L2 BIO 12.02.01 ISO A.12.2.1 CIS 2.1.16

Endpoint Bescherming Geïnstalleerd Op Virtuele Machines

📅 2025-10-30
⏱️ 10 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Endpoint bescherming (antivirus/EDR) moet geïnstalleerd en actief zijn op alle Azure VMs om malware, ransomware en fileless-aanvallen te detecteren en blokkeren voordat ze systemen compromitteren.

Aanbeveling
IMPLEMENTEER VERPLICHT OP ALLE VMS
Risico zonder
Critical
Risk Score
10/10
Implementatie
0u
Van toepassing op:
Azure Virtuele Machines
Azure Arc Servers

Virtuele machines zonder endpoint bescherming zijn extreem kwetsbaar voor cyberaanvallen. Ransomware versleutelt bestanden binnen enkele minuten na infectie, waardoor organisaties volledig worden lamgelegd. Fileless malware voert kwaadaardige code direct in het geheugen uit zonder detecteerbare bestanden achter te laten, waardoor traditionele antivirusoplossingen deze aanvallen volledig missen. Tools voor diefstal van inloggegevens zoals Mimikatz kunnen onbeperkt draaien en wachtwoorden en tokens stelen zonder dat netwerkfirewalls dit opmerken. Cryptominers consumeren systeembronnen en veroorzaken prestatieproblemen, terwijl trojans persistente toegang tot systemen vestigen voor langdurige compromittering. Wormen verspreiden zich lateraal door de omgeving en infecteren meerdere systemen in korte tijd. Traditionele netwerkfirewalls detecteren deze host-gebaseerde bedreigingen niet, omdat ze zich richten op netwerkverkeer en niet op processen die lokaal op systemen draaien. Onbeschermde virtuele machines worden binnen 24 tot 48 uur na blootstelling aan internet gecompromitteerd door geautomatiseerde malware-scans die constant kwetsbaarheden zoeken. Endpoint bescherming vormt de fundamentele verdedigingslaag tegen meer dan 90% van alle malware-aanvallen en is daarom onmisbaar voor elke productieomgeving.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security, Az.Compute

Implementatie

Deze controle verifieert dat endpoint bescherming geïnstalleerd en actief is op alle Azure Windows- en Linux-virtuele machines. Ondersteunde oplossingen omvatten Microsoft Defender voor Endpoint (aanbevolen via Defender voor Servers Plan 2), de Microsoft Antimalware-extensie (gratis), en oplossingen van derde partijen zoals Trend Micro, Symantec en McAfee. Het script controleert de installatiestatus van endpoint bescherming, de gezondheid van de bescherming inclusief of virusdefinities bijgewerkt zijn, of realtime bescherming is ingeschakeld, en of detectie van beveiligingsdreigingen actief is. Voor productieomgevingen wordt sterk aanbevolen om Microsoft Defender voor Endpoint te gebruiken via Defender voor Servers Plan 2, omdat dit EDR-capaciteiten biedt die verder gaan dan basisantivirus, zoals geavanceerde bedreigingsdetectie, gedragsanalyse en automatische respons op incidenten.

Vereisten

Voor de implementatie van endpoint bescherming op Azure virtuele machines zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten zorgen ervoor dat de implementatie succesvol verloopt en dat de beveiligingsoplossing optimaal functioneert binnen de Azure-omgeving.

De primaire technische vereiste betreft de beschikbaarheid van Azure virtuele machines, zowel Windows- als Linux-gebaseerde systemen. Deze virtuele machines kunnen zich bevinden in verschillende Azure-regio's en moeten toegankelijk zijn via de Azure Management API's. Voor de automatisering en monitoring van endpoint bescherming is PowerShell versie 5.1 of hoger vereist, omdat moderne Azure PowerShell-modules deze minimale versie nodig hebben voor optimale functionaliteit.

De benodigde PowerShell-modules omvatten Az.Accounts voor authenticatie en sessiebeheer, Az.Security voor toegang tot beveiligingsconfiguraties en compliance-informatie, en Az.Compute voor het beheren van virtuele machines en hun extensies. Deze modules moeten geïnstalleerd zijn op het systeem waarop de monitoring- en implementatiescripts worden uitgevoerd. Voor organisaties die werken met Azure Cloud Shell zijn deze modules standaard beschikbaar en hoeven ze niet handmatig te worden geïnstalleerd.

Defender voor Cloud moet ingeschakeld zijn voor het ontvangen van aanbevelingen en compliance-rapportage. Deze service biedt geïntegreerde beveiligingsbeheer en geavanceerde bedreigingsbescherming voor workloads in Azure, hybride cloudomgevingen en on-premises systemen. Wanneer Defender voor Cloud actief is, worden automatisch aanbevelingen gegenereerd voor virtuele machines zonder endpoint bescherming, wat de implementatie en compliance-monitoring aanzienlijk vereenvoudigt.

Voor organisaties die kiezen voor Microsoft Defender voor Endpoint (MDE) als endpoint beschermingsoplossing is een Defender voor Servers Plan 2-licentie vereist. Deze licentie biedt toegang tot geavanceerde EDR-capaciteiten, waaronder endpointdetectie en respons, geavanceerde bedreigingsjacht, en geautomatiseerde onderzoeken en respons. Plan 2 is met name geschikt voor productieomgevingen waar geavanceerde beveiligingsmonitoring en snelle incidentrespons essentieel zijn.

Organisaties met beperkte budgetten kunnen gebruikmaken van de gratis Microsoft Antimalware-extensie voor Azure virtuele machines. Deze extensie biedt basisantivirusbescherming zonder de geavanceerde EDR-capaciteiten van Microsoft Defender voor Endpoint. Hoewel deze oplossing kosteneffectief is, biedt het beperkte bescherming tegen geavanceerde bedreigingen en fileless-aanvallen. Voor kritieke productieomgevingen wordt daarom sterk aanbevolen om te investeren in een volledige EDR-oplossing.

Implementatie

De implementatie van endpoint bescherming op Azure virtuele machines kan op verschillende manieren worden uitgevoerd, afhankelijk van de gekozen oplossing en de specifieke behoeften van de organisatie. Elke implementatiemethode heeft zijn eigen voor- en nadelen, en de keuze hangt af van factoren zoals budget, beveiligingsvereisten, en de omvang van de omgeving.

De meest aanbevolen optie voor productieomgevingen is Microsoft Defender voor Endpoint via Defender voor Servers Plan 2. Deze oplossing biedt automatische implementatie wanneer Defender voor Servers Plan 2 is ingeschakeld voor een abonnement of resourcegroep. De automatische implementatie zorgt ervoor dat alle nieuwe virtuele machines automatisch worden voorzien van endpoint bescherming zonder handmatige interventie. Microsoft Defender voor Endpoint biedt geavanceerde EDR-capaciteiten, waaronder realtime bedreigingsdetectie, gedragsanalyse, endpointdetectie en respons, en geautomatiseerde onderzoeken en respons op beveiligingsincidenten. Deze oplossing is met name geschikt voor organisaties die voldoen aan strikte compliance-vereisten en geavanceerde beveiligingsmonitoring nodig hebben.

Voor organisaties met beperkte budgetten of testomgevingen is de gratis Microsoft Antimalware-extensie beschikbaar. Deze extensie biedt basisantivirusbescherming zonder de geavanceerde EDR-capaciteiten van Microsoft Defender voor Endpoint. De extensie kan handmatig worden geïnstalleerd via de Azure Portal, Azure PowerShell, of Azure Resource Manager-sjablonen. Hoewel deze oplossing kosteneffectief is, biedt het beperkte bescherming tegen geavanceerde bedreigingen zoals fileless-aanvallen, zero-day exploits, en geavanceerde persistente bedreigingen (APT's). Organisaties die deze oplossing gebruiken moeten zich bewust zijn van de beperkingen en overwegen om te upgraden naar een volledige EDR-oplossing voor kritieke workloads.

Oplossingen van derde partijen zoals Trend Micro, Symantec, en McAfee zijn beschikbaar via de Azure Marketplace. Deze oplossingen vereisen handmatige implementatie en configuratie, en organisaties moeten zelf zorgen voor licentiebeheer en onderhoud. Hoewel deze oplossingen vaak geavanceerde functies bieden, vereisen ze meer beheer en kunnen ze complexer zijn om te implementeren en te onderhouden dan de native Microsoft-oplossingen. Organisaties die kiezen voor oplossingen van derde partijen moeten ervoor zorgen dat deze oplossingen compatibel zijn met Azure en voldoen aan de compliance-vereisten van de organisatie.

Azure Policy kan worden gebruikt voor automatische implementatie van endpoint bescherming bij het maken van nieuwe virtuele machines. Deze aanpak zorgt ervoor dat alle nieuwe virtuele machines automatisch worden voorzien van endpoint bescherming, ongeacht wie of welk proces de virtuele machine maakt. Azure Policy kan worden geconfigureerd om automatisch de Microsoft Antimalware-extensie te installeren of om te controleren of Microsoft Defender voor Endpoint is geïnstalleerd. Deze aanpak is met name effectief voor organisaties die werken met infrastructure as code en geautomatiseerde implementatiepijplijnen, omdat het ervoor zorgt dat beveiligingsvereisten consistent worden toegepast op alle virtuele machines in de omgeving.

Monitoring

Monitoring van endpoint bescherming op Azure virtuele machines is essentieel om ervoor te zorgen dat alle systemen adequaat beschermd zijn tegen malware en andere cyberbedreigingen. Effectieve monitoring omvat niet alleen het controleren of endpoint bescherming geïnstalleerd is, maar ook het verifiëren van de gezondheid van de bescherming, de status van virusdefinities, en de activiteit van beveiligingsdreigingen.

Het monitoringproces begint met het inventariseren van alle virtuele machines in de Azure-omgeving en het controleren van de installatiestatus van endpoint bescherming. Voor elke virtuele machine moet worden geverifieerd of een ondersteunde endpoint beschermingsoplossing is geïnstalleerd en actief is. Dit omvat het controleren van de aanwezigheid van Microsoft Defender voor Endpoint, de Microsoft Antimalware-extensie, of oplossingen van derde partijen zoals Trend Micro, Symantec, of McAfee.

Naast de installatiestatus is het belangrijk om de gezondheid van de endpoint bescherming te monitoren. Dit omvat het controleren of virusdefinities bijgewerkt zijn, of realtime bescherming is ingeschakeld, en of er geen fouten of waarschuwingen zijn in de beveiligingsagent. Verouderde virusdefinities kunnen leiden tot onvoldoende bescherming tegen nieuwe bedreigingen, terwijl uitgeschakelde realtime bescherming systemen kwetsbaar maakt voor directe aanvallen.

Defender voor Cloud biedt geïntegreerde monitoring en rapportage voor endpoint bescherming via beveiligingsaanbevelingen. Deze aanbevelingen identificeren automatisch virtuele machines zonder endpoint bescherming of met configuratieproblemen. Organisaties kunnen deze aanbevelingen gebruiken om hun compliance-status te monitoren en om prioriteiten te stellen voor remediatie-acties.

Voor geavanceerde monitoring en bedreigingsdetectie biedt Microsoft Defender voor Endpoint een uitgebreide dashboard en rapportage-interface. Deze interface toont gedetecteerde bedreigingen, beveiligingsincidenten, en de effectiviteit van de endpoint bescherming. Organisaties kunnen deze informatie gebruiken om trends te identificeren, beveiligingsincidenten te onderzoeken, en de algehele beveiligingspostuur van hun omgeving te verbeteren.

Gebruik PowerShell-script endpoint-protection-on.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert de installatiestatus en gezondheid van endpoint bescherming op alle Azure virtuele machines en genereert een gedetailleerd rapport van de compliance-status..

Compliance en Auditing

Endpoint bescherming op Azure virtuele machines is een verplichte vereiste voor verschillende internationale en nationale compliance-frameworks. Nederlandse overheidsorganisaties en organisaties die werken met gevoelige gegevens moeten voldoen aan deze vereisten om hun compliance-status te behouden en om te voorkomen dat ze boetes of andere sancties krijgen.

De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 2.1.16 dat endpoint bescherming moet zijn geïnstalleerd op alle virtuele machines. Deze controle is geclassificeerd als Level 2, wat betekent dat het wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. De CIS Benchmark is een wereldwijd erkend framework voor cloudbeveiliging en wordt vaak gebruikt als basis voor compliance-audits en beveiligingsassessments. Organisaties die voldoen aan de CIS Azure Foundations Benchmark demonstreren dat ze best practices volgen voor cloudbeveiliging.

ISO 27001, de internationale standaard voor informatiebeveiligingsmanagement, vereist in controle A.12.2.1 dat organisaties maatregelen nemen tegen schadelijke software. Deze controle maakt deel uit van het beheer van operationele beveiliging en vereist dat organisaties antivirussoftware en andere maatregelen implementeren om systemen te beschermen tegen malware. Voor Azure-omgevingen betekent dit dat alle virtuele machines moeten zijn voorzien van endpoint bescherming die regelmatig wordt bijgewerkt en gemonitord. Organisaties die ISO 27001-certificering nastreven of behouden moeten kunnen aantonen dat ze voldoen aan deze vereiste.

De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, vereist in Artikel 21 dat organisaties passende technische en organisatorische maatregelen nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Dit omvat maatregelen ter bescherming tegen malware en andere cyberbedreigingen. Nederlandse organisaties die onder de NIS2-richtlijn vallen, zoals energiebedrijven, financiële instellingen, en overheidsorganisaties, moeten kunnen aantonen dat ze adequate endpoint bescherming hebben geïmplementeerd. Niet-naleving kan leiden tot boetes tot 2% van de wereldwijde jaaromzet of €10 miljoen, afhankelijk van wat hoger is.

Het Baseline Informatiebeveiliging Overheid (BIO) framework, dat specifiek is ontwikkeld voor Nederlandse overheidsorganisaties, vereist in Thema 12.02 dat organisaties maatregelen nemen ter bescherming tegen schadelijke software. Dit thema maakt deel uit van het beheer van technische beveiligingsmaatregelen en vereist dat organisaties antivirus- en antimalware-oplossingen implementeren die regelmatig worden bijgewerkt en gemonitord. Overheidsorganisaties die werken met gevoelige informatie moeten kunnen aantonen dat ze voldoen aan deze vereiste tijdens audits en assessments. Het BIO framework is gebaseerd op de ISO 27001-standaard maar bevat aanvullende vereisten die specifiek zijn voor de Nederlandse publieke sector.

Voor compliance-audits en assessments moeten organisaties kunnen aantonen dat endpoint bescherming is geïnstalleerd en actief is op alle virtuele machines. Dit omvat het bijhouden van installatiestatus, configuratie-instellingen, updategeschiedenis, en detectielogs. Organisaties moeten regelmatig compliance-rapporten genereren die aantonen dat ze voldoen aan de vereisten van de verschillende frameworks. Deze rapporten kunnen worden gebruikt tijdens interne audits, externe assessments, en certificeringsprocessen.

Remediatie

Wanneer monitoring aangeeft dat virtuele machines geen endpoint bescherming hebben of dat de bescherming niet correct functioneert, moeten organisaties onmiddellijk remediatie-acties ondernemen om de beveiligingspostuur te herstellen. Remediatie omvat het installeren van endpoint bescherming op onbeschermde virtuele machines, het oplossen van configuratieproblemen, en het herstellen van beschadigde of niet-functionerende beveiligingsagents.

Voor virtuele machines zonder endpoint bescherming is de meest directe remediatie-actie het installeren van een ondersteunde endpoint beschermingsoplossing. De keuze van de oplossing hangt af van de beschikbare licentie en de beveiligingsvereisten van de organisatie. Voor organisaties met Defender voor Servers Plan 2 kan Microsoft Defender voor Endpoint automatisch worden geïnstalleerd via de Defender voor Cloud-interface. Voor organisaties zonder deze licentie kan de gratis Microsoft Antimalware-extensie worden geïnstalleerd via de Azure Portal of via Azure PowerShell.

Wanneer endpoint bescherming is geïnstalleerd maar niet correct functioneert, moeten organisaties de onderliggende oorzaak identificeren en oplossen. Veelvoorkomende problemen omvatten verouderde virusdefinities, uitgeschakelde realtime bescherming, configuratieproblemen, of conflicten met andere beveiligingssoftware. Organisaties moeten de logs van de endpoint beschermingsagent controleren om de specifieke oorzaak te identificeren en passende corrigerende maatregelen te nemen.

Voor virtuele machines met beschadigde of niet-functionerende beveiligingsagents kan het nodig zijn om de agent opnieuw te installeren of te herstellen. Dit omvat het verwijderen van de oude agent, het opschonen van eventuele resterende configuratiebestanden, en het opnieuw installeren van de agent met de juiste configuratie. Organisaties moeten ervoor zorgen dat ze een back-up hebben van de configuratie-instellingen voordat ze de agent opnieuw installeren, om te voorkomen dat belangrijke beveiligingsinstellingen verloren gaan.

Automatische remediatie kan worden geconfigureerd via Azure Policy om ervoor te zorgen dat nieuwe virtuele machines automatisch worden voorzien van endpoint bescherming. Deze aanpak voorkomt dat nieuwe virtuele machines onbeschermd blijven en vermindert de noodzaak voor handmatige remediatie-acties. Organisaties moeten regelmatig controleren of automatische remediatie correct functioneert en of alle nieuwe virtuele machines daadwerkelijk worden voorzien van endpoint bescherming.

Gebruik PowerShell-script endpoint-protection-on.ps1 (functie Invoke-Remediation) – Het remediatie script installeert automatisch endpoint bescherming op onbeschermde virtuele machines en lost configuratieproblemen op om de compliance-status te herstellen..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Endpoint Protection Status .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.16 Controleert endpoint protection status op virtual machines. .NOTES Filename: endpoint-protection-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/endpoint-protection-on.json CIS Control: 2.1.16 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security, Az.Compute [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Endpoint Protection Status" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Endpoint protection verwijderen verhoogt security risk" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "endpoint-protection-on" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Endpoint protection verwijderen verhoogt security risk" -ForegroundColor Yellow } try { $vms = Get-AzVM -ErrorAction SilentlyContinue if (-not $vms) { $result.Details += "Geen VMs gevonden" $result.IsCompliant = $true return $result } $result.TotalResources = @($vms).Count foreach ($vm in $vms) { $extensions = Get-AzVMExtension -ResourceGroupName $vm.ResourceGroupName -VMName $vm.Name -ErrorAction SilentlyContinue $hasEndpointProtection = $extensions | Where-Object { $_.Publisher -like "*MicrosoftMonitoringAgent*" -or $_.Publisher -like "*MDE*" -or $_.Publisher -like "*Defender*" -or $_.ExtensionType -like "*MDE*" } if ($hasEndpointProtection) { $result.CompliantCount++ $result.Details += "✓ VM '$($vm.Name)' heeft endpoint protection" } else { $result.NonCompliantCount++ $result.Details += "✗ VM '$($vm.Name)' heeft GEEN endpoint protection" $result.Recommendations += "Installeer endpoint protection voor VM '$($vm.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) if ($result.NonCompliantCount -gt 0) { $result.Recommendations += "Enable Defender for Servers voor automatic agent deployment" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "VMs: $($result.TotalResources)" -ForegroundColor White Write-Host "Protected: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Unprotected: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details -and $result.Details.Count -le 20) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow $result.Recommendations | ForEach-Object { Write-Host " → $_" -ForegroundColor Cyan } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Endpoint protection verwijderen verhoogt security risk" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Write-Host "`n⚠️ Endpoint protection vereist agent deployment" -ForegroundColor Yellow Write-Host " Enable Defender for Servers met auto-provisioning" -ForegroundColor Gray Write-Host " Of installeer handmatig: Microsoft Defender for Endpoint" -ForegroundColor Gray } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) VMs)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder endpoint bescherming worden virtuele machines binnen 24 tot 48 uur gecompromitteerd door malware. Ransomware versleutelt alle gegevens, waardoor organisaties volledig worden lamgelegd. Malware verspreidt zich lateraal door de omgeving en infecteert meerdere systemen in korte tijd. Diefstal van inloggegevens geeft aanvallers persistente toegang tot systemen, waardoor langdurige compromittering mogelijk is. De gemiddelde kosten van een ransomware-aanval bedragen tussen de €2 en €5 miljoen, inclusief bedrijfsverlies, herstelkosten, en mogelijke boetes. Compliance-frameworks zoals CIS 2.1.16, BIO 12.02, ISO 27001, en NIS2 vereisen allemaal endpoint bescherming. Het risico is kritiek voor alle virtuele machines, omdat malware een universele bedreiging is die alle systemen kan treffen die verbonden zijn met internet of netwerken.

Management Samenvatting

Endpoint bescherming voor virtuele machines: Optie 1 (Premium): Microsoft Defender voor Endpoint via Defender voor Servers Plan 2 (€12 per VM per maand) - enterprise EDR met AI-gestuurde detectie en geavanceerde bedreigingsjacht. Optie 2 (Gratis): Microsoft Antimalware-extensie - basis virus- en malware-scanning zonder EDR-capaciteiten. Installatie: automatisch via Defender voor Servers of handmatige extensie-implementatie. Verplicht volgens CIS 2.1.16, BIO 12.02, en NIS2. Implementatie: 3 tot 5 uur voor bulk-implementatie. Niet-onderhandelbaar voor alle productie-virtuele machines.