L2 BIO 12.02 ISO A.12.2.1 CIS 2.1.2

Microsoft Defender For Cloud: Defender For Servers Inschakelen

📅 2025-10-29
⏱️ 15 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender voor servers (Plan 1 of Plan 2) biedt geavanceerde bedreigingsbescherming voor Azure virtuele machines en Arc-ingeschakelde servers. De oplossing integreert Microsoft Defender voor Endpoint, kwetsbaarheidsbeoordeling, bestandsintegriteitsbewaking, just-in-time VM-toegang en adaptieve applicatiecontroles in één geïntegreerd beveiligingsplatform.

Aanbeveling
IMPLEMENTEER VERPLICHT VOOR SERVERS
Risico zonder
Critical
Risk Score
9/10
Implementatie
6u (tech: 4u)
Van toepassing op:
Azure VMs
Azure Arc servers

Servers vormen de primaire doelwitten voor ransomware-aanvallen, cryptomining-operaties, laterale beweging door netwerken en datadiefstal. Zonder gespecialiseerde serverbescherming blijven geavanceerde bedreigingen onopgemerkt, zoals fileless malware die geen bestanden op schijf achterlaat, geheugen-gebaseerde aanvallen die traditionele antivirus omzeilen, PowerShell-exploits die binnen geautoriseerde scripts opereren, diefstal van inloggegevens via pass-the-hash-technieken, privilege escalation waarbij aanvallers zichzelf admin-rechten verschaffen, en zero-day exploits die nog niet gedetecteerd kunnen worden door signature-based beveiliging. Traditionele antivirussoftware detecteert moderne bedreigingen niet omdat deze gebruik maken van geautoriseerde tools en technieken die legitiem lijken. Defender voor servers integreert EDR (Endpoint Detection and Response), gedragsanalyse en bedreigingsinformatie voor realtime bescherming tegen deze geavanceerde aanvallen. Voor naleving van CIS Benchmarks, NIS2-richtlijnen en de BIO Baseline is server-level detectie van beveiligingsdreigingen verplicht gesteld.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle activeert Microsoft Defender voor servers op alle Azure-abonnementen. Er zijn twee plannen beschikbaar: Plan 1 biedt basis EDR-functionaliteit met Microsoft Defender voor Endpoint, terwijl Plan 2 het volledige functiepakket bevat. Plan 2 bevat geïntegreerde Defender voor Endpoint P2 met volledige endpoint detection and response capaciteiten, Qualys kwetsbaarheidsscanner voor continue beveiligingsbeoordeling, bestandsintegriteitsbewaking (FIM) die onbevoegde wijzigingen aan kritieke systeembestanden detecteert, adaptieve applicatiecontroles die ongeautoriseerde software-uitvoering voorkomt, just-in-time VM-toegang die netwerkpoorten alleen opent wanneer toegang nodig is, adaptieve netwerkbeveiliging die automatisch netwerkbeveiligingsgroepen versterkt, Docker host beveiliging voor containeromgevingen, agentloze scanning voor servers zonder agent installatie, en geavanceerde bedreigingsdetectie met machine learning algoritmes. De controle verifieert het VirtualMachines prijsniveau per abonnement om te bevestigen dat Defender voor servers actief is geconfigureerd.

Vereisten

Voor de activering van Defender voor servers moet aan een aantal technische en organisatorische vereisten worden voldaan. Deze vereisten zorgen ervoor dat de implementatie soepel verloopt en dat alle functionaliteiten optimaal kunnen worden benut. **Azure Abonnementsvereisten** Om Defender voor servers te activeren heeft u een Azure-abonnement nodig met ten minste eigenaarsrechten of bijdragerrechten op abonnementsniveau. Eigenaarsrechten zijn noodzakelijk wanneer u wijzigingen wilt doorvoeren in de beveiligingsinstellingen en factureringsconfiguratie. Bijdragerrechten zijn voldoende wanneer u alleen de beveiligingsinstellingen kunt configureren. Het is belangrijk dat deze rechten op abonnementsniveau zijn toegewezen, niet alleen op resourcegroeppniveau, omdat Defender voor Cloud zijn configuratie op abonnementsniveau beheert. Wanneer u werkt met meerdere abonnementen binnen een tenant, moet u voor elk abonnement afzonderlijk de juiste rechten hebben. Dit is vooral relevant voor organisaties met een Enterprise Agreement of CSP-structuur waarbij meerdere abonnementen onder verschillende kostenplaatsen vallen. **PowerShell Omgeving** De implementatie en het beheer van Defender voor servers gebeurt primair via PowerShell. U heeft PowerShell versie 5.1 of hoger nodig op uw beheerwerkstation. Voor moderne implementaties wordt PowerShell 7.0 of hoger aanbevolen vanwege verbeterde prestaties en cross-platform ondersteuning. Naast de PowerShell-versie zijn specifieke Azure PowerShell-modules vereist: Az.Accounts voor authenticatie en sessiebeheer, en Az.Security voor beveiligingsconfiguraties en compliance-controle. Deze modules kunnen worden geïnstalleerd via de PowerShell Gallery met het commando Install-Module. Het is essentieel dat u regelmatig updates installeert voor deze modules om toegang te houden tot de nieuwste functionaliteiten en beveiligingsverbeteringen. **Serveromgeving** Defender voor servers kan worden geactiveerd voor verschillende serveromgevingen. Azure virtuele machines die draaien op Windows Server of Linux zijn direct compatibel wanneer deze worden beheerd via Azure Resource Manager. Daarnaast ondersteunt de oplossing Arc-ingeschakelde servers, wat betekent dat on-premises servers, servers in andere cloudomgevingen, of servers op de edge-locaties ook kunnen worden beschermd wanneer deze zijn geregistreerd via Azure Arc. Deze flexibiliteit is cruciaal voor hybride omgevingen waar organisaties servers hebben verspreid over verschillende locaties maar centrale beveiligingsbeheer willen. **Log Analytics Workspace** Voor de verzameling en analyse van beveiligingsgegevens is een Log Analytics workspace vereist. Deze workspace dient als centrale opslaglocatie voor alle beveiligingslogboeken, waarschuwingen en telemetrie-gegevens die worden verzameld door de Defender-agenten en scanners. Organisaties kunnen een bestaande workspace gebruiken of een nieuwe aanmaken specifiek voor beveiligingsdoeleinden. Het is belangrijk om rekening te houden met de kosten van gegevensopslag in Log Analytics, vooral wanneer u Plan 2 gebruikt met uitgebreide logging en detectie. Het bewaren van gegevens gedurende minimaal 90 dagen wordt aanbevolen voor effectieve incident response en forensische analyse. **Netwerkconnectiviteit** De Defender-agenten en scanners hebben stabiele netwerkconnectiviteit nodig naar Azure-services om telemetriegegevens te verzenden en updates te ontvangen. Virtuele machines in Azure hebben standaard uitgaande internetconnectiviteit, maar wanneer u werkt met private endpoints of netwerkbeperkingen moet u ervoor zorgen dat specifieke URLs en IP-adressen zijn toegestaan. Voor Arc-ingeschakelde servers moet de netwerkconnectiviteit naar Azure-services expliciet worden geconfigureerd, wat kan betekenen dat firewallregels of proxy-instellingen moeten worden aangepast. **Plan Selectie** Tenslotte moet u een keuze maken tussen Plan 1 en Plan 2. Plan 1 kost €4 per server per maand en biedt basis kwetsbaarheidsscanning en endpoint detection. Plan 2 kost €12 per server per maand en omvat het volledige functiepakket inclusief geavanceerde EDR-capaciteiten, bestandsintegriteitsbewaking, adaptieve applicatiecontroles en just-in-time VM-toegang. De keuze tussen beide plannen hangt af van uw beveiligingsvereisten, compliance-verplichtingen en budget. Voor productieomgevingen met gevoelige gegevens wordt Plan 2 sterk aanbevolen vanwege de uitgebreide bedreigingsdetectie en response-mogelijkheden.

Monitoring en Compliance Controle

Gebruik PowerShell-script defender-for-servers-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor compliance-controle van Defender voor servers status per abonnement..

Het monitoren van de Defender voor servers configuratie is essentieel om te waarborgen dat alle virtuele machines adequaat worden beschermd tegen moderne bedreigingen. Het monitoring script gebruikt de Azure PowerShell cmdlet Get-AzSecurityPricing met de parameter -Name 'VirtualMachines' om het prijsniveau te controleren voor elk abonnement binnen de tenant. Wanneer het prijsniveau is ingesteld op 'Standard' betekent dit dat Defender voor servers actief is ingeschakeld voor dat specifieke abonnement. Het 'Free' niveau geeft aan dat de basis beveiligingsfuncties van Defender voor Cloud actief zijn, maar dat de geavanceerde serverbescherming niet is geactiveerd. **Automatische Compliance Controle** Het monitoring script doorloopt systematisch alle Azure-abonnementen binnen de tenant en controleert voor elk abonnement de status van Defender voor servers. Dit proces kan worden geautomatiseerd met behulp van Azure Automation runbooks of Azure Policy om continu te monitoren of de configuratie voldoet aan de organisatorische beveiligingsstandaarden. Wanneer het script een abonnement detecteert waarbij Defender voor servers niet is ingeschakeld, genereert het een rapport met details over het betreffende abonnement en de benodigde acties om de configuratie te corrigeren. **Rapportage en Documentatie** De uitvoer van het monitoring script bevat gedetailleerde informatie over de status van Defender voor servers voor elk gecontroleerd abonnement. Deze informatie omvat het abonnement-ID, de abonnementsnaam, het huidige prijsniveau, en indien van toepassing aanbevelingen voor verbetering. Deze rapporten kunnen worden gebruikt voor compliance-doeleinden, interne audits, en managementrapportage. Het is belangrijk om deze rapporten regelmatig te genereren en te archiveren voor bewijsvoering tijdens externe audits of certificeringsprocessen. Voor organisaties die moeten voldoen aan CIS Benchmarks, BIO Baseline, of NIS2-richtlijnen is deze documentatie essentieel om aan te tonen dat alle serveromgevingen adequaat worden beschermd. **Continuïteit van Monitoring** Na de initiële activatie van Defender voor servers is het van cruciaal belang om continu te monitoren of de configuratie ongewijzigd blijft. Onbedoelde wijzigingen in de configuratie kunnen optreden als gevolg van automatische updates, wijzigingen in beheerprocessen, of menselijke fouten. Door regelmatige monitoring kunnen deze wijzigingen snel worden gedetecteerd en gecorrigeerd voordat ze leiden tot verminderde beveiliging. Azure Policy kan worden gebruikt om automatisch te detecteren wanneer een abonnement niet voldoet aan de vereiste Defender voor servers configuratie, en indien gewenst automatisch corrigerende maatregelen te nemen. **Integratie met Beveiligingsoperaties** Het monitoring proces kan worden geïntegreerd met bestaande Security Operations Center (SOC) workflows en tools. Waarschuwingen over niet-geconfigureerde Defender voor servers kunnen worden doorgestuurd naar beveiligingsincident management systemen, waardoor beveiligingsanalisten direct kunnen worden gewaarschuwd wanneer er een potentiële beveiligingsrisico wordt gedetecteerd. Deze integratie zorgt ervoor dat beveiligingsproblemen snel worden geïdentificeerd en aangepakt, wat essentieel is voor het handhaven van een sterke beveiligingspositie in moderne cloudomgevingen.

Remediatie en Implementatie

Gebruik PowerShell-script defender-for-servers-enabled.ps1 (functie Invoke-Remediation) – Automatische activering met Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard'..

Het remediëren van niet-geconfigureerde Defender voor servers is een kritieke beveiligingsmaatregel die moet worden uitgevoerd zodra een ontbrekende configuratie wordt gedetecteerd. Het remediatie script gebruikt de Azure PowerShell cmdlet Set-AzSecurityPricing met de parameters -Name 'VirtualMachines' en -PricingTier 'Standard' om Defender voor servers te activeren voor een specifiek abonnement. Dit proces kan worden geautomatiseerd met behulp van Azure Automation runbooks of Azure Policy om automatisch corrigerende maatregelen te nemen wanneer een abonnement niet voldoet aan de vereiste configuratie. **Automatische Agent Implementatie** Na activering van Defender voor servers worden agents automatisch geïnstalleerd op alle virtuele machines binnen het abonnement, mits auto-provisioning is ingeschakeld in de Defender voor Cloud instellingen. Auto-provisioning kan worden geconfigureerd via de Azure Portal in de Beveiligingsbeleid sectie van Defender voor Cloud, of via Azure Policy om te zorgen dat automatische agent installatie altijd is ingeschakeld. Voor Arc-ingeschakelde servers moet de agent handmatig worden geïnstalleerd via de Arc-agent extensie, maar zodra geïnstalleerd wordt deze beheerd door Defender voor servers. **Implementatie Tijdlijn** De volledige bescherming door Defender voor servers is actief binnen 24 tot 48 uur na activatie. Tijdens deze periode worden de agents geïnstalleerd, configuraties gesynchroniseerd, en baselines vastgesteld. De kwetsbaarheidsbeoordeling baseline wordt opgebouwd over een periode van 7 dagen, gedurende welke tijd het systeem leert welke software en configuraties normaal zijn op de servers. Na deze periode worden de eerste kwetsbaarheidsrapporten gegenereerd en worden beveiligingswaarschuwingen actief gecontroleerd. Het is belangrijk om rekening te houden met deze tijdlijn bij planning van implementaties en om gedurende deze periode extra monitoring uit te voeren. **Configuratie en Optimalisatie** Na de initiële activatie moeten verschillende configuratie-opties worden geoptimaliseerd voor de specifieke organisatievereisten. Dit omvat het configureren van waarschchuwingen en notificaties, het instellen van automatische responsacties, het configureren van Log Analytics workspace integraties, en het aanpassen van de gevoeligheid van bedreigingsdetectie. Voor Plan 2 omvat dit ook het configureren van bestandsintegriteitsbewaking om kritieke systeembestanden en mappen te monitoren, het instellen van adaptieve applicatiecontroles om ongeautoriseerde software-uitvoering te voorkomen, en het configureren van just-in-time VM-toegang om netwerkpoorten alleen te openen wanneer toegang nodig is. **Testing en Validatie** Na implementatie is het essentieel om de configuratie te testen en te valideren om te bevestigen dat alle functionaliteiten correct werken. Dit omvat het genereren van testwaarschuwingen, het controleren van agent communicatie, het valideren van logboekverzameling, en het testen van automatische responsacties. Het is ook belangrijk om te testen of de configuratie voldoet aan compliance-vereisten door de monitoring scripts uit te voeren en de rapporten te controleren. Deze validatie moet worden gedocumenteerd voor audit-doeleinden. **Communicatie en Training** Implementatie van Defender voor servers heeft impact op verschillende teams binnen de organisatie. Het is belangrijk om beveiligingsteams te trainen in het gebruik van de nieuwe beveiligingsfunctionaliteiten, IT-beheerders te informeren over wat er verwacht wordt van hen, en het management te informeren over de verbeterde beveiligingspositie. Training moet omvatten hoe waarschuwingen worden geïnterpreteerd, hoe incidenten moeten worden aangepakt, en hoe rapporten moeten worden gelezen. Deze communicatie en training zorgt ervoor dat de organisatie optimaal gebruik kan maken van de nieuwe beveiligingsmogelijkheden.

Compliance en Auditing

Deze controle helpt bij het voldoen aan verschillende nationale en internationale beveiligingsstandaarden en compliance-vereisten. Implementatie van Defender voor servers is niet alleen een technische beveiligingsmaatregel, maar ook een essentiële component voor het demonstreren van naleving tijdens audits en certificeringsprocessen. **CIS Azure Foundations Benchmark** De CIS Azure Foundations Benchmark v3.0.0 vereist in controle 2.1.2 dat Microsoft Defender voor servers is ingeschakeld op alle Azure-abonnementen die virtuele machines bevatten. Deze controle is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor omgevingen met hogere beveiligingsvereisten. Tijdens CIS-audits wordt gecontroleerd of het VirtualMachines prijsniveau is ingesteld op 'Standard' voor alle relevante abonnementen. Niet-naleving van deze controle resulteert in een negatieve auditbevinding en kan leiden tot weigering van certificering. Het monitoring script kan worden gebruikt om te bewijzen dat deze controle is geïmplementeerd en actief wordt gecontroleerd. **BIO Baseline Informatiebeveiliging Overheid** De BIO Baseline Informatiebeveiliging Overheid vereist in Thema 12.02 en 12.06 bescherming tegen schadelijke software en kwetsbaarheidsbeheer op alle serveromgevingen. Thema 12.02 specificeert dat organisaties technische maatregelen moeten implementeren om schadelijke software te detecteren en te verwijderen, terwijl Thema 12.06 vereist dat organisaties technische kwetsbaarheden identificeren, beoordelen en verhelpen. Defender voor servers voldoet aan beide vereisten door geavanceerde malware detectie via EDR-functionaliteit, kwetsbaarheidsscanning via geïntegreerde Qualys scanner, en automatische waarschuwingen wanneer bedreigingen worden gedetecteerd. Voor overheidsorganisaties die moeten voldoen aan BIO is implementatie van Defender voor servers verplicht voor alle productieserveromgevingen. **ISO 27001 Informatiebeveiligingsbeheer** ISO 27001 vereist in controles A.12.2.1 en A.12.6.1 maatregelen tegen malware en kwetsbaarheidsbeheer. Controle A.12.2.1 specificeert dat organisaties detectie- en preventiemaatregelen moeten implementeren tegen schadelijke code, terwijl controle A.12.6.1 vereist dat organisaties technische kwetsbaarheden in informatie systemen beheersen. Defender voor servers voldoet aan beide controles door geavanceerde endpoint detection and response, realtime bedreigingsdetectie, automatische waarschuwingen, en continue kwetsbaarheidsscanning. Tijdens ISO 27001-certificering wordt gecontroleerd of deze controles zijn geïmplementeerd en actief worden gebruikt. **NIS2 Richtlijn** De NIS2 Richtlijn vereist in Artikel 21 dat organisaties cybersecurity risicobeheersmaatregelen implementeren, inclusief server bescherming tegen geavanceerde bedreigingen. Artikel 21 specificeert dat organisaties technische maatregelen moeten nemen om beveiligingsdreigingen te detecteren, te voorkomen en te reageren op beveiligingsincidenten. Defender voor servers voldoet aan deze vereiste door geavanceerde bedreigingsdetectie, automatische incident response, en integratie met Security Operations Center workflows. Voor organisaties die onder NIS2 vallen is implementatie van geavanceerde serverbeveiliging verplicht gesteld. Niet-naleving kan leiden tot boetes en sancties. **PCI-DSS Payment Card Industry Data Security Standard** PCI-DSS v4.0 vereist in Requirement 5 en Requirement 11 bescherming tegen malware en kwetsbaarheidsscanning. Requirement 5 specificeert dat organisaties antivirussoftware moeten implementeren op alle systemen die gevoelig zijn voor malware, terwijl Requirement 11 vereist dat organisaties kwetsbaarheidsscanning uitvoeren om beveiligingsproblemen te identificeren. Defender voor servers voldoet aan beide requirements door geavanceerde endpoint detection and response die verder gaat dan traditionele antivirus, continue kwetsbaarheidsscanning, en automatische rapportage. Voor organisaties die creditcardgegevens verwerken is naleving van PCI-DSS verplicht, en niet-naleving kan leiden tot hoge boetes en intrekking van verwerkingslicenties. **Audit Bewijsvoering** Voor alle compliance-standaarden is het belangrijk om bewijs te verzamelen en te documenteren dat Defender voor servers is geïmplementeerd en actief wordt gebruikt. Dit bewijs omvat Defender pricing tier status rapporten, EDR deployment status documentatie, kwetsbaarheidsbeoordeling rapporten, security alert logs, en monitoring script uitvoer. Deze documentatie moet worden bewaard voor minimaal 7 jaar voor audit-doeleinden, en kan worden gebruikt om te demonstreren dat organisaties actief werken aan het verbeteren van hun beveiligingspositie. Het is belangrijk om deze documentatie regelmatig te genereren en te archiveren voor bewijsvoering tijdens externe audits of certificeringsprocessen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Servers .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.2 Controleert of Microsoft Defender for Servers is ingeschakeld op alle subscriptions. Biedt protection voor virtual machines en fysieke servers. .NOTES Filename: defender-for-servers-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/defender-for-servers-enabled.json CIS Control: 2.1.2 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender for Servers" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "defender-for-servers-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ $result.Details += "✓ Subscription '$($sub.Name)' heeft Defender for Servers enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ Subscription '$($sub.Name)' heeft Defender for Servers DISABLED" $result.Recommendations += "Enable Defender for Servers op '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $fixed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -ne 'Standard') { Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard" -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled for: $($sub.Name)" -ForegroundColor Green $fixed++ } } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou enablen voor $($result.NonCompliantCount) subscription(s)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder Defender voor servers blijven virtuele machines onbeschermd tegen geavanceerde bedreigingen. Ransomware-aanvallen blijven ongedetecteerd totdat versleuteling compleet is, waardoor herstel vrijwel onmogelijk wordt. Geavanceerde malware en zero-day exploits opereren onopgemerkt omdat traditionele antivirussoftware deze niet kan detecteren. Kwetsbaarheidsscanning ontbreekt waardoor bekende CVEs ongepatcht blijven en aanvallers kunnen misbruiken van bekende beveiligingslekken. Laterale beweging detectie faalt waardoor aanvallers vrij kunnen bewegen door het netwerk zonder opgemerkt te worden. Bestandsintegriteitsbewaking ontbreekt waardoor onbevoegde wijzigingen aan kritieke systeembestanden onopgemerkt blijven. Gemiddelde kosten van een ransomware-aanval bedragen €2-5 miljoen, exclusief reputatieschade en operationele impact. Compliance-vereisten: CIS 2.1.2, BIO 12.02, NIS2 Artikel 21 vereisen endpoint bedreigingsdetectie op alle productieserveromgevingen. Het risico is kritiek voor alle productie-virtuele machines.

Management Samenvatting

Defender voor servers biedt uitgebreide VM-bescherming: EDR-capaciteiten voor detectie van ransomware, malware en zero-day exploits, kwetsbaarheidsscanning voor besturingssysteem en software CVE-detectie, bestandsintegriteitsbewaking die onbevoegde wijzigingen aan kritieke bestanden detecteert, adaptieve applicatiecontroles die ongeautoriseerde software-uitvoering voorkomt, just-in-time VM-toegang die netwerkpoorten alleen opent wanneer toegang nodig is, en netwerkbeveiligingsaanbevelingen die automatisch netwerkbeveiligingsgroepen versterken. Plan 1 kost €4 per VM per maand en biedt basis kwetsbaarheidsscanning. Plan 2 kost €12 per VM per maand en omvat volledige EDR-functionaliteit, bestandsintegriteitsbewaking en just-in-time toegang. Activatie: Defender for Cloud → Servers → inschakelen en selecteer plan. Verplicht voor CIS 2.1.2, BIO 12.02, NIS2 Artikel 21. Implementatie: 4-6 uur. Verplicht voor productie-VMs.