L2 BIO 10.01.01 ISO A.10.1.2 CIS 2.1.7

Microsoft Defender For Cloud: Defender For Key Vault (Alternatieve Verificatie)

📅 2025-10-30
⏱️ 9 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Dit verificatiescript biedt een alternatieve technische implementatie voor de monitoring van Microsoft Defender voor Key Vault binnen Azure-cloudomgevingen. Hoewel de primaire controle beschikbaar is via defender-for-key-vault-enabled.ps1, biedt dit script een aanvullende verificatiemethode die dezelfde CIS control 2.1.7 monitort maar gebruik maakt van een andere technische aanpak voor verificatie. Deze alternatieve benadering is ontwikkeld voor organisaties die behoefte hebben aan meerdere verificatiemethoden voor extra zekerheid, of voor scenario's waarin technische beperkingen van de primaire methode deze alternatieve aanpak noodzakelijk maken. Het script voert dezelfde functionele verificatie uit als de primaire controle, maar gebruikt andere API-endpoints of configuratieparameters om tot hetzelfde resultaat te komen.

Aanbeveling
IMPLEMENTEER - ZIE defender-for-key-vault-enabled.json
Risico zonder
Critical
Risk Score
10/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Azure Key Vault

Azure Key Vault vormt het absolute hart van de beveiliging in moderne cloudomgevingen door de meest kritieke geheimen, certificaten en versleutelingssleutels te beheren. Deze centrale rol maakt Key Vault tot een primair doelwit voor cyberaanvallen, waarbij succesvolle compromittering kan leiden tot volledige toegang tot geheime informatie en versleutelingssleutels. Zonder adequate monitoring blijven aanvallen op deze kritieke componenten volledig onopgemerkt, wat kan resulteren in volledige compromittering van de gehele cloudinfrastructuur en alle daarmee verbonden systemen. Microsoft Defender voor Key Vault biedt geavanceerde detectiecapaciteiten die afwijkende toegangspatronen identificeren op basis van geanalyseerde factoren zoals tijd, geografische locatie, toegangsfrequentie en gebruikspatronen. Het systeem detecteert automatisch verdachte activiteiten zoals pogingen tot massale extractie van geheimen in korte tijdsperioden, toegang vanaf anonieme TOR-knooppunten en verdachte proxy-servers, brute force-aanvallen op geheimen waarbij meerdere verkeerde authenticatiepogingen worden gedetecteerd, enumeratie-aanvallen op sleutels waarbij kwaadwillenden proberen alle beschikbare sleutels te inventariseren, en verdachte certificaatoperaties die mogelijk wijzen op pogingen tot certificaatfraude of onbevoegde toegang. Deze geavanceerde detectiecapaciteiten zijn essentieel voor het beschermen van de meest gevoelige gegevens in de cloudomgeving en vormen een kritieke verdedigingslaag tegen moderne cyberaanvallen. Voor een volledige beveiligingsrationale en gedetailleerde uitleg over het complete bedreigingslandschap verwijzen wij naar defender-for-key-vault-ingeschakeld.json.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Dit alternatieve verificatiescript controleert de status van Microsoft Defender voor Key Vault binnen Azure-abonnementen met behulp van een iets andere verificatiemethode, maar biedt exact dezelfde functionele dekking en beveiligingsdekking als de primaire controle. Het script is specifiek ontworpen voor organisaties die meerdere verificatiemethoden willen implementeren voor extra zekerheid en redundantie, of voor organisaties die specifieke technische vereisten hebben die beter aansluiten bij deze alternatieve aanpak. Deze benadering kan bijvoorbeeld waardevol zijn wanneer organisaties compliance-vereisten hebben die meerdere onafhankelijke verificatiemethoden vereisen, of wanneer technische beperkingen in de omgeving de primaire methode minder geschikt maken. Het script gebruikt alternatieve API-endpoints of configuratieparameters om tot hetzelfde verificatieresultaat te komen, wat extra flexibiliteit biedt voor organisaties met complexe of gespecialiseerde Azure-configuraties. Voor volledige implementatiedetails, uitgebreide configuratieopties en informatie over geavanceerde functies verwijzen wij naar de primaire controle defender-for-key-vault-ingeschakeld.json. De kosten voor deze essentiële beveiligingsdienst bedragen slechts €0,02 per 10.000 transacties, wat een minimale investering vertegenwoordigt gezien de kritieke aard van de beveiligde gegevens en de potentiële financiële en operationele schade die een succesvolle aanval kan veroorzaken.

Vereisten

Voor de succesvolle implementatie van dit alternatieve verificatiescript voor Microsoft Defender voor Key Vault zijn verschillende technische en organisatorische vereisten van essentieel belang. Deze vereisten vormen de fundering voor een correct functionerende beveiligingsmonitoring die effectief kan worden geïmplementeerd binnen de Azure-cloudomgeving. Het is cruciaal dat alle betrokken partijen, van IT-beheerders tot beveiligingsfunctionarissen en compliance-managers, volledig begrijpen wat er nodig is voordat het implementatieproces wordt gestart. Een grondige voorbereiding en verificatie van alle vereisten minimaliseert het risico op problemen tijdens de implementatie en zorgt voor een vlekkeloze integratie in de bestaande beveiligingsinfrastructuur van de organisatie. Een actieve Azure-abonnement met voldoende toegangsrechten vormt de eerste fundamentele vereiste voor deze implementatie. Specifiek moet de gebruiker of service principal beschikken over de rol van Eigenaar of Inzender binnen het Azure-abonnement waar de Key Vault-instanties zich bevinden. Deze uitgebreide rechten zijn noodzakelijk omdat het script de status van Defender voor Cloud moet kunnen lezen en eventueel wijzigingen moet kunnen doorvoeren aan de beveiligingsconfiguratie. Zonder deze rechten kan het script niet de benodigde informatie ophalen uit de Azure-beveiligings-API's en kan de verificatie of remediatie niet worden uitgevoerd. Het is belangrijk om te begrijpen dat deze rechten zeer gevoelig zijn en alleen moeten worden verleend aan vertrouwde service principals of gebruikers die daadwerkelijk deze beveiligingsfuncties moeten beheren. Organisaties moeten een principe van minimale rechten toepassen, waarbij alleen de strikt noodzakelijke machtigingen worden verleend voor de specifieke taak. Dit betekent dat als de taak alleen monitoring betreft, er geen schrijfrechten nodig zijn, maar voor remediatie moeten deze rechten wel aanwezig zijn. Het is aanbevolen om deze rechten toe te kennen via Azure Role-Based Access Control, waarbij service principals de voorkeur hebben boven gebruikersaccounts voor geautomatiseerde scripts. De technische omgeving moet beschikken over PowerShell versie 5.1 of hoger als minimale vereiste versie. Deze versie biedt ondersteuning voor de moderne PowerShell-modules die nodig zijn voor Azure-beheer en interactie met cloudservices. Voor optimale prestaties, toegang tot de nieuwste functies en verbeterde beveiligingsmogelijkheden wordt PowerShell 7.0 of hoger ten zeerste aanbevolen. De PowerShell-omgeving moet bovendien geconfigureerd zijn om scripts uit te voeren, wat mogelijk aanpassingen vereist aan het uitvoeringsbeleid. Dit betekent dat organisaties mogelijk de execution policy moeten aanpassen naar RemoteSigned of Unrestricted, afhankelijk van hun beveiligingsvereisten en organisatiebeleid. Het is belangrijk om deze wijzigingen te documenteren, te controleren of ze voldoen aan het organisatiebeleid voor scriptuitvoering, en ze te integreren in het algemene beveiligings- en compliance-rapportageproces. Organisaties die werken met strikte beveiligingsbeleidsregels kunnen overwegen om scripts digitaal te ondertekenen om RemoteSigned-beleid te gebruiken terwijl de beveiliging behouden blijft. De benodigde PowerShell-modules moeten geïnstalleerd en bijgewerkt zijn tot de nieuwste stabiele versies. De Az.Accounts-module is essentieel voor authenticatie en beveiligde verbinding met Azure-services. Deze module verzorgt de beveiligde verbinding tussen de lokale omgeving en de Azure-cloud en verzorgt alle authenticatie- en autorisatiehandshakes die nodig zijn voor interactie met Azure-API's. De Az.Security-module is specifiek vereist voor interactie met Azure Security Center en Microsoft Defender voor Cloud. Deze module biedt alle cmdlets die nodig zijn om de status van Defender-plannen te controleren, te wijzigen en te beheren. Beide modules moeten regelmatig worden bijgewerkt om toegang te behouden tot de nieuwste API-functies, beveiligingsverbeteringen en bugfixes. Organisaties moeten een proces hebben voor het regelmatig bijwerken van deze modules, bij voorkeur als onderdeel van een gestandaardiseerd patchmanagementproces. Het is aanbevolen om modules te installeren via de PowerShell Gallery en om versiecontrole toe te passen om consistentie te waarborgen tussen verschillende omgevingen, zodat test- en productieomgevingen identieke moduleversies gebruiken en voorspelbaar gedrag vertonen. Binnen de Azure-omgeving moeten er daadwerkelijk Azure Key Vault-instanties aanwezig zijn die gemonitord moeten worden. Deze Key Vaults kunnen zich bevinden in verschillende resourcegroepen, verschillende Azure-regio's en verschillende abonnementen, afhankelijk van de organisatiestructuur en cloudarchitectuur. Het script is ontworpen om alle Key Vault-instanties binnen het geconfigureerde abonnement te detecteren en te controleren, ongeacht hun locatie of configuratie. Het is belangrijk dat deze Key Vaults actief zijn, toegankelijk zijn via de Azure-API's, en dat de service principal of gebruiker voldoende rechten heeft om deze resources te benaderen. Organisaties moeten ervoor zorgen dat alle Key Vaults die kritieke geheimen bevatten worden geïdentificeerd en opgenomen in het monitoringproces. Dit omvat zowel productie- als niet-productieomgevingen, omdat ook testomgevingen kunnen worden aangevallen en gebruikt worden als springplank naar productiesystemen. Een volledige inventarisatie van alle Key Vaults is essentieel om te garanderen dat geen enkele kritieke resource buiten het monitoringproces valt en dat alle geheimen adequaat worden beschermd tegen potentiële aanvallen. Microsoft Defender voor Cloud moet ingeschakeld zijn op het Azure-abonnement als fundamentele vereiste voor deze implementatie. Dit is noodzakelijk omdat Defender voor Key Vault een onderdeel is van het bredere Defender voor Cloud-platform en niet onafhankelijk kan worden geactiveerd. Zonder een actief Defender voor Cloud-abonnement kan de specifieke Defender voor Key Vault-functionaliteit niet worden geactiveerd, gemonitord of beheerd. Organisaties moeten ervoor zorgen dat het Defender voor Cloud-plan is ingeschakeld op minimaal het Standaard-niveau om toegang te krijgen tot de geavanceerde bedreigingsdetectiefuncties. Het Standaard-niveau biedt toegang tot alle geavanceerde beveiligingsfuncties, inclusief bedreigingsdetectie, beveiligingsaanbevelingen, compliance-rapportage en gedragsanalyse die essentieel is voor het detecteren van verdachte activiteiten op Key Vault-resources. Organisaties die werken met zeer gevoelige gegevens, zoals overheidsorganisaties of organisaties in kritieke sectoren zoals financiële dienstverlening of gezondheidszorg, moeten overwegen om het Premium-niveau te gebruiken voor nog geavanceerdere bescherming, inclusief real-time bedreigingsdetectie, geavanceerde analysemogelijkheden en prioritering van beveiligingsaanbevelingen op basis van risicoanalyse. Naast deze technische vereisten zijn er ook belangrijke organisatorische overwegingen die niet over het hoofd mogen worden gezien. IT-beheerders en beveiligingsfunctionarissen moeten bekend zijn met de werking van Azure Key Vault, de beveiligingsimplicaties van wijzigingen aan de monitoringconfiguratie, en de mogelijke impact van remediatie-acties op bestaande systemen en applicaties die afhankelijk zijn van Key Vault-resources. Er moet een duidelijk en gedocumenteerd proces zijn voor het beoordelen en goedkeuren van wijzigingen aan beveiligingsinstellingen, vooral in productieomgevingen waar Key Vaults kritieke geheimen bevatten die direct worden gebruikt door productiesystemen en applicaties. Dit proces moet worden geïntegreerd in het algemene change management-proces van de organisatie en moet voldoen aan interne governance-vereisten. Beveiligingsfunctionarissen moeten betrokken zijn bij de goedkeuring van wijzigingen, en alle wijzigingen moeten worden gelogd voor auditdoeleinden en compliance-rapportage. Het is belangrijk dat organisaties een goed gedefinieerd rollback-proces hebben voor het geval dat remediatie-acties onbedoelde gevolgen hebben voor bestaande systemen. Tot slot is het belangrijk dat er een representatieve testomgeving beschikbaar is waar het script eerst kan worden gevalideerd voordat het wordt toegepast op productie-Key Vaults. Dit minimaliseert het risico op onbedoelde wijzigingen aan kritieke beveiligingsconfiguraties en stelt beheerders in staat om vertrouwd te raken met de werking van het script, de output te interpreteren, en mogelijke problemen te identificeren voordat deze optreden in productie. De testomgeving moet zo veel mogelijk lijken op de productieomgeving, inclusief vergelijkbare Key Vault-configuraties, beveiligingsinstellingen, netwerkconfiguraties en toegangsbeperkingen. Organisaties moeten een uitgebreid testplan ontwikkelen dat alle scenario's dekt, inclusief het testen van zowel monitoring- als remediatiefuncties, het testen met verschillende configuratiestatussen, en het valideren van foutafhandeling en edge cases. Het testplan moet ook het testen van het rollback-proces omvatten om ervoor te zorgen dat organisaties snel kunnen terugkeren naar de oorspronkelijke configuratie als dat nodig is. Organisaties moeten overwegen om het script eerst te testen op niet-kritieke Key Vaults in de productieomgeving voordat het wordt toegepast op kritieke resources die essentiële geheimen bevatten.

Monitoring

De monitoring van Microsoft Defender voor Key Vault vormt een kritiek onderdeel van de beveiligingsstrategie voor cloudomgevingen. Dit alternatieve verificatiescript biedt een aanvullende methode om de status van de Defender voor Key Vault-configuratie te controleren, wat essentieel is voor het waarborgen van continue beveiligingsdekking. In moderne cloudomgevingen waar bedreigingen zich snel ontwikkelen en aanvallen steeds geavanceerder worden, is continue monitoring niet langer een optie maar een absolute noodzaak. Organisaties die hun Key Vaults niet adequaat monitoren, lopen het risico dat aanvallen onopgemerkt blijven totdat er al significante schade is aangericht. Het monitoringproces begint met de uitvoering van het PowerShell-script defender-key-vault-on.ps1, specifiek de functie Invoke-Monitoring. Deze functie voert een alternatieve verificatie uit van de prijsniveau-status van Defender voor Key Vault binnen het Azure-abonnement. In tegenstelling tot de primaire controle gebruikt dit script een iets andere technische aanpak om dezelfde informatie te verzamelen, wat waardevol kan zijn voor validatie en redundantie. Deze alternatieve aanpak kan nuttig zijn wanneer organisaties meerdere verificatiemethoden willen gebruiken om extra zekerheid te krijgen over de configuratiestatus, of wanneer de primaire methode om technische redenen niet beschikbaar is. Tijdens de monitoring controleert het script alle Azure Key Vault-instanties binnen het abonnement en verifieert of Microsoft Defender voor Key Vault correct is geconfigureerd en actief is. Het script doorloopt systematisch alle Key Vault-resources en controleert de status van de Defender-planconfiguratie. Dit proces is essentieel omdat Key Vaults zonder actieve Defender-monitoring kwetsbaar zijn voor verschillende soorten aanvallen die anders onopgemerkt zouden blijven. Aanvallers kunnen bijvoorbeeld proberen om massaal geheimen te extraheren, toegang te krijgen vanaf verdachte locaties, of brute force-aanvallen uit te voeren zonder dat dit wordt gedetecteerd. Zonder adequate monitoring hebben organisaties geen inzicht in deze activiteiten en kunnen ze niet tijdig reageren op bedreigingen. De monitoringfunctie genereert gedetailleerde rapportage over de compliance-status van elke Key Vault-instantie. Het script identificeert Key Vaults waar Defender voor Key Vault niet is ingeschakeld of waar de configuratie niet voldoet aan de vereiste beveiligingsstandaarden. Deze informatie is cruciaal voor beveiligingsfunctionarissen en compliance-managers die moeten kunnen aantonen dat alle kritieke resources adequaat worden beschermd. In de context van Nederlandse overheidsorganisaties is dit vooral belangrijk omdat zij moeten voldoen aan strikte compliance-vereisten zoals de BIO-normen, AVG-verordening en NIS2-richtlijn. Regelmatige monitoring en rapportage zijn essentieel om te kunnen aantonen dat de organisatie voldoet aan deze vereisten tijdens audits en compliance-controles. Voor organisaties die werken met meerdere Azure-abonnementen of complexe multi-tenant-omgevingen biedt dit alternatieve script extra flexibiliteit. Het kan worden geïntegreerd in bestaande monitoringworkflows en automatisering-pipelines, waardoor organisaties meerdere verificatiemethoden kunnen gebruiken voor extra zekerheid. Dit is vooral waardevol in omgevingen waar compliance-vereisten meerdere onafhankelijke verificaties vereisen. Organisaties kunnen bijvoorbeeld beide scripts naast elkaar gebruiken en de resultaten vergelijken om te valideren dat de monitoring correct functioneert. Dit biedt extra zekerheid en helpt bij het identificeren van eventuele problemen met een van de verificatiemethoden. De monitoringresultaten moeten regelmatig worden gecontroleerd, bij voorkeur als onderdeel van een geautomatiseerd dagelijks of wekelijks proces. Organisaties kunnen het script integreren in Azure Automation, Azure DevOps-pipelines, of andere CI/CD-workflows om continue monitoring te waarborgen. Wanneer het script niet-compliant Key Vaults detecteert, moeten deze bevindingen onmiddellijk worden geëscaleerd naar het beveiligingsteam voor verdere actie. Het is belangrijk dat er een duidelijk proces is voor het behandelen van deze bevindingen, inclusief prioritering op basis van risico en impact. Kritieke bevindingen moeten onmiddellijk worden aangepakt, terwijl minder kritieke bevindingen kunnen worden opgenomen in een gepland remediatieproces. Het is belangrijk om te begrijpen dat dit alternatieve script dezelfde CIS control 2.1.7 monitort als de primaire controle, maar met een andere technische implementatie. Beide scripts kunnen naast elkaar worden gebruikt voor extra validatie, of organisaties kunnen kiezen voor de aanpak die het beste past bij hun specifieke technische omgeving en vereisten. Voor volledige documentatie over de primaire monitoringmethode verwijzen wij naar defender-for-key-vault-ingeschakeld.json. Organisaties moeten zorgvuldig overwegen welke aanpak het beste past bij hun specifieke situatie, rekening houdend met factoren zoals technische complexiteit, compliance-vereisten, en beschikbare resources. Ongeacht welke aanpak wordt gekozen, het is essentieel dat de monitoring regelmatig wordt uitgevoerd en dat de resultaten worden gebruikt om de beveiligingspostuur continu te verbeteren.

Gebruik PowerShell-script defender-key-vault-on.ps1 (functie Invoke-Monitoring) – Alternatieve check voor Defender voor Key Vault prijsniveau-status.

Belangrijke opmerkingen

Het is belangrijk om te begrijpen dat dit verificatiescript een alternatieve implementatie is van de primaire controle die beschikbaar is via defender-for-key-vault-enabled.ps1. Beide scripts monitoren dezelfde CIS control 2.1.7, wat betekent dat ze dezelfde beveiligingsvereiste controleren, maar gebruik maken van verschillende technische methoden om deze verificatie uit te voeren. Deze technische verschillen zijn subtiel maar kunnen belangrijk zijn voor organisaties die specifieke vereisten hebben voor hun monitoringinfrastructuur. Het is essentieel dat organisaties begrijpen dat beide scripts hetzelfde doel dienen en dat de keuze tussen de primaire en alternatieve methode voornamelijk gebaseerd moet zijn op technische voorkeur en organisatorische vereisten. Deze duplicatie is opzettelijk ontworpen om organisaties flexibiliteit te bieden in hun monitoringstrategie. Sommige organisaties hebben mogelijk specifieke technische vereisten die beter aansluiten bij de alternatieve aanpak, terwijl anderen de voorkeur geven aan de primaire methode. Bovendien kunnen organisaties beide scripts naast elkaar gebruiken voor extra validatie en redundantie, wat waardevol kan zijn in omgevingen waar compliance-vereisten meerdere onafhankelijke verificaties vereisen. Dit is vooral relevant voor organisaties die werken in sterk gereguleerde sectoren, zoals de Nederlandse overheid, waar meerdere verificatiemethoden kunnen worden vereist om te voldoen aan strikte compliance-standaarden. Het gebruik van meerdere verificatiemethoden kan ook helpen bij het identificeren van eventuele problemen met een van de methoden, waardoor de algehele betrouwbaarheid van de monitoring wordt verbeterd. Voor volledige documentatie, gedetailleerde implementatie-instructies, configuratieopties en uitgebreide informatie over de beveiligingsrationale verwijzen wij naar defender-for-key-vault-ingeschakeld.json. Dit primaire document bevat alle benodigde informatie voor een complete implementatie van Microsoft Defender voor Key Vault, inclusief gedetailleerde uitleg over het bedreigingslandschap, detectiecapaciteiten en best practices voor configuratie. Organisaties die dit alternatieve script gebruiken, moeten zich ervan bewust zijn dat het primaire document meer uitgebreide informatie bevat over de beveiligingsrationale en de verschillende bedreigingen die Microsoft Defender voor Key Vault kan detecteren. Het is aanbevolen om beide documenten te raadplegen om een volledig beeld te krijgen van de beveiligingsmogelijkheden en implementatie-opties. Organisaties die dit alternatieve script gebruiken moeten zich ervan bewust zijn dat beide scripts dezelfde functionaliteit bieden en dat de keuze tussen de primaire en alternatieve methode voornamelijk gebaseerd moet zijn op technische voorkeur en organisatorische vereisten. Er is geen functioneel verschil tussen de twee benaderingen in termen van beveiligingsdekking of compliance-verificatie. Beide scripts controleren of Microsoft Defender voor Key Vault is ingeschakeld en rapporteren dezelfde informatie over de configuratiestatus. De keuze tussen de twee methoden moet daarom gebaseerd zijn op factoren zoals technische complexiteit, integratiemogelijkheden met bestaande systemen, en organisatorische voorkeuren. Bij het implementeren van monitoring voor Microsoft Defender voor Key Vault is het essentieel om consistentie te waarborgen in de gekozen aanpak. Als een organisatie kiest voor dit alternatieve script, moet deze keuze worden gedocumenteerd en gecommuniceerd met alle betrokken stakeholders, inclusief beveiligingsteams, compliance-functionarissen en IT-beheerders. Dit zorgt voor duidelijkheid over welke verificatiemethode wordt gebruikt en voorkomt verwarring bij toekomstige audits of compliance-controles. De documentatie moet duidelijk maken waarom deze specifieke methode is gekozen en hoe deze past binnen de algehele beveiligingsstrategie van de organisatie. Dit is vooral belangrijk voor Nederlandse overheidsorganisaties die moeten kunnen aantonen dat hun beveiligingsmaatregelen adequaat zijn en voldoen aan de vereiste standaarden tijdens audits en compliance-controles.

Remediatie

Wanneer het monitoringproces identificeert dat Microsoft Defender voor Key Vault niet correct is geconfigureerd of niet actief is op een of meer Key Vault-instanties, is onmiddellijke remediatie vereist om de beveiligingspostuur te herstellen. Het remediatieproces is ontworpen om automatisch de juiste configuratie toe te passen en ervoor te zorgen dat alle Key Vaults binnen het abonnement adequaat worden beschermd. In een tijd waarin bedreigingen zich snel ontwikkelen en aanvallen steeds geavanceerder worden, is het van cruciaal belang dat organisaties snel kunnen reageren op beveiligingsproblemen. Elke dag dat een Key Vault niet adequaat wordt beschermd, is een dag waarin de organisatie kwetsbaar is voor aanvallen die kunnen leiden tot compromittering van kritieke geheimen en volledige inbreuk op de cloudinfrastructuur. Het is daarom essentieel dat organisaties een robuust en geautomatiseerd remediatieproces hebben dat snel kan reageren op geïdentificeerde beveiligingsproblemen. Het remediatiescript wordt uitgevoerd via de functie Invoke-Remediation in het PowerShell-script defender-key-vault-on.ps1. Deze functie analyseert eerst de huidige status van alle Key Vault-instanties en identificeert welke resources niet-compliant zijn. Vervolgens voert het script de benodigde configuratiewijzigingen door om Microsoft Defender voor Key Vault te activeren op alle geïdentificeerde Key Vaults. Dit proces is volledig geautomatiseerd en kan worden uitgevoerd zonder handmatige interventie, wat essentieel is voor organisaties die werken met grote aantallen Key Vaults verspreid over meerdere abonnementen en regio's. De automatisering minimaliseert niet alleen het risico op menselijke fouten, maar zorgt er ook voor dat remediatie snel kan worden uitgevoerd, waardoor de tijd dat resources kwetsbaar zijn wordt geminimaliseerd. Het script is ontworpen om robuust en betrouwbaar te zijn, met ingebouwde foutafhandeling om ervoor te zorgen dat eventuele problemen tijdens het remediatieproces worden gedetecteerd en gerapporteerd. Het remediatieproces begint met een grondige analyse van de huidige beveiligingsconfiguratie. Het script controleert de prijsniveau-status van Defender voor Cloud en verifieert of de specifieke Defender voor Key Vault-functionaliteit is ingeschakeld. Wanneer niet-compliant configuraties worden gedetecteerd, genereert het script een gedetailleerd rapport van de bevindingen voordat het overgaat tot automatische remediatie. Dit rapport is essentieel voor auditdoeleinden en stelt beveiligingsteams in staat om te begrijpen welke wijzigingen zijn doorgevoerd en waarom. Het rapport bevat gedetailleerde informatie over elke Key Vault-instantie, inclusief de oorspronkelijke configuratiestatus en de wijzigingen die zijn aangebracht. Deze informatie moet worden bewaard als onderdeel van de auditdocumentatie en kan worden gebruikt tijdens compliance-controles en beveiligingsaudits. Het rapport helpt ook bij het identificeren van patronen of trends die kunnen wijzen op onderliggende problemen met de beveiligingsconfiguratie of processen. Voor organisaties die strikte wijzigingsbeheerprocessen hanteren, kan het script worden uitgevoerd in een testmodus die alleen rapporteert welke wijzigingen zouden worden doorgevoerd zonder daadwerkelijk wijzigingen aan te brengen. Dit stelt beveiligingsteams in staat om de voorgestelde wijzigingen te beoordelen en goed te keuren voordat ze worden geïmplementeerd in productieomgevingen. Deze aanpak is vooral belangrijk voor organisaties die werken met kritieke productiesystemen waar onbedoelde wijzigingen ernstige gevolgen kunnen hebben. Door eerst een testmodus uit te voeren, kunnen organisaties de impact van de voorgestelde wijzigingen beoordelen en ervoor zorgen dat ze voldoen aan alle organisatorische vereisten en beveiligingsstandaarden voordat ze worden doorgevoerd. Dit proces moet worden geïntegreerd in het algemene change management-proces van de organisatie, waarbij beveiligingsteams en compliance-functionarissen betrokken zijn bij de goedkeuring van wijzigingen. Tijdens het daadwerkelijke remediatieproces activeert het script Microsoft Defender voor Key Vault op alle geïdentificeerde Key Vault-instanties. Dit proces omvat het configureren van de juiste prijsniveau-instellingen binnen Defender voor Cloud en het inschakelen van de specifieke monitoring- en detectiecapaciteiten voor Key Vault. Het script zorgt ervoor dat alle wijzigingen worden toegepast in overeenstemming met de CIS control 2.1.7 vereisten. Dit betekent dat het script niet alleen de Defender-functionaliteit activeert, maar ook verifieert dat de configuratie voldoet aan alle relevante beveiligingsstandaarden. Het proces is ontworpen om robuust en betrouwbaar te zijn, met ingebouwde foutafhandeling om ervoor te zorgen dat eventuele problemen tijdens het remediatieproces worden gedetecteerd en gerapporteerd. Het script voert ook validatiecontroles uit om ervoor te zorgen dat de wijzigingen correct zijn toegepast en dat de beveiligingsconfiguratie nu volledig compliant is. Na voltooiing van het remediatieproces voert het script een verificatiecontrole uit om te bevestigen dat alle wijzigingen correct zijn doorgevoerd. Deze verificatie is essentieel om te waarborgen dat de beveiligingsconfiguratie nu volledig compliant is en dat alle Key Vaults adequaat worden beschermd. Het script genereert een eindrapport dat de status van elke Key Vault-instantie documenteert en bevestigt dat de remediatie succesvol is voltooid. Dit rapport moet worden bewaard als onderdeel van de auditdocumentatie en kan worden gebruikt om te bewijzen dat de organisatie proactief werkt aan het handhaven van een sterke beveiligingspostuur. Het rapport bevat ook informatie over eventuele problemen die zijn opgetreden tijdens het remediatieproces, zodat deze kunnen worden aangepakt in toekomstige implementaties. Organisaties moeten een proces hebben voor het regelmatig reviewen van deze rapporten om trends te identificeren en het remediatieproces continu te verbeteren. Voor organisaties die werken met meerdere Azure-abonnementen of complexe omgevingen kan het remediatieproces worden geautomatiseerd via Azure Automation of andere orchestration-tools. Dit zorgt voor consistente toepassing van beveiligingsconfiguraties in alle omgevingen en minimaliseert het risico op menselijke fouten. Het is belangrijk om regelmatig te controleren of het remediatieproces correct functioneert en om eventuele problemen onmiddellijk aan te pakken. Organisaties moeten een proces hebben voor het monitoren van het remediatieproces en het identificeren van eventuele problemen of trends die kunnen wijzen op onderliggende problemen met de beveiligingsconfiguratie. Dit kan worden gedaan door regelmatige reviews van de remediatierapporten en door het implementeren van waarschuwingen die worden geactiveerd wanneer het remediatieproces niet succesvol is. Het is ook belangrijk om het remediatieproces regelmatig te testen om ervoor te zorgen dat het correct functioneert en dat alle geautomatiseerde workflows naar behoren werken. Na succesvolle remediatie moeten organisaties ervoor zorgen dat de monitoring blijft functioneren om toekomstige configuratiedrift te detecteren. Regelmatige verificatie van de Defender voor Key Vault-status is essentieel om te waarborgen dat de beveiligingsconfiguratie over tijd consistent blijft en dat nieuwe Key Vault-instanties automatisch worden geconfigureerd met de juiste beveiligingsinstellingen. Configuratiedrift treedt op wanneer beveiligingsinstellingen onbedoeld worden gewijzigd, bijvoorbeeld door handmatige configuratiewijzigingen, automatische updates, of wijzigingen in de Azure-omgeving. Zonder continue monitoring kunnen deze wijzigingen onopgemerkt blijven en kan de beveiligingspostuur geleidelijk verslechteren. Het is daarom cruciaal dat organisaties een proces hebben voor het regelmatig controleren en herstellen van configuratiedrift, bij voorkeur geautomatiseerd via monitoring- en remediatiescripts zoals dit alternatieve verificatiescript. Organisaties moeten ook overwegen om automatische remediatie in te stellen voor veelvoorkomende configuratiedrift-scenario's, zodat problemen automatisch worden opgelost zonder handmatige interventie.

Gebruik PowerShell-script defender-key-vault-on.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Key Vault (Alternative Check) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.7 Alternative implementation voor Defender for Key Vault check. .NOTES Filename: defender-key-vault-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.7 NOTE: Duplicate van defender-for-key-vault-enabled.ps1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for Key Vault" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 } $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "KeyVaults" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "KeyVaults" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Key Vault (Alternative Check) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.7 Alternative implementation voor Defender for Key Vault check. .NOTES Filename: defender-key-vault-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.7 NOTE: Duplicate van defender-for-key-vault-enabled.ps1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for Key Vault" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 } $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "KeyVaults" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "KeyVaults" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } " throw } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } Write-Host "[INFO] Monitoring check wordt uitgevoerd..." -ForegroundColor Cyan # TODO: Implementeer monitoring logica Write-Host "[OK] Monitoring check completed" -ForegroundColor Green } catch { Write-Error "Monitoring failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
Critical: Massale diefstal van geheimen blijft ongedetecteerd zonder Microsoft Defender voor Key Vault gedragsanalyse. Compliance: CIS 2.1.7, BIO 10.01, NIS2. Het risico is kritiek voor Key Vaults met productie-credentials.

Management Samenvatting

Alternatieve verificatie voor Microsoft Defender voor Key Vault (CIS 2.1.7). Zie defender-for-key-vault-enabled.json voor volledige implementatie-instructies. Detecteert massale enumeratie van geheimen, afwijkende toegang. Kosten: €0,02 per 10.000 operaties. Essentieel voor productie Key Vaults.