L1 BIO 12.1.1 ISO A.8.8 CIS 8.6

Microsoft Defender Voor Endpoint: Vulnerability Management Ingeschakeld

📅 2025-11-27
⏱️ 32 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Threat & Vulnerability Management (TVM) binnen Microsoft Defender voor Endpoint vormt het zenuwstelsel van proactieve endpointbeveiliging. De functie verrijkt assetinventarisaties met realtime kwetsbaarheidsinformatie, koppelt zwakke plekken aan actuele exploitacties en genereert prioriteitenlijsten die direct inzetbaar zijn voor patch- en configuratiebeheer. Zonder deze laag blijft een organisatie blind voor misconfiguraties en ontbrekende beveiligingsupdates op werkplekken die juist het grootste aanvalsoppervlak vertegenwoordigen binnen de Nederlandse overheid en semipublieke instellingen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
80u (tech: 50u)
Van toepassing op:
Microsoft 365 E5
Microsoft 365 E5 Security
Microsoft Defender voor Endpoint Plan 2
Windows 11 Enterprise
Windows 10 Enterprise

De Nederlandse publieke sector opereert onder scherp toezicht van toezichthouders zoals de Autoriteit Persoonsgegevens en Agentschap Telecom. Zij eisen aantoonbare beheersmaatregelen tegen bekende kwetsbaarheden omdat ruim zeventig procent van de incidenten voortkomt uit ontbrekende patches of verkeerd ingestelde beveiligingsopties. Geavanceerde aanvallers combineren openbaar beschikbare CVE-informatie met social engineering om endpoints binnen minuten over te nemen en lateraal te bewegen richting kritieke workloads. Zonder geactiveerde TVM blijft het securityteam afhankelijk van statische inventarisaties, ontbreekt de context om de juiste patches te prioriteren en is handmatige lijstjeswerk nodig om de voortgang te bewijzen. Dat leidt tot vertragingen, inconsistenties tussen teams en uiteindelijk tot niet-naleving van BIO en NIS2 verplichtingen rondom risicogestuurd patchbeheer.

PowerShell Modules Vereist
Primary API: Microsoft Defender for Endpoint API, Microsoft Graph Security API
Connection: Connect-MgGraph, Connect-Defender
Required Modules: Microsoft.Graph, Microsoft.Graph.Security, Defender

Implementatie

Dit artikel beschrijft een volledig uitgewerkte aanpak om Microsoft Defender Vulnerability Management te activeren, te operationaliseren en blijvend te monitoren binnen de kaders van de Nederlandse Baseline voor Veilige Cloud. Na een overzicht van licentie- en platformvereisten volgt een diepgaande implementatiesectie waarin onboarding, telemetrieconfiguratie, Intune policies, Graph automatisering en change-management aan bod komen. Aansluitend behandelen we monitorings- en rapportagepatronen, inclusief queries voor de Microsoft 365 Defender portal, geautomatiseerde controles via PowerShell en koppelingen met SIEM en GRC-platformen. Tot slot beschrijven we hoe kwetsbaarheidsdata wordt verweven in besluitvorming, releasekalenders en auditdossiers zodat bestuurders, CISO’s en leveranciers de voortgang objectief kunnen aantonen.

Vereisten voor Microsoft Defender Vulnerability Management

Een robuuste TVM-implementatie begint bij harde technische voorwaarden. Organisaties hebben minimaal Microsoft 365 E5 of Defender voor Endpoint Plan 2 licenties nodig zodat elke workstation, laptop en VDI-werkplek data kan aanleveren aan de TVM-engine. Apparaten moeten draaien op Windows 10 versie 1809 of hoger of Windows 11 Enterprise, omdat oudere kernels de vereiste sensorcapaciteiten missen. Het Microsoft Defender for Endpoint onboardingpakket moet succesvol zijn uitgevoerd zodat de Sense-service structureel draait, real-time monitoring actief is en cloud-based bescherming is ingeschakeld. Daarnaast moeten telemetrie-instellingen zoals MAPSReporting op Advanced staan, moet SubmitSamplesConsent op minimaal waarde 2 staan en moet AllowTelemetry vanuit het Windows Data Collection beleidsregister op Enhanced (waarde 2) of Full (waarde 3) zijn gezet. Zonder deze configuratie levert een apparaat geen kwetsbaarheidsdata, waardoor dashboards onvolledig blijven en prioritering op aannames gebaseerd moet worden. Tot slot is een betrouwbare verbinding met Microsoft Graph Security API vereist: uitgaande HTTPS-verbindingen naar endpoints zoals api.security.microsoft.com en graph.microsoft.com moeten via de firewall worden toegestaan, en serviceprincipals die rapportages ophalen moeten via Conditional Access zijn vrijgesteld van onnodige interactievereisten.

Naast techniek zijn governance en organisatorische criteria doorslaggevend. De CISO moet een formeel patch- en kwetsbaarheidsbeleid publiceren waarin staat hoe snel kritieke CVE’s worden verholpen, hoe uitzonderingen worden aangevraagd en hoe voortgang wordt gerapporteerd aan directies en toezichthouders. De securityorganisatie definieert rollen: een TVM-product owner voor de backlog, endpointbeheerders voor technische acties, change managers voor releasecyclus-afstemming en auditors voor onafhankelijke controle. Er is een proces nodig om nieuwe apparaten automatisch toe te wijzen aan Intune of Configuration Manager policies die TVM vereisten afdwingen. Daarnaast moeten leverancierscontracten (bijvoorbeeld met werkplekuitvoerders) worden aangevuld met aanvullende beveiligingsclausules zodat zij verplicht zijn om TVM-datasets te gebruiken als leidraad voor prioritering en hierover maandelijks rapporteren. Communicatie naar gebruikers is eveneens noodzakelijk omdat versneld patchbeheer kan leiden tot herstartverzoeken en korte verstoringen: zonder draagvlak sneuvelt het programma op operationele weerstand. Door governance en communicatie vooraf te organiseren ontstaat een voorspelbare keten tussen detectie, besluitvorming en uitvoering.

Tot slot speelt compliance een centrale rol. De BIO eist in maatregel 12.1.1 dat organisaties kwetsbaarheden stelselmatig identificeren en mitigerende maatregelen plannen; NIS2 artikel 21 schrijft voor dat essentiële entiteiten een gedocumenteerd proces hebben om bekende exploitable kwetsbaarheden binnen vastgestelde termijnen te verhelpen. AVG artikel 32 vereist dat technische maatregelen de risico’s voor persoonsgegevens reduceren, wat zonder inzicht in CVE-exposure onmogelijk is aan te tonen. Bovendien hanteren toezichthouders steeds vaker maturity-criteria waarbij KPI’s als gemiddelde remediatietijd, percentage devices met hoog risico en aantal openstaande aanbevelingen worden beoordeeld tijdens inspecties. Om aan die eisen te voldoen moet TVM worden gekoppeld aan GRC-tools of centrale registraties, moeten audittrails minimaal zeven jaar beschikbaar blijven en moet elke uitzondering (bijvoorbeeld uitstel omdat een applicatie nog getest wordt) worden voorzien van risicobeoordeling en managementgoedkeuring. Daarom wordt TVM pas als volledig ingeschakeld beschouwd wanneer niet alleen de sensor data levert, maar ook de organisatorische controles, rapportages en auditkanalen aantoonbaar functioneren.

Implementatie- en Automatiseringsaanpak

Gebruik PowerShell-script vulnerability-management-enabled.ps1 (functie Invoke-Remediation) – Automatiseert de kerninstellingen voor Microsoft Defender Vulnerability Management, controleert Sense-service status en zorgt dat telemetrie, sample-inzending en cloudbescherming correct zijn ingesteld..

De implementatie start met het valideren van onboarding en sensorstatus. Gebruik het onboarding-script dat via het Microsoft Defender portal wordt geleverd of via Intune Endpoint Security beleidsprofielen. Na implementatie controleert het projectteam met PowerShell (Get-MpComputerStatus, Get-WindowsFeature en registry queries) of ieder apparaat OnboardingState 1 of 2 heeft en of de Sense-service op Automatic staat. Tegelijkertijd wordt het endpointinventaris geüniformeerd door device tags te synchroniseren tussen Intune, Azure AD en Defender zodat de TVM exposure score later per organisatieonderdeel kan worden uitgesplitst. Een gecontroleerde pilot op een representatieve groep laptops, werkstations en VDI’s levert de eerste datapunten op waarmee dashboards, RBAC en notificatiestromen worden gevalideerd.

Daarna volgt het centrale configuratiewerk. Security engineers zetten in Intune een Endpoint Security profile op basis van de Antivirus template waarmee cloud-delivered protection, MAPS advanced, sample submission en real-time monitoring worden afgedwongen. Voor on-premises apparaten wordt hetzelfde beleid via Group Policy ingesteld met Administrative Templates voor Microsoft Defender Antivirus. Parallel wordt de Microsoft Graph Security API geconfigureerd: er komt een dedicated app-registratie met minimalistische Application Permissions (SecurityEvents.Read.All en Vulnerability.Read.All) en conditional access policies die alleen specifieke automation accounts toegang geven. De app secret wordt opgeslagen in Azure Key Vault en alleen het automationteam heeft retrieve-rechten. Zodra dit fundament staat, kunnen scripts via Azure Automation of GitHub Actions dagelijks rapportages genereren en patch-opdrachten klaarzetten voor Intune of Configuration Manager collecties.

Het PowerShell script in deze repository fungeert als lokale guardrail. Wanneer beheerders het draaien met de parameter -Remediation controleert het script eerst administratorrechten, leest daarna de huidige configuratie uit en past waar nodig de registrysleutels voor telemetrie en sampleverzameling aan. Vervolgens activeert het cloudbescherming door Set-MpPreference -DisableBlockAtFirstSeen 0, zet SubmitSamplesConsent op waarde 2 en valideert dat de Sense-service draait. Ook wordt controle uitgevoerd op de data-collection policy zodat AllowTelemetry minimaal waarde 2 heeft. Alle acties worden gelogd, inclusief WhatIf-ondersteuning voor changeboards, waardoor implementatiebesluiten aantoonbaar blijven.

De laatste implementatiestap bestaat uit integratie met bestaande werkprocessen. Change managers voegen TVM-aanbevelingen toe aan bestaande CAB-agenda’s en koppelen exposure scores aan de releasekalender. Service management bouwt workflows in ITSM-oplossingen zoals TOPdesk of ServiceNow, waarbij iedere kritieke kwetsbaarheid automatisch een ticket krijgt dat gekoppeld is aan de verantwoordelijke productlijn. Teams stellen tevens automatische notificaties in via het Defender portal zodat CISO’s en producteigenaren e-mail- of Teams-signalen ontvangen zodra nieuwe zero-day kwetsbaarheden binnen hun scope vallen. Door technische, organisatorische en procesmatige maatregelen gelijk op te laten lopen wordt TVM onderdeel van de standaard beheercyclus in plaats van een losstaand securityproject.

Monitoring, Rapportage en Kwaliteitsbewaking

Gebruik PowerShell-script vulnerability-management-enabled.ps1 (functie Invoke-Monitoring) – Voert lokale controles uit op Sense-service, onboardingstatus, telemetrie- en sample-instellingen én rapporteert compliance-resultaten inclusief aanbevelingen voor vervolgacties..

Zodra TVM draait, verschuift de focus naar continue kwaliteitsbewaking. Het Microsoft 365 Defender portal biedt exposure score dashboards waarmee security operations dagelijks ziet hoe kwetsbaarheden zich ontwikkelen per devicegroep, OS-versie of business unit. Deze dashboards worden gekoppeld aan operationele KPI’s zoals gemiddelde remediatietijd (MTTR), percentage apparaten met kritieke aanbevelingen ouder dan tien dagen en aantal openstaande securityaanbevelingen per eigenaar. Door filters op te slaan en te delen met management ontstaat een uniforme taal voor risicoacceptatie. SOC-analisten gebruiken bovendien Advanced Hunting queries (DeviceTvmSoftwareVulnerabilities en DeviceTvmSoftwareEvidence) om automatisch lijsten te bouwen voor patchteams. Deze queries worden opgeslagen in Kusto en periodiek via Logic Apps of Azure Automation naar Teams-kanalen gepusht.

Lokale validatie blijft noodzakelijk omdat dashboards alleen iets zeggen over apparaten die werkelijk telemetrie sturen. Het meegeleverde script geeft beheerders de mogelijkheid om steekproeven uit te voeren: -Monitoring verzamelt instellingen via Get-MpPreference, controleert of AllowTelemetry in de registry correct staat, leest de Sense-servicestatus en geeft duidelijke aanbevelingen wanneer een apparaat geen data aanlevert. De uitvoer kan als JSON worden geëxporteerd en daarna naar een centrale SharePoint-bibliotheek of Log Analytics workspace worden verzonden, zodat auditteams kunnen aantonen hoeveel apparaten actief zijn gecontroleerd. Voor grotere omgevingen kan hetzelfde script worden verpakt in een Intune remediation policy waardoor non-compliant devices automatisch worden hersteld of ten minste een waarschuwing genereren.

Voor strategische rapportage is integratie met SIEM en GRC-platformen onmisbaar. Defender TVM kan via de export API een dagelijkse feed leveren van topaanbevelingen, CVE-details en blootstellingsscores. Deze feed wordt opgeslagen in een Azure Data Lake of SQL-warehouse en gevoed aan Power BI-rapportages die beschikbaar zijn voor audit, CIO-office en directie. Binnen het SIEM (bijvoorbeeld Microsoft Sentinel) worden analytische regels ingericht die een incident genereren wanneer kritieke aanbevelingen ouder dan de afgesproken termijn zijn, of wanneer een device meer dan zeven dagen geen TVM-telemetrie heeft aangeleverd. Door deze signalen te koppelen aan bestaande incident response procedures blijft kwetsbaarheidsbeheer niet hangen in spreadsheets maar wordt het onderdeel van het reguliere detectie- en responsproces.

Kwaliteitsbewaking eindigt niet bij cijfers. Elke maand vindt een review plaats waarin security, operations en productteams de exposure score doornemen, uitzonderingen herbevestigen en lessons learned verwerken. Daarbij wordt gekeken naar trendbreuken (bijvoorbeeld plotselinge stijging van privilege-gerelateerde kwetsbaarheden) en naar de effectiviteit van patches: worden aanbevelingen daadwerkelijk gesloten, of komt dezelfde kwetsbaarheid terug omdat configuraties ongedaan worden gemaakt? Deze sessies leveren input op voor architectuur-aanpassingen, extra trainingsmateriaal of wijzigingen in leverancierscontracten. Door de governancecyclus strak te organiseren kan de organisatie aantonen dat TVM niet alleen technisch actief is, maar ook bestuurlijk wordt bewaakt.

Operationele Verankering en Continue Verbetering

Wanneer TVM eenmaal loopt, moet de organisatie voorkomen dat inzichten verdampen. Operationele teams combineren TVM-data met wijzigingskalenders, release-trains en lifecycle-overzichten van applicaties. Iedere wijziging binnen bijvoorbeeld een ERP-platform wordt voorafgegaan door een TVM-checklist: zijn alle onderliggende servers vrij van kritieke CVE’s, en sluiten configuratie-aanbevelingen aan op hardening-standaarden? Ook leveranciers worden meegenomen door in contracten te eisen dat zij TVM-extracts aanleveren voor hun beheerde endpoints. Deze verplichting wordt gekoppeld aan boeteclausules zodat vertraagde patches direct financiële consequenties hebben. Daarnaast is er een escalatiepad naar de CISO wanneer uitzonderingen langer duren dan toegestaan, zodat risicobesluiten expliciet worden vastgelegd.

De operationele verankering omvat eveneens opleiding en bewustwording. Endpointbeheerders volgen halfjaarlijks een deep dive in nieuwe TVM-functionaliteiten, leren hoe zij exposure scores per devicegroep kunnen interpreteren en oefenen met scenario’s waarbij meerdere aanbevelingen tegelijk binnenkomen. Security-analisten krijgen trainingen in Kusto-query’s om maatwerkoverzichten te bouwen en te integreren met Sentinel-dashboards. Door kennis centraal vast te leggen in runbooks en het script uit deze repository (inclusief voorbeelden voor WhatIf-scans) beschikbaar te maken, kunnen nieuwe teamleden sneller meedraaien en wordt afhankelijkheid van enkele specialisten voorkomen.

Tot slot wordt een continue verbetercyclus ingevoerd. Elke sprint bevat minimaal één TVM-verbeteritem, zoals het uitbreiden van tags, het automatiseren van ticketcreatie of het toevoegen van kwetsbaarheidsdata aan de enterprise CMDB. KPI’s worden periodiek aangescherpt; zodra de gemiddelde remediatietijd van kritieke kwetsbaarheden onder de tien dagen zakt, verschuift de focus bijvoorbeeld naar het reduceren van medium risico’s of het verkorten van detectietijd voor telemetrie-uitval. Door de combinatie van automatisering, governance en meetbare verbeterdoelen wordt Microsoft Defender Vulnerability Management een structureel onderdeel van de Nederlandse Baseline voor Veilige Cloud en blijft de organisatie aantoonbaar in controle.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Microsoft Defender voor Endpoint: Vulnerability Management Ingeschakeld .DESCRIPTION Controleert en configureert alle vereiste instellingen voor Microsoft Defender Vulnerability Management (TVM) op Windows endpoints. Het script valideert Sense-service status, onboarding, telemetrie- en sample-instellingen en activeert cloudbescherming zodat endpoints kwetsbaarheidsdata kunnen leveren. .NOTES Filename: vulnerability-management-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-11-27 Last Modified: 2025-11-27 Version: 1.0 Related JSON: content/m365/defender-endpoint/vulnerability-management-enabled.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\vulnerability-management-enabled.ps1 -Monitoring Voert controles uit op Sense, telemetrie en sample-instellingen en rapporteert compliance. .EXAMPLE .\vulnerability-management-enabled.ps1 -Remediation Zet alle vereiste instellingen voor TVM aan en verifieert configuratie. #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation, [Parameter()] [switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Configuratie $SenseServiceName = 'Sense' $OnboardingRegistryPath = 'HKLM:\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status' $WdatpPolicyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection' $DataCollectionPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection' $MinimumTelemetryLevel = 2 $RequiredSampleConsent = 2 function Test-Administrator { [CmdletBinding()] param() $principal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Connect-RequiredServices { [CmdletBinding()] param() if (-not (Test-Administrator)) { Write-Error "Administratorrechten zijn vereist voor dit script." return $false } try { Get-Command Get-MpPreference -ErrorAction Stop | Out-Null } catch { Write-Error "Get-MpPreference is niet beschikbaar op dit systeem. Installeer Microsoft Defender Antivirus componenten." return $false } return $true } function Get-VulnerabilityManagementStatus { [CmdletBinding()] param() $status = [PSCustomObject]@{ ScriptName = 'vulnerability-management-enabled.ps1' IsCompliant = $false SenseServiceStatus = 'Unknown' OnboardingState = $null TelemetryLevel = $null SampleConsent = $null CloudProtectionEnabled = $false Issues = @() } try { $service = Get-Service -Name $SenseServiceName -ErrorAction Stop $status.SenseServiceStatus = $service.Status if ($service.Status -ne 'Running') { $status.Issues += "Sense-service draait niet (status: $($service.Status))." } } catch { $status.Issues += "Sense-service niet gevonden: $_" } if (Test-Path $OnboardingRegistryPath) { try { $onboardingState = (Get-ItemProperty -Path $OnboardingRegistryPath -ErrorAction Stop).OnboardingState $status.OnboardingState = $onboardingState if ($onboardingState -lt 1) { $status.Issues += "Apparaat is niet volledig onboarded op Defender voor Endpoint (OnboardingState: $onboardingState)." } } catch { $status.Issues += "Kon OnboardingState niet lezen: $_" } } else { $status.Issues += "Onboarding registry pad ontbreekt: $OnboardingRegistryPath." } try { $preferences = Get-MpPreference -ErrorAction Stop $status.SampleConsent = $preferences.SubmitSamplesConsent if ($preferences.SubmitSamplesConsent -lt $RequiredSampleConsent) { $status.Issues += "Sample submission consent is te laag (waarde: $($preferences.SubmitSamplesConsent))." } if ($preferences.MAPSReporting -lt 2) { $status.Issues += "MAPS rapportage staat niet op Advanced." } if ($preferences.DisableBlockAtFirstSeen -ne 0) { $status.Issues += "BlockAtFirstSeen is uitgeschakeld, waardoor TVM minder context krijgt." } else { $status.CloudProtectionEnabled = $true } } catch { $status.Issues += "Kon Defender voorkeuren niet ophalen: $_" } if (Test-Path $DataCollectionPath) { try { $telemetry = (Get-ItemProperty -Path $DataCollectionPath -ErrorAction Stop).AllowTelemetry $status.TelemetryLevel = $telemetry if ($telemetry -lt $MinimumTelemetryLevel) { $status.Issues += "AllowTelemetry is lager dan $MinimumTelemetryLevel." } } catch { $status.Issues += "Kon AllowTelemetry niet lezen: $_" } } else { $status.Issues += "Telemetriebeleid ontbreekt: $DataCollectionPath." } if ($status.Issues.Count -eq 0) { $status.IsCompliant = $true } return $status } function Invoke-Monitoring { [CmdletBinding()] param() Write-Host "" Write-Host "Monitoring: Defender Vulnerability Management" -ForegroundColor Yellow Write-Host "============================================" -ForegroundColor Yellow $result = Get-VulnerabilityManagementStatus Write-Host "" Write-Host "Sense-service: $($result.SenseServiceStatus)" -ForegroundColor Cyan Write-Host "OnboardingState: $($result.OnboardingState)" -ForegroundColor Cyan Write-Host "Telemetry level: $($result.TelemetryLevel)" -ForegroundColor Cyan Write-Host "Sample consent: $($result.SampleConsent)" -ForegroundColor Cyan Write-Host "Cloud protection: $($result.CloudProtectionEnabled)" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "" Write-Host "✅ Alle vereiste instellingen voor TVM zijn actief." -ForegroundColor Green exit 0 } Write-Host "" Write-Host "❌ Niet alle vereisten zijn voldaan:" -ForegroundColor Red foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Yellow } Write-Host "" Write-Host "Voer dit script uit met -Remediation om de problemen op te lossen." -ForegroundColor Yellow exit 1 } function Set-RegistryValue { [CmdletBinding()] param( [Parameter(Mandatory)] [string]$Path, [Parameter(Mandatory)] [string]$Name, [Parameter(Mandatory)] [int]$Value ) if (-not (Test-Path $Path)) { New-Item -Path $Path -Force | Out-Null } Set-ItemProperty -Path $Path -Name $Name -Value $Value -Type DWord } function Invoke-Remediation { [CmdletBinding()] param() Write-Host "" Write-Host "Remediatie: Defender Vulnerability Management" -ForegroundColor Yellow Write-Host "============================================" -ForegroundColor Yellow $current = Get-VulnerabilityManagementStatus if ($current.IsCompliant) { Write-Host "✅ Endpoint voldoet al aan alle TVM-vereisten." -ForegroundColor Green exit 0 } if ($WhatIf) { Write-Host "[WhatIf] Zou de volgende instellingen toepassen:" -ForegroundColor Yellow Write-Host " - Sense-service op Automatic en Running" Write-Host " - AllowTelemetry op $MinimumTelemetryLevel" Write-Host " - AllowSampleCollection en DeviceHealthMonitoring op 1" Write-Host " - SubmitSamplesConsent op $RequiredSampleConsent" Write-Host " - MAPSReporting op Advanced en BlockAtFirstSeen ingeschakeld" exit 0 } try { # Sense service $sense = Get-Service -Name $SenseServiceName -ErrorAction Stop if ($sense.StartType -ne 'Automatic') { Set-Service -Name $SenseServiceName -StartupType Automatic } if ($sense.Status -ne 'Running') { Start-Service -Name $SenseServiceName -ErrorAction Stop } # Telemetrie Set-RegistryValue -Path $DataCollectionPath -Name 'AllowTelemetry' -Value $MinimumTelemetryLevel # Sample collecties en health monitoring Set-RegistryValue -Path $WdatpPolicyPath -Name 'AllowSampleCollection' -Value 1 Set-RegistryValue -Path $WdatpPolicyPath -Name 'AllowDeviceHealthMonitoring' -Value 1 # Defender voorkeuren Set-MpPreference -SubmitSamplesConsent $RequiredSampleConsent -ErrorAction Stop Set-MpPreference -MAPSReporting Advanced -ErrorAction Stop Set-MpPreference -DisableBlockAtFirstSeen 0 -ErrorAction Stop Write-Host "" Write-Host "✅ Instellingen toegepast. Controleren..." -ForegroundColor Green Start-Sleep -Seconds 3 $verify = Get-VulnerabilityManagementStatus if ($verify.IsCompliant) { Write-Host "✅ Verificatie geslaagd: endpoint levert TVM-telemetrie." -ForegroundColor Green exit 0 } else { Write-Host "⚠️ Sommige checks falen nog steeds:" -ForegroundColor Yellow foreach ($issue in $verify.Issues) { Write-Host " - $issue" -ForegroundColor Yellow } exit 1 } } catch { Write-Error "Remediatie mislukt: $_" exit 1 } } function Invoke-Revert { [CmdletBinding()] param() Write-Host "" Write-Host "Revert: Defender Vulnerability Management instellingen terugdraaien" -ForegroundColor Yellow Write-Host "=================================================================" -ForegroundColor Yellow Write-Host "⚠️ Dit vermindert de zichtbaarheid van kwetsbaarheden en wordt alleen aangeraden voor testdoeleinden." -ForegroundColor Red if ($WhatIf) { Write-Host "[WhatIf] Zou telemetrie terugzetten naar basis en sample verzameling uitschakelen." -ForegroundColor Yellow exit 0 } $confirmation = Read-Host "Typ 'Ja' om door te gaan" if ($confirmation -ne 'Ja') { Write-Host "Actie geannuleerd." -ForegroundColor Yellow exit 0 } try { Set-RegistryValue -Path $DataCollectionPath -Name 'AllowTelemetry' -Value 1 Set-RegistryValue -Path $WdatpPolicyPath -Name 'AllowSampleCollection' -Value 0 Set-RegistryValue -Path $WdatpPolicyPath -Name 'AllowDeviceHealthMonitoring' -Value 0 Set-MpPreference -DisableBlockAtFirstSeen 1 -ErrorAction Stop Write-Host "Instellingen teruggedraaid. Vergeet niet TVM weer in te schakelen voor productieomgevingen." -ForegroundColor Yellow exit 0 } catch { Write-Error "Kon instellingen niet terugdraaien: $_" exit 1 } } # ============================================================================ # MAIN # ============================================================================ try { Write-Host "" Write-Host "============================================" -ForegroundColor Cyan Write-Host "Defender Vulnerability Management Config" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "============================================" -ForegroundColor Cyan if (-not (Connect-RequiredServices)) { Write-Error "Vereiste componenten niet beschikbaar. Script wordt beëindigd." exit 1 } if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } elseif ($Revert) { Invoke-Revert } else { $status = Get-VulnerabilityManagementStatus if ($status.IsCompliant) { Write-Host "✅ Endpoint is klaar voor Microsoft Defender Vulnerability Management." -ForegroundColor Green exit 0 } else { Write-Host "❌ Endpoint mist vereisten voor TVM. Gebruik -Monitoring of -Remediation." -ForegroundColor Red exit 1 } } } catch { Write-Error "Onverwachte fout: $_" exit 1 } finally { Write-Host "" Write-Host "============================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Kritiek: zonder Microsoft Defender Vulnerability Management blijven endpoints blind voor bekende kwetsbaarheden, ontstaat geen prioritering en blijft de organisatie kwetsbaar voor ransomware en toezichthouderstoezicht.

Management Samenvatting

Activeer TVM op alle werkplekken, dwing telemetrie af via Intune of Group Policy, automatiseer de controles met het meegeleverde script en koppel rapportages aan governanceprocessen zodat BIO, NIS2 en AVG eisen aantoonbaar worden geborgd.