L1 BIO 12.06.01 ISO A.12.6.1 CIS Security monitoring

Microsoft Defender Voor Cloud Design (Security Center)

πŸ“… 2025-10-30
β€’
⏱️ 16 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Microsoft Defender voor Cloud, de doorontwikkeling van Azure Security Center, vormt het zenuwstelsel van een moderne Azure-beveiligingsarchitectuur. Het platform bundelt posture management, werkbelastingsbeveiliging en geautomatiseerde risicobeperking in een consistent bedieningspaneel dat aansluit op Nederlandse compliance-eisen. Door continu telemetrie uit alle platformlagen te verzamelen en direct te koppelen aan beleidsregels, maakt Defender voor Cloud zichtbaar waar configuraties afwijken van de norm en welke maatregelen prioriteit hebben om de weerbaarheid van de organisatie te vergroten.

Aanbeveling
Implementeer Defender voor Cloud als centrale laag voor posture management en workloadbescherming, gekoppeld aan Nederlandse governanceprocessen en automatische opvolging van aanbevelingen.
Risico zonder
High
Risk Score
8/10
Implementatie
16u (tech: 8u)
Van toepassing op:
βœ“ Azure
βœ“ Defender voor Cloud

Nederlandse overheidsorganisaties worden geconfronteerd met een groeiende hoeveelheid beleidskaders (BIO, NIS2, AVG, ENSIA) en een hybride cloudlandschap waarin verantwoordelijkheid wordt gedeeld tussen centrale securityteams en decentrale projectgroepen. Zonder een uniform platform voor posture management blijven misconfiguraties onopgemerkt, wordt de veilige score niet structureel verbeterd en ontbreekt aantoonbare naleving tijdens audits. Defender voor Cloud biedt actuele zichtbaarheid, risicogestuurde aanbevelingen, bedreigingsdetectie over workloads en bewezen koppelingen met Microsoft Sentinel en Microsoft Purview. Daarmee ondersteunt het platform zowel CISO's die strategische rapportages moeten opleveren als operationele beheerders die op dagelijkse basis configuraties bijsturen.

Implementatie

Dit ontwerpdocument beschrijft hoe Defender voor Cloud wordt ingezet als integraal beveiligingsprogramma. De basis bestaat uit de gratis CSPM-functionaliteit met beveiligingsaanbevelingen, Secure Score en een compliance-dashboard waarin BIO, CIS en ISO 27001-initiatieven zijn gemapt. Daarbovenop worden planmatige uitbreidingen geactiveerd, zoals Defender voor Servers met EDR en kwetsbaarheidsscans, Defender voor SQL met continue evaluaties van databases, en Defender voor Storage en Containers voor gegevensbescherming in DevSecOps-omgevingen. Beleidsregels worden via Azure Policy of Blueprint gekoppeld aan alle managementgroepen, terwijl workflow-automatisering via Logic Apps, DevOps-pijplijnen en ServiceNow-koppelingen zorgt voor gestroomlijnde opvolging. Tot slot beschrijven we hoe inzichten worden geintegreerd met afwijkingsrapportages, SOC-playbooks en kwartaalreviews, zodat technische maatregelen aantoonbaar bijdragen aan de Nederlandse Baseline voor Veilige Cloud.

Vereisten

Een solide Defender-voor-Cloud-ontwerp begint met helder eigenaarschap en governance. Het ministerie of de gemeente wijst een centrale service-eigenaar aan die bevoegd is om beleid af te dwingen op managementgroepniveau en die samenwerkt met workloadteams om uitzonderingen te toetsen. Er zijn minimaal twee afzonderlijke Azure-subscripties nodig: een landing zone waarin productieworkloads draaien en een aparte beheersubscriptie voor security- en automatiseringscomponenten. Binnen elke subscriptie worden rolgebaseerde toegangsrechten ingericht waarbij CISO's en SOC-analisten leestoegang krijgen, terwijl platformbeheerders wijzigingsrechten ontvangen. Verder is een koppeling met Microsoft Entra ID P1 of hoger vereist om beveiligingscontactpersonen, waarschuwingen en PIM-workflows te borgen, zodat wijzigingen traceerbaar en herleidbaar blijven. Naast technische randvoorwaarden hoort ook een datacatalogus die aanduidt welke workloads onder de BIO-klasse BBN2 of BBN3 vallen en dus strengere maatregelen vragen.

De configuratie van Defender voor Cloud vereist dat de gratis CSPM-functies op alle relevante managementgroepen worden geactiveerd en dat de standaardinitiatieven voor CIS, ISO 27001 en de Nederlandse Baseline voor Veilige Cloud zijn toegewezen. Voor workloads met hogere risico's moeten aanvullende Defender-plannen worden aangeschaft: Defender voor Servers Plan 2 voor endpoints en virtuele machines, Defender voor SQL voor zowel PaaS-databases als SQL op virtuele machines, Defender voor Storage voor gestructureerde en ongestructureerde data, en Defender voor Containers wanneer AKS of Arc-enabled Kubernetes wordt ingezet. Elk plan heeft afhankelijkheden zoals Log Analytics-agents, Extension Management of Defender External Attack Surface Management, die vooraf via policy of automation accounts uitgerold moeten zijn. Tevens is een centraal Log Analytics-werkruimteontwerp met regionaal redundante retentie (minimaal 180 dagen voor BIO) verplicht, aangevuld met diagnostische instellingen die alle relevante resourceproviders naar dezelfde workspace sturen.

Naast technologische vereisten zijn processen en vaardigheden doorslaggevend. Security-contactpersonen moeten per subscriptie worden geregistreerd met functieadressen (bijvoorbeeld soc@organisatie.nl) en een secundair monitoringkanaal via Microsoft Teams of een SIEM-koppeling. Er moet een kwartaalritme voor Secure Score-reviews zijn waarin CISO, cloud center of excellence en business owners verbeteringen prioriteren op basis van impact en doorlooptijd. Workflow-automatisering wordt voorbereid door een dedicated Logic Apps-omgeving met netwerkisolatie, managed identities en koppelingen naar ITSM-platformen als TOPdesk of ServiceNow. Tot slot is er een opleidingsprogramma nodig dat zowel platformbeheerders als ontwikkelteams leert hoe aanbevelingen worden vertaald naar Infrastructure as Code (Bicep, Terraform) en hoe afwijkingen worden vastgelegd in het ENSIA-dossier. Zonder deze organisatorische ankers blijft Defender voor Cloud een technisch instrument zonder tastbaar effect op de beheerscyclus.

Ook aanpassingen in dataresidentie en netwerkinrichting horen bij de randvoorwaarden. Defender voor Cloud verwerkt beveiligingslogboeken die in bepaalde scenario's persoonsgegevens bevatten. Daarom moeten werkruimtes zich binnen de Europese Unie bevinden en moeten versleutelingssleutels door de organisatie zelf worden beheerd via Azure Key Vault of Managed HSM. Daarnaast worden diagnostische stromen via firewallregels of Private Link beschermd zodat gevoelige telemetrie niet via het openbare internet reist. Voor multicloud- en on-premises resources worden Azure Arc en Defender for Cloud-connectors geconfigureerd, waarbij aanvullende eisen gelden voor outbound proxy's, TLS-inspectie en certificate pinning.

Tot slot vereist een volwassen ontwerp inzicht in kosten, rapportage en verandering. FinOps-teams rekenen vooraf door wat de invoering van Defender-plannen betekent voor Azure Cost Management en reserveringen, zodat kostenallocatie naar businessunits transparant verloopt. Er is een wijzigingsproces nodig waarin aanbevelingen vanuit Defender voor Cloud worden vertaald naar wijzigingsverzoeken, voorzien van impactanalyse en technische acceptatiecriteria. KPI's zoals doorlooptijd tot remediatie, percentage geautomatiseerde herstelacties en het aantal goedgekeurde uitzonderingen worden al in de ontwerpfase gedefinieerd. Zo ontstaat een meetbaar raamwerk waartegen zowel technische teams als bestuurders hun verantwoordelijkheid kunnen afleggen.

Implementatie

De implementatie verloopt in vier iteraties die elkaar logisch versterken. In de voorbereidingsfase wordt het scopekader vastgesteld: welke managementgroepen vallen onder het programma, welke uitzonderingen gelden voor legacy-omgevingen en welke compliancekaders krijgen prioriteit. Governance-artikelen uit de Nederlandse Baseline voor Veilige Cloud worden vertaald naar Azure Policy-initiatieven en als Deny of DeployIfNotExists ingesteld, zodat kritieke configuraties direct worden afgedwongen. Tegelijkertijd wordt het Log Analytics-landschap ingericht met een primaire workspace per regio, een centrale automatiseringssubscriptie en koppelingen naar Sentinel of bestaande SIEM-oplossingen. Deze stap eindigt met een testrapport waarin wordt aangetoond dat nieuwe resources automatisch door Defender voor Cloud worden ontdekt en dat diagnostische instellingen volledig zijn. De tweede iteratie draait om het activeren van de CSPM-capaciteiten. Alle relevante initiatieven (CIS, ISO 27001, BIO, NIS2) worden toegewezen aan managementgroepen, waarna een baselinemeting van Secure Score wordt uitgevoerd. Daarbij wordt de opbouw van Secure Score gedeeld met stakeholders, zodat duidelijk is welke aanbevelingen de grootste impact hebben. Parallel worden automatiseringsrunbooks gebouwd die veelvoorkomende aanbevelingen oplossen, bijvoorbeeld het afdwingen van TLS 1.2 op App Services of het automatisch inschakelen van MFA op beheerdersaccounts. De resultaten worden in een werkpakket gezet dat aansluit op Agile- of PRINCE2-governancestructuren, zodat verbeteringen zichtbaar blijven richting CIO- en CISO-rapportages. In de derde iteratie worden de Defender-plannen voor workloadbescherming uitgerold. Servers krijgen Defender Plan 2 met Microsoft Defender for Endpoint-integratie, inclusief Attack Surface Reduction en automatische onboarding via Azure Arc of Intune. SQL-resources worden voorzien van continue kwetsbaarheidsscans en advanced threat protection, waarbij alerts direct naar Sentinel of een SIEM worden gerouteerd. Voor opslag en containers wordt malwaredetectie en image scanning geactiveerd, met beleid dat het gebruik van onbeheerde containerregistries blokkeert. Elke activatie wordt begeleid door een kosteninschatting en een fallbackscenario, zodat bestuurders begrijpen welke budgettaire ruimte nodig is en teams weten hoe zij incidenten kunnen isoleren zonder productiesystemen te verstoren. De laatste iteratie richt zich op operationele borging. Workflow-automatisering via Logic Apps of Power Automate koppelt aanbevelingen aan ITSM-systemen inclusief prioriteit, verantwoordelijke rol en doorlooptijd. Kwartaalreviews toetsen of maatregelen daadwerkelijk zijn opgevolgd en of Secure Score meetbaar stijgt. Daarnaast worden dashboards gedeeld met ENSIA-auditors en wordt een lessons-learned-cyclus ingericht waarin ontwikkelteams feedback geven over de toepasbaarheid van beleidsregels. Door deze cyclische aanpak ontstaat een permanent verbeterprogramma waarin technische maatregelen, processen en rapportages elkaar versterken en waarin Defender voor Cloud niet slechts een tool is, maar een volwaardige pijler binnen de Nederlandse Baseline voor Veilige Cloud. Om de iteraties te laten renderen wordt een change enablement-lijn ingericht waarin architecten, product owners en security officers gezamenlijke acceptatiecriteria formuleren. Elk ticket uit Defender voor Cloud krijgt een verwijzing naar het betrokken compliance-artikel en een inschatting van risico en inspanning. Zo kunnen portfolio- en stuurgroepen prioriteren zonder technische details te verliezen. Tegelijkertijd worden Infrastructure-as-Code-sjablonen aangepast zodat nieuwe resources direct compliant zijn. De combinatie van geautomatiseerde deployment gates en menselijke beoordeling voorkomt regressies. Tot slot is kennisoverdracht cruciaal. Er wordt een opleidingspad opgezet met e-learning, deep-dive sessies en war games waarin incidentrespons met Defender voor Cloud wordt geoefend. Lessons learned uit echte incidenten en kwartaalreviews worden toegevoegd aan een centraal naslagwerk, zodat nieuwe teamleden sneller bijdragen. Door deze structurele investering in mensen en processen groeit Defender voor Cloud uit tot een organisatorisch programma dat continu waarde levert.

Compliance en Auditing

Verdedigen tegen dreigingen in Azure is onlosmakelijk verbonden met aantoonbare naleving van wet- en regelgeving. Defender voor Cloud fungeert als juridisch verdedigingsmiddel omdat het direct kan aantonen dat technische maatregelen continu worden bewaakt, dat afwijkingen binnen vastgestelde termijnen worden opgelost en dat management actief stuurt op verbeteringen. Voor de Nederlandse Baseline voor Veilige Cloud en de onderliggende BIO-paragrafen (zoals 12.06.01 kwetsbaarheidsbeheer en 10.01 logging) levert het compliance-dashboard concrete metriek: welke controls hebben een risicoscore, welke resources voldoen en welke plannen zijn aangemaakt om hiaten te dichten. Tijdens ENSIA- en NOREA-audits kan een auditor via het dashboard doorklikken naar bewijsstukken zoals exporteerbare Secure Score-trends, aanbevelingsdetails en workflowlogs uit Logic Apps. Daarmee ontstaat een keten van bewijsvoering van beleid tot uitvoering, wat essentieel is voor rijksbrede audits en gemeentelijke verantwoordingslijnen. Op Europees niveau ondersteunt Defender voor Cloud de NIS2-eisen die vanaf 2025 van kracht zijn voor essentiele en belangrijke entiteiten. Artikel 21 schrijft voor dat organisaties een passend niveau van risicobeheer en incidentpreventie moeten aantonen. Door de combinatie van posture management en workloadsensoren levert Defender voor Cloud real-time zicht op kwetsbaarheden, terwijl de ingebouwde risk acceptance-functionaliteit vastlegt waarom bepaalde aanbevelingen tijdelijk openstaan. Dit helpt bestuurders om verantwoorde keuzes te documenteren en te laten accorderen door de CISO of Functionaris Gegevensbescherming. Daarnaast sluit de integratie met Microsoft Purview en Defender for Endpoint aan op AVG-artikel 32 (passende technische maatregelen) doordat encryptiestatus, identiteitsbeveiliging en dataklassementen binnen hetzelfde rapportagekader beschikbaar zijn. Een volwassen auditstrategie vereist tenslotte dat bevindingen niet alleen worden geregistreerd, maar ook worden teruggevoerd naar verbeterplannen. Defender voor Cloud faciliteert dit via Export to Log Analytics en werkboeksjablonen waarmee organisaties eigen KPI's kunnen definieren (bijvoorbeeld het percentage kritieke aanbevelingen dat binnen 30 dagen is opgelost). Door deze data te koppelen aan Power BI ontstaat een bestuurlijke cockpit waarin college van B en W, directies of ministeries kunnen volgen hoe de cloudomgeving zich ontwikkelt. Daarmee levert Defender voor Cloud niet alleen technische compliance, maar ook bestuurlijke transparantie, hetgeen cruciaal is om de Nederlandse Baseline voor Veilige Cloud duurzaam te verankeren. Bovendien kan het platform worden gebruikt om een digitale audit trail te onderhouden. Exportbestanden van aanbevelingen, uitzonderingen en workflowacties worden gecodeerd opgeslagen in een bewaarkluis (bijvoorbeeld Azure Storage met immutability policies) zodat onafhankelijke auditors exact zien welke stappen zijn gezet. Door referenties naar ENSIA-paragrafen, BIO-controls en NIS2-vereisten mee te nemen in de metadata ontstaat een directe relatie tussen beleidstekst en technische uitvoering. Dit beperkt discussies tijdens audits en versnelt de goedkeuring van herstelplannen. Tot slot ondersteunt Defender voor Cloud de samenwerking tussen interne controle, privacy officers en het SOC. Door gedeelde dashboards en geautomatiseerde rapportages kunnen controlefuncties continu meekijken zonder handmatig data te verzamelen. Zij toetsen of risicowaarderingen logisch zijn, of uitzonderingen tijdig worden herzien en of dataclassificaties overeenkomen met de informatiebeveiligingskaart. Deze gezamenlijke werkwijze verankert security, compliance en governance in een permanent dialoogmodel en maakt het mogelijk om nieuwe wetgeving of beleidskaders snel te vertalen naar meetbare cloudcontrols. Met periodieke maturity assessments wordt bovendien vastgesteld of de controlset nog aansluit op veranderende dreigingen en of aanvullende maatregelen nodig zijn om toekomstbestendig te blijven.

Monitoring

Gebruik PowerShell-script azure-security-center.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script azure-security-center.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Azure Security Center Design .DESCRIPTION Implementation for Azure Security Center Design .NOTES Filename: azure-security-center.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/platform/azure-security-center.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Azure Security Center Design" $BIOControl = "16.03" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "azure-security-center" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder dit platform blijft de organisatie blind voor misconfiguraties, worden kwetsbaarheden laat ontdekt en ontbreken objectieve rapportages richting BIO, ENSIA en NIS2. Handmatige controles kosten veel tijd, leveren onvolledig bewijs en laten ruimte voor aanvallers om onopgemerkt in te breken.

Management Samenvatting

Defender voor Cloud combineert gratis CSPM-functionaliteit (Secure Score, compliance-dashboard, automatische aanbevelingen) met betaalde Defender-plannen voor servers, opslag, databases en containers. Door het platform te koppelen aan Azure Policy, Logic Apps en Sentinel ontstaat een gesloten verbetercyclus waarin risico's automatisch worden opgespoord, toegewezen en opgelost. CSPM blijft kosteloos; de additionele plannen worden per resource afgerekend, wat budgetteerbaar is binnen de reguliere beveiligingslijn. Voor BIO-paragraaf 12.06 en ISO 27001 A.12.6.1 is dit een noodzakelijk controlemiddel en binnen 8-16 uur operationeel wanneer governance en automatisering zijn voorbereid.