BIO 12.01 ISO A.18.2.1

Microsoft Defender Voor Cloud: Regulatory Compliance Dashboard Configureren En Monitoren

📅 2025-01-15
⏱️ 20 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het Regulatory Compliance Dashboard in Microsoft Defender voor Cloud biedt organisaties een centraal overzicht van hun nalevingsstatus ten opzichte van verschillende regelgevende frameworks en industriestandaarden, waardoor beveiligingsteams en compliance-officers snel kunnen identificeren waar verbeteringen nodig zijn en kunnen aantonen dat de organisatie voldoet aan verplichte beveiligingsvereisten.

Aanbeveling
VERIFIEER AUTOMATISCH BESCHIKBAAR
Risico zonder
Medium
Risk Score
5/10
Implementatie
3u (tech: 1u)
Van toepassing op:
Azure

Zonder een regulatory compliance dashboard beschikken organisaties niet over een geïntegreerd en actueel overzicht van hun nalevingsstatus ten opzichte van relevante regelgevende frameworks zoals de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001, NIST, PCI-DSS en andere normen die van toepassing zijn op hun specifieke sector en geografische locatie. Dit gebrek aan overzicht maakt het uiterst moeilijk om compliance te beheren, te monitoren en te rapporteren aan management, stakeholders en toezichthouders. Wanneer organisaties geen centraal dashboard hebben dat automatisch de nalevingsstatus evalueert op basis van de daadwerkelijke beveiligingsconfiguratie, moeten zij handmatig compliance-controles uitvoeren, wat tijdrovend, foutgevoelig en vaak niet up-to-date is. Handmatige compliance-controles zijn niet alleen inefficiënt, maar kunnen ook leiden tot gemiste inzichten, verouderde informatie en het onjuist rapporteren van de nalevingsstatus aan belanghebbenden. Voor Nederlandse overheidsorganisaties is compliance met de Baseline Informatiebeveiliging Overheid (BIO) verplicht, en het ontbreken van een geautomatiseerd systeem om deze compliance te monitoren kan leiden tot niet-naleving, wat kan resulteren in toezichtsancties, reputatieschade en juridische aansprakelijkheid. Het Regulatory Compliance Dashboard biedt een geautomatiseerde manier om compliance te meten door de actuele beveiligingsconfiguratie te vergelijken met de vereisten van verschillende compliance-frameworks, waardoor organisaties real-time inzicht krijgen in hun nalevingsstatus zonder handmatige tussenkomst. Deze geautomatiseerde aanpak is essentieel omdat beveiligingsconfiguraties continu veranderen door nieuwe implementaties, updates en wijzigingen in de omgeving, wat betekent dat handmatige controles snel verouderd raken en niet langer accuraat zijn. Het dashboard helpt organisaties ook om prioriteiten te stellen voor beveiligingsverbeteringen door duidelijk te maken welke compliance-controles niet worden nageleefd en welke impact deze niet-naleving heeft op de algehele compliance-score. Deze prioritering is cruciaal voor het effectief beheren van beperkte beveiligingsbudgetten en het waarborgen dat de meest kritieke compliance-vereisten eerst worden aangepakt. Bovendien biedt het dashboard executive-level rapportage die management en bestuurders in staat stelt om snel te begrijpen hoe goed de organisatie voldoet aan regelgevende vereisten, wat essentieel is voor governance, risicobeheer en besluitvorming op strategisch niveau. Het dashboard vergemakkelijkt ook auditprocessen door automatisch bewijs te genereren van nalevingsstatus en historische trends bij te houden, waardoor organisaties sneller en effectiever kunnen reageren op auditverzoeken en compliance-onderzoeken.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Het Regulatory Compliance Dashboard in Microsoft Defender voor Cloud is een geïntegreerd onderdeel van de Defender voor Cloud-service dat automatisch de nalevingsstatus evalueert van Azure-omgevingen ten opzichte van verschillende regelgevende frameworks en industriestandaarden. Het dashboard werkt door de actuele beveiligingsconfiguratie en -aanbevelingen van Defender voor Cloud te mappen naar specifieke controles binnen compliance-frameworks zoals BIO, ISO 27001, NIST CSF, PCI-DSS 3.2.1, Azure CIS 1.3.0 en vele anderen. Deze mapping gebeurt automatisch en continu, waarbij elke beveiligingsaanbeveling die door Defender voor Cloud wordt gegenereerd wordt gekoppeld aan relevante compliance-controles in de verschillende frameworks. Wanneer een beveiligingsaanbeveling wordt geïmplementeerd of opgelost, wordt de bijbehorende compliance-controle automatisch gemarkeerd als compliant, waardoor het dashboard altijd een actueel beeld geeft van de nalevingsstatus. Het dashboard biedt een visuele weergave van de compliance-score per framework, waarbij de score wordt berekend op basis van het percentage controles dat wordt nageleefd binnen dat specifieke framework. Deze score maakt het mogelijk om snel te zien hoe goed de organisatie voldoet aan elk framework en om trends over tijd te volgen. Organisaties kunnen het dashboard gebruiken om te filteren op specifieke frameworks, om te zien welke controles niet worden nageleefd, en om gedetailleerde informatie te krijgen over elke controle, inclusief de aanbevelingen die nodig zijn om aan de controle te voldoen. Het dashboard ondersteunt ook het genereren van compliance-rapporten die kunnen worden gebruikt voor managementrapportage, auditdoeleinden en communicatie met stakeholders. Bovendien biedt het dashboard de mogelijkheid om aangepaste compliance-initiatieven te maken, waarbij organisaties hun eigen compliance-vereisten kunnen definiëren en deze kunnen koppelen aan Defender voor Cloud-aanbevelingen, waardoor het dashboard ook bruikbaar is voor organisatiespecifieke of sectorspecifieke compliance-vereisten die niet worden gedekt door de standaard frameworks. Het dashboard wordt automatisch bijgewerkt wanneer nieuwe aanbevelingen worden toegevoegd aan Defender voor Cloud of wanneer bestaande aanbevelingen worden bijgewerkt, waardoor organisaties altijd beschikken over de meest actuele compliance-informatie zonder handmatige interventie.

Vereisten

Voor het effectief gebruiken van het Regulatory Compliance Dashboard in Microsoft Defender voor Cloud zijn verschillende technische en organisatorische vereisten van toepassing die essentieel zijn voor een succesvolle implementatie en optimale werking van deze functionaliteit. Deze vereisten vormen de fundamentele basis voor een effectieve compliance-monitoring en zorgen ervoor dat organisaties volledig kunnen profiteren van de geavanceerde compliance-capaciteiten die het dashboard biedt. Het is van cruciaal belang om te begrijpen dat het Regulatory Compliance Dashboard een volledig geïntegreerd onderdeel is van Azure Defender voor Cloud en niet als een aparte service wordt aangeboden. Deze architecturale keuze betekent dat de primaire vereiste het hebben van een actief Azure Defender voor Cloud-abonnement is. Azure Defender voor Cloud moet zijn ingeschakeld op het Azure-abonnement of de beheergroep waarop het compliance-dashboard moet worden gebruikt. Zonder een actief Defender voor Cloud-abonnement is het regulatory compliance dashboard volledig onbeschikbaar en kunnen organisaties geen gebruik maken van de compliance-monitoring functionaliteiten die deze service biedt. Deze afhankelijkheid is bewust gekozen door Microsoft om een geïntegreerde beveiligingservaring te bieden waarbij compliance-monitoring naadloos wordt gecombineerd met andere beveiligingsfuncties van Defender voor Cloud. Voor organisaties die werken met meerdere Azure-abonnementen of beheergroepen is het belangrijk om te begrijpen dat het compliance-dashboard kan worden weergegeven op verschillende niveaus. Het dashboard kan worden bekeken op abonnementsniveau, beheergroepniveau of tenantniveau, waarbij de compliance-status wordt geaggregeerd op basis van alle onderliggende resources. Deze flexibiliteit maakt het mogelijk om compliance te monitoren op het niveau dat het meest relevant is voor de organisatie, of het nu gaat om specifieke workloads, afdelingen of de gehele organisatie.

De vereisten omvatten ook de noodzakelijke toegangsrechten en rollen binnen Azure. Beheerders moeten beschikken over de juiste Azure RBAC-rollen om het compliance-dashboard te kunnen bekijken en de bijbehorende gegevens te kunnen analyseren. De rol van Beveiligingslezer of Beveiligingsbeheerder is doorgaans voldoende voor het bekijken van het compliance-dashboard, terwijl voor het configureren van aangepaste compliance-initiatieven de rol van Beveiligingsbeheerder of eigenaar van het abonnement vereist is. Deze rolgebaseerde toegangscontrole zorgt ervoor dat alleen geautoriseerd personeel toegang heeft tot gevoelige compliance-informatie, wat bijdraagt aan het principe van minimale bevoegdheden dat essentieel is voor een goede beveiligingspostuur. Organisaties moeten een proces implementeren voor het toewijzen en beheren van deze rollen, inclusief regelmatige reviews om te verifiëren dat alleen geautoriseerde personen toegang hebben tot compliance-informatie. Daarnaast is het belangrijk dat de Azure-omgeving correct is geconfigureerd met de benodigde logboekregistratie en bewaking. Azure Monitor en Azure Log Analytics moeten beschikbaar zijn om de compliance-gegevens te kunnen verzamelen, analyseren en rapporteren. Deze services vormen de technische basis voor het opslaan en verwerken van de compliance-informatie die door het dashboard wordt gegenereerd. Zonder deze monitoring-infrastructuur kan het compliance-dashboard wel worden bekeken, maar kunnen organisaties geen gebruik maken van geavanceerde analyse- en rapportagefuncties die essentieel zijn voor effectief compliance-beheer.

Voor organisaties die werken met specifieke compliance-frameworks zoals de Baseline Informatiebeveiliging Overheid (BIO) of andere Nederlandse normen, is het belangrijk om te begrijpen dat Microsoft standaard frameworks biedt, maar dat aangepaste initiatieven kunnen worden gemaakt om organisatiespecifieke vereisten te adresseren. Het maken van aangepaste compliance-initiatieven vereist een goed begrip van de compliance-vereisten en hoe deze kunnen worden gekoppeld aan Defender voor Cloud-aanbevelingen. Organisaties moeten daarom beschikken over personeel met expertise op het gebied van zowel compliance als Azure-beveiliging om effectief gebruik te kunnen maken van deze functionaliteit. Het is ook belangrijk om te vermelden dat het Regulatory Compliance Dashboard automatisch beschikbaar is wanneer Azure Defender voor Cloud wordt geactiveerd. Dit betekent dat organisaties geen aanvullende configuratiestappen hoeven uit te voeren om het dashboard te activeren, maar wel moeten verifiëren dat deze daadwerkelijk beschikbaar is en correct functioneert binnen hun omgeving. Deze automatische beschikbaarheid is een bewuste keuze van Microsoft om ervoor te zorgen dat alle organisaties die Defender voor Cloud gebruiken direct profiteren van compliance-monitoring zonder extra configuratie-inspanning. Echter, verificatie blijft essentieel omdat technische problemen of configuratiefouten kunnen voorkomen dat het dashboard daadwerkelijk operationeel is, zelfs wanneer deze theoretisch beschikbaar zou moeten zijn.

Monitoring

Gebruik PowerShell-script regulatory-compliance-dashboard.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van het Regulatory Compliance Dashboard vormt een essentieel onderdeel van effectief compliance-beheer binnen Azure-omgevingen. Regelmatige monitoring stelt organisaties in staat om tijdig te reageren op veranderingen in de nalevingsstatus, trends te identificeren, en te verzekeren dat compliance-doelstellingen worden gehaald. Bewaking omvat verschillende complexe aspecten, waaronder het verifiëren van de beschikbaarheid van het dashboard, het analyseren van compliance-scores per framework, het identificeren van controles die niet worden nageleefd, en het evalueren van trends over tijd. Deze multidimensionale aanpak van bewaking is essentieel omdat compliance-monitoring alleen waarde heeft wanneer deze actief wordt gebruikt om de beveiligings- en compliance-doelstellingen van de organisatie te ondersteunen. Organisaties moeten regelmatig controleren of het Regulatory Compliance Dashboard beschikbaar is en correct functioneert binnen hun Azure Defender voor Cloud-omgeving. Dit kan worden gedaan via de Azure-portal, waar beheerders het dashboard kunnen bekijken in de Defender voor Cloud-interface. Deze verificatie is niet alleen een eenmalige activiteit, maar moet deel uitmaken van een continue bewakingsstrategie die ervoor zorgt dat de functionaliteit op elk moment operationeel is. De bewaking moet periodiek worden uitgevoerd, bij voorkeur wekelijks of maandelijks, afhankelijk van de compliance-vereisten en het risicoprofiel van de organisatie. Voor organisaties met strikte compliance-vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid, is wekelijkse monitoring aan te bevelen om ervoor te zorgen dat eventuele compliance-problemen snel worden geïdentificeerd en opgelost. Voor organisaties met minder strikte vereisten kan maandelijkse monitoring voldoende zijn, mits er geautomatiseerde monitoring is ingericht die onmiddellijk waarschuwt bij significante veranderingen in de compliance-status.

Het is belangrijk om te begrijpen dat het Regulatory Compliance Dashboard automatisch beschikbaar is wanneer Azure Defender voor Cloud wordt geactiveerd, maar organisaties moeten verifiëren dat deze functionaliteit daadwerkelijk actief is en correct functioneert. Deze verificatie is essentieel omdat technische problemen, configuratiefouten of netwerkproblemen kunnen voorkomen dat het dashboard correct wordt weergegeven of bijgewerkt, zelfs wanneer de functionaliteit theoretisch beschikbaar zou moeten zijn. Bewaking omvat ook het analyseren van compliance-scores per framework om trends te identificeren en te begrijpen hoe de nalevingsstatus zich ontwikkelt over tijd. Organisaties moeten regelmatig de compliance-scores voor alle relevante frameworks controleren en vergelijken met eerdere metingen om te bepalen of de nalevingsstatus verbetert, verslechtert of stabiel blijft. Deze trendanalyse is cruciaal omdat het helpt om te identificeren welke gebieden aandacht nodig hebben en of de genomen maatregelen effectief zijn in het verbeteren van de compliance-status. Het monitoren van compliance-scores moet ook aandacht besteden aan de onderliggende controles die bijdragen aan deze scores. Organisaties moeten regelmatig controleren welke controles niet worden nageleefd, welke impact deze niet-naleving heeft op de algehele compliance-score, en welke acties nodig zijn om deze controles te implementeren. Deze gedetailleerde analyse is essentieel voor het effectief prioriteren van compliance-activiteiten en het waarborgen dat beperkte resources worden ingezet voor de meest kritieke compliance-vereisten.

Het bewaken van het compliance-dashboard omvat ook het evalueren van de kwaliteit en volledigheid van de compliance-gegevens. Organisaties moeten verifiëren dat alle relevante frameworks beschikbaar zijn in het dashboard, dat de mapping tussen Defender voor Cloud-aanbevelingen en compliance-controles correct is, en dat de gegenereerde compliance-scores accuraat zijn. Deze verificatie kan worden gedaan door regelmatig de compliance-controles te vergelijken met de daadwerkelijke beveiligingsconfiguratie en door te verifiëren dat alle relevante aanbevelingen correct zijn gekoppeld aan de juiste controles. Daarnaast is het belangrijk om te bewaken of nieuwe compliance-frameworks beschikbaar worden gemaakt door Microsoft en of deze frameworks relevant zijn voor de organisatie. Microsoft voegt regelmatig nieuwe compliance-frameworks toe aan het dashboard, en organisaties moeten evalueren of deze nieuwe frameworks moeten worden geactiveerd en gemonitord binnen hun omgeving. Bewaking moet ook aandacht besteden aan de integratie tussen het compliance-dashboard en andere beveiligings- en compliance-services binnen Azure, zoals Azure Policy, Azure Sentinel of andere SIEM-oplossingen die door de organisatie worden gebruikt. Deze integratie is essentieel voor een holistische compliance-aanpak waarbij compliance-informatie wordt gecombineerd met andere beveiligings- en governancegegevens om een compleet beeld te krijgen van de beveiligings- en compliance-situatie. Het is raadzaam om geautomatiseerde bewaking in te stellen die regelmatig de compliance-status controleert en waarschuwingen genereert wanneer significante veranderingen worden gedetecteerd, zoals een plotselinge daling van de compliance-score of het niet-naleven van kritieke controles. Dit kan worden gedaan via Azure Monitor, Azure Automation of andere bewakingstools die beschikbaar zijn binnen de Azure-omgeving. Geautomatiseerde bewaking helpt ervoor te zorgen dat eventuele compliance-problemen snel worden geïdentificeerd en aangepakt, waardoor de nalevingsstatus wordt verbeterd en het risico op niet-naleving wordt geminimaliseerd.

Compliance en Auditing

Het Regulatory Compliance Dashboard in Azure Defender voor Cloud speelt een cruciale rol bij het voldoen aan verschillende compliance- en auditvereisten die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige gegevens. Compliance met relevante normen en standaarden is essentieel voor het waarborgen van een adequate beveiligingspostuur en het demonstreren van zorgvuldigheid bij het beheren van beveiligings- en compliance-risico's. Het gebruik van het Regulatory Compliance Dashboard draagt direct bij aan het voldoen aan specifieke controlevereisten binnen verschillende compliance-frameworks die van toepassing zijn op de Nederlandse publieke sector. Deze compliance-ondersteuning is niet alleen belangrijk voor het voldoen aan wettelijke verplichtingen, maar ook voor het waarborgen van vertrouwen bij burgers en stakeholders die verwachten dat hun gegevens adequaat worden beschermd en dat organisaties voldoen aan alle relevante regelgevende vereisten. Binnen het Baseline Informatiebeveiliging Overheid (BIO) kader zijn verschillende controles van toepassing op compliance-monitoring en -rapportage. Het Regulatory Compliance Dashboard ondersteunt deze controles door automatisch de nalevingsstatus te evalueren en te rapporteren ten opzichte van relevante beveiligingsnormen. Het dashboard helpt organisaties om te voldoen aan BIO-controles die vereisen dat organisaties regelmatig hun beveiligingsmaatregelen evalueren, compliance status rapporteren, en actie ondernemen wanneer niet-naleving wordt geconstateerd. Deze automatische evaluatie en rapportage is essentieel omdat handmatige compliance-controles tijdrovend, foutgevoelig en vaak niet up-to-date zijn, wat kan leiden tot niet-naleving en de bijbehorende risico's.

Daarnaast is ISO 27001 controle A.18.2.1 van toepassing, die betrekking heeft op onafhankelijke review van informatiebeveiliging. Deze controle vereist dat organisaties regelmatig onafhankelijke reviews uitvoeren van hun informatiebeveiligingsmaatregelen en dat zij kunnen aantonen dat deze maatregelen effectief zijn en voldoen aan relevante normen. Het Regulatory Compliance Dashboard ondersteunt deze controle door objectieve meting van de nalevingsstatus ten opzichte van verschillende compliance-frameworks, waardoor organisaties kunnen aantonen dat zij voldoen aan relevante normen en dat hun beveiligingsmaatregelen effectief zijn. Het dashboard biedt ook historische trends en compliance-rapporten die kunnen worden gebruikt als bewijs bij onafhankelijke reviews en audits. Voor auditdoeleinden is het belangrijk dat organisaties kunnen aantonen dat het Regulatory Compliance Dashboard actief wordt gebruikt en dat compliance wordt gemonitord op regelmatige basis. Dit kan worden gedaan door regelmatig de compliance-status te verifiëren, documentatie bij te houden van compliance-scores en trends, en bewijs te verzamelen van acties die zijn ondernomen om niet-naleving aan te pakken. Deze documentatie moet gedetailleerd genoeg zijn om auditors te overtuigen dat compliance-monitoring daadwerkelijk wordt gebruikt en effectief bijdraagt aan de compliance-doelstellingen van de organisatie. Auditlogboeken moeten worden bewaard die aantonen dat het compliance-dashboard regelmatig wordt bekeken, dat compliance-scores worden geanalyseerd, en dat acties worden ondernomen op basis van de bevindingen. Deze logboeken moeten voldoen aan de bewaartermijnen die zijn vastgelegd in de compliance-frameworks, zoals de zeven jaar bewaartermijn die vaak wordt vereist voor auditdoeleinden.

Organisaties moeten ook kunnen aantonen dat compliance-frameworks correct zijn geselecteerd en geconfigureerd binnen het dashboard, en dat de mapping tussen Defender voor Cloud-aanbevelingen en compliance-controles accuraat is. Deze verificatie kan worden gedaan door regelmatig de compliance-controles te vergelijken met de daadwerkelijke beveiligingsconfiguratie en door te verifiëren dat alle relevante frameworks zijn geactiveerd en correct worden weergegeven. Compliance met deze normen vereist niet alleen technische implementatie, maar ook organisatorische maatregelen. Organisaties moeten procedures hebben voor het monitoren van compliance, het analyseren van compliance-scores, het prioriteren van compliance-activiteiten, en het rapporteren van compliance-status naar management en stakeholders. Deze procedures moeten duidelijk zijn gedocumenteerd en regelmatig worden getest om te verzekeren dat ze effectief zijn en correct worden uitgevoerd. Daarnaast moeten organisaties regelmatig evalueren of het Regulatory Compliance Dashboard effectief bijdraagt aan hun compliance-doelstellingen en of aanpassingen nodig zijn om beter te voldoen aan compliance-vereisten. Deze evaluatie moet deel uitmaken van een continue verbeteringsproces dat ervoor zorgt dat de compliance-maatregelen blijven voldoen aan de veranderende eisen van compliance-frameworks en regelgeving. Het is ook belangrijk om te vermelden dat het Regulatory Compliance Dashboard kan bijdragen aan het voldoen aan andere compliance-vereisten, zoals die binnen de Algemene Verordening Gegevensbescherming (AVG), door te helpen bij het identificeren van beveiligingsmaatregelen die nodig zijn om persoonsgegevens adequaat te beschermen en door te demonstreren dat organisaties passende technische en organisatorische maatregelen hebben getroffen voor de beveiliging van persoonsgegevens.

Remediatie

Gebruik PowerShell-script regulatory-compliance-dashboard.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie met betrekking tot het Regulatory Compliance Dashboard in Azure Defender voor Cloud omvat verschillende complexe aspecten, waaronder het inschakelen van de functionaliteit wanneer deze niet beschikbaar is, het oplossen van configuratieproblemen, het verbeteren van compliance-scores door het implementeren van ontbrekende controles, en het verifiëren dat het dashboard correct functioneert. Het is belangrijk om te begrijpen dat het Regulatory Compliance Dashboard automatisch beschikbaar is wanneer Azure Defender voor Cloud wordt geactiveerd, maar er kunnen situaties zijn waarin verificatie of herconfiguratie nodig is. Deze situaties kunnen ontstaan door technische problemen, configuratiefouten, of veranderingen in de Azure-omgeving die de functionaliteit kunnen beïnvloeden. Wanneer het compliance-dashboard niet beschikbaar is of niet correct functioneert, moeten organisaties systematisch stappen ondernemen om dit te verhelpen. Deze systematische aanpak is essentieel omdat het helpt om de onderliggende oorzaak van het probleem te identificeren en te verhelpen, in plaats van alleen de symptomen aan te pakken. De eerste stap in het remediatieproces is het verifiëren van de status van Azure Defender voor Cloud. Als Defender voor Cloud niet is ingeschakeld, moet dit eerst worden geactiveerd voordat het Regulatory Compliance Dashboard beschikbaar kan zijn. Dit kan worden gedaan via de Azure-portal, waar beheerders Azure Defender voor Cloud kunnen inschakelen voor hun abonnementen of beheergroepen. Deze activering is een eenvoudige maar cruciale stap die vaak wordt overgeslagen wanneer organisaties problemen ondervinden met het compliance-dashboard. Zodra Defender voor Cloud actief is, wordt het Regulatory Compliance Dashboard automatisch beschikbaar gemaakt, wat betekent dat er geen aanvullende configuratiestappen nodig zijn om de functionaliteit te activeren.

Als het Regulatory Compliance Dashboard niet correct functioneert ondanks dat Defender voor Cloud actief is, moeten organisaties grondig controleren of er configuratieproblemen zijn. Dit kan onder meer betrekking hebben op toegangsrechten, netwerkconnectiviteit, of andere technische problemen die de functionaliteit kunnen beïnvloeden. Beheerders moeten verifiëren dat de juiste Azure RBAC-rollen zijn toegewezen en dat er geen blokkades zijn die de toegang tot het dashboard kunnen belemmeren. Deze verificatie moet systematisch worden uitgevoerd, waarbij elke mogelijke oorzaak wordt gecontroleerd en uitgesloten voordat wordt overgegaan tot de volgende mogelijke oorzaak. Remediatie kan ook betrekking hebben op het verbeteren van compliance-scores door het implementeren van ontbrekende controles. Wanneer het compliance-dashboard controles toont die niet worden nageleefd, moeten organisaties actie ondernemen om deze controles te implementeren door de bijbehorende Defender voor Cloud-aanbevelingen op te lossen. Dit remediatieproces omvat het identificeren van welke aanbevelingen nodig zijn om aan een specifieke controle te voldoen, het prioriteren van deze aanbevelingen op basis van impact en risico, het implementeren van de aanbevelingen, en het verifiëren dat de controles daadwerkelijk worden nageleefd na implementatie. Deze systematische aanpak is essentieel voor effectieve compliance-remediatie en zorgt ervoor dat organisaties hun compliance-scores daadwerkelijk verbeteren door concrete acties te ondernemen.

Het remediatieproces moet ook aandacht besteden aan het configureren van aangepaste compliance-initiatieven wanneer standaard frameworks niet volledig voldoen aan de specifieke behoeften van de organisatie. Organisaties kunnen aangepaste initiatieven maken die hun eigen compliance-vereisten definiëren en deze koppelen aan Defender voor Cloud-aanbevelingen, waardoor het dashboard ook bruikbaar is voor organisatiespecifieke of sectorspecifieke compliance-vereisten. Het maken van aangepaste initiatieven vereist een goed begrip van zowel de compliance-vereisten als de beschikbare Defender voor Cloud-aanbevelingen, en organisaties moeten daarom beschikken over personeel met expertise op beide gebieden om effectief gebruik te kunnen maken van deze functionaliteit. Daarnaast is het belangrijk om regelmatig te evalueren of de compliance-remediatie effectief bijdraagt aan het verbeteren van de compliance-scores en het bereiken van compliance-doelstellingen. Als blijkt dat de genomen maatregelen niet de verwachte resultaten opleveren, moeten organisaties grondig onderzoeken wat de oorzaak is en waar nodig aanpassingen maken. Dit kan onder meer betrekking hebben op het verfijnen van de prioritering van compliance-activiteiten, het verbeteren van de implementatieprocessen, of het integreren van aanvullende tools of services die de effectiviteit kunnen verbeteren. Deze evaluatie moet deel uitmaken van een continue verbeteringsproces dat ervoor zorgt dat de compliance-maatregelen blijven voldoen aan de veranderende eisen van de organisatie en de regelgeving. Het is ook belangrijk om te vermelden dat remediatie niet alleen technische implementatie omvat, maar ook organisatorische maatregelen zoals het trainen van personeel, het verbeteren van processen, en het waarborgen dat compliance wordt opgenomen in alle relevante activiteiten van de organisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender voor Cloud: Regulatory Compliance Dashboard Verificatie .DESCRIPTION BIO Baseline - Controle 12.01, 16.01 ISO 27001 - Controle A.18.2.1 NIS2 Richtlijn - Artikel 21 Verifieert of het Regulatory Compliance Dashboard beschikbaar is in Azure Defender voor Cloud. Het dashboard is automatisch beschikbaar wanneer Defender voor Cloud actief is. .NOTES Filename: regulatory-compliance-dashboard.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/regulatory-compliance-dashboard.json BIO Control: 12.01, 16.01 ISO 27001: A.18.2.1 NIS2 Article: 21 .EXAMPLE .\regulatory-compliance-dashboard.ps1 -Monitoring Voert een controle uit op alle abonnementen en rapporteert de status van het Regulatory Compliance Dashboard. .EXAMPLE .\regulatory-compliance-dashboard.ps1 -Remediation Verifieert en activeert het Regulatory Compliance Dashboard indien nodig. #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter(HelpMessage = "Toon wat er zou gebeuren zonder wijzigingen door te voeren")] [switch]$WhatIf, [Parameter(HelpMessage = "Voer monitoring en rapportage uit")] [switch]$Monitoring, [Parameter(HelpMessage = "Verifieer en activeer het Regulatory Compliance Dashboard")] [switch]$Remediation, [Parameter(HelpMessage = "Herstel de configuratie (niet aanbevolen)")] [switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender voor Cloud - Regulatory Compliance Dashboard" function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure-services indien nodig. #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Write-Verbose "Geen actieve Azure-sessie gevonden. Verbinden..." Connect-AzAccount -ErrorAction Stop | Out-Null Write-Verbose "Succesvol verbonden met Azure" } else { Write-Verbose "Azure-sessie is al actief" } } catch { Write-Error "Fout bij verbinden met Azure: $_" throw } } function Test-Compliance { <# .SYNOPSIS Controleert of het Regulatory Compliance Dashboard beschikbaar is. .OUTPUTS PSCustomObject met compliance-status per abonnement. #> [CmdletBinding()] param() Write-Verbose "Compliance-controle uitvoeren voor: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "regulatory-compliance-dashboard" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() Timestamp = Get-Date } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count Write-Verbose "Gevonden $($subscriptions.Count) actieve abonnement(en)" foreach ($sub in $subscriptions) { try { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Verbose "Controleren abonnement: $($sub.Name) ($($sub.Id))" # Controleer of Defender voor Cloud is ingeschakeld # Regulatory Compliance Dashboard is automatisch beschikbaar wanneer Defender voor Cloud actief is $pricing = Get-AzSecurityPricing -ErrorAction SilentlyContinue # Regulatory Compliance Dashboard is beschikbaar wanneer ten minste één Defender-plan actief is $hasDefenderEnabled = $false $enabledPlans = @() if ($pricing) { # Controleer verschillende Defender-plannen $plans = @("VirtualMachines", "AppServices", "StorageAccounts", "SqlServers", "SqlServerVirtualMachines", "KeyVaults", "Dns", "Containers", "Arm") foreach ($plan in $plans) { try { $planPricing = Get-AzSecurityPricing -Name $plan -ErrorAction SilentlyContinue if ($planPricing -and $planPricing.PricingTier -eq 'Standard') { $hasDefenderEnabled = $true $enabledPlans += $plan } } catch { # Plan bestaat mogelijk niet voor dit abonnement } } } # Probeer toegang te krijgen tot compliance-informatie via de Security API $hasComplianceAccess = $false try { # Controleren of we toegang hebben tot compliance-informatie # Dit is een indirecte manier om te verifiëren dat het dashboard beschikbaar is $securityContacts = Get-AzSecurityContact -ErrorAction SilentlyContinue if ($securityContacts) { $hasComplianceAccess = $true } # Alternatieve check: probeer pricing informatie op te halen if (-not $hasComplianceAccess -and $hasDefenderEnabled) { $hasComplianceAccess = $true } } catch { Write-Verbose "Kon compliance-informatie niet ophalen voor abonnement $($sub.Name): $_" } if ($hasDefenderEnabled -and $hasComplianceAccess) { $result.CompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Compliant" Message = "✓ Abonnement '$($sub.Name)': Regulatory Compliance Dashboard is beschikbaar" EnabledPlans = $enabledPlans -join ", " ComplianceAccess = "Ja" } } else { $result.NonCompliantCount++ $statusMessage = if (-not $hasDefenderEnabled) { "✗ Abonnement '$($sub.Name)': Defender voor Cloud is niet actief - Regulatory Compliance Dashboard is niet beschikbaar" } else { "✗ Abonnement '$($sub.Name)': Regulatory Compliance Dashboard is mogelijk niet volledig beschikbaar" } $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Non-Compliant" Message = $statusMessage EnabledPlans = if ($enabledPlans.Count -gt 0) { $enabledPlans -join ", " } else { "Geen" } ComplianceAccess = "Nee" } if (-not $hasDefenderEnabled) { $result.Recommendations += "Activeer ten minste één Defender-plan op '$($sub.Name)' om het Regulatory Compliance Dashboard te activeren" } else { $result.Recommendations += "Verifieer de toegangsrechten voor het Regulatory Compliance Dashboard op '$($sub.Name)'" } } } catch { $result.NonCompliantCount++ $result.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id Status = "Error" Message = "✗ Abonnement '$($sub.Name)': Fout bij controleren - $($_.Exception.Message)" EnabledPlans = "Onbekend" ComplianceAccess = "Onbekend" } Write-Warning "Fout bij controleren abonnement '$($sub.Name)': $_" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { Write-Error "Fout tijdens compliance-controle: $_" $result.Details += [PSCustomObject]@{ SubscriptionName = "Error" SubscriptionId = "Error" Status = "Error" Message = "ERROR: $($_.Exception.Message)" EnabledPlans = "Onbekend" ComplianceAccess = "Onbekend" } } return $result } function Invoke-Remediation { <# .SYNOPSIS Verifieert en activeert het Regulatory Compliance Dashboard indien nodig. #> [CmdletBinding(SupportsShouldProcess)] param() Write-Host "`nRemediatie starten voor: $PolicyName..." -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "LET OP: Regulatory Compliance Dashboard wordt automatisch ingeschakeld" -ForegroundColor Yellow Write-Host "wanneer ten minste één Defender-plan actief is." -ForegroundColor Yellow Write-Host "========================================" -ForegroundColor Cyan try { $fixed = 0 $failed = 0 $skipped = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { try { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Verbose "Verwerken abonnement: $($sub.Name)" # Controleer huidige status $hasDefenderEnabled = $false $plans = @("VirtualMachines", "AppServices", "StorageAccounts", "SqlServers", "SqlServerVirtualMachines", "KeyVaults", "Dns", "Containers", "Arm") foreach ($plan in $plans) { try { $planPricing = Get-AzSecurityPricing -Name $plan -ErrorAction SilentlyContinue if ($planPricing -and $planPricing.PricingTier -eq 'Standard') { $hasDefenderEnabled = $true break } } catch { # Plan bestaat mogelijk niet voor dit abonnement } } if ($hasDefenderEnabled) { Write-Host " [OK] Regulatory Compliance Dashboard beschikbaar: $($sub.Name)" -ForegroundColor Green Write-Host " Defender voor Cloud is actief - dashboard is geïntegreerd" -ForegroundColor Gray Write-Host " Controleer het dashboard via: Azure Portal → Defender voor Cloud → Regulatory Compliance" -ForegroundColor Gray $skipped++ } else { Write-Host " [INFO] Defender voor Cloud niet actief: $($sub.Name)" -ForegroundColor Yellow Write-Host " Activeer ten minste één Defender-plan om het Regulatory Compliance Dashboard te activeren" -ForegroundColor Gray Write-Host " Voorbeeld: Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard'" -ForegroundColor Gray $fixed++ } } catch { Write-Host " ✗ Mislukt voor $($sub.Name): $($_.Exception.Message)" -ForegroundColor Red Write-Warning "Fout bij remediatie voor abonnement '$($sub.Name)': $_" $failed++ } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "[INFO] Regulatory Compliance Dashboard status gecontroleerd" -ForegroundColor Cyan if ($skipped -gt 0) { Write-Host "[OK] Beschikbaar: $skipped abonnement(en)" -ForegroundColor Green } if ($fixed -gt 0) { Write-Host "[WAARSCHUWING] Defender voor Cloud niet actief: $fixed abonnement(en)" -ForegroundColor Yellow } if ($failed -gt 0) { Write-Host "[WAARSCHUWING] Mislukt: $failed abonnement(en)" -ForegroundColor Yellow } Write-Host "`nBelangrijke opmerkingen:" -ForegroundColor Cyan Write-Host " • Regulatory Compliance Dashboard is automatisch beschikbaar wanneer Defender voor Cloud actief is" -ForegroundColor Gray Write-Host " • Geen aanvullende configuratie vereist voor standaard frameworks" -ForegroundColor Gray Write-Host " • Dashboard toont compliance-status voor meerdere frameworks (BIO, ISO 27001, NIST, etc.)" -ForegroundColor Gray Write-Host " • Controleer het dashboard regelmatig om compliance-trends te monitoren" -ForegroundColor Gray Write-Host " • Access via: Azure Portal → Defender voor Cloud → Regulatory Compliance" -ForegroundColor Gray } catch { Write-Error "Remediatie mislukt: $_" throw } } function Invoke-Monitoring { <# .SYNOPSIS Voert uitgebreide monitoring en rapportage uit. #> [CmdletBinding()] param() $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Abonnementen: $($result.TotalResources)" -ForegroundColor White Write-Host "Dashboard beschikbaar: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Dashboard niet beschikbaar: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) Write-Host "Tijdstip controle: $($result.Timestamp.ToString('yyyy-MM-dd HH:mm:ss'))" -ForegroundColor Gray if ($result.Details) { Write-Host "`nDetails per abonnement:" -ForegroundColor Yellow foreach ($detail in $result.Details) { $color = switch ($detail.Status) { "Compliant" { "Green" } "Non-Compliant" { "Red" } "Error" { "Yellow" } default { "Gray" } } Write-Host " $($detail.Message)" -ForegroundColor $color if ($detail.EnabledPlans -and $detail.EnabledPlans -ne "Geen" -and $detail.EnabledPlans -ne "Onbekend") { Write-Host " Actieve Defender-plannen: $($detail.EnabledPlans)" -ForegroundColor Gray } } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($recommendation in $result.Recommendations) { Write-Host " • $recommendation" -ForegroundColor Gray } } Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle abonnementen hebben toegang tot het Regulatory Compliance Dashboard." -ForegroundColor Green Write-Host "Controleer het dashboard regelmatig om compliance-trends te monitoren." -ForegroundColor Green Write-Host "Access via: Azure Portal → Defender voor Cloud → Regulatory Compliance" -ForegroundColor Gray } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) abonnement(en) hebben geen toegang tot het Regulatory Compliance Dashboard." -ForegroundColor Red Write-Host "Activeer Defender voor Cloud om het dashboard te activeren." -ForegroundColor Yellow } return $result } function Invoke-Revert { <# .SYNOPSIS Herstelt de configuratie (niet aanbevolen). #> [CmdletBinding(SupportsShouldProcess)] param() Write-Host "`n⚠️ WAARSCHUWING: Regulatory Compliance Dashboard uitschakelen wordt NIET aanbevolen" -ForegroundColor Yellow Write-Host "Dit verhoogt het risico op niet-naleving van regelgevende vereisten." -ForegroundColor Yellow Write-Host "Organisaties missen inzicht in compliance-status en trends." -ForegroundColor Yellow Write-Host "`nHet Regulatory Compliance Dashboard wordt automatisch uitgeschakeld wanneer" -ForegroundColor Gray Write-Host "alle Defender-plannen worden uitgeschakeld." -ForegroundColor Gray Write-Host "`nLET OP: Dit wordt sterk afgeraden en kan leiden tot compliance-problemen." -ForegroundColor Red } # Hoofdscript try { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan Write-Host "Microsoft Defender voor Cloud" -ForegroundColor Cyan Write-Host "Regulatory Compliance Dashboard Verificatie" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODUS ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Regulatory Compliance Dashboard status zou worden gecontroleerd voor $($result.TotalResources) abonnement(en)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { # Standaard: basis compliance-controle $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green Write-Host "`nAlle $($result.TotalResources) abonnement(en) hebben toegang tot het Regulatory Compliance Dashboard." -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`n$($result.NonCompliantCount) van $($result.TotalResources) abonnement(en) hebben geen toegang tot het Regulatory Compliance Dashboard." -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $($_.Message)" -ForegroundColor Gray } } Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray Write-Host "Gebruik -Remediation om de status te verifiëren" -ForegroundColor Gray } } catch { Write-Error "Fout in regulatory-compliance-dashboard.ps1: $_" exit 1 } finally { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder Regulatory Compliance Dashboard beschikken organisaties niet over een geïntegreerd overzicht van hun nalevingsstatus. Compliance-monitoring gebeurt handmatig, wat tijdrovend, foutgevoelig en vaak niet up-to-date is. Het risico is gemiddeld - het dashboard is automatisch beschikbaar wanneer Defender voor Cloud actief is, maar regelmatige monitoring en gebruik zijn essentieel voor effectief compliance-beheer.

Management Samenvatting

Regulatory Compliance Dashboard is automatisch beschikbaar in Defender voor Cloud - biedt real-time overzicht van nalevingsstatus tegen verschillende frameworks (BIO, ISO 27001, NIST, etc.). Verificatie: Defender voor Cloud → Regulatory Compliance. Automatisch beschikbaar wanneer Defender actief is. Geen configuratie vereist - verificatie en regelmatig gebruik zijn essentieel.