L2 BIO 12.02.01 ISO A.12.2.1 CIS 2.1.2

Microsoft Defender For Cloud: Defender Voor Servers Inschakelen

📅 2025-01-15
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender voor Servers biedt geavanceerde bedreigingsbescherming voor Azure virtuele machines en hybride servers door geïntegreerde endpointdetectie en -respons, kwetsbaarheidsscanning, bestandsintegriteitsbewaking, just-in-time VM-toegang en adaptieve applicatiecontroles te combineren in één uitgebreide beveiligingsoplossing die specifiek is ontworpen om moderne cyberaanvallen te detecteren en te neutraliseren.

Aanbeveling
IMPLEMENTEER VOOR ALLE SERVER WORKLOADS
Risico zonder
Critical
Risk Score
10/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Azure Virtuele machines
Azure Arc servers
On-premises servers
Hybride serveromgevingen

Servers vormen primaire doelwitten voor cybercriminelen omdat zij vaak bedrijfskritieke applicaties, databases en gevoelige gegevens hosten. Zonder geavanceerde endpointbescherming blijven moderne bedreigingen volledig onopgemerkt, wat kan leiden tot catastrofale gevolgen voor organisaties. De complexiteit van hedendaagse cyberaanvallen vereist een gelaagde beveiligingsaanpak die ver uitstijgt boven traditionele antivirusoplossingen die gebaseerd zijn op handtekeningen. Geheugen-gebaseerde malware-aanvallen opereren uitsluitend in het geheugen zonder enige schijfactiviteit, waardoor traditionele antivirusoplossingen deze volledig missen omdat zij afhankelijk zijn van bestandsscanning op de harde schijf. Deze aanvallen gebruiken legitieme systeemprocessen en geavanceerde geheugentechnieken om detectie te omzeilen, waardoor zij bijzonder gevaarlijk zijn voor organisaties die alleen vertrouwen op signature-based detectiemethoden. PowerShell-exploitatie vindt plaats via verhulde scripts en living-off-the-land binaries, waarbij aanvallers legitieme systeemhulpprogramma's misbruiken voor kwaadaardige doeleinden zonder dat er verdachte bestanden op de schijf worden achtergelaten. Aanvallers gebruiken deze technieken bewust omdat zij veel moeilijker te detecteren zijn dan traditionele malware, aangezien zij gebruikmaken van tools die reeds op het systeem aanwezig zijn en daardoor minder verdacht lijken voor beveiligingssystemen. Credentialdiefstal gebeurt via geavanceerde tools zoals Mimikatz of LSASS-dumping, waarbij aanvallers wachtwoorden en tokens rechtstreeks uit het geheugen extraheren om zich toegang te verschaffen tot andere systemen binnen het netwerk zonder dat dit wordt opgemerkt. Deze gestolen authenticatiegegevens vormen een kritiek beveiligingsrisico omdat zij aanvallers in staat stellen om zich volledig te authenticeren als legitieme gebruikers, waardoor verdere detectie wordt bemoeilijkt. Laterale beweging vindt plaats via geautomatiseerde tools zoals PsExec, WMI, RDP of SMB, waardoor aanvallers zich ongehinderd door het netwerk kunnen verspreiden zonder dat dit wordt opgemerkt door traditionele beveiligingssystemen die alleen focussen op inkomend netwerkverkeer. Zero-day exploits hebben nog geen bekende handtekeningen, waardoor traditionele detectiemethoden volledig falen omdat deze aanvallen gebruikmaken van onbekende kwetsbaarheden waar nog geen patches of detectieregels voor bestaan. Ransomware-versleuteling maakt binnen enkele minuten kritieke systemen volledig onbruikbaar, met gemiddelde kosten van twee tot vijf miljoen euro per incident voor Nederlandse organisaties, exclusief de langetermijnimpact op reputatie en operationele continuïteit. Deze aanvallen kunnen volledige bedrijfsprocessen stilzetten en leiden tot aanzienlijke financiële verliezen, verlies van klantvertrouwen en potentieel faillissement voor kleinere organisaties. Privilege escalation gebeurt via kernel-exploits of verkeerd geconfigureerde services, waardoor aanvallers zichzelf hogere rechten kunnen verschaffen om hun doelen te bereiken en hun greep op gecompromitteerde systemen te versterken. Persistentiemechanismen worden geïmplementeerd via geplande taken, registerwijzigingen of service-installaties, waardoor aanvallers toegang behouden zelfs na systeemherstel of reboot, wat betekent dat compromitteringen kunnen blijven bestaan ondanks traditionele herstelmaatregelen. Traditionele op handtekeningen gebaseerde antivirus detecteert maximaal 40 tot 60 procent van moderne bedreigingen omdat aanvallers systematisch versleuteling, verhulling en geheugen-gebaseerde technieken gebruiken om detectie te omzeilen en hun activiteiten verborgen te houden. Microsoft Defender voor Servers biedt geavanceerde gedragsanalyse en machine learning-technieken die deze moderne bedreigingen kunnen detecteren, zelfs wanneer zij nog niet eerder zijn gezien of wanneer zij gebruikmaken van zero-day exploits, waardoor organisaties worden beschermd tegen de meest geavanceerde aanvallen. Deze oplossing is vereist voor CIS Azure Foundations Benchmark controle 2.1.2 en essentieel voor naleving van NIS2, ISO 27001, BIO en AVG, waardoor organisaties kunnen voldoen aan hun wettelijke en regelgevende verplichtingen terwijl zij hun infrastructuur beschermen tegen geavanceerde bedreigingen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze best practice beschrijft het proces voor het inschakelen en configureren van Microsoft Defender voor Servers op Azure-abonnementen die virtuele machines en serverworkloads hosten. Defender voor Servers biedt een uitgebreide set beveiligingsmogelijkheden die specifiek zijn ontworpen voor serveromgevingen, beginnend met geïntegreerde Microsoft Defender voor Endpoint-functionaliteit die volledige endpointdetectie- en responscapaciteiten biedt, waaronder geavanceerde gedragsanalyse die afwijkende activiteiten detecteert die niet door traditionele op handtekeningen gebaseerde methoden worden opgepikt. De bedreigingsjachtfunctionaliteit stelt beveiligingsteams in staat om proactief te zoeken naar indicatoren van compromittering binnen de omgeving, terwijl geautomatiseerd onderzoek en respons de tijd tussen detectie en mitigatie aanzienlijk verkorten door automatische isolatie van gecompromitteerde systemen en het blokkeren van verdacht verkeer. Agentloze kwetsbaarheidsscanning werkt zonder agentimplementatie via schijfmomentopnames, waardoor organisaties snel inzicht krijgen in beveiligingslekken zonder extra overhead of impact op de systeemprestaties, wat bijzonder waardevol is voor organisaties die bezorgd zijn over de resource-impact van traditionele agent-gebaseerde scanning. Bedreigings- en kwetsbaarheidsbeheer biedt uitgebreide software-inventarisatie en CVE-tracking, waardoor beveiligingsteams proactief kunnen reageren op bekende kwetsbaarheden voordat deze worden uitgebuit door aanvallers, waarbij het systeem geïdentificeerde kwetsbaarheden koppelt aan specifieke servers en applicaties zodat prioritering mogelijk is op basis van risico en bedrijfskritiek. Bestandsintegriteitsbewaking bewaakt kritieke systeem- en applicatiebestanden op ongeautoriseerde wijzigingen, wat essentieel is voor het detecteren van compromitteringen waarbij aanvallers systeembestanden wijzigen om persistentie te verkrijgen of detectie te omzeilen, waardoor wijzigingen aan belangrijke configuratiebestanden en uitvoerbare bestanden direct worden opgemerkt. Adaptieve applicatiecontroles gebruiken machine learning om applicatie-whitelistingregels aan te bevelen op basis van daadwerkelijk gebruikspatronen, waardoor de beveiligingspostuur wordt verbeterd zonder overmatige administratieve last en zonder dat organisaties handmatig duizenden applicatieregels hoeven te configureren. Just-in-Time VM-toegang sluit RDP- en SSH-poorten automatisch en opent deze alleen op aanvraag met meervoudige authenticatieverificatie, waardoor de aanvalsoppervlakte aanzienlijk wordt verkleind en onbevoegde toegang wordt voorkomen, wat bijzonder waardevol is voor servers die niet continu beheerders toegang vereisen. Adaptieve netwerkverharding optimaliseert netwerkbeveiligingsgroep-regels op basis van daadwerkelijk verkeer, waardoor onnodige regels worden verwijderd en de beveiligingspostuur wordt verbeterd zonder dat beheerders handmatig complexe netwerkregels hoeven te beheren. Docker-hostverharding biedt containerspecifieke beveiliging voor organisaties die containertechnologie gebruiken, wat essentieel is gezien de unieke beveiligingsuitdagingen die containers met zich meebrengen, zoals container escape-aanvallen en privilege escalation binnen containeromgevingen. Het compliance-dashboard geeft uitgebreid inzicht in de serverbeveiligingspostuur en helpt organisaties bij het aantonen van compliance tijdens audits door gedetailleerde rapportages te genereren over beveiligingsstatus, kwetsbaarheden en incidenten. Azure Arc-integratie ondersteunt on-premises en multi-cloud servers, waardoor organisaties met hybride omgevingen kunnen profiteren van dezelfde geavanceerde beveiligingsmogelijkheden ongeacht waar hun servers zich fysiek bevinden, wat zorgt voor consistente beveiliging over de hele organisatie. De kosten bedragen dertien euro per server per maand voor Plan 2, wat een redelijke investering is gezien de uitgebreide beveiligingsfunctionaliteit die wordt geboden en de potentiële kosten van beveiligingsincidenten die worden voorkomen.

Vereisten en Voorbereiding

Voor het succesvol inschakelen van Microsoft Defender voor Servers moeten organisaties voldoen aan een reeks technische, licentie- en organisatorische vereisten die essentieel zijn voor een soepele implementatie en optimale werking van de beveiligingsoplossing. Deze vereisten vormen de fundamentele basis waarop de serverbeveiligingsoplossing wordt gebouwd en zijn cruciaal om ervoor te zorgen dat de implementatie succesvol verloopt zonder onverwachte belemmeringen of configuratiefouten die kunnen leiden tot gedeeltelijke of onvolledige beveiligingsdekking. Het niet voldoen aan deze vereisten kan resulteren in implementatiefouten, verminderde functionaliteit of volledige mislukking van de beveiligingsimplementatie, waardoor servers onbeschermd blijven en kwetsbaar zijn voor aanvallen. Daarom is het van essentieel belang om alle vereisten zorgvuldig te controleren en te verifiëren voordat de implementatie wordt gestart, zodat potentiële problemen worden geïdentificeerd en opgelost voordat zij kritiek worden.

De primaire licentievereiste betreft de Azure-abonnementen waarop Defender voor Servers wordt geactiveerd. Organisaties moeten beschikken over een Azure-abonnement met eigenaar- of bijdragerrechten op abonnementsniveau, omdat de activering van Defender voor Servers wijzigingen vereist in de beveiligingsprijstiers en resourceconfiguraties die alleen kunnen worden uitgevoerd met deze verhoogde rechten. Zonder de juiste rechten kunnen beheerders de service niet activeren of configureren, wat een belemmering vormt voor de implementatie van adequate serverbeveiliging en kan leiden tot situaties waarin servers onbeschermd blijven en kwetsbaar zijn voor geavanceerde bedreigingen. Het is raadzaam om te werken met een service principal of managed identity die specifiek is aangemaakt voor automatiseringsdoeleinden, bij voorkeur met minimale benodigde rechten voor het uitvoeren van beveiligingsconfiguratietaken, om het principe van least privilege te volgen en de beveiligingsposture te verbeteren terwijl de operationele efficiëntie behouden blijft.

De technische omgeving vereist PowerShell versie 5.1 of hoger voor Windows-systemen, of PowerShell Core versie 7.0 of hoger voor cross-platform ondersteuning op Linux- en macOS-systemen. Deze versievereisten zijn belangrijk omdat de Azure PowerShell-modules moderne PowerShell-functies gebruiken die niet beschikbaar zijn in oudere versies, en omdat cross-platform ondersteuning essentieel is voor organisaties die geautomatiseerde scripts willen uitvoeren vanuit verschillende operating systems zonder platformafhankelijk te zijn. De Azure PowerShell-modules moeten worden geïnstalleerd, met name de Az.Accounts-module voor authenticatie en sessiebeheer, en de Az.Security-module voor interactie met Azure Defender-services en het beheren van beveiligingsprijstiers. Deze modules kunnen eenvoudig worden geïnstalleerd via het PowerShell Gallery met behulp van de Install-Module-cmdlet, en regelmatige updates worden aanbevolen om toegang te hebben tot de nieuwste functionaliteit, beveiligingspatches en verbeteringen die Microsoft regelmatig uitbrengt om de service te verbeteren en nieuwe bedreigingen te adresseren.

De primaire technische vereiste is de aanwezigheid van Azure virtuele machines of Azure Arc-ingeschakelde servers in het Azure-abonnement waarop Defender voor Servers wordt geactiveerd. Azure virtuele machines vormen de meest gebruikte implementatie voor serverworkloads in Azure en bieden volledig beheerde serveromgevingen die organisaties in staat stelt om applicaties en services te draaien zonder de complexiteit van het beheren van fysieke hardware. Arc-ingeschakelde servers maken het mogelijk om on-premises servers en servers in andere cloudomgevingen te beheren alsof het Azure-resources zijn, waardoor organisaties een consistente beveiligingsaanpak kunnen implementeren ongeacht waar hun servers fysiek draaien, wat bijzonder waardevol is voor hybride omgevingen met servers op meerdere locaties. Voor beide scenario's biedt Defender voor Servers dezelfde uitgebreide beveiligingsmogelijkheden, inclusief endpointdetectie, kwetsbaarheidsscanning en configuratiebeoordeling, waardoor consistente beveiligingsdekking wordt gegarandeerd ongeacht de locatie of het type serverimplementatie.

Microsoft Defender voor Cloud moet reeds zijn ingeschakeld op het Azure-abonnement voordat Defender voor Servers kan worden geactiveerd, omdat Defender voor Cloud de basislaag vormt voor alle Defender-modules en de centrale beveiligingsconsole biedt waarbinnen alle beveiligingsmogelijkheden worden geïntegreerd. De activering van Defender voor Cloud is typisch een eenmalige actie op abonnementsniveau en vormt de eerste stap in het opzetten van een uitgebreide Azure-beveiligingsposture die alle aspecten van cloudbeveiliging omvat, van compute en netwerk tot data en identiteit, waardoor een holistische beveiligingsaanpak mogelijk wordt. Zonder deze basislaag kunnen individuele Defender-modules zoals Defender voor Servers niet worden geactiveerd, omdat zij afhankelijk zijn van de centrale infrastructuur en services die door Defender voor Cloud worden geleverd, inclusief logboekverzameling, waarschuwingssystemen en compliance-rapportage.

Financiële overwegingen zijn cruciaal bij de planning van de implementatie, omdat Defender voor Servers directe kosten met zich meebrengt die moeten worden begrepen en gepland voordat de service wordt geactiveerd. De service wordt gefactureerd tegen een tarief van dertien euro per server per maand voor Plan 2, wat betekent dat elke server die wordt beveiligd deze kosten genereert, ongeacht of de server actief wordt gebruikt of in een idle-status verkeert. Voor een middelgrote organisatie met bijvoorbeeld 100 servers resulteert dit in maandelijkse kosten van €1.300, wat moet worden opgenomen in het IT-budget en gejustificeerd moet worden tegenover het management op basis van de beveiligingsvoordelen en risicovermindering. Plan 1 is beschikbaar tegen een lagere kosten van vijf euro per server per maand, maar mist de geavanceerde endpointdetectie- en responscapaciteiten van Microsoft Defender voor Endpoint, waardoor organisaties een afweging moeten maken tussen kosten en beveiligingsdekking. Het is raadzaam om een kostenanalyse uit te voeren voordat de service wordt geactiveerd om te begrijpen wat de maandelijkse kosten zullen zijn op basis van het aantal servers dat moet worden beveiligd, en om deze kosten te vergelijken met de potentiële kosten van beveiligingsincidenten die worden voorkomen.

Monitoring en Verificatie

Gebruik PowerShell-script defender-servers-enabled.ps1 (functie Invoke-Monitoring) – Controleert de prijscategorie van Defender voor Servers met Get-AzSecurityPricing -Name 'VirtualMachines' voor alle abonnementen.

Effectieve monitoring van de status van Microsoft Defender voor Servers is essentieel om te verzekeren dat de service continu actief blijft en continue beveiligingsbescherming biedt voor alle virtuele machines en serverworkloads binnen het Azure-abonnement. Regelmatige verificatie voorkomt dat de service onbedoeld wordt uitgeschakeld, wat zou kunnen gebeuren tijdens beveiligingswijzigingen, kostenbesparingsinitiatieven, herconfiguratie van abonnementen, of door menselijke fouten tijdens beheeractiviteiten die kunnen leiden tot onbeschermde servers. Zonder actieve monitoring bestaat het risico dat Defender voor Servers wordt gedeactiveerd zonder dat beveiligingsteams hiervan op de hoogte worden gesteld, waardoor servers kwetsbaar worden voor aanvallen, kwetsbaarheden en beveiligingsincidenten die niet worden gedetecteerd of gereageerd, wat kan leiden tot datalekken, systeemcompromittering en aanzienlijke financiële schade.

De monitoring kan worden uitgevoerd via verschillende methoden, waaronder Azure PowerShell, Azure CLI, de Azure Resource Manager API, of de Azure Portal, afhankelijk van de voorkeur en automatiseringvereisten van de organisatie. De meest directe en geautomatiseerde methode is het gebruik van de Get-AzSecurityPricing-cmdlet uit de Az.Security-module, waarbij de parameter Name wordt ingesteld op 'VirtualMachines' om de specifieke pricing tier voor Defender voor Servers op te halen voor een bepaald abonnement. Deze cmdlet retourneert belangrijke informatie, waaronder de huidige pricing tier (Standard of Free), de status van de service, en eventuele gerelateerde configuratie-instellingen die van invloed zijn op de functionaliteit en dekking van de beveiligingsoplossing. De pricing tier moet ingesteld zijn op 'Standard' om volledige beveiligingsbescherming te krijgen, inclusief endpointdetectie, kwetsbaarheidsscanning, bestandsintegriteitsbewaking en alle geavanceerde beveiligingsmogelijkheden die Defender voor Servers biedt.

Naast het controleren van de pricing tier is het belangrijk om te verifiëren dat Defender voor Servers daadwerkelijk actief is op alle virtuele machines in het abonnement en dat de benodigde agents en extensies correct zijn geïnstalleerd en functioneren. Dit kan worden geverifieerd via de Azure Portal door naar Microsoft Defender voor Cloud te navigeren, de Servers-sectie te selecteren, en de status per server te controleren om te zien of de service actief is en of er eventuele configuratiewaarschuwingen of foutmeldingen zijn die aandacht vereisen. Automatische monitoring kan worden geïmplementeerd met behulp van Azure Monitor alertregels die worden geactiveerd wanneer de pricing tier wijzigt van Standard naar Free, wanneer de service wordt gedeactiveerd, of wanneer er problemen worden gedetecteerd met de agents of extensies die door Defender voor Servers worden gebruikt. Deze alertregels kunnen worden geconfigureerd om beveiligingsteams te informeren via e-mail, SMS, push-notificaties, of integratie met incidentbeheersystemen zoals ServiceNow, Jira of Microsoft Teams, waardoor snelle respons wordt gegarandeerd wanneer problemen worden gedetecteerd en beveiligingsrisico's kunnen worden gemitigeerd voordat zij kritiek worden.

Het monitoringproces dient regelmatig te worden uitgevoerd, bij voorkeur dagelijks of ten minste wekelijks, afhankelijk van het risicoprofiel van de organisatie, de kritikaliteit van de serverworkloads, en de compliance-vereisten die van toepassing zijn. Voor organisaties met hoge beveiligingsvereisten, kritieke serverworkloads, of strikte compliance-verplichtingen zoals NIS2, BIO of ISO 27001, is dagelijkse monitoring aanbevolen om snel te kunnen reageren op eventuele wijzigingen in de serviceconfiguratie en om te verzekeren dat de beveiligingsbescherming continu actief blijft. Geautomatiseerde monitoring via Azure Automation runbooks, Logic Apps workflows, of Azure Functions kan de belasting op beheerders aanzienlijk verminderen terwijl continue controle wordt gegarandeerd, en kan worden gecombineerd met rapportage naar beveiligingsdashboards, SIEM-systemen, of compliance-rapportagetools, zodat de status van Defender voor Servers zichtbaar is voor alle belanghebbenden, inclusief beveiligingsteams, compliance-officers, en bestuurders die beslissingen moeten nemen over beveiligingsinvesteringen.

Implementatie en Remediatie

Gebruik PowerShell-script defender-servers-enabled.ps1 (functie Invoke-Remediation) – Activeert Defender voor Servers met Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard' voor alle abonnementen.

Wanneer monitoring aantoont dat Microsoft Defender voor Servers niet actief is, niet op de juiste pricing tier is ingesteld, of niet correct functioneert op een of meer virtuele machines, dient onmiddellijke remediatie te worden uitgevoerd om de beveiligingsbescherming te herstellen en te verzekeren dat alle servers adequaat worden beschermd tegen bedreigingen en kwetsbaarheden. De activering van Defender voor Servers is een relatief eenvoudig proces dat kan worden uitgevoerd via de Azure Portal, Azure PowerShell, Azure CLI, of Infrastructure as Code-templates zoals ARM-templates of Terraform, afhankelijk van de voorkeur en automatiseringvereisten van de organisatie. Het remediatieproces moet snel en efficiënt worden uitgevoerd om te voorkomen dat servers langere tijd onbeschermd blijven en kwetsbaar zijn voor aanvallen die kunnen leiden tot datalekken, systeemcompromittering of andere ernstige beveiligingsincidenten.

De meest betrouwbare en geautomatiseerde methode voor implementatie is het gebruik van Azure PowerShell met de Set-AzSecurityPricing-cmdlet uit de Az.Security-module, waarbij de parameter Name wordt ingesteld op 'VirtualMachines' en de parameter PricingTier wordt ingesteld op 'Standard' om volledige beveiligingsbescherming te activeren. Het remediatieproces begint met verificatie van de huidige abonnementsstatus en het bevestigen dat de benodigde rechten aanwezig zijn om wijzigingen aan te brengen op abonnementsniveau, wat essentieel is omdat de activering van Defender voor Servers wijzigingen vereist in de beveiligingsprijstiers die alleen kunnen worden uitgevoerd met eigenaar- of bijdragerrechten. Beheerders dienen zich eerst aan te melden bij Azure met behulp van Connect-AzAccount, waarbij wordt gecontroleerd dat zij zijn aangemeld bij het juiste abonnement met behulp van Get-AzContext om te verzekeren dat wijzigingen worden aangebracht in het correcte abonnement en niet per ongeluk in een ander abonnement waar servers mogelijk geen bescherming nodig hebben.

Nadat de context is geverifieerd, kan de Set-AzSecurityPricing-cmdlet worden uitgevoerd om Defender voor Servers te activeren door de pricing tier in te stellen op 'Standard', wat de service activeert op abonnementsniveau en automatisch Defender voor Servers implementeert op alle virtuele machines binnen het abonnement, inclusief Azure VM's en Arc-ingeschakelde servers. Na activering van de service duurt het enkele minuten tot uren voordat Defender voor Servers volledig operationeel is op alle servers, omdat gedurende deze periode de benodigde agents en extensies worden geïnstalleerd op de servers, de beveiligingsmogelijkheden worden geïnitialiseerd, en de eerste scans en monitoring worden gestart. Het is belangrijk om na de activering te verifiëren dat de service daadwerkelijk actief is via de Azure Portal of door opnieuw de Get-AzSecurityPricing-cmdlet uit te voeren, en om te controleren of er geen foutmeldingen of waarschuwingen zijn die kunnen wijzen op problemen met de implementatie of configuratie die aanvullende aandacht vereisen.

Voor organisaties met meerdere Azure-abonnementen dient het remediatieproces te worden uitgevoerd op elk abonnement dat virtuele machines bevat, wat handmatig tijdrovend kan zijn en foutgevoelig is wanneer abonnementen worden gemist of wanneer configuratiewijzigingen niet consistent worden toegepast. Dit kan worden geautomatiseerd met behulp van PowerShell-scripts die itereren over alle abonnementen in een tenant, waarbij voor elk abonnement wordt gecontroleerd of virtuele machines aanwezig zijn en of Defender voor Servers actief is, en waarbij automatisch remediatie wordt uitgevoerd als de service niet actief is. Deze geautomatiseerde aanpak zorgt voor consistente beveiligingsdekking over de hele organisatie, vermindert het risico dat servers onbeschermd blijven door menselijke fouten of gemiste abonnementen, en maakt het mogelijk om snel te reageren op wijzigingen in de omgeving, zoals nieuwe abonnementen of servers die worden toegevoegd en onmiddellijk beveiligingsbescherming nodig hebben.

Het is belangrijk op te merken dat de activering van Defender voor Servers directe kosten met zich meebrengt op basis van het aantal servers dat wordt beveiligd, en dat beheerders zich bewust moeten zijn van deze kosten en deze moeten monitoren na activering om te verzekeren dat de kosten binnen het budget blijven en om onverwachte kosten te voorkomen. Als kostenbesparingen nodig zijn, kan overleg worden gepleegd met de beveiligingsteams om te bepalen welke servers de hoogste prioriteit hebben voor beveiligingsbescherming, hoewel volledige dekking wordt aanbevolen voor alle productieservers omdat partiële dekking gaten in de beveiliging kan creëren die kunnen worden uitgebuit door aanvallers. Organisaties kunnen ook overwegen om Azure Cost Management en Billing te gebruiken om de kosten van Defender voor Servers te monitoren en te analyseren, en om budgetwaarschuwingen in te stellen die worden geactiveerd wanneer de kosten een bepaalde drempel overschrijden, zodat proactieve actie kan worden ondernomen voordat budgetoverschrijdingen optreden.

Compliance en Auditing

Microsoft Defender voor Servers vormt een essentieel onderdeel van de compliance-positie van organisaties die serverworkloads gebruiken in Azure of hybride omgevingen, omdat het voldoet aan meerdere beveiligingsstandaarden en compliance-frameworks die vereist zijn voor Nederlandse overheidsorganisaties, bedrijven in kritieke sectoren, en organisaties die moeten voldoen aan internationale beveiligingsstandaarden. De implementatie van Defender voor Servers is niet alleen een best practice voor serverbeveiliging, maar ook een expliciete vereiste volgens verschillende erkende beveiligingsstandaarden die worden gebruikt binnen de Nederlandse publieke sector en daarbuiten, en het niet implementeren van deze oplossing kan leiden tot niet-naleving van compliance-vereisten, audit-bevindingen, en potentiële boetes of handhavingsmaatregelen die aanzienlijke financiële en reputatieschade kunnen veroorzaken.

De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 2.1.2 expliciet dat Microsoft Defender voor Servers moet zijn ingesteld op 'On' voor alle Azure-abonnementen die virtuele machines bevatten, wat betekent dat de pricing tier moet zijn ingesteld op 'Standard' om volledige beveiligingsbescherming te krijgen. Deze benchmark is een internationaal erkende standaard die wordt gebruikt door organisaties wereldwijd om hun Azure-beveiligingsposture te beoordelen en te verbeteren, en vormt een belangrijke basis voor cloudbeveiligingsbest practices. Het niet naleven van deze controle wordt beschouwd als een hoog risico, omdat het betekent dat servers niet adequaat worden beschermd tegen kwetsbaarheden en bedreigingen, wat kan leiden tot beveiligingsincidenten, datalekken, en service-onderbrekingen. Auditors die CIS-benchmark-assessments uitvoeren, zullen expliciet controleren of Defender voor Servers actief is door de pricing tier te verifiëren en door te controleren of de service daadwerkelijk functioneert op alle virtuele machines, en het niet voldoen aan deze vereiste zal resulteren in een bevinding die moet worden gerepareerd voordat de audit kan worden afgerond.

De BIO Baseline Informatiebeveiliging Overheid vereist in Thema 12.02 en 12.06 bescherming tegen schadelijke software en kwetsbaarheidsbeheer op alle serveromgevingen. Thema 12.02 specificeert dat organisaties technische maatregelen moeten implementeren om schadelijke software te detecteren en te verwijderen, terwijl Thema 12.06 vereist dat organisaties technische kwetsbaarheden identificeren, beoordelen en verhelpen. Defender voor Servers voldoet aan beide vereisten door geavanceerde malware detectie via endpointdetectie- en responsfunctionaliteit, kwetsbaarheidsscanning via geïntegreerde scanning, en automatische waarschuwingen wanneer bedreigingen worden gedetecteerd. Voor overheidsorganisaties die moeten voldoen aan BIO is implementatie van Defender voor Servers verplicht voor alle productieserveromgevingen, en het niet implementeren kan leiden tot niet-naleving van de BIO Baseline en potentiële audit-bevindingen die moeten worden opgelost.

ISO 27001 is een internationale standaard voor informatiebeveiligingsmanagementsystemen die organisaties helpt bij het beheren van beveiligingsrisico's. De controles A.12.2.1 en A.12.6.1 zijn relevant voor Microsoft Defender voor Servers. Controle A.12.2.1 betreft de bescherming tegen malware en vereist dat organisaties detectie- en preventiemaatregelen implementeren. Defender voor Servers biedt geavanceerde malwarebescherming via Microsoft Defender voor Endpoint-integratie, die real-time detectie en respons biedt tegen bekende en onbekende bedreigingen. Deze functionaliteit helpt organisaties te voldoen aan de vereisten van controle A.12.2.1 door uitgebreide malwarebescherming te bieden die verder gaat dan traditionele signature-based antivirusoplossingen. Controle A.12.6.1 betreft het beheer van technische kwetsbaarheden en vereist dat organisaties informatie over technische kwetsbaarheden van informatiesystemen tijdig verkrijgen, evalueren en passende maatregelen nemen. Defender voor Servers biedt agentloze kwetsbaarheidsscanning en bedreigings- en kwetsbaarheidsbeheer, die organisaties helpen bij het identificeren en beheren van beveiligingslekken. Deze functionaliteit helpt organisaties te voldoen aan de vereisten van controle A.12.6.1 door proactieve kwetsbaarheidsbeheer te bieden.

De NIS2-richtlijn, die van toepassing is op organisaties in kritieke sectoren en digitale dienstverleners in de Europese Unie, vereist in artikel 21 dat organisaties passende en evenredige technische en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen, inclusief het identificeren en beoordelen van risico's, het implementeren van beveiligingsmaatregelen, en het monitoren en detecteren van beveiligingsincidenten. Defender voor Servers helpt organisaties te voldoen aan artikel 21 door uitgebreide serverbeveiliging te bieden die kwetsbaarheden identificeert, bedreigingen detecteert, beveiligingsincidenten monitort, en automatische aanbevelingen biedt voor het verbeteren van de beveiligingsposture. De endpointdetectie en kwetsbaarheidsscanning vormen essentieel onderdeel van een robuuste cybersecurity-aanpak die vereist is onder NIS2, en Nederlandse organisaties die onder de NIS2-richtlijn vallen, dienen daarom Defender voor Servers te implementeren als onderdeel van hun verplichte cybersecurity-maatregelen om te voldoen aan de vereisten voor risicobeheer, incidentdetectie, en incidentrespons.

Voor auditing en compliance-doeleinden is het belangrijk om regelmatig bewijs te verzamelen dat aantoont dat Defender voor Servers actief is en correct functioneert, inclusief de activeringsstatus, kwetsbaarheidsscanresultaten, endpointdetectie-alerts, en eventuele configuratiewaarschuwingen of aanbevelingen. Dit bewijs kan worden verkregen via de Azure Portal, Azure PowerShell-cmdlets, de Azure Resource Manager API, of geautomatiseerde scripts die regelmatig worden uitgevoerd om compliance-rapportages te genereren. Auditlogboeken moeten worden bewaard voor de vereiste retentietijd, typisch zeven jaar voor Nederlandse overheidsorganisaties volgens de Archiefwet, en moeten regelmatig worden beoordeeld om te verzekeren dat de service actief blijft en dat alle beveiligingsgebeurtenissen correct worden gelogd en opgeslagen. Documentatie van de activeringsstatus, kwetsbaarheidsscanresultaten, endpointdetectie-alerts en configuratiestatus moeten worden onderhouden voor auditdoeleinden en kunnen worden gebruikt om te demonstreren aan auditors, toezichthouders, en bestuurders dat de organisatie voldoet aan de vereiste beveiligingsstandaarden en dat adequate maatregelen zijn genomen om serveromgevingen te beveiligen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Cloud: Defender voor Servers Inschakelen .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.2 BIO Baseline - Thema 12.02.01, 12.06.01 NIS2 Richtlijn - Artikel 21 Controleert of Microsoft Defender for Servers is ingeschakeld op alle abonnementen. Biedt threat detection voor virtual machines en fysieke servers. .NOTES Filename: defender-servers-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/defender-servers-enabled.json CIS Control: 2.1.2 BIO Controls: 12.02.01, 12.06.01 NIS2 Article: 21 .EXAMPLE .\defender-servers-enabled.ps1 -Monitoring Voert een controle uit op alle abonnementen en rapporteert de status. .EXAMPLE .\defender-servers-enabled.ps1 -Remediation Activeert Defender voor Servers op alle abonnementen waar deze nog niet actief is. .EXAMPLE .\defender-servers-enabled.ps1 -Remediation -WhatIf Toont wat er zou gebeuren zonder daadwerkelijk wijzigingen door te voeren. #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter(HelpMessage = "Toon wat er zou gebeuren zonder wijzigingen door te voeren")] [switch]$WhatIf, [Parameter(HelpMessage = "Voer monitoring en rapportage uit")] [switch]$Monitoring, [Parameter(HelpMessage = "Activeer Defender voor Servers op niet-compliant abonnementen")] [switch]$Remediation, [Parameter(HelpMessage = "Herstel de configuratie (niet aanbevolen)")] [switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender for Servers" function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure-services indien nodig. #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Write-Verbose "Geen actieve Azure-sessie gevonden. Verbinden..." Connect-AzAccount -ErrorAction Stop | Out-Null Write-Verbose "Succesvol verbonden met Azure" } else { Write-Verbose "Azure-sessie is al actief" } } catch { Write-Error "Fout bij verbinden met Azure: $_" throw } } function Test-Compliance { <# .SYNOPSIS Controleert of Defender voor Servers is ingeschakeld op alle abonnementen. .OUTPUTS PSCustomObject met compliance-status per abonnement. #> [CmdletBinding()] param() Write-Verbose "Compliance-controle uitvoeren voor: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "defender-servers-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() Timestamp = Get-Date } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count Write-Verbose "Gevonden $($subscriptions.Count) actieve abonnement(en)" foreach ($sub in $subscriptions) { try { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Verbose "Controleren abonnement: $($sub.Name) ($($sub.Id))" $pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction Stop if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Compliant" PricingTier = $pricing.PricingTier Message = "✓ Abonnement '$($sub.Name)': Defender voor Servers is ingeschakeld (Standard tier)" } } else { $result.NonCompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Non-Compliant" PricingTier = $pricing.PricingTier Message = "✗ Abonnement '$($sub.Name)': Defender voor Servers is UITGESCHAKELD (Huidige tier: $($pricing.PricingTier))" } $result.Recommendations += "Activeer Defender voor Servers op '$($sub.Name)' met Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard'" } } catch { if ($_.Exception.Message -like "*not found*" -or $_.Exception.Message -like "*does not exist*" -or $_.Exception.Message -like "*niet gevonden*") { $result.NonCompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Not Configured" PricingTier = "Unknown" Message = "✗ Abonnement '$($sub.Name)': Defender voor Servers is NIET GECONFIGUREERD" } $result.Recommendations += "Configureer Defender voor Servers op '$($sub.Name)'" } else { $result.NonCompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Error" PricingTier = "Unknown" Message = "✗ Abonnement '$($sub.Name)': Fout bij controleren - $($_.Exception.Message)" } Write-Warning "Fout bij controleren abonnement '$($sub.Name)': $_" } } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { Write-Error "Fout tijdens compliance-controle: $_" $result.Details += [PSCustomObject]@{ SubscriptionName = "Error" SubscriptionId = "Error" Status = "Error" PricingTier = "Unknown" Message = "ERROR: $($_.Exception.Message)" } } return $result } function Invoke-Remediation { <# .SYNOPSIS Activeert Defender voor Servers op alle abonnementen waar deze nog niet actief is. #> [CmdletBinding(SupportsShouldProcess)] param() Write-Host "`nRemediatie starten voor: $PolicyName..." -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan try { $fixed = 0 $failed = 0 $skipped = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { try { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Verbose "Verwerken abonnement: $($sub.Name)" # Controleer huidige status $pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue if ($pricing -and $pricing.PricingTier -eq 'Standard') { Write-Host " [OK] Reeds ingeschakeld: $($sub.Name)" -ForegroundColor Green $skipped++ } else { if ($WhatIf) { Write-Host " [WhatIf] Zou activeren voor: $($sub.Name)" -ForegroundColor Yellow $fixed++ } else { # Activeer Defender voor Servers Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard" -ErrorAction Stop | Out-Null Write-Host " [OK] Geactiveerd voor: $($sub.Name)" -ForegroundColor Green $fixed++ Write-Host " Opmerking: Het kan enkele minuten duren voordat de service volledig actief is" -ForegroundColor Gray Write-Host " Kosten: €13 per server per maand voor Plan 2" -ForegroundColor Gray } } } catch { Write-Host " ✗ Mislukt voor $($sub.Name): $($_.Exception.Message)" -ForegroundColor Red Write-Warning "Fout bij remediatie voor abonnement '$($sub.Name)': $_" $failed++ } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "[OK] Geconfigureerd: $fixed abonnement(en)" -ForegroundColor Green if ($skipped -gt 0) { Write-Host "[INFO] Overgeslagen (reeds actief): $skipped abonnement(en)" -ForegroundColor Cyan } if ($failed -gt 0) { Write-Host "[WAARSCHUWING] Mislukt: $failed abonnement(en)" -ForegroundColor Yellow } Write-Host "`nBelangrijke opmerkingen:" -ForegroundColor Cyan Write-Host " • Defender voor Servers is nu actief op alle abonnementen" -ForegroundColor Gray Write-Host " • De service wordt automatisch geïmplementeerd op alle virtuele machines" -ForegroundColor Gray Write-Host " • Controleer de status via: Azure Portal → Defender voor Cloud → Servers" -ForegroundColor Gray Write-Host " • Monitor kosten via: Azure Portal → Cost Management + Billing" -ForegroundColor Gray } catch { Write-Error "Remediatie mislukt: $_" throw } } function Invoke-Monitoring { <# .SYNOPSIS Voert uitgebreide monitoring en rapportage uit. #> [CmdletBinding()] param() $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Abonnementen: $($result.TotalResources)" -ForegroundColor White Write-Host "Ingeschakeld: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Uitgeschakeld/Niet geconfigureerd: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) Write-Host "Tijdstip controle: $($result.Timestamp.ToString('yyyy-MM-dd HH:mm:ss'))" -ForegroundColor Gray if ($result.Details) { Write-Host "`nDetails per abonnement:" -ForegroundColor Yellow foreach ($detail in $result.Details) { $color = switch ($detail.Status) { "Compliant" { "Green" } "Non-Compliant" { "Red" } "Not Configured" { "Yellow" } default { "Gray" } } Write-Host " $($detail.Message)" -ForegroundColor $color } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($recommendation in $result.Recommendations) { Write-Host " • $recommendation" -ForegroundColor Gray } } Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle abonnementen hebben Defender voor Servers ingeschakeld." -ForegroundColor Green Write-Host "Servers worden beschermd tegen geavanceerde bedreigingen." -ForegroundColor Green } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) abonnement(en) hebben Defender voor Servers niet ingeschakeld." -ForegroundColor Red Write-Host "Servers in deze abonnementen zijn kwetsbaar voor aanvallen." -ForegroundColor Red Write-Host "Voer het script uit met -Remediation om dit op te lossen." -ForegroundColor Yellow } return $result } function Invoke-Revert { <# .SYNOPSIS Herstelt de configuratie (niet aanbevolen). #> [CmdletBinding(SupportsShouldProcess)] param() Write-Host "`n⚠️ WAARSCHUWING: Defender voor Servers uitschakelen wordt NIET aanbevolen" -ForegroundColor Yellow Write-Host "Dit verhoogt het risico op ongedetecteerde serverbedreigingen en kwetsbaarheden." -ForegroundColor Yellow Write-Host "Servers worden blootgesteld aan ransomware, malware en zero-day exploits." -ForegroundColor Yellow Write-Host "`nAls u toch wilt uitschakelen, gebruik dan:" -ForegroundColor Gray Write-Host " Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Free'" -ForegroundColor Gray Write-Host "`nLET OP: Dit schakelt alle beveiligingsbescherming uit voor servers!" -ForegroundColor Red Write-Host "Dit wordt sterk afgeraden en kan leiden tot compliance-problemen." -ForegroundColor Red } # Hoofdscript try { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan Write-Host "Microsoft Defender for Servers" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODUS ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou Defender voor Servers activeren voor $($result.NonCompliantCount) abonnement(en)" -ForegroundColor Yellow if ($result.NonCompliantCount -gt 0) { Write-Host "`nAbonnementen die zouden worden geactiveerd:" -ForegroundColor Yellow $result.Details | Where-Object { $_.Status -ne "Compliant" } | ForEach-Object { Write-Host " • $($_.SubscriptionName) ($($_.SubscriptionId))" -ForegroundColor Gray } } } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { # Standaard: basis compliance-controle $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle $($result.TotalResources) abonnement(en) hebben Defender voor Servers ingeschakeld." -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) van $($result.TotalResources) abonnement(en) hebben Defender voor Servers niet ingeschakeld." -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $($_.Message)" -ForegroundColor Gray } } Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray Write-Host "Gebruik -Remediation om Defender voor Servers in te schakelen" -ForegroundColor Gray } } catch { Write-Error "Fout in defender-servers-enabled.ps1: $_" exit 1 } finally { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder Defender voor Servers blijven servers onbeschermd tegen geavanceerde bedreigingen. Ransomware-aanvallen blijven ongedetecteerd totdat versleuteling compleet is, waardoor herstel vrijwel onmogelijk wordt. Geavanceerde malware en zero-day exploits opereren onopgemerkt omdat traditionele antivirussoftware deze niet kan detecteren. Kwetsbaarheidsscanning ontbreekt waardoor bekende CVEs ongepatcht blijven en aanvallers kunnen misbruiken van bekende beveiligingslekken. Laterale beweging detectie faalt waardoor aanvallers vrij kunnen bewegen door het netwerk zonder opgemerkt te worden. Bestandsintegriteitsbewaking ontbreekt waardoor onbevoegde wijzigingen aan kritieke systeembestanden onopgemerkt blijven. Gemiddelde kosten van een ransomware-aanval bedragen €2-5 miljoen, exclusief reputatieschade en operationele impact. Compliance-vereisten: CIS 2.1.2, BIO 12.02, NIS2 Artikel 21 vereisen endpoint bedreigingsdetectie op alle productieserveromgevingen. Het risico is kritiek voor alle productie-servers.

Management Samenvatting

Defender voor Servers biedt uitgebreide serverbescherming: endpointdetectie- en responscapaciteiten voor detectie van ransomware, malware en zero-day exploits, kwetsbaarheidsscanning voor besturingssysteem en software CVE-detectie, bestandsintegriteitsbewaking die onbevoegde wijzigingen aan kritieke bestanden detecteert, adaptieve applicatiecontroles die ongeautoriseerde software-uitvoering voorkomt, just-in-time VM-toegang die netwerkpoorten alleen opent wanneer toegang nodig is, en netwerkbeveiligingsaanbevelingen die automatisch netwerkbeveiligingsgroepen versterken. Plan 2 kost €13 per server per maand en omvat volledige endpointdetectie- en responsfunctionaliteit, bestandsintegriteitsbewaking en just-in-time toegang. Activatie: Defender for Cloud → Servers → inschakelen en selecteer plan. Verplicht voor CIS 2.1.2, BIO 12.02, NIS2 Artikel 21. Implementatie: 2-4 uur. Verplicht voor productieservers.