L2 BIO 12.06.01 ISO A.12.6.1 CIS 2.1.11

Microsoft Defender For Cloud: Defender Voor IoT Inschakelen

📅 2025-01-15
⏱️ 15 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender voor IoT biedt geavanceerde beveiligingsbescherming voor Internet of Things (IoT) en operationele technologie (OT) omgevingen door middel van gedragsanalyse van apparaten, kwetsbaarheidsscanning van firmware, gespecialiseerde bedreigingsinformatie en real-time detectie van IoT-specifieke cyberaanvallen die specifiek gericht zijn op verbonden apparaten en industriële systemen.

Aanbeveling
IMPLEMENTEER VOOR ALLE IOT WORKLOADS
Risico zonder
High
Risk Score
9/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Azure IoT Hub
IoT-apparaten
Operationele technologie (OT)
Industriële besturingssystemen (ICS)
Edge-apparaten

IoT-apparaten vormen een kritiek beveiligingsrisico omdat zij vaak worden geïmplementeerd met zwakke authenticatiemechanismen, verouderde firmware zonder beveiligingspatches, ontbrekende versleuteling van data in transit en at rest, en standaardwachtwoorden die nooit worden gewijzigd. Cybercriminelen misbruiken deze kwetsbaarheden systematisch voor verschillende kwaadaardige doeleinden, waaronder het opzetten van massale botnets zoals het beruchte Mirai-botnet dat honderdduizenden IoT-apparaten infecteerde en gebruikte voor gedistribueerde denial-of-service aanvallen (DDoS) tegen kritieke infrastructuren. Laterale beweging naar bedrijfsnetwerken is een andere veelvoorkomende aanvalstechniek waarbij gecompromitteerde IoT-apparaten worden gebruikt als springplank om toegang te krijgen tot interne systemen en gevoelige gegevens. Cryptomining-malware die IoT-apparaten infecteert kan aanzienlijke operationele kosten veroorzaken door compute-resources te verbruiken zonder dat organisaties hiervan op de hoogte zijn, terwijl diefstal van gegevens via sensoren en camera's kan leiden tot privacy-inbreuken en schending van de Algemene Verordening Gegevensbescherming (AVG). Ransomware-aanvallen die specifiek gericht zijn op IoT-infrastructuren kunnen kritieke systemen uitschakelen, zoals slimme stadsinfrastructuren, industriële besturingssystemen, of medische IoT-apparaten, wat kan leiden tot maatschappelijke ontwrichting, productiestilstand, of zelfs veiligheidsrisico's voor burgers. Azure IoT Hub fungeert vaak als de centrale gateway naar duizenden of zelfs miljoenen verbonden apparaten, waardoor het een kritiek aanvalsoppervlak vormt voor potentiële indringers die proberen toegang te krijgen tot het volledige IoT-ecosysteem. Traditionele beveiligingsoplossingen begrijpen IoT-protocollen zoals MQTT, AMQP en CoAP niet volledig en kunnen daarom IoT-specifieke bedreigingen niet effectief detecteren, wat een gevaarlijke blinde vlek creëert in de beveiligingspostuur van organisaties die afhankelijk zijn van IoT-technologie. Zonder gespecialiseerde IoT-beveiliging blijven al deze bedreigingen onopgemerkt totdat zij daadwerkelijk worden uitgebuit, wat kan leiden tot datalekken, service-onderbrekingen, financiële schade, en in het geval van kritieke infrastructuren, zelfs tot maatschappelijke ontwrichting.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze best practice beschrijft het proces voor het inschakelen en configureren van Microsoft Defender voor IoT op Azure-abonnementen die IoT Hubs, IoT-apparaten, of operationele technologie (OT) systemen bevatten. Defender voor IoT biedt een uitgebreide set beveiligingsmogelijkheden die specifiek zijn ontworpen voor IoT- en OT-omgevingen, beginnend met continue monitoring van IoT Hub-telemetrie die alle communicatie tussen apparaten en de cloud analyseert op verdacht gedrag, anomalieën en potentiële bedreigingen. Anomaliedetectie voor apparaatgedrag identificeert ongebruikelijke datavolumes die kunnen wijzen op datalekken of misbruik, afwijkende verbindingspatronen die kunnen duiden op gecompromitteerde apparaten, en onverwachte communicatie tussen apparaten die normaal gesproken niet met elkaar zouden moeten communiceren. Kwetsbaarheidsbeoordeling voor apparaatfirmware scant firmware op bekende Common Vulnerabilities and Exposures (CVE's) en classificeert deze op basis van hun ernst en impact, waardoor beveiligingsteams kwetsbaarheden kunnen prioriteren en oplossen voordat zij kunnen worden uitgebuit. Detectie van gecompromitteerde apparaten identificeert apparaten die mogelijk zijn geïnfecteerd met malware, deel uitmaken van een botnet, of worden gebruikt voor kwaadaardige doeleinden. IoT-protocolanalyse analyseert MQTT, AMQP en CoAP-communicatie op verdachte patronen, onbevoegde toegangspogingen, en protocol-specifieke aanvallen. Bedreigingsinformatie voor IoT-specifieke malware biedt real-time inzicht in bekende IoT-bedreigingen en helpt organisaties proactief te reageren op nieuwe bedreigingen. Beveiligingsaanbevelingen per apparaat helpen bij het verbeteren van de beveiligingsconfiguratie van individuele apparaten, terwijl waarschuwingen voor niet-geautoriseerde apparaten organisaties helpen om onbekende of onbevoegde apparaten te identificeren die mogelijk een beveiligingsrisico vormen. De kostenstructuur is gebaseerd op het aantal berichten per dag, waarbij de eerste 400 berichten per dag gratis zijn en aanvullende berichten tegen betaling worden verwerkt, wat een kosteneffectieve investering is gezien de uitgebreide beveiligingsbescherming die wordt geboden.

Vereisten en Voorbereiding

Voor het succesvol inschakelen van Microsoft Defender voor IoT moeten organisaties voldoen aan een reeks technische, licentie- en organisatorische vereisten die essentieel zijn voor een soepele implementatie en optimale werking van de beveiligingsoplossing. Deze vereisten vormen de fundamentele basis waarop de IoT-beveiligingsoplossing wordt gebouwd en zijn cruciaal om ervoor te zorgen dat de implementatie succesvol verloopt zonder onverwachte belemmeringen of configuratiefouten die kunnen leiden tot gedeeltelijke of onvolledige beveiligingsdekking.

De primaire licentievereiste betreft de Azure-abonnementen waarop Defender voor IoT wordt geactiveerd. Organisaties moeten beschikken over een Azure-abonnement met eigenaar- of bijdragerrechten op abonnementsniveau, omdat de activering van Defender voor IoT wijzigingen vereist in de beveiligingsprijstiers en resourceconfiguraties die alleen kunnen worden uitgevoerd met deze verhoogde rechten. Zonder de juiste rechten kunnen beheerders de service niet activeren of configureren, wat een belemmering vormt voor de implementatie van adequate IoT-beveiliging en kan leiden tot situaties waarin IoT-apparaten en -systemen onbeschermd blijven. Het is raadzaam om te werken met een service principal of managed identity die specifiek is aangemaakt voor automatiseringsdoeleinden, bij voorkeur met minimale benodigde rechten voor het uitvoeren van beveiligingsconfiguratietaken, om het principe van least privilege te volgen en de beveiligingsposture te verbeteren.

De technische omgeving vereist PowerShell versie 5.1 of hoger voor Windows-systemen, of PowerShell Core versie 7.0 of hoger voor cross-platform ondersteuning op Linux- en macOS-systemen. Deze versievereisten zijn belangrijk omdat de Azure PowerShell-modules moderne PowerShell-functies gebruiken die niet beschikbaar zijn in oudere versies, en omdat cross-platform ondersteuning essentieel is voor organisaties die geautomatiseerde scripts willen uitvoeren vanuit verschillende operating systems. De Azure PowerShell-modules moeten worden geïnstalleerd, met name de Az.Accounts-module voor authenticatie en sessiebeheer, en de Az.Security-module voor interactie met Azure Defender-services en het beheren van beveiligingsprijstiers. Deze modules kunnen eenvoudig worden geïnstalleerd via het PowerShell Gallery met behulp van de Install-Module-cmdlet, en regelmatige updates worden aanbevolen om toegang te hebben tot de nieuwste functionaliteit, beveiligingspatches en verbeteringen die Microsoft regelmatig uitbrengt.

Een fundamentele vereiste is de aanwezigheid van een geïmplementeerde Azure IoT Hub in het Azure-abonnement waarop Defender voor IoT wordt geactiveerd. Microsoft Defender voor IoT heeft geen effect zonder een actieve IoT Hub, omdat de service specifiek is ontworpen om IoT Hub-telemetrie te monitoren en te analyseren op verdacht gedrag, anomalieën en potentiële bedreigingen. De IoT Hub moet operationeel zijn en apparaten moeten daadwerkelijk verbinding maken en berichten verzenden om betekenisvolle beveiligingsinzichten te genereren. Als organisaties alleen een lege IoT Hub hebben zonder verbonden apparaten, zal de service weliswaar actief zijn, maar geen betekenisvolle beveiligingsinzichten genereren omdat er geen telemetrie is om te analyseren. Het is daarom belangrijk om eerst het IoT-ecosysteem op te zetten voordat Defender voor IoT wordt geactiveerd, zodat de service direct kan beginnen met het monitoren en analyseren van apparaatcommunicatie zodra apparaten verbinding maken.

IoT-apparaten moeten actief verbonden zijn met de IoT Hub en regelmatig telemetrie verzenden om de beveiligingsservice effectief te laten functioneren. De beveiligingsservice analyseert het gedrag van deze apparaten, hun communicatiepatronen, de verzonden gegevens, en de timing van berichten om een baseline te ontwikkelen voor normaal gedrag en om anomalieën te detecteren die kunnen wijzen op compromittering of misbruik. Zonder actieve apparaten kan de service geen baseline voor normaal gedrag vaststellen en geen anomalieën detecteren, omdat er geen referentiepunt is om afwijkingen tegen te meten. Het wordt aanbevolen om minimaal enkele dagen normale activiteit te hebben voordat de volledige beveiligingsmogelijkheden worden geactiveerd, zodat het systeem een nauwkeurig beeld kan krijgen van het verwachte gedragspatroon en betrouwbare detecties kan genereren zonder valse positieven die kunnen leiden tot alert fatigue bij beveiligingsteams.

Microsoft Defender voor Cloud moet reeds zijn ingeschakeld op het Azure-abonnement voordat Defender voor IoT kan worden geactiveerd, omdat Defender voor Cloud de basislaag vormt voor alle Defender-modules en de centrale beveiligingsconsole biedt waarbinnen alle beveiligingsmogelijkheden worden geïntegreerd. De activering van Defender voor Cloud is typisch een eenmalige actie op abonnementsniveau en vormt de eerste stap in het opzetten van een uitgebreide Azure-beveiligingsposture die alle aspecten van cloudbeveiliging omvat, van compute en netwerk tot data en identiteit. Zonder deze basislaag kunnen individuele Defender-modules zoals Defender voor IoT niet worden geactiveerd, omdat zij afhankelijk zijn van de centrale infrastructuur en services die door Defender voor Cloud worden geleverd, inclusief de beveiligingsconsole, bedreigingsinformatie-feeds, en integratie met andere beveiligingsservices.

Financiële overwegingen zijn cruciaal bij de planning van de implementatie, omdat Defender voor IoT variabele kosten met zich meebrengt die gebaseerd zijn op het berichtenvolume van de IoT Hub. De eerste 400 berichten per dag zijn gratis, wat geschikt is voor kleine testomgevingen, ontwikkelingsscenario's, of organisaties met een beperkt aantal IoT-apparaten. Voor productieomgevingen met duizenden of miljoenen berichten per dag kunnen de kosten aanzienlijk oplopen, afhankelijk van het exacte berichtenvolume en de gekozen pricing tier. Het is essentieel om vooraf het verwachte berichtenvolume te schatten op basis van het aantal verbonden apparaten, de frequentie waarmee apparaten berichten verzenden, en de gemiddelde grootte van berichten, en budget toe te wijzen voor de beveiligingsservice. Overweeg ook de kosten-batenanalyse: de potentiële schade van een IoT-beveiligingsincident, inclusief datalekken, service-onderbrekingen, reputatieschade, en mogelijke boetes voor niet-naleving van compliance-vereisten, weegt vaak zwaarder dan de kosten van preventieve beveiliging. Voor organisaties met kritieke IoT-infrastructuren, zoals slimme stadsystemen, industriële besturingssystemen, of medische IoT-apparaten, zijn de kosten van Defender voor IoT een relatief kleine investering gezien de potentiële impact van een beveiligingsincident.

Monitoring en Verificatie

Effectieve monitoring van de status van Microsoft Defender voor IoT is essentieel om te verzekeren dat de service continu actief blijft en continue beveiligingsbescherming biedt voor alle IoT-apparaten en -systemen binnen het Azure-abonnement. Regelmatige verificatie voorkomt dat de service onbedoeld wordt uitgeschakeld, wat zou kunnen gebeuren tijdens beveiligingswijzigingen, kostenbesparingsinitiatieven, herconfiguratie van abonnementen, of door menselijke fouten tijdens beheeractiviteiten. Zonder actieve monitoring bestaat het risico dat Defender voor IoT wordt gedeactiveerd zonder dat beveiligingsteams hiervan op de hoogte worden gesteld, waardoor IoT-apparaten en -systemen kwetsbaar worden voor aanvallen, kwetsbaarheden en beveiligingsincidenten die niet worden gedetecteerd of gereageerd.

De monitoring kan worden uitgevoerd via verschillende methoden, waaronder Azure PowerShell, Azure CLI, de Azure Resource Manager API, of de Azure Portal, afhankelijk van de voorkeur en automatiseringvereisten van de organisatie. De meest directe en geautomatiseerde methode is het gebruik van de Get-AzSecurityPricing-cmdlet uit de Az.Security-module, waarbij de parameter Name wordt ingesteld op 'IoTSecuritySolutions' om de specifieke pricing tier voor Defender voor IoT op te halen voor een bepaald abonnement. Deze cmdlet retourneert belangrijke informatie, waaronder de huidige pricing tier (Standard of Free), de status van de service, en eventuele gerelateerde configuratie-instellingen die van invloed zijn op de functionaliteit en dekking van de beveiligingsoplossing. De pricing tier moet ingesteld zijn op 'Standard' om volledige beveiligingsbescherming te krijgen, inclusief anomaliedetectie, kwetsbaarheidsscanning, bedreigingsinformatie, en alle geavanceerde beveiligingsmogelijkheden die Defender voor IoT biedt.

Naast het controleren van de pricing tier is het belangrijk om te verifiëren dat Defender voor IoT daadwerkelijk actief is op alle IoT Hubs in het abonnement en dat de service correct functioneert door te controleren of beveiligingswaarschuwingen worden gegenereerd voor verschillende activiteitstypen. Dit kan worden geverifieerd via de Azure Portal door naar Microsoft Defender voor Cloud te navigeren, de IoT-sectie te selecteren, en de status per IoT Hub te controleren om te zien of de service actief is en of er eventuele configuratiewaarschuwingen of foutmeldingen zijn die aandacht vereisen. Automatische monitoring kan worden geïmplementeerd met behulp van Azure Monitor alertregels die worden geactiveerd wanneer de pricing tier wijzigt van Standard naar Free, wanneer de service wordt gedeactiveerd, of wanneer er problemen worden gedetecteerd met de beveiligingsservice. Deze alertregels kunnen worden geconfigureerd om beveiligingsteams te informeren via e-mail, SMS, push-notificaties, of integratie met incidentbeheersystemen zoals ServiceNow, Jira of Microsoft Teams, waardoor snelle respons wordt gegarandeerd wanneer problemen worden gedetecteerd.

Het monitoringproces dient regelmatig te worden uitgevoerd, bij voorkeur dagelijks of ten minste wekelijks, afhankelijk van het risicoprofiel van de organisatie, de kritikaliteit van de IoT-workloads, en de compliance-vereisten die van toepassing zijn. Voor organisaties met hoge beveiligingsvereisten, kritieke IoT-workloads zoals industriële besturingssystemen of medische IoT-apparaten, of strikte compliance-verplichtingen zoals NIS2, BIO of ISO 27001, is dagelijkse monitoring aanbevolen om snel te kunnen reageren op eventuele wijzigingen in de serviceconfiguratie en om te verzekeren dat de beveiligingsbescherming continu actief blijft. Geautomatiseerde monitoring via Azure Automation runbooks, Logic Apps workflows, of Azure Functions kan de belasting op beheerders aanzienlijk verminderen terwijl continue controle wordt gegarandeerd, en kan worden gecombineerd met rapportage naar beveiligingsdashboards, SIEM-systemen, of compliance-rapportagetools, zodat de status van Defender voor IoT zichtbaar is voor alle belanghebbenden, inclusief beveiligingsteams, compliance-officers, en bestuurders.

Gebruik PowerShell-script defender-iot-enabled.ps1 (functie Invoke-Monitoring) – Controleert de prijscategorie van Defender voor IoT met Get-AzSecurityPricing -Name 'IoTSecuritySolutions' voor alle abonnementen.

Implementatie en Remediatie

Wanneer monitoring aantoont dat Microsoft Defender voor IoT niet actief is, niet op de juiste pricing tier is ingesteld, of niet correct functioneert op een of meer IoT Hubs, dient onmiddellijke remediatie te worden uitgevoerd om de beveiligingsbescherming te herstellen en te verzekeren dat alle IoT-apparaten en -systemen adequaat worden beschermd tegen bedreigingen en kwetsbaarheden. De activering van Defender voor IoT is een relatief eenvoudig proces dat kan worden uitgevoerd via de Azure Portal, Azure PowerShell, Azure CLI, of Infrastructure as Code-templates zoals ARM-templates of Terraform, afhankelijk van de voorkeur en automatiseringvereisten van de organisatie.

De meest betrouwbare en geautomatiseerde methode voor implementatie is het gebruik van Azure PowerShell met de Set-AzSecurityPricing-cmdlet uit de Az.Security-module, waarbij de parameter Name wordt ingesteld op 'IoTSecuritySolutions' en de parameter PricingTier wordt ingesteld op 'Standard' om volledige beveiligingsbescherming te activeren. Het remediatieproces begint met verificatie van de huidige abonnementsstatus en het bevestigen dat de benodigde rechten aanwezig zijn om wijzigingen aan te brengen op abonnementsniveau, wat essentieel is omdat de activering van Defender voor IoT wijzigingen vereist in de beveiligingsprijstiers die alleen kunnen worden uitgevoerd met eigenaar- of bijdragerrechten. Beheerders dienen zich eerst aan te melden bij Azure met behulp van Connect-AzAccount, waarbij wordt gecontroleerd dat zij zijn aangemeld bij het juiste abonnement met behulp van Get-AzContext om te verzekeren dat wijzigingen worden aangebracht in het correcte abonnement en niet per ongeluk in een ander abonnement.

Nadat de context is geverifieerd, kan de Set-AzSecurityPricing-cmdlet worden uitgevoerd om Defender voor IoT te activeren door de pricing tier in te stellen op 'Standard', wat de service activeert op abonnementsniveau en automatisch Defender voor IoT implementeert op alle IoT Hubs binnen het abonnement. Na activering van de service duurt het enkele minuten voordat Defender voor IoT volledig operationeel is, omdat gedurende deze periode de beveiligingsmogelijkheden worden geïnitialiseerd, de eerste analyses worden gestart, en een baseline wordt ontwikkeld voor normaal apparaatgedrag. Het is belangrijk om na de activering te verifiëren dat de service daadwerkelijk actief is via de Azure Portal of door opnieuw de Get-AzSecurityPricing-cmdlet uit te voeren, en om te controleren of er geen foutmeldingen of waarschuwingen zijn die kunnen wijzen op problemen met de implementatie of configuratie.

Voor organisaties met meerdere Azure-abonnementen dient het remediatieproces te worden uitgevoerd op elk abonnement dat IoT Hubs bevat, wat handmatig tijdrovend kan zijn en foutgevoelig is wanneer abonnementen worden gemist of wanneer configuratiewijzigingen niet consistent worden toegepast. Dit kan worden geautomatiseerd met behulp van PowerShell-scripts die itereren over alle abonnementen in een tenant, waarbij voor elk abonnement wordt gecontroleerd of IoT Hubs aanwezig zijn en of Defender voor IoT actief is, en waarbij automatisch remediatie wordt uitgevoerd als de service niet actief is. Deze geautomatiseerde aanpak zorgt voor consistente beveiligingsdekking over de hele organisatie, vermindert het risico dat IoT-apparaten onbeschermd blijven door menselijke fouten of gemiste abonnementen, en maakt het mogelijk om snel te reageren op wijzigingen in de omgeving, zoals nieuwe abonnementen of IoT Hubs die worden toegevoegd.

Het is belangrijk op te merken dat de activering van Defender voor IoT variabele kosten met zich meebrengt op basis van het berichtenvolume van de IoT Hubs, en dat beheerders zich bewust moeten zijn van deze kosten en deze moeten monitoren na activering om te verzekeren dat de kosten binnen het budget blijven en om onverwachte kosten te voorkomen. De eerste 400 berichten per dag zijn gratis, maar voor productieomgevingen met duizenden of miljoenen berichten per dag kunnen de kosten aanzienlijk oplopen. Als kostenbesparingen nodig zijn, kan overleg worden gepleegd met de beveiligingsteams om te bepalen welke IoT Hubs de hoogste prioriteit hebben voor beveiligingsbescherming, hoewel volledige dekking wordt aanbevolen voor alle productie-IoT Hubs omdat partiële dekking gaten in de beveiliging kan creëren die kunnen worden uitgebuit door aanvallers. Organisaties kunnen ook overwegen om Azure Cost Management en Billing te gebruiken om de kosten van Defender voor IoT te monitoren en te analyseren, en om budgetwaarschuwingen in te stellen die worden geactiveerd wanneer de kosten een bepaalde drempel overschrijden.

Gebruik PowerShell-script defender-iot-enabled.ps1 (functie Invoke-Remediation) – Activeert Defender voor IoT met Set-AzSecurityPricing -Name 'IoTSecuritySolutions' -PricingTier 'Standard' voor alle abonnementen.

Compliance en Auditing

Microsoft Defender voor IoT vormt een essentieel onderdeel van de compliance-positie van organisaties die IoT-apparaten, IoT Hubs, of operationele technologie (OT) systemen gebruiken, omdat het voldoet aan meerdere beveiligingsstandaarden en compliance-frameworks die vereist zijn voor Nederlandse overheidsorganisaties, bedrijven in kritieke sectoren, en organisaties die moeten voldoen aan internationale beveiligingsstandaarden. De implementatie van Defender voor IoT is niet alleen een best practice voor IoT-beveiliging, maar ook een expliciete vereiste volgens verschillende erkende beveiligingsstandaarden die worden gebruikt binnen de Nederlandse publieke sector en daarbuiten, en het niet implementeren van deze oplossing kan leiden tot niet-naleving van compliance-vereisten, audit-bevindingen, en potentiële boetes of handhavingsmaatregelen.

De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 2.1.11 expliciet dat Microsoft Defender voor IoT moet zijn ingesteld op 'On' voor alle Azure-abonnementen die IoT Hubs bevatten, wat betekent dat de pricing tier moet zijn ingesteld op 'Standard' om volledige beveiligingsbescherming te krijgen. Deze benchmark is een internationaal erkende standaard die wordt gebruikt door organisaties wereldwijd om hun Azure-beveiligingsposture te beoordelen en te verbeteren, en vormt een belangrijke basis voor cloudbeveiligingsbest practices. Het niet naleven van deze controle wordt beschouwd als een hoog risico, omdat het betekent dat IoT-apparaten en -systemen niet adequaat worden beschermd tegen kwetsbaarheden en bedreigingen, wat kan leiden tot beveiligingsincidenten, datalekken, service-onderbrekingen, en in het geval van kritieke infrastructuren, zelfs tot maatschappelijke ontwrichting. Auditors die CIS-benchmark-assessments uitvoeren, zullen expliciet controleren of Defender voor IoT actief is door de pricing tier te verifiëren en door te controleren of de service daadwerkelijk functioneert op alle IoT Hubs, en het niet voldoen aan deze vereiste zal resulteren in een bevinding die moet worden gerepareerd voordat de audit kan worden afgerond.

ISO 27001, de internationale standaard voor informatiebeveiligingsmanagementsystemen, bevat verschillende controles die relevant zijn voor IoT-beveiliging. Specifiek verwijst controle A.12.6.1 naar het beheer van technische kwetsbaarheden, wat direct verband houdt met de kwetsbaarheidsscanning en bedreigingsdetectie functionaliteiten van Defender voor IoT die helpen bij het identificeren en beheren van kwetsbaarheden in IoT-apparaten en -firmware. Controle A.13.1.1 betreft netwerkbeveiligingscontroles, wat relevant is omdat IoT-apparaten vaak via netwerken communiceren en kwetsbaar zijn voor netwerkgebaseerde aanvallen, en Defender voor IoT helpt bij het detecteren van verdachte netwerkactiviteit en onbevoegde toegangspogingen. De implementatie van Defender voor IoT helpt organisaties te voldoen aan deze ISO 27001-vereisten door proactieve detectie en beheer van beveiligingsrisico's in IoT-omgevingen te bieden, wat essentieel is voor organisaties die ISO 27001-certificering willen behalen of behouden.

De NIS2-richtlijn (Network and Information Systems Directive 2) is van bijzonder belang voor organisaties die als essentiële entiteiten worden beschouwd, vooral diegenen met operationele technologie (OT) en industriële besturingssystemen (ICS) omgevingen waar IoT-apparaten worden gebruikt in kritieke infrastructuren. Artikel 21 van NIS2 vereist dat essentiële entiteiten passende technische en organisatorische maatregelen nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen, inclusief het identificeren en beoordelen van risico's, het implementeren van beveiligingsmaatregelen, en het monitoren en detecteren van beveiligingsincidenten. Voor organisaties met IoT- en OT-infrastructuren is de implementatie van gespecialiseerde beveiligingsoplossingen zoals Defender voor IoT vaak een kritieke vereiste voor NIS2-naleving, omdat traditionele beveiligingsoplossingen niet effectief zijn voor IoT-specifieke bedreigingen. Het niet voldoen aan deze vereisten kan leiden tot aanzienlijke boetes en reputatieschade, vooral voor organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, en waterbeheer. De NIS2-richtlijn legt specifieke verplichtingen op voor essentiële entiteiten, waaronder het implementeren van passende beveiligingsmaatregelen, het melden van beveiligingsincidenten, en het onderhouden van een hoog beveiligingsniveau. Voor Nederlandse organisaties die onder de NIS2-richtlijn vallen, is het implementeren van Defender voor IoT een concrete stap om te voldoen aan deze verplichtingen, vooral wanneer IoT-apparaten worden gebruikt in kritieke infrastructuren of industriële omgevingen waar een beveiligingsincident kan leiden tot maatschappelijke ontwrichting of veiligheidsrisico's.

IEC 62443 is een internationale standaardreeks die specifiek is ontwikkeld voor de beveiliging van industriële automatiserings- en controlesystemen, en is bijzonder relevant voor industrieel IoT (IIoT) omgevingen waar IoT-apparaten worden gebruikt in productieprocessen en kritieke infrastructuren. IEC 62443 bevat vereisten voor bedreigingsdetectie, kwetsbaarheidsbeheer, beveiligingsmonitoring, en incidentrespons, die allemaal worden ondersteund door de functionaliteiten van Microsoft Defender voor IoT. Organisaties in de industriële sector die IEC 62443 moeten naleven, kunnen Defender voor IoT gebruiken als onderdeel van hun algehele beveiligingsstrategie voor IIoT-systemen. De standaard benadrukt het belang van continue monitoring en detectie van bedreigingen in industriële omgevingen, waar een beveiligingsincident kan leiden tot productiestilstand, veiligheidsrisico's, en aanzienlijke financiële schade. Defender voor IoT biedt de benodigde monitoring- en detectiecapaciteiten die vereist zijn om te voldoen aan de IEC 62443-vereisten, met name voor systemen die worden gebruikt in productieomgevingen, energiecentrales, waterbehandelingsfaciliteiten, en andere kritieke industriële infrastructuren waar IoT-apparaten een integraal onderdeel vormen van de operationele technologie.

Voor auditing en compliance-doeleinden is het belangrijk om regelmatig bewijs te verzamelen dat aantoont dat Defender voor IoT actief is en correct functioneert, inclusief de activeringsstatus, beveiligingswaarschuwingen voor IoT-apparaten, kwetsbaarheidsrapporten voor firmware, bedreigingsinformatie, en eventuele configuratiewaarschuwingen of aanbevelingen. Dit bewijs kan worden verkregen via de Azure Portal, Azure PowerShell-cmdlets, de Azure Resource Manager API, of geautomatiseerde scripts die regelmatig worden uitgevoerd om compliance-rapportages te genereren. Auditlogboeken moeten worden bewaard voor de vereiste retentietijd, typisch zeven jaar voor Nederlandse overheidsorganisaties volgens de Archiefwet, en moeten regelmatig worden beoordeeld om te verzekeren dat de service actief blijft en dat alle beveiligingsgebeurtenissen correct worden gelogd en opgeslagen. Documentatie van de activeringsstatus, beveiligingswaarschuwingen, kwetsbaarheidsrapporten en bedreigingsinformatie moeten worden onderhouden voor auditdoeleinden en kunnen worden gebruikt om te demonstreren aan auditors, toezichthouders, en bestuurders dat de organisatie voldoet aan de vereiste beveiligingsstandaarden en dat adequate maatregelen zijn genomen om IoT-omgevingen te beveiligen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Cloud: Defender voor IoT Inschakelen .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.11 BIO Baseline - Thema 12.06.01, 14.02.01 NIS2 Richtlijn - Artikel 21 IEC 62443 - Industriële IoT-beveiliging Controleert of Microsoft Defender for IoT is ingeschakeld. Biedt threat detection voor IoT-apparaten, IoT Hubs en OT-systemen. .NOTES Filename: defender-iot-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/defender-iot-enabled.json CIS Control: 2.1.11 BIO Controls: 12.06.01, 14.02.01 NIS2 Article: 21 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender for IoT" function Connect-RequiredServices { try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw "Failed to connect to Azure: $_" } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "defender-iot-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null try { $pricing = Get-AzSecurityPricing -Name "IoTSecuritySolutions" -ErrorAction Stop if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ $result.Details += "✓ Subscription '$($sub.Name)': Defender for IoT enabled (Standard tier)" } else { $result.NonCompliantCount++ $result.Details += "✗ Subscription '$($sub.Name)': Defender for IoT DISABLED (Current tier: $($pricing.PricingTier))" $result.Recommendations += "Enable Defender for IoT op '$($sub.Name)' met Set-AzSecurityPricing -Name 'IoTSecuritySolutions' -PricingTier 'Standard'" } } catch { if ($_.Exception.Message -like "*not found*" -or $_.Exception.Message -like "*does not exist*") { $result.NonCompliantCount++ $result.Details += "✗ Subscription '$($sub.Name)': Defender for IoT NOT CONFIGURED" $result.Recommendations += "Enable Defender for IoT op '$($sub.Name)'" } else { $result.NonCompliantCount++ $result.Details += "✗ Subscription '$($sub.Name)': Fout bij controleren - $($_.Exception.Message)" } } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan try { $fixed = 0 $failed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null try { # Check current status $pricing = Get-AzSecurityPricing -Name "IoTSecuritySolutions" -ErrorAction SilentlyContinue if ($pricing -and $pricing.PricingTier -eq 'Standard') { Write-Host " [OK] Already enabled for: $($sub.Name)" -ForegroundColor Green $fixed++ } else { # Enable Defender for IoT Set-AzSecurityPricing -Name "IoTSecuritySolutions" -PricingTier "Standard" -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled for: $($sub.Name)" -ForegroundColor Green $fixed++ Write-Host " Note: Het kan enkele minuten duren voordat de service volledig actief is" -ForegroundColor Gray Write-Host " Kosten: Eerste 400 berichten per dag gratis, daarna variabel op basis van volume" -ForegroundColor Gray } } catch { Write-Host " ✗ Failed for $($sub.Name): $($_.Exception.Message)" -ForegroundColor Red $failed++ } } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green if ($failed -gt 0) { Write-Host "⚠️ Failed: $failed subscription(s)" -ForegroundColor Yellow } Write-Host "`nImportant notes:" -ForegroundColor Cyan Write-Host " • Defender voor IoT is nu actief op alle abonnementen" -ForegroundColor Gray Write-Host " • De service wordt automatisch geïmplementeerd op alle IoT Hubs" -ForegroundColor Gray Write-Host " • Controleer de status via: Azure Portal → Defender voor Cloud → IoT" -ForegroundColor Gray Write-Host " • Monitor kosten via: Azure Portal → Cost Management + Billing" -ForegroundColor Gray } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled/Not Configured: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow $result.Recommendations | ForEach-Object { Write-Host " • $_" -ForegroundColor Gray } } Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle abonnementen hebben Defender voor IoT ingeschakeld." -ForegroundColor Green } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) abonnement(en) hebben Defender voor IoT niet ingeschakeld." -ForegroundColor Red Write-Host "Voer het script uit met -Remediation om dit op te lossen." -ForegroundColor Yellow } return $result } function Invoke-Revert { Write-Host "`n⚠️ WARNING: Defender voor IoT uitschakelen wordt NIET aanbevolen" -ForegroundColor Yellow Write-Host "Dit verhoogt het risico op ongedetecteerde IoT-bedreigingen en kwetsbaarheden." -ForegroundColor Yellow Write-Host "`nAls u toch wilt uitschakelen, gebruik dan:" -ForegroundColor Gray Write-Host " Set-AzSecurityPricing -Name 'IoTSecuritySolutions' -PricingTier 'Free'" -ForegroundColor Gray Write-Host "`nLET OP: Dit schakelt alle beveiligingsbescherming uit voor IoT-apparaten!" -ForegroundColor Red } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou Defender voor IoT inschakelen voor $($result.NonCompliantCount) abonnement(en)" -ForegroundColor Yellow if ($result.NonCompliantCount -gt 0) { Write-Host "`nAbonnementen die zouden worden geactiveerd:" -ForegroundColor Yellow $result.Details | Where-Object { $_ -like "✗*" } | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle $($result.TotalResources) abonnement(en) hebben Defender voor IoT ingeschakeld." -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) van $($result.TotalResources) abonnement(en) hebben Defender voor IoT niet ingeschakeld." -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray Write-Host "Gebruik -Remediation om Defender voor IoT in te schakelen" -ForegroundColor Gray } } catch { Write-Error $_ exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder Defender voor IoT blijven IoT-kwetsbaarheden en -bedreigingen ongedetecteerd. Kwetsbare firmware met CVEs wordt gebruikt zonder scanning, botnet-infecties blijven onopgemerkt, laterale beweging naar bedrijfsnetwerken wordt niet gedetecteerd, en cryptomining-malware veroorzaakt aanzienlijke kosten. De gemiddelde kosten van een IoT-beveiligingsincident bedragen meer dan €500.000. Compliance: CIS 2.1.11, BIO 12.06/14.02, NIS2 en IEC 62443 vereisen IoT-beveiliging. Het risico is hoog voor productie-IoT Hubs en kritiek voor industriële besturingssystemen en kritieke infrastructuren.

Management Samenvatting

Defender voor IoT biedt: anomaliedetectie voor apparaatgedrag (ongebruikelijke datavolumes, verbindingspatronen), kwetsbaarheidsscanning van firmware (pre-deployment CVE-detectie), detectie van gecompromitteerde apparaten (botnet-infecties, malware), IoT-protocolanalyse (MQTT, AMQP, CoAP), bedreigingsinformatie voor IoT-specifieke malware. Activatie: Defender voor Cloud → IoT → AAN. Kosten: eerste 400 berichten per dag gratis, daarna variabel op basis van volume. Verplicht voor CIS 2.1.11, BIO 12.06, NIS2 en IEC 62443. Implementatie: 2-4 uur. Verplicht voor alle productie-IoT Hubs en kritieke infrastructuren.