💼 Management Samenvatting
Microsoft Defender voor IoT Hub biedt geavanceerde detectie van beveiligingsdreigingen voor Internet of Things (IoT) en operationele technologie (OT) omgevingen door middel van gedragsanalyse van apparaten, kwetsbaarheidsscanning van firmware en gespecialiseerde bedreigingsinformatie voor IoT-systemen. Deze service detecteert proactief cyberaanvallen die specifiek gericht zijn op IoT-infrastructuren en helpt organisaties hun IoT-ecosysteem te beschermen tegen moderne bedreigingen. De oplossing is speciaal ontwikkeld om de unieke uitdagingen aan te pakken die gepaard gaan met de beveiliging van miljoenen verbonden apparaten die dagelijks enorme hoeveelheden gegevens genereren en verzenden.
Aanbeveling
IMPLEMENTEER VOOR IoT-WERKBELASTINGEN
Risico zonder
Medium
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure IoT Hub
✓ IoT Devices
✓ IoT Devices
IoT-apparaten zijn vaak kwetsbaar beveiligd met zwakke authenticatiemechanismen, verouderde firmware en ontbrekende versleuteling. Cybercriminelen misbruiken deze kwetsbaarheden voor verschillende kwaadaardige doeleinden, waaronder het opzetten van botnets zoals het beruchte Mirai-botnet, laterale beweging naar bedrijfsnetwerken, gedistribueerde denial-of-service aanvallen (DDoS), cryptomining, diefstal van gegevens via sensoren en de verspreiding van ransomware. Azure IoT Hub fungeert vaak als de centrale gateway naar duizenden verbonden apparaten, waardoor het een kritiek aanvalsoppervlak vormt voor potentiële indringers. Traditionele beveiligingsoplossingen begrijpen IoT-protocollen zoals MQTT, AMQP en CoAP niet volledig en kunnen daarom IoT-specifieke bedreigingen niet effectief detecteren. Dit creëert een gevaarlijke blinde vlek in de beveiligingspostuur van organisaties die afhankelijk zijn van IoT-technologie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Security
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Security
Implementatie
Deze controle activeert Microsoft Defender voor IoT Hub op Azure-abonnementen die IoT Hubs bevatten. De service biedt uitgebreide beveiligingsmogelijkheden, waaronder continue monitoring van IoT Hub-telemetrie, anomaliedetectie voor apparaatgedrag zoals ongebruikelijke datavolumes en afwijkende verbindingspatronen, kwetsbaarheidsbeoordeling voor apparaatfirmware, detectie van gecompromitteerde apparaten, analyse van IoT-protocollen inclusief MQTT, AMQP en CoAP, bedreigingsinformatie voor IoT-specifieke malware, beveiligingsaanbevelingen per apparaat en waarschuwingen voor niet-geautoriseerde apparaten. De kostenstructuur is gebaseerd op het aantal berichten per dag, waarbij de eerste 400 berichten per dag gratis zijn en aanvullende berichten tegen betaling worden verwerkt.
Vereisten
Voordat u Microsoft Defender voor IoT Hub kunt implementeren, moet u ervoor zorgen dat aan alle technische en organisatorische vereisten wordt voldaan. Deze vereisten zijn essentieel voor een succesvolle implementatie en effectieve werking van de beveiligingsservice. De implementatie vereist specifieke Azure-machtigingen, technische omgevingen en budgettaire overwegingen die zorgvuldig moeten worden geëvalueerd voordat u begint met de configuratie.
De primaire vereiste betreft de Azure-abonnementsmachtigingen. U moet beschikken over een Azure-abonnement met eigenaar- of bijdragerrechten op het abonnementsniveau. Deze machtigingen zijn noodzakelijk omdat de activering van Defender voor IoT Hub wijzigingen aanbrengt in de beveiligingsconfiguratie op abonnementsniveau. Eigenaarsrechten bieden volledige controle over alle resources, terwijl bijdragerrechten voldoende zijn voor het configureren van beveiligingsservices. Zonder deze machtigingen kunt u de service niet activeren via de Azure Portal of PowerShell-cmdlets.
Voor de technische implementatie via PowerShell is versie 5.1 of hoger vereist. PowerShell 5.1 is standaard beschikbaar op Windows 10 en Windows Server 2016 en later. Als u werkt met PowerShell 7 of hoger (PowerShell Core), moet u ervoor zorgen dat alle benodigde modules compatibel zijn met deze versie. De vereiste PowerShell-modules zijn Az.Accounts en Az.Security, die deel uitmaken van de Azure PowerShell-modulecollectie. Deze modules kunnen worden geïnstalleerd via de PowerShell Gallery met behulp van de Install-Module cmdlet. Zorg ervoor dat u de nieuwste versies installeert om toegang te hebben tot alle benodigde functies en beveiligingsupdates.
Een fundamentele vereiste is de aanwezigheid van een geïmplementeerde Azure IoT Hub in uw abonnement. Microsoft Defender voor IoT Hub heeft geen effect zonder een actieve IoT Hub, omdat de service specifiek is ontworpen om IoT Hub-telemetrie te monitoren en te analyseren. De IoT Hub moet operationeel zijn en apparaten moeten daadwerkelijk verbinding maken en berichten verzenden. Als u alleen een lege IoT Hub heeft zonder verbonden apparaten, zal de service weliswaar actief zijn, maar geen betekenisvolle beveiligingsinzichten genereren. Het is daarom belangrijk om eerst uw IoT-ecosysteem op te zetten voordat u Defender voor IoT Hub activeert.
IoT-apparaten moeten actief verbonden zijn met de IoT Hub en regelmatig telemetrie verzenden. De beveiligingsservice analyseert het gedrag van deze apparaten, hun communicatiepatronen en de verzonden gegevens. Zonder actieve apparaten kan de service geen baseline voor normaal gedrag vaststellen en geen anomalieën detecteren. Het wordt aanbevolen om minimaal enkele dagen normale activiteit te hebben voordat u de volledige beveiligingsmogelijkheden activeert, zodat het systeem een nauwkeurig beeld kan krijgen van het verwachte gedragspatroon.
Microsoft Defender voor Cloud moet ingeschakeld zijn op het abonnement, omdat Defender voor IoT Hub een onderdeel is van het bredere Defender voor Cloud-ecosysteem. Defender voor Cloud biedt de centrale beveiligingsconsole waar alle beveiligingswaarschuwingen, aanbevelingen en bedreigingsinformatie worden samengebracht. Zonder Defender voor Cloud kunt u de beveiligingsinzichten van IoT Hub niet bekijken of beheren. De activering van Defender voor Cloud is een eenmalige actie op abonnementsniveau en kan worden uitgevoerd via de Azure Portal of via PowerShell.
Budgettaire overwegingen vormen een belangrijke praktische vereiste. De kosten voor Defender voor IoT Hub zijn variabel en gebaseerd op het berichtenvolume van uw IoT Hub. De eerste 400 berichten per dag zijn gratis, wat geschikt is voor kleine testomgevingen of ontwikkelingsscenario's. Voor productieomgevingen met duizenden of miljoenen berichten per dag kunnen de kosten aanzienlijk oplopen. Het is essentieel om vooraf het verwachte berichtenvolume te schatten en budget toe te wijzen voor de beveiligingsservice. Overweeg ook de kosten-batenanalyse: de potentiële schade van een IoT-beveiligingsincident weegt vaak zwaarder dan de kosten van preventieve beveiliging.
Naast deze technische vereisten zijn er ook organisatorische overwegingen die niet mogen worden vergeten. Zorg ervoor dat uw beveiligingsoperaties team bekend is met IoT-beveiligingsconcepten en de specifieke bedreigingen die IoT-apparaten kunnen vormen. IoT-beveiliging verschilt aanzienlijk van traditionele IT-beveiliging, met name omdat IoT-apparaten vaak beperkte rekenkracht hebben, verschillende communicatieprotocollen gebruiken en moeilijk te patchen zijn. Het team moet begrijpen hoe IoT-beveiliging verschilt van traditionele IT-beveiliging, met name de unieke uitdagingen rond apparaatidentificatie, protocolanalyse en firmwarebeveiliging. Training in het interpreteren van IoT-beveiligingswaarschuwingen en het reageren op incidenten is cruciaal voor een effectieve implementatie. IoT-waarschuwingen kunnen informatie bevatten over ongebruikelijk apparaatgedrag, afwijkende communicatiepatronen, verdachte firmware-activiteit en mogelijke compromittering van apparaten. Documenteer ook de verantwoordelijkheden voor het monitoren van waarschuwingen en het uitvoeren van remediatieacties wanneer bedreigingen worden gedetecteerd. Overweeg om gespecialiseerde training te organiseren voor teamleden die verantwoordelijk zijn voor het monitoren en reageren op IoT-beveiligingsincidenten, zodat zij de kennis en vaardigheden hebben om effectief te reageren op IoT-specifieke bedreigingen.
Monitoring en verificatie
Het monitoren van de status van Microsoft Defender voor IoT Hub is een kritieke activiteit voor het waarborgen van continue beveiligingsdekking van uw IoT-infrastructuur. Regelmatige verificatie zorgt ervoor dat de service actief blijft en correct functioneert, wat essentieel is voor het detecteren van beveiligingsbedreigingen in real-time. Monitoring omvat niet alleen het controleren van de activeringsstatus, maar ook het valideren van de configuratie, het analyseren van beveiligingswaarschuwingen en het beoordelen van de effectiviteit van de beveiligingsmaatregelen.
De primaire monitoringmethode maakt gebruik van Azure PowerShell-cmdlets om het prijsniveau en de activeringsstatus van Defender voor IoT Hub te controleren. Het monitoringscript gebruikt de Get-AzSecurityPricing cmdlet met de parameter -Name 'IoTSecuritySolutions' om de huidige configuratie op te halen. Deze cmdlet retourneert informatie over het prijsniveau (Gratis of Standard), de activeringsstatus en eventuele gerelateerde configuratie-instellingen. Het is belangrijk om deze controle regelmatig uit te voeren, bijvoorbeeld maandelijks of na belangrijke wijzigingen in de Azure-omgeving, om ervoor te zorgen dat de service niet onbedoeld is uitgeschakeld of gewijzigd.
Naast de technische verificatie van de servicestatus, moet u ook de beveiligingswaarschuwingen en aanbevelingen monitoren die door Defender voor IoT Hub worden gegenereerd. Deze waarschuwingen verschijnen in de Azure Security Center console en bevatten uitgebreide informatie over gedetecteerde bedreigingen, anomalieën in apparaatgedrag, kwetsbaarheden in firmware en andere beveiligingsproblemen. Het monitoren van deze waarschuwingen is essentieel omdat IoT-apparaten vaak onzichtbaar blijven voor traditionele beveiligingsoplossingen en alleen gespecialiseerde tools zoals Defender voor IoT Hub kunnen deze apparaten effectief detecteren en monitoren. Het is essentieel om een gestructureerd proces in te richten voor het regelmatig controleren van deze waarschuwingen, het prioriteren van de belangrijkste bedreigingen en het uitvoeren van passende remediatieacties. Voor organisaties met een beveiligingsoperatiescentrum (SOC) moet deze monitoring worden geïntegreerd in de dagelijkse operaties. De waarschuwingen kunnen verschillende ernstniveaus hebben, variërend van informatief tot kritiek, en moeten worden behandeld volgens een gedefinieerd incidentresponsproces. Het is belangrijk om te begrijpen dat IoT-beveiligingswaarschuwingen vaak unieke kenmerken hebben, zoals apparaatidentificatieproblemen, protocolafwijkingen en firmwarekwetsbaarheden, die gespecialiseerde kennis vereisen om effectief te kunnen beoordelen en te reageren. Deze waarschuwingen kunnen bijvoorbeeld aangeven dat een apparaat onverwacht communiceert met onbekende externe servers, dat er verdachte firmware-updates worden doorgevoerd, of dat apparaten zich gedragen alsof ze deel uitmaken van een botnet.
De monitoringactiviteiten moeten worden gedocumenteerd voor audit- en nalevingsdoeleinden. Houd een uitgebreid logboek bij van alle verificatiecontroles, inclusief de exacte datum en tijd, de persoon die de controle heeft uitgevoerd, de gedetailleerde resultaten en eventuele geconstateerde problemen of afwijkingen. Deze documentatie is van cruciaal belang voor het aantonen van zorgvuldigheid bij beveiligingsaudits en compliance-verificaties. Het kan ook helpen bij het identificeren van trends of terugkerende problemen, waardoor u proactieve maatregelen kunt nemen om toekomstige incidenten te voorkomen. Overweeg ook om geautomatiseerde monitoring in te stellen met Azure Monitor of Log Analytics om proactief te worden gewaarschuwd wanneer de servicestatus verandert of wanneer kritieke beveiligingswaarschuwingen worden gegenereerd. Geautomatiseerde monitoring stelt u in staat om onmiddellijk te reageren op wijzigingen in de beveiligingsconfiguratie, zelfs buiten kantooruren, wat essentieel is voor het handhaven van continue beveiligingsdekking van uw IoT-infrastructuur.
Het monitoringscript dat beschikbaar is in de coderepository (defender-iot-hub-on.ps1) bevat de functie Invoke-Monitoring die de verificatie automatiseert. Dit script kan worden geïntegreerd in bestaande monitoringworkflows, geautomatiseerde nalevingscontroles of CI/CD-pipelines. Voor productieomgevingen wordt aanbevolen om dit script regelmatig uit te voeren, bijvoorbeeld dagelijks of wekelijks, en de resultaten te loggen voor trendanalyse en nalevingsrapportage.
Gebruik PowerShell-script defender-iot-hub-on.ps1 (functie Invoke-Monitoring) – Controleert Defender voor IoT prijsniveau met Get-AzSecurityPricing -Name 'IoTSecuritySolutions'.
Remediatie en implementatie
Wanneer monitoring aangeeft dat Microsoft Defender voor IoT Hub niet is geactiveerd of niet op het juiste prijsniveau is geconfigureerd, moet remediatie worden uitgevoerd om de beveiligingsdekking te herstellen. Remediatie omvat het activeren van de service en het configureren van het juiste prijsniveau voor optimale beveiligingsfunctionaliteit. Het is belangrijk om remediatie snel uit te voeren wanneer een probleem wordt gedetecteerd, omdat elke periode zonder actieve beveiligingsmonitoring een potentiële kwetsbaarheid in uw IoT-infrastructuur creëert.
De remediatieprocedure maakt gebruik van Azure PowerShell om de service te activeren via de Set-AzSecurityPricing cmdlet. Deze cmdlet vereist de parameter -Name met de waarde 'IoTSecuritySolutions' om specifiek de IoT-beveiligingsservice te targeten, en de parameter -PricingTier met de waarde 'Standard' om de volledige beveiligingsfunctionaliteit te activeren. Het Standard prijsniveau biedt toegang tot alle beveiligingsfuncties, inclusief geavanceerde bedreigingsdetectie, kwetsbaarheidsscanning en gedragsanalyse. Zorg ervoor dat u bent aangemeld bij Azure met de juiste machtigingen voordat u de remediatie uitvoert.
Voorafgaand aan de remediatie moet u controleren of alle vereisten zijn vervuld, zoals beschreven in de vereisten sectie. Specifiek moet u verifiëren dat er een actieve IoT Hub aanwezig is in het abonnement, dat Defender voor Cloud is ingeschakeld, en dat u over de benodigde machtigingen beschikt. Het is ook verstandig om de verwachte kosten te evalueren op basis van het berichtenvolume van uw IoT Hub, zodat u niet wordt verrast door onverwachte kosten na activering.
Na het uitvoeren van de remediatie moet u de activering verifiëren door de monitoring procedure opnieuw uit te voeren. Dit bevestigt dat de service correct is geactiveerd en dat de configuratie zoals verwacht is toegepast. Het kan enkele minuten duren voordat de service volledig operationeel is en begint met het genereren van beveiligingsinzichten. Gedurende deze periode wordt de IoT Hub-telemetrie geanalyseerd en wordt een baseline voor normaal gedrag vastgesteld, wat essentieel is voor nauwkeurige anomaliedetectie.
Voor organisaties met meerdere Azure-abonnementen moet de remediatie mogelijk worden uitgevoerd op elk abonnement dat IoT Hubs bevat. Dit kan een aanzienlijke operationele uitdaging vormen, vooral voor grote organisaties met tientallen of honderden abonnementen. Overweeg om een geautomatiseerd proces in te richten dat regelmatig alle abonnementen controleert en automatisch remediatie uitvoert wanneer nodig. Dit kan worden geïmplementeerd met Azure Automation, Azure Policy of door het remediatiescript te integreren in bestaande infrastructure-as-code-workflows zoals Terraform of Bicep. Geautomatiseerde remediatie is essentieel voor grote organisaties om ervoor te zorgen dat alle IoT Hubs adequaat worden beschermd, ongeacht in welk abonnement ze zich bevinden. Overweeg ook om Azure Policy te gebruiken om ervoor te zorgen dat Defender voor IoT Hub automatisch wordt ingeschakeld op nieuwe abonnementen die IoT Hubs bevatten, zodat nieuwe resources automatisch worden beschermd zonder handmatige interventie. Dit voorkomt dat nieuwe IoT-implementaties onbeveiligd blijven en verhoogt de algehele beveiligingspostuur van de organisatie. Documenteer alle remediatieacties uitgebreid voor audit- en nalevingsdoeleinden, inclusief de exacte datum en tijd, de persoon die de actie heeft uitgevoerd, de reden voor de remediatie en de gedetailleerde resultaten van de activering.
Gebruik PowerShell-script defender-iot-hub-on.ps1 (functie Invoke-Remediation) – Activeert met Set-AzSecurityPricing -Name 'IoTSecuritySolutions' -PricingTier 'Standard'.
Compliance en Auditing
Microsoft Defender voor IoT Hub speelt een cruciale rol bij het voldoen aan verschillende internationale en nationale beveiligingsstandaarden en nalevingskaders. De implementatie van deze beveiligingsservice helpt organisaties te voldoen aan verplichte beveiligingsvereisten en demonstreert zorgvuldigheid bij het beschermen van IoT-infrastructuren tegen cyberbedreigingen. Het is essentieel om te begrijpen hoe deze controle bijdraagt aan verschillende nalevingskaders en welke auditbewijzen moeten worden verzameld om naleving aan te tonen.
De CIS Azure Foundations Benchmark versie 3.0.0 bevat specifieke controle 2.1.11 die vereist dat Microsoft Defender voor IoT is ingesteld op 'On'. Deze controle is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. De CIS Benchmark is een veelgebruikte standaard voor cloudbeveiliging en wordt vaak gebruikt als basis voor beveiligingsaudits en compliance-verificaties. Organisaties die de CIS Benchmark volgen, moeten deze controle implementeren om volledige compliance te bereiken. Het niet implementeren van deze controle kan leiden tot bevindingen tijdens beveiligingsaudits en kan de algehele beveiligingsscore van de organisatie negatief beïnvloeden.
ISO 27001, de internationale standaard voor informatiebeveiligingsmanagement, bevat verschillende controles die relevant zijn voor IoT-beveiliging. Specifiek verwijst controle A.12.6.1 naar het beheer van technische kwetsbaarheden, wat direct verband houdt met de kwetsbaarheidsscanning en bedreigingsdetectie functionaliteiten van Defender voor IoT Hub. Controle A.13.1.1 betreft netwerkbeveiligingscontroles, wat relevant is omdat IoT-apparaten vaak via netwerken communiceren en kwetsbaar zijn voor netwerkgebaseerde aanvallen. De implementatie van Defender voor IoT Hub helpt organisaties te voldoen aan deze ISO 27001-vereisten door proactieve detectie en beheer van beveiligingsrisico's in IoT-omgevingen te bieden.
De NIS2-richtlijn (Network and Information Systems Directive 2) is van bijzonder belang voor organisaties die als essentiële entiteiten worden beschouwd, vooral diegenen met operationele technologie (OT) en industriële besturingssystemen (ICS) omgevingen. Artikel 21 van NIS2 vereist dat essentiële entiteiten passende technische en organisatorische maatregelen nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Voor organisaties met IoT- en OT-infrastructuren is de implementatie van gespecialiseerde beveiligingsoplossingen zoals Defender voor IoT Hub vaak een kritieke vereiste voor NIS2-naleving. Het niet voldoen aan deze vereisten kan leiden tot aanzienlijke boetes en reputatieschade, vooral voor organisaties in kritieke sectoren zoals energie, transport en gezondheidszorg. De NIS2-richtlijn legt specifieke verplichtingen op voor essentiële entiteiten, waaronder het implementeren van passende beveiligingsmaatregelen, het melden van beveiligingsincidenten en het onderhouden van een hoog beveiligingsniveau. Voor Nederlandse organisaties die onder de NIS2-richtlijn vallen, is het implementeren van Defender voor IoT Hub een concrete stap om te voldoen aan deze verplichtingen, vooral wanneer IoT-apparaten worden gebruikt in kritieke infrastructuren of industriële omgevingen.
IEC 62443 is een internationale standaardreeks die specifiek is ontwikkeld voor de beveiliging van industriële automatiserings- en controlesystemen. Deze standaard is bijzonder relevant voor industrieel IoT (IIoT) omgevingen waar IoT-apparaten worden gebruikt in productieprocessen en kritieke infrastructuren. IEC 62443 bevat vereisten voor bedreigingsdetectie, kwetsbaarheidsbeheer en beveiligingsmonitoring, die allemaal worden ondersteund door de functionaliteiten van Microsoft Defender voor IoT Hub. Organisaties in de industriële sector die IEC 62443 moeten naleven, kunnen deze controle gebruiken als onderdeel van hun algehele beveiligingsstrategie voor IIoT-systemen. De standaard benadrukt het belang van continue monitoring en detectie van bedreigingen in industriële omgevingen, waar een beveiligingsincident kan leiden tot productiestilstand, veiligheidsrisico's en aanzienlijke financiële schade. Defender voor IoT Hub biedt de benodigde monitoring- en detectiecapaciteiten die vereist zijn om te voldoen aan de IEC 62443-vereisten, met name voor systemen die worden gebruikt in productieomgevingen, energiecentrales, waterbehandelingsfaciliteiten en andere kritieke industriële infrastructuren.
Voor audit- en nalevingsdoeleinden is het van cruciaal belang om uitgebreide documentatie bij te houden die aantoont dat Defender voor IoT Hub is geactiveerd en correct functioneert. Deze documentatie moet verschillende componenten bevatten, waaronder de Defender prijsniveaustatus voor elk relevant abonnement, een gedetailleerde inventarisatie van alle IoT-apparaten die zijn verbonden met de IoT Hubs, historische beveiligingswaarschuwingen voor IoT Hub met bijbehorende resolutiestatus, en uitgebreide kwetsbaarheidsrapporten voor firmware van alle geïnventariseerde apparaten. Deze auditbewijzen moeten worden bewaard voor een periode van minimaal 7 jaar, zoals vereist door verschillende nalevingskaders en regelgevingsvereisten zoals de AVG, NIS2 en ISO 27001. Zorg ervoor dat deze documentatie regelmatig wordt bijgewerkt, bijvoorbeeld maandelijks of na belangrijke wijzigingen in de IoT-infrastructuur, en dat deze toegankelijk is voor interne en externe auditors wanneer dat nodig is. Overweeg om deze documentatie op te slaan in een gecentraliseerd documentatiebeheersysteem of compliance-platform waar het veilig kan worden bewaard en eenvoudig kan worden opgehaald tijdens audits. Regelmatige reviews van deze documentatie helpen ook bij het identificeren van trends en het verbeteren van de algehele beveiligingspostuur van de IoT-infrastructuur.
Compliance & Frameworks
- CIS M365: Control 2.1.11 (L2) - zorg ervoor dat Microsoft Defender voor IoT is ingesteld op On
- BIO: 12.06.01 - Beheer van technische kwetsbaarheden - IoT-beveiliging
- ISO 27001:2022: A.12.6.1, A.13.1.1 - kwetsbaarheidsbeheer en netwerkcontroles
- NIS2: Artikel - Cybersecurity risicobeheer - Kritiek voor essentiële entiteiten met OT/IoT
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Microsoft Defender for IoT Hub
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 2.1.11
Controleert of Defender for IoT Security Solutions is ingeschakeld.
.NOTES
Filename: defender-iot-hub-on.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 2.1.11
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Security
[CmdletBinding()]
param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf)
$ErrorActionPreference = 'Stop'
$PolicyName = "Microsoft Defender for IoT Hub"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$result = [PSCustomObject]@{ IsCompliant = $false; TotalResources = 0; CompliantCount = 0; NonCompliantCount = 0 }
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
$result.TotalResources = $subscriptions.Count
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
$pricing = Get-AzSecurityPricing -Name "IoTSecuritySolutions"
if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ }
}
$result.IsCompliant = ($result.NonCompliantCount -eq 0)
return $result
}
function Invoke-Remediation {
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
Set-AzSecurityPricing -Name "IoTSecuritySolutions" -PricingTier "Standard" | Out-Null
Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green
}
}
function Invoke-Revert {
Write-Host "`nReverting configuration..." -ForegroundColor Cyan
try {
if ($WhatIf) {
Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow
return
}
# Revert implementation
Write-Host " Configuration reverted" -ForegroundColor Green
Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green
}
catch {
Write-Error "Fout tijdens revert: <#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Microsoft Defender for IoT Hub
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 2.1.11
Controleert of Defender for IoT Security Solutions is ingeschakeld.
.NOTES
Filename: defender-iot-hub-on.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 2.1.11
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Security
[CmdletBinding()]
param([Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf)
$ErrorActionPreference = 'Stop'
$PolicyName = "Microsoft Defender for IoT Hub"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$result = [PSCustomObject]@{ IsCompliant = $false; TotalResources = 0; CompliantCount = 0; NonCompliantCount = 0 }
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
$result.TotalResources = $subscriptions.Count
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
$pricing = Get-AzSecurityPricing -Name "IoTSecuritySolutions"
if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ }
}
$result.IsCompliant = ($result.NonCompliantCount -eq 0)
return $result
}
function Invoke-Remediation {
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
Set-AzSecurityPricing -Name "IoTSecuritySolutions" -PricingTier "Standard" | Out-Null
Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green
}
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan
} elseif ($Remediation) {
Invoke-Remediation
} else {
$r = Test-Compliance
Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" })
}
} catch { Write-Error $_; exit 1 }
"
throw
}
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
$r = Test-Compliance
Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" })
}
}
catch { Write-Error $_; exit 1 }
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
if (-not (Get-AzContext)) {
Connect-AzAccount | Out-Null
}
Write-Host "[INFO] Monitoring check wordt uitgevoerd..." -ForegroundColor Cyan
# TODO: Implementeer monitoring logica
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder Microsoft Defender voor IoT blijven gecompromitteerde IoT-apparaten ongedetecteerd. Dit creëert aanzienlijke beveiligingsrisico's, waaronder het rekruteren van apparaten voor botnets, laterale beweging naar bedrijfsnetwerken, gedistribueerde denial-of-service aanvallen via IoT-apparaten, en firmware-kwetsbaarheden die ongedekt blijven. Voor operationele technologie (OT) en industriële besturingssystemen (ICS) omgevingen is het risico op operationele verstoring bijzonder hoog. Vanuit compliance-perspectief is deze controle verplicht volgens CIS 2.1.11 en NIS2 (voor kritieke infrastructuren met IoT/OT). Het risiconiveau varieert van medium voor consumenten-IoT, hoog voor industriële IoT, tot kritiek voor OT/ICS-systemen.
Management Samenvatting
Microsoft Defender voor IoT Hub biedt uitgebreide beveiligingsmogelijkheden, waaronder gedragsanalyse van apparaten met anomaliedetectie, kwetsbaarheidsscanning van firmware, detectie van gecompromitteerde apparaten en gespecialiseerde bedreigingsinformatie voor IoT-systemen. Activatie gebeurt via Microsoft Defender voor Cloud door naar IoT Hub te navigeren en de service in te schakelen. De kosten zijn variabel en gebaseerd op het berichtenvolume, typisch tussen €5 en €20 per hub per maand. Deze controle is verplicht volgens CIS 2.1.11. De implementatie duurt ongeveer 1 tot 2 uur. De service is essentieel voor productie-IoT/OT-omgevingen en verplicht voor kritieke infrastructuren onder NIS2.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE