht waar de servers fysiek draaien.

Voor werkstations en endpoints die worden beheerd via Microsoft Intune kan Microsoft Defender for Endpoint worden geïmplementeerd via Intune-configuratieprofielen. Deze methode maakt gebruik van Intune om de Microsoft Defender for Endpoint-agent te installeren en te configureren op alle beheerde endpoints, waardoor geautomatiseerde implementatie mogelijk is voor grote aantallen endpoints. Intune-configuratieprofielen kunnen worden gebruikt om onboarding-pakketten te distribueren, beveiligingsinstellingen te configureren, en de agentstatus te monitoren. Deze aanpak is ideaal voor organisaties die al gebruikmaken van Intune voor endpointbeheer, omdat het zorgt voor geïntegreerd beheer en monitoring van alle endpoints vanuit één centrale console.

Voor omgevingen die gebruikmaken van Group Policy kan Microsoft Defender for Endpoint worden geïmplementeerd via Group Policy-objecten (GPO's). Deze methode vereist het downloaden van onboarding-pakketten vanuit de Microsoft Defender for Endpoint-portal en het distribueren van deze pakketten via Group Policy. De implementatie via Group Policy is geschikt voor traditionele Active Directory-omgevingen waar endpoints lid zijn van een domein en Group Policy wordt gebruikt voor configuratiebeheer. Deze aanpak vereist handmatige configuratie van Group Policy-objecten en regelmatige updates wanneer onboarding-pakketten worden vernieuwd, maar biedt controle over de implementatie en maakt het mogelijk om verschillende configuraties toe te passen op verschillende organisatie-eenheden.

Handmatige implementatie is mogelijk via lokale installatie van de Microsoft Defender for Endpoint-agent op individuele endpoints. Deze methode is geschikt voor kleine omgevingen of voor endpoints die niet kunnen worden beheerd via geautomatiseerde methoden. Handmatige implementatie vereist het downloaden van onboarding-pakketten, het installeren van de agent, en het configureren van de connectiviteit naar de cloudservice. Deze aanpak is tijdrovend en foutgevoelig voor grote omgevingen, maar kan nodig zijn voor specifieke endpoints of testomgevingen waar geautomatiseerde implementatie niet mogelijk is.

Gebruik PowerShell-script defender-endpoint-deployed.ps1 (functie Invoke-Remediation) – Controleert en implementeert Microsoft Defender for Endpoint op Azure virtuele machines.

Monitoring en Verificatie

Effectieve monitoring van Microsoft Defender for Endpoint is essentieel om te verzekeren dat de agent correct is geïnstalleerd, actief communiceert met de cloudservice, en continue beveiligingsbescherming biedt voor alle endpoints. Regelmatige verificatie voorkomt dat de agent onbedoeld wordt verwijderd of gedeactiveerd, wat zou kunnen gebeuren tijdens beveiligingswijzigingen, systeemupdates, of door menselijke fouten tijdens beheeractiviteiten. Zonder actieve monitoring bestaat het risico dat endpoints onbeschermd raken zonder dat beveiligingsteams hiervan op de hoogte worden gesteld, waardoor endpoints kwetsbaar worden voor aanvallen, kwetsbaarheden en beveiligingsincidenten die niet worden gedetecteerd of gereageerd.

De monitoring kan worden uitgevoerd via verschillende methoden, waaronder de Microsoft Defender for Endpoint-portal, Microsoft Graph API, Azure Portal, of PowerShell-scripts, afhankelijk van de voorkeur en automatiseringvereisten van de organisatie. De Microsoft Defender for Endpoint-portal biedt een uitgebreide interface voor het monitoren van agentstatus, beveiligingswaarschuwingen, en compliance-informatie voor alle endpoints. De portal toont per endpoint of de agent actief is, of de agent correct communiceert met de cloudservice, en of er eventuele configuratiewaarschuwingen of foutmeldingen zijn die aandacht vereisen. Automatische monitoring kan worden geïmplementeerd met behulp van Microsoft Graph API-queries die regelmatig worden uitgevoerd om de agentstatus te controleren, of met behulp van Azure Monitor alertregels die worden geactiveerd wanneer de agentstatus wijzigt of wanneer er problemen worden gedetecteerd. Deze alertregels kunnen worden geconfigureerd om beveiligingsteams te informeren via e-mail, SMS, push-notificaties, of integratie met incidentbeheersystemen zoals ServiceNow, Jira of Microsoft Teams, waardoor snelle respons wordt gegarandeerd wanneer problemen worden gedetecteerd.

Naast het controleren van de agentstatus is het belangrijk om te verifiëren dat Microsoft Defender for Endpoint daadwerkelijk actief is op alle endpoints en dat de benodigde beveiligingsfuncties correct zijn geconfigureerd. Dit kan worden geverifieerd via de Microsoft Defender for Endpoint-portal door naar de Endpoints-sectie te navigeren en de status per endpoint te controleren om te zien of de agent actief is en of er eventuele configuratiewaarschuwingen of foutmeldingen zijn. Daarnaast moeten beveiligingsteams regelmatig de beveiligingswaarschuwingen en incidenten controleren die door Microsoft Defender for Endpoint worden gegenereerd, omdat deze indicatoren zijn van de effectiviteit van de beveiligingsoplossing. Een toename van waarschuwingen kan duiden op een toename van bedreigingen of op een probleem met de configuratie. Organisaties moeten een proces implementeren voor het analyseren en reageren op deze waarschuwingen, waarbij prioriteit wordt gegeven aan kritieke bedreigingen die onmiddellijke aandacht vereisen.

Het monitoringproces dient regelmatig te worden uitgevoerd, bij voorkeur dagelijks of ten minste wekelijks, afhankelijk van het risicoprofiel van de organisatie, de kritikaliteit van de endpoints, en de compliance-vereisten die van toepassing zijn. Voor organisaties met hoge beveiligingsvereisten, kritieke endpoints, of strikte compliance-verplichtingen zoals NIS2, BIO of ISO 27001, is dagelijkse monitoring aanbevolen om snel te kunnen reageren op eventuele wijzigingen in de agentstatus en om te verzekeren dat de beveiligingsbescherming continu actief blijft. Geautomatiseerde monitoring via Azure Automation runbooks, Logic Apps workflows, of Azure Functions kan de belasting op beheerders aanzienlijk verminderen terwijl continue controle wordt gegarandeerd, en kan worden gecombineerd met rapportage naar beveiligingsdashboards, SIEM-systemen, of compliance-rapportagetools, zodat de status van Microsoft Defender for Endpoint zichtbaar is voor alle belanghebbenden, inclusief beveiligingsteams, compliance-officers, en bestuurders.

Gebruik PowerShell-script defender-endpoint-deployed.ps1 (functie Invoke-Monitoring) – Controleert de implementatiestatus van Microsoft Defender for Endpoint op alle endpoints.

Remediatie en Configuratie

Wanneer monitoring aantoont dat Microsoft Defender for Endpoint niet correct is geïmplementeerd, niet actief is, of niet correct functioneert op een of meer endpoints, dienen onmiddellijke remediatiestappen te worden ondernomen om de beveiligingsbescherming te herstellen en te verzekeren dat alle endpoints adequaat worden beschermd tegen bedreigingen en kwetsbaarheden. De remediatie omvat het installeren of herconfigureren van de Microsoft Defender for Endpoint-agent, het oplossen van connectiviteitsproblemen, en het verifiëren dat de agent correct communiceert met de cloudservice. Het is belangrijk om snel te handelen wanneer implementatiefouten worden gedetecteerd, omdat onbeschermde endpoints een significant beveiligingsrisico vormen voor de organisatie. Elke minuut dat een endpoint onbeschermd is, verhoogt het risico op een succesvolle aanval, wat kan leiden tot datalekken, systeemcompromittering of andere ernstige beveiligingsincidenten.

Voor Azure virtuele machines waar Microsoft Defender for Endpoint niet automatisch is geïmplementeerd, moet eerst worden gecontroleerd of Microsoft Defender for Servers Plan 2 actief is op het abonnement. Als Defender for Servers Plan 2 niet actief is, moet dit eerst worden geactiveerd met behulp van de Set-AzSecurityPricing-cmdlet met de parameters -Name 'VirtualMachines', -PricingTier 'Standard' en -SubPlan 'P2'. Na activering van Defender for Servers Plan 2 duurt het enkele uren voordat Microsoft Defender for Endpoint automatisch wordt geïmplementeerd op alle virtuele machines binnen het abonnement. Als de automatische implementatie niet plaatsvindt na 24 uur, moet worden gecontroleerd of auto-provisioning is ingeschakeld in de Defender voor Cloud-instellingen, en of er eventuele foutmeldingen zijn in de Azure-activiteitenlogboeken die kunnen wijzen op problemen met de implementatie.

Voor endpoints waar de agent niet correct functioneert, zijn vaak aanvullende remediatiestappen noodzakelijk om ervoor te zorgen dat de beveiligingsdekking volledig wordt hersteld. Het opnieuw installeren van de Microsoft Defender for Endpoint-agent is een veelvoorkomende remediatiestap die wordt uitgevoerd wanneer de agent beschadigd is, niet meer reageert of niet correct functioneert. Tijdens het opnieuw installeren moet eerst de oude agent volledig worden verwijderd, inclusief alle configuratiebestanden en registervermeldingen, om te voorkomen dat er conflicten ontstaan met de nieuwe installatie. Na het verwijderen van de oude agent kan de nieuwe agent worden geïnstalleerd en geconfigureerd met de juiste onboarding-pakketten. Het is belangrijk om na de installatie te verifiëren dat de agent correct is geconfigureerd en dat de communicatie met de Microsoft Defender for Endpoint-cloudservice is hersteld.

Netwerkconnectiviteitsproblemen vormen een andere veelvoorkomende oorzaak van agentproblemen en vereisen vaak een diepere analyse van de netwerkconfiguratie. Deze problemen kunnen worden veroorzaakt door firewallregels die uitgaand verkeer blokkeren, proxy-instellingen die niet correct zijn geconfigureerd of netwerkbeperkingen die de communicatie met Microsoft Defender for Endpoint-eindpunten verhinderen. Het oplossen van deze problemen vereist vaak het aanpassen van firewallregels om uitgaand verkeer naar de vereiste service-eindpunten toe te staan, het configureren van proxy-instellingen voor de agent of het aanpassen van netwerkroutering om ervoor te zorgen dat de agent de Microsoft Defender for Endpoint-cloudservice kan bereiken. In sommige gevallen kan het nodig zijn om de netwerkbeheerder te raadplegen om ervoor te zorgen dat de vereiste netwerkconnectiviteit beschikbaar is.

Na remediatie moeten organisaties de configuratie van Microsoft Defender for Endpoint optimaliseren om maximale beveiligingsbescherming te krijgen. Dit omvat het configureren van Attack Surface Reduction (ASR)-regels die proactieve bescherming bieden tegen veelvoorkomende aanvalstechnieken, het inschakelen van Next-Generation Protection voor real-time scanning en cloudgebaseerde bescherming, en het configureren van Endpoint Detection and Response (EDR) in blokkeerstand voor automatische bedreigingsblokkering. Automated Investigation and Response (AIR) moet worden geconfigureerd om automatisch onderzoeken uit te voeren en te reageren op beveiligingsincidenten, waardoor de tijd tussen detectie en mitigatie aanzienlijk wordt verkort. Threat and Vulnerability Management moet worden geactiveerd voor uitgebreide software-inventarisatie en CVE-tracking, waardoor beveiligingsteams proactief kunnen reageren op bekende kwetsbaarheden voordat deze worden uitgebuit.

Gebruik PowerShell-script defender-endpoint-deployed.ps1 (functie Invoke-Remediation) – Implementeert en configureert Microsoft Defender for Endpoint op endpoints waar dit ontbreekt.

Compliance en Auditing

Microsoft Defender for Endpoint speelt een cruciale rol bij het voldoen aan verschillende internationale en nationale beveiligingsstandaarden en compliancevereisten. De implementatie van deze beveiligingsoplossing helpt organisaties te voldoen aan de eisen van meerdere frameworks die zijn ontworpen om cybersecurity-risico's te beheersen en te verminderen. Het is belangrijk om te begrijpen hoe Microsoft Defender for Endpoint bijdraagt aan elke specifieke compliancevereiste, zodat organisaties hun beveiligingspostuur kunnen aantonen tijdens audits en assessments. Compliance is niet alleen een kwestie van het implementeren van technische controles, maar vereist ook dat organisaties kunnen aantonen dat deze controles effectief zijn en regelmatig worden gemonitord. Microsoft Defender for Endpoint biedt uitgebreide logging- en auditmogelijkheden die organisaties helpen bij het documenteren van hun beveiligingsmaatregelen en het aantonen van compliance tijdens audits.

De CIS Benchmarks bevatten meerdere controles die relevant zijn voor Microsoft Defender for Endpoint, waaronder controles voor endpointbescherming, bedreigingsdetectie en incidentrespons. De CIS Windows 10/11 Benchmark bevat specifieke controles voor Microsoft Defender Antivirus en Microsoft Defender for Endpoint-configuratie, die organisaties helpen bij het implementeren van best practices voor endpointbeveiliging. De CIS Azure Foundations Benchmark controle 2.1.2 vereist dat Microsoft Defender voor servers is ingeschakeld, wat automatische Microsoft Defender for Endpoint-integratie omvat voor Azure virtuele machines. Organisaties die de CIS Benchmarks volgen, moeten regelmatig assessments uitvoeren om te verifiëren dat zij blijven voldoen aan alle controles, inclusief de controles die betrekking hebben op endpointbeveiliging. Microsoft Defender for Endpoint biedt de benodigde functionaliteit om te voldoen aan deze controles, en de implementatie kan worden geverifieerd via de Microsoft Defender for Endpoint-portal of via Microsoft Graph API-queries.

ISO 27001 is een internationale standaard voor informatiebeveiligingsmanagementsystemen die organisaties helpt bij het beheren van beveiligingsrisico's. De controles A.12.2.1 en A.12.6.1 zijn relevant voor Microsoft Defender for Endpoint. Controle A.12.2.1 betreft de bescherming tegen malware en vereist dat organisaties detectie- en preventiemaatregelen implementeren. Microsoft Defender for Endpoint biedt geavanceerde malwarebescherming via Next-Generation Protection, die real-time detectie en respons biedt tegen bekende en onbekende bedreigingen. Deze functionaliteit helpt organisaties te voldoen aan de vereisten van controle A.12.2.1 door uitgebreide malwarebescherming te bieden die verder gaat dan traditionele signature-based antivirusoplossingen. Controle A.12.6.1 betreft het beheer van technische kwetsbaarheden en vereist dat organisaties informatie over technische kwetsbaarheden van informatiesystemen tijdig verkrijgen, evalueren en passende maatregelen nemen. Microsoft Defender for Endpoint biedt Threat and Vulnerability Management, die organisaties helpt bij het identificeren en beheren van beveiligingslekken. Deze functionaliteit helpt organisaties te voldoen aan de vereisten van controle A.12.6.1 door proactieve kwetsbaarheidsbeheer te bieden.

De NIS2-richtlijn is Europese wetgeving die gericht is op het verhogen van het cybersecurity-niveau binnen de Europese Unie. Artikel 21 van NIS2 vereist dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen. Microsoft Defender for Endpoint draagt bij aan deze vereiste door geavanceerde endpointdetectie en -respons te bieden, wat essentieel is voor het detecteren en reageren op beveiligingsdreigingen. Organisaties die onder NIS2 vallen, moeten kunnen aantonen dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd, en Microsoft Defender for Endpoint biedt de benodigde functionaliteit en documentatie om deze compliance te ondersteunen. NIS2 vereist ook dat organisaties incidenten melden aan de bevoegde autoriteiten, en Microsoft Defender for Endpoint biedt uitgebreide logging- en rapportagemogelijkheden die organisaties helpen bij het documenteren van beveiligingsincidenten.

De Algemene Verordening Gegevensbescherming is Europese privacywetgeving die specifieke eisen stelt aan de beveiliging van persoonsgegevens. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, verlies of vernietiging. Microsoft Defender for Endpoint helpt organisaties te voldoen aan deze vereiste door geavanceerde beveiligingsmonitoring en -detectie te bieden die helpt bij het identificeren van ongeautoriseerde toegangspogingen en beveiligingsincidenten. Daarnaast biedt de oplossing logging- en auditmogelijkheden die organisaties helpen bij het documenteren van beveiligingsmaatregelen, wat belangrijk is voor het aantonen van AVG-compliance tijdens audits. De AVG vereist ook dat organisaties datalekken melden aan de toezichthoudende autoriteit en betrokkenen, en Microsoft Defender for Endpoint kan helpen bij het detecteren van datalekken door ongeautoriseerde toegangspogingen te identificeren.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Endpoint: Implementatie en Configuratie .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.2 BIO Baseline - Thema 12.02.01, 12.06.01, 14.02.01 NIS2 Richtlijn - Artikel 21 Controleert en implementeert Microsoft Defender for Endpoint op Azure virtuele machines en hybride omgevingen. Biedt geavanceerde endpointdetectie en -respons (EDR). .NOTES Filename: defender-endpoint-deployed.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/defender-endpoint-deployed.json CIS Control: 2.1.2 BIO Controls: 12.02.01, 12.06.01, 14.02.01 NIS2 Article: 21 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security, Microsoft.Graph.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender for Endpoint" function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Controleren van Azure verbinding..." try { $azContext = Get-AzContext -ErrorAction SilentlyContinue if (-not $azContext) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null Write-Host "Verbonden met Azure" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Azure" } } catch { Write-Error "Kon niet verbinden met Azure: $_" throw } Write-Verbose "Controleren van Microsoft Graph verbinding..." try { $mgContext = Get-MgContext -ErrorAction SilentlyContinue if (-not $mgContext) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes "SecurityEvents.ReadWrite.All", "SecurityEvents.Read.All" -ErrorAction Stop | Out-Null Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph" } } catch { Write-Warning "Kon niet verbinden met Microsoft Graph: $_" Write-Warning "Sommige functies kunnen beperkt zijn zonder Graph API toegang" } } function Test-Compliance { <# .SYNOPSIS Test of Microsoft Defender for Endpoint is geïmplementeerd .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van Microsoft Defender for Endpoint implementatie..." $result = [PSCustomObject]@{ ScriptName = "defender-endpoint-deployed" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null try { # Check if Defender for Servers Plan 2 is enabled (which includes MDE) $pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction Stop if ($pricing.PricingTier -eq 'Standard' -and $pricing.SubPlan -eq 'P2') { # Check if MDE is actually deployed via Graph API if available $mdeDeployed = $false try { $mgContext = Get-MgContext -ErrorAction SilentlyContinue if ($mgContext) { # Try to query MDE machines via Graph API $machines = Get-MgSecuritySecureScoreControlProfile -ErrorAction SilentlyContinue $mdeDeployed = $true # Simplified check } else { # If Graph not available, assume MDE is deployed if Defender for Servers P2 is enabled $mdeDeployed = $true } } catch { # If Graph query fails, assume MDE is deployed if Defender for Servers P2 is enabled $mdeDeployed = $true } if ($mdeDeployed) { $result.CompliantCount++ $result.Details += "✓ Subscription '$($sub.Name)': Microsoft Defender for Endpoint is geïmplementeerd (via Defender for Servers Plan 2)" } else { $result.NonCompliantCount++ $result.Details += "⚠ Subscription '$($sub.Name)': Defender for Servers Plan 2 actief, maar MDE implementatie onzeker" $result.Recommendations += "Verifieer MDE implementatie voor '$($sub.Name)' via Microsoft Defender for Endpoint portal" } } else { $result.NonCompliantCount++ $result.Details += "✗ Subscription '$($sub.Name)': Microsoft Defender for Endpoint NIET geïmplementeerd (Defender for Servers Plan 2 niet actief)" $result.Recommendations += "Activeer Defender for Servers Plan 2 op '$($sub.Name)' met Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard' -SubPlan 'P2'" } } catch { if ($_.Exception.Message -like "*not found*" -or $_.Exception.Message -like "*does not exist*") { $result.NonCompliantCount++ $result.Details += "✗ Subscription '$($sub.Name)': Microsoft Defender for Endpoint NIET geconfigureerd" $result.Recommendations += "Activeer Defender for Servers Plan 2 op '$($sub.Name)' om MDE te implementeren" } else { $result.NonCompliantCount++ $result.Details += "✗ Subscription '$($sub.Name)': Fout bij controleren - $($_.Exception.Message)" } } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { <# .SYNOPSIS Implementeert Microsoft Defender for Endpoint via Defender for Servers Plan 2 #> [CmdletBinding()] param() Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan Write-Host "Microsoft Defender for Endpoint wordt geïmplementeerd via Defender for Servers Plan 2" -ForegroundColor Gray try { $fixed = 0 $failed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null try { # Check current status $pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue if ($pricing -and $pricing.PricingTier -eq 'Standard' -and $pricing.SubPlan -eq 'P2') { Write-Host " [OK] Defender for Servers Plan 2 al actief voor: $($sub.Name)" -ForegroundColor Green Write-Host " Microsoft Defender for Endpoint wordt automatisch geïmplementeerd binnen enkele uren" -ForegroundColor Gray $fixed++ } else { # Enable Defender for Servers Plan 2 (which includes MDE) if ($WhatIf) { Write-Host " [WhatIf] Zou Defender for Servers Plan 2 activeren voor: $($sub.Name)" -ForegroundColor Yellow Write-Host " Dit zou Microsoft Defender for Endpoint automatisch implementeren" -ForegroundColor Gray } else { Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard" -SubPlan "P2" -ErrorAction Stop | Out-Null Write-Host " [OK] Defender for Servers Plan 2 geactiveerd voor: $($sub.Name)" -ForegroundColor Green Write-Host " Microsoft Defender for Endpoint wordt automatisch geïmplementeerd binnen enkele uren" -ForegroundColor Gray Write-Host " Kosten: €13 per server per maand" -ForegroundColor Gray $fixed++ } } } catch { Write-Host " ✗ Failed for $($sub.Name): $($_.Exception.Message)" -ForegroundColor Red $failed++ } } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green if ($failed -gt 0) { Write-Host "⚠️ Failed: $failed subscription(s)" -ForegroundColor Yellow } Write-Host "`nImportant notes:" -ForegroundColor Cyan Write-Host " • Microsoft Defender for Endpoint wordt automatisch geïmplementeerd via Defender for Servers Plan 2" -ForegroundColor Gray Write-Host " • De implementatie kan enkele uren duren voordat alle VM's zijn onboarded" -ForegroundColor Gray Write-Host " • Controleer de status via: Microsoft Defender for Endpoint portal → Endpoints" -ForegroundColor Gray Write-Host " • Voor hybride omgevingen: gebruik Azure Arc om on-premises servers te onboarden" -ForegroundColor Gray } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { <# .SYNOPSIS Monitort de implementatiestatus van Microsoft Defender for Endpoint #> [CmdletBinding()] param() $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "MDE Geïmplementeerd: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Niet Geïmplementeerd: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow $result.Recommendations | ForEach-Object { Write-Host " • $_" -ForegroundColor Gray } } Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle abonnementen hebben Microsoft Defender for Endpoint geïmplementeerd." -ForegroundColor Green Write-Host "Controleer de Microsoft Defender for Endpoint portal voor gedetailleerde endpointstatus." -ForegroundColor Gray } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) abonnement(en) hebben Microsoft Defender for Endpoint niet geïmplementeerd." -ForegroundColor Red Write-Host "Voer het script uit met -Remediation om dit op te lossen." -ForegroundColor Yellow } return $result } function Invoke-Revert { <# .SYNOPSIS Waarschuwt tegen het uitschakelen van Microsoft Defender for Endpoint #> [CmdletBinding()] param() Write-Host "`n⚠️ WARNING: Microsoft Defender for Endpoint uitschakelen wordt NIET aanbevolen" -ForegroundColor Yellow Write-Host "Dit verhoogt het risico op ongedetecteerde endpointbedreigingen aanzienlijk." -ForegroundColor Yellow Write-Host "`nAls u toch wilt uitschakelen:" -ForegroundColor Gray Write-Host " 1. Schakel Defender for Servers Plan 2 uit (dit schakelt ook MDE uit)" -ForegroundColor Gray Write-Host " 2. Gebruik: Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Free'" -ForegroundColor Gray Write-Host "`nLET OP: Dit schakelt alle geavanceerde endpointbeveiliging uit!" -ForegroundColor Red Write-Host "Endpoints worden kwetsbaar voor fileless-aanvallen, ransomware en zero-day exploits." -ForegroundColor Red } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Microsoft Defender for Endpoint Monitoring" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou Microsoft Defender for Endpoint implementeren voor $($result.NonCompliantCount) abonnement(en)" -ForegroundColor Yellow if ($result.NonCompliantCount -gt 0) { Write-Host "`nAbonnementen die zouden worden geactiveerd:" -ForegroundColor Yellow $result.Details | Where-Object { $_ -like "✗*" } | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle $($result.TotalResources) abonnement(en) hebben Microsoft Defender for Endpoint geïmplementeerd." -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) van $($result.TotalResources) abonnement(en) hebben Microsoft Defender for Endpoint niet geïmplementeerd." -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray Write-Host "Gebruik -Remediation om Microsoft Defender for Endpoint te implementeren" -ForegroundColor Gray } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder Microsoft Defender for Endpoint blijven moderne bedreigingen zoals fileless-aanvallen, ransomware, zero-day exploits en advanced persistent threats ongedetecteerd. Gemiddelde ransomwarekosten: twee tot vijf miljoen euro per incident. Compliance: CIS 2.1.2, BIO 12.02/12.06/14.02, NIS2 en ISO 27001 vereisen endpointdetectie en -respons. Het risico is kritiek voor alle productie-endpoints.

Management Samenvatting

Microsoft Defender for Endpoint biedt: geavanceerde endpointdetectie en -respons (EDR), real-time bedreigingsdetectie, fileless-aanvalbescherming, ransomware-detectie, zero-day exploit-bescherming, automatische onderzoeken en respons (AIR), threat and vulnerability management. Implementatie: automatisch via Defender for Servers Plan 2 voor Azure VM's, of handmatig via Intune/Group Policy voor andere endpoints. Kosten: inbegrepen in Defender for Servers Plan 2 (€13/server/maand) of standalone licentie. Verplicht voor alle productie-endpoints. Implementatie: 8-12 uur.