L2 BIO 12.06.01 ISO A.12.6.1 CIS Database Security

Advanced Threat Protection Voor Azure Databases

📅 2025-01-15
⏱️ 12 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Advanced Threat Protection (ATP) vormt een kritieke beveiligingslaag voor alle Azure-databases door real-time detectie van beveiligingsbedreigingen zoals SQL-injectieaanvallen, brute-forcepogingen, abnormale toegangspatronen en datalekken. Deze intelligente bedreigingsdetectie is essentieel voor het identificeren van actieve aanvallen voordat significante schade optreedt en vormt een verplichte maatregel voor alle productiedatabases met gevoelige gegevens.

Aanbeveling
IMPLEMENTEER VERPLICHT VOOR ALLE PRODUCTIE-DATABASES
Risico zonder
High
Risk Score
9/10
Implementatie
3u (tech: 2u)
Van toepassing op:
Azure SQL Database
SQL Managed Instance
Azure Database for PostgreSQL
Azure Database for MySQL
Azure Cosmos DB

Azure-databases zonder Advanced Threat Protection opereren in een beveiligingsblindheid waarbij aanvallen pas achteraf worden ontdekt, vaak nadat gegevens al zijn gestolen of gecompromitteerd. SQL-injectieaanvallen, één van de meest voorkomende en destructieve database-aanvallen, blijven volledig onopgemerkt totdat de resulterende datadiefstal wordt ontdekt via andere kanalen zoals klantenmeldingen of forensisch onderzoek. Deze aanvallen kunnen maandenlang onopgemerkt blijven, waarbij aanvallers systematisch gevoelige gegevens exfiltreren, database-schema's dumpen of administratieve privileges escaleren. Brute-force authenticatieaanvallen waarbij aanvallers systematisch wachtwoorden proberen, kunnen succesvol zijn zonder enige snelheidsbeperking of detectiemechanismen die abnormale aantallen mislukte aanmeldpogingen identificeren. Privilege escalationpogingen waarbij aanvallers proberen om van normale gebruiker naar beheerdersrechten te komen via SQL-injectie of stored procedure-misbruik, blijven onzichtbaar zonder querypatroonanalyse. Abnormale gegevensexportvolumes waarbij insiders of gecompromitteerde accounts massale datasets exporteren, worden niet gedetecteerd zonder baselinemonitoring. Deze risico's resulteren gemiddeld in datalekken met kosten tussen €1-5 miljoen per incident volgens IBM's Cost of a Data Breach Report. Advanced Threat Protection lost deze problemen op door real-time detectie te bieden van SQL-injectiepatronen in queries via geavanceerde patroonherkenning, brute-force aanmeldpogingen door monitoring van meerdere mislukte authenticatiepogingen in korte tijd, toegang vanaf ongebruikelijke geografische locaties die niet consistent zijn met normale gebruikerspatronen, ongebruikelijke querypatronen zoals massale SELECT-statements of bulk gegevensexports, privilege escalationpogingen via stored procedures of dynamische SQL, en ongebruikelijke applicatietoegang waarbij applicaties queries uitvoeren die buiten hun normale patroon vallen. Deze detecties worden mogelijk gemaakt door machine learning-modellen die een baseline van normaal database-gedrag leren gedurende een trainingsperiode van 7-14 dagen. Zonder ATP kunnen organisaties niet voldoen aan compliance-vereisten zoals ISO 27001 A.12.6.1, NIS2 Artikel 21, en PCI-DSS Requirement 11.4 die allemaal bedreigingsdetectiecapaciteiten vereisen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Sql, Az.Security, Az.CosmosDB

Implementatie

Advanced Threat Protection voor Azure-databases biedt intelligente, real-time bedreigingsdetectie door gebruik te maken van machine learning en gedragsanalyse om afwijkende activiteiten te identificeren die kunnen wijzen op beveiligingsbedreigingen. ATP is beschikbaar voor verschillende Azure-databaseservices, elk met specifieke implementaties die zijn afgestemd op de unieke kenmerken van die service. Voor Azure SQL Database en SQL Managed Instance is ATP geïntegreerd in Microsoft Defender for SQL en biedt detectie van SQL-injectieaanvallen, brute-force authenticatiepogingen, abnormale data-accespatronen, geografische anomalieën en ongebruikelijke applicatietoegang. De functionaliteit omvat real-time SQL-injectiedetectie die kwaadaardige querypatronen identificeert voordat ze worden uitgevoerd, brute-force detectie die monitort op meerdere mislukte aanmeldpogingen vanuit dezelfde bron, anomaliedetectie door machine learning die afwijkend gedrag identificeert zoals ongebruikelijke queryvolumes of data-accespatronen, geografische toegangsanomalieën waarbij aanmeldingen van ongebruikelijke locaties worden gemarkeerd, ongebruikelijke applicatietoegang waarbij applicaties buiten hun normale gedragspatroon opereren, en kwetsbaarheidsbeoordelingsscanning die automatisch databases scant op bekende kwetsbaarheden en misconfiguraties. Voor Azure Database for PostgreSQL en Azure Database for MySQL biedt ATP vergelijkbare functionaliteiten die zijn aangepast aan de specifieke kenmerken van deze open-source databases. De detectie omvat brute-force authenticatieaanvallen, abnormale querypatronen, ongebruikelijke gegevenstoegang, en detectie van pogingen om bekende kwetsbaarheden te exploiteren. Azure Cosmos DB beschikt over geavanceerde bedreigingsdetectie die specifiek is afgestemd op NoSQL-databases en detecteert abnormale toegangspatronen, ongebruikelijke queryvolumes, en pogingen tot ongeautoriseerde toegang tot containers en databases. Waarschuwingen worden gegenereerd in Microsoft Defender for Cloud met ernstbeoordelingen (Laag, Gemiddeld, Hoog, Kritiek), gedetailleerde beschrijvingen van de gedetecteerde bedreiging, en aanbevolen herstelacties. E-mailnotificaties kunnen worden geconfigureerd voor beveiligingsteams door e-mailadressen toe te voegen voor waarschuwingsontvangers. De waarschuwingen bevatten forensische details zoals het bron-IP-adres, tijdstempel, querydetails en getroffen resources. Voor volwassen beveiligingsoperaties kan integratie met Microsoft Sentinel (Azure SIEM) worden geconfigureerd voor centraal waarschuwingsbeheer en geautomatiseerde responsplaybooks. De machine learning baseline vereist 7-14 dagen traintijd waarbij het systeem normaal database-gedrag leert, waarna afwijkingen kunnen worden gedetecteerd. Foutpositieve afstemming is mogelijk door bekende veilige patronen op de witte lijst te zetten. De kosten variëren per databaseservice maar bedragen doorgaans 5-10% van de databasecomputekosten, wat een kosteneffectieve investering is gezien de potentiële kostenbesparingen door vroege detectie van beveiligingsincidenten.

Overzicht van Advanced Threat Protection

Advanced Threat Protection vormt een geïntegreerde beveiligingslaag die is ontworpen om beveiligingsbedreigingen tegen Azure-databases te detecteren en te reageren voordat deze kunnen leiden tot datalekken of systeemcompromittering. ATP maakt gebruik van geavanceerde machine learning-algoritmen en gedragsanalyse om afwijkende activiteiten te identificeren die kunnen wijzen op kwaadaardige intenties. Het systeem leert continu van normale database-activiteiten en bouwt een baseline op van wat als normaal gedrag wordt beschouwd, waardoor het in staat is om subtiele afwijkingen te detecteren die door traditionele beveiligingscontroles onopgemerkt zouden blijven.

Het primaire doel van ATP is het bieden van real-time bedreigingsdetectie zonder dat organisaties afhankelijk zijn van reactieve beveiligingsmaatregelen die pas na een incident worden geactiveerd. Traditionele beveiligingsbenaderingen vertrouwen op signature-based detectie waarbij bekende aanvalspatronen worden geïdentificeerd, maar deze aanpak faalt wanneer aanvallers nieuwe technieken gebruiken of bestaande technieken aanpassen om detectie te omzeilen. ATP lost dit probleem op door gebruik te maken van anomaliedetectie die niet afhankelijk is van vooraf gedefinieerde patronen, maar in plaats daarvan leert wat normaal is en vervolgens afwijkingen identificeert die kunnen wijzen op beveiligingsbedreigingen.

ATP is beschikbaar voor verschillende Azure-databaseservices, elk met implementaties die zijn afgestemd op de specifieke kenmerken en bedreigingen die relevant zijn voor die service. Voor relationele databases zoals Azure SQL Database, SQL Managed Instance, Azure Database for PostgreSQL en Azure Database for MySQL, richt ATP zich op bedreigingen zoals SQL-injectieaanvallen, brute-force authenticatiepogingen, abnormale querypatronen en privilege escalationpogingen. Voor NoSQL-databases zoals Azure Cosmos DB richt ATP zich op bedreigingen die specifiek zijn voor document-gebaseerde en key-value databases, zoals abnormale toegangspatronen, ongebruikelijke queryvolumes en pogingen tot ongeautoriseerde toegang tot containers.

De effectiviteit van ATP hangt af van de kwaliteit en volledigheid van de audit logs die door de database worden gegenereerd. ATP analyseert deze logs om patronen te identificeren en afwijkingen te detecteren, wat betekent dat database auditing een absolute vereiste is voor ATP-functionaliteit. Zonder uitgebreide audit logging kan ATP niet effectief functioneren omdat er geen data beschikbaar is om te analyseren. Organisaties moeten daarom eerst database auditing inschakelen voordat ATP kan worden geactiveerd, en moeten ervoor zorgen dat alle relevante activiteiten worden gelogd die nodig zijn voor effectieve bedreigingsdetectie.

ATP integreert naadloos met Microsoft Defender for Cloud, wat de centrale hub is voor alle beveiligingswaarschuwingen en aanbevelingen binnen Azure. Deze integratie zorgt ervoor dat ATP-waarschuwingen worden weergegeven samen met andere beveiligingswaarschuwingen, waardoor beveiligingsteams een geconsolideerd overzicht krijgen van alle beveiligingsgebeurtenissen binnen hun Azure-omgeving. ATP-waarschuwingen kunnen ook worden geïntegreerd met Microsoft Sentinel voor geavanceerde security orchestration, automation and response (SOAR) mogelijkheden, waardoor organisaties geautomatiseerde responsacties kunnen configureren die worden geactiveerd wanneer specifieke bedreigingen worden gedetecteerd.

Gedetecteerde Bedreigingstypen

Advanced Threat Protection detecteert verschillende typen beveiligingsbedreigingen die specifiek zijn voor database-omgevingen. Elke bedreigingstype vereist verschillende detectietechnieken en responsstrategieën, en ATP maakt gebruik van gespecialiseerde algoritmen voor elk type bedreiging om de detectienauwkeurigheid te maximaliseren en foutpositieven te minimaliseren.

SQL-injectieaanvallen vormen een van de meest voorkomende en destructieve bedreigingen voor relationele databases. Deze aanvallen maken gebruik van kwetsbaarheden in applicaties waarbij gebruikersinput niet correct wordt gevalideerd of gesanitized voordat deze wordt gebruikt in SQL-queries. Aanvallers injecteren kwaadaardige SQL-code in applicatie-inputs, waardoor ze de mogelijkheid krijgen om ongeautoriseerde queries uit te voeren, gevoelige gegevens te lezen, gegevens te wijzigen of te verwijderen, of zelfs volledige controle over de database te krijgen. ATP detecteert SQL-injectieaanvallen door het analyseren van querypatronen en het identificeren van verdachte constructies zoals UNION-aanvallen waarbij aanvallers meerdere query's combineren, stored procedure-misbruik waarbij aanvallers stored procedures gebruiken om privileges te escaleren, blind SQL-injectie waarbij aanvallers informatie afleiden uit foutmeldingen of respons tijden, en time-based injecties waarbij aanvallers vertragingen gebruiken om informatie te extraheren. ATP maakt gebruik van geavanceerde patroonherkenning om deze technieken te identificeren, zelfs wanneer aanvallers proberen detectie te omzeilen door gebruik te maken van encoding, commentaar of andere obfuscatie-technieken.

Brute-force authenticatieaanvallen vormen een andere veelvoorkomende bedreiging waarbij aanvallers systematisch proberen wachtwoorden te raden door grote aantallen aanmeldpogingen uit te voeren. Deze aanvallen kunnen volledig geautomatiseerd zijn waarbij scripts duizenden wachtwoordcombinaties proberen in korte tijd, of meer subtiel waarbij aanvallers langzaam wachtwoorden proberen over langere perioden om detectie te vermijden. ATP detecteert brute-force aanvallen door het monitoren van mislukte authenticatiepogingen en het identificeren van patronen die wijzen op geautomatiseerde aanvallen, zoals meerdere mislukte pogingen vanuit hetzelfde IP-adres binnen korte tijd, pogingen met verschillende gebruikersnamen vanuit hetzelfde IP-adres, of pogingen die gebruik maken van veelvoorkomende wachtwoordlijsten. ATP kan ook detecteren wanneer een account succesvol wordt gecompromitteerd na meerdere mislukte pogingen, wat kan wijzen op een succesvolle brute-force aanval. De detectie maakt gebruik van rate limiting en pattern analysis om onderscheid te maken tussen legitieme gebruikers die hun wachtwoord vergeten zijn en echte brute-force aanvallen.

Abnormale data-accespatronen vormen een bijzonder gevaarlijke bedreiging omdat deze vaak wijzen op insider threats of gecompromitteerde accounts die worden gebruikt voor datadiefstal. Deze patronen kunnen omvatten bulk gegevensexports waarbij grote hoeveelheden data in korte tijd worden opgevraagd, toegang tot gevoelige tabellen of kolommen die normaal niet worden benaderd, queries die worden uitgevoerd buiten normale kantooruren, of toegang vanaf ongebruikelijke geografische locaties. ATP detecteert deze patronen door het analyseren van queryvolumes, data-accespatronen en gebruikersgedrag, en het vergelijken van deze activiteiten met historische baselines die zijn opgebouwd tijdens de machine learning trainingsperiode. Het systeem kan bijvoorbeeld detecteren wanneer een gebruiker die normaal gesproken alleen kleine datasets opvraagt, plotseling begint met het opvragen van grote hoeveelheden data, of wanneer een gebruiker toegang krijgt tot tabellen die normaal gesproken buiten hun normale werkzaamheden vallen.

Geografische anomalieën vormen een belangrijke indicator van potentiële beveiligingsbedreigingen, vooral wanneer deze worden gecombineerd met andere verdachte activiteiten. ATP monitort de geografische locaties van waaruit database-toegang plaatsvindt en identificeert aanmeldingen of queries die afwijken van normale patronen. Bijvoorbeeld, wanneer een gebruiker die normaal gesproken alleen vanuit Nederland toegang krijgt, plotseling toegang krijgt vanuit een ander land, of wanneer meerdere aanmeldpogingen worden gedetecteerd vanuit landen waar de organisatie geen activiteiten heeft. ATP maakt gebruik van IP-geolocatie en historische toegangspatronen om deze anomalieën te identificeren, en kan ook detecteren wanneer VPN-services of proxy-servers worden gebruikt om de werkelijke locatie te verbergen.

Privilege escalationpogingen vormen een kritieke bedreiging waarbij aanvallers proberen om van normale gebruikersrechten naar beheerdersrechten te komen. Deze pogingen kunnen plaatsvinden via SQL-injectieaanvallen waarbij aanvallers stored procedures misbruiken, via misbruik van kwetsbaarheden in database-configuraties, of via insider threats waarbij medewerkers proberen hun rechten uit te breiden. ATP detecteert privilege escalationpogingen door het monitoren van machtigingswijzigingen, het analyseren van querypatronen die wijzen op pogingen om privileges te verkrijgen, en het identificeren van ongebruikelijke gebruik van beheerdersfuncties door niet-beheerdersaccounts. Het systeem kan ook detecteren wanneer accounts worden gebruikt voor activiteiten die buiten hun normale rechten vallen, wat kan wijzen op gecompromitteerde accounts of misbruik van rechten.

Implementatie per Database Service

De implementatie van Advanced Threat Protection varieert per Azure-databaseservice, waarbij elke service specifieke configuratiestappen en vereisten heeft. Organisaties moeten de implementatie afstemmen op de specifieke databaseservices die zij gebruiken, en moeten ervoor zorgen dat ATP is geactiveerd voor alle productiedatabases zonder uitzonderingen.

Voor Azure SQL Database en SQL Managed Instance is ATP geïntegreerd in Microsoft Defender for SQL en wordt automatisch geactiveerd wanneer Defender for SQL wordt ingeschakeld op abonnementsniveau. De activering begint met het openen van de Azure Portal en navigeren naar Microsoft Defender for Cloud, waar beheerders naar de Environment settings-sectie navigeren en het specifieke abonnement selecteren waarop ATP moet worden geactiveerd. Binnen de Environment settings voor het geselecteerde abonnement, navigeren beheerders naar de sectie 'Defender plans' en schakelen de optie 'Databases' of 'Azure SQL Databases' in door de status te wijzigen van 'Off' naar 'On'. Deze activering op abonnementsniveau betekent dat ATP automatisch wordt ingeschakeld voor alle Azure SQL-databases binnen het abonnement zonder dat individuele configuratie per database nodig is. Na activering moeten e-mailnotificaties worden geconfigureerd door te navigeren naar de SQL Server-resource, vervolgens naar Security en Microsoft Defender for Cloud, waar e-mailadressen kunnen worden toegevoegd voor waarschuwingsontvangers. Het wordt sterk aanbevolen om een distributielijst te gebruiken in plaats van individuele e-mailadressen om ervoor te zorgen dat meerdere teamleden worden bereikt. De machine learning baseline-periode duurt 7-14 dagen, gedurende welke tijd het systeem normale database-activiteitspatronen leert. Tijdens deze periode kunnen er meer foutpositieven optreden, maar na deze periode wordt de detectienauwkeurigheid aanzienlijk verbeterd.

Voor Azure Database for PostgreSQL en Azure Database for MySQL is ATP beschikbaar via Microsoft Defender for open-source relational databases. De activering gebeurt op een vergelijkbare manier als voor SQL Database, waarbij beheerders navigeren naar Microsoft Defender for Cloud, de Environment settings openen voor het relevante abonnement, en de optie 'Azure Database for PostgreSQL' of 'Azure Database for MySQL' inschakelen in de Defender plans-sectie. De ATP-functionaliteit voor deze services richt zich op bedreigingen die specifiek zijn voor PostgreSQL en MySQL, zoals brute-force authenticatieaanvallen, abnormale querypatronen, en detectie van pogingen om bekende kwetsbaarheden te exploiteren. E-mailnotificaties kunnen worden geconfigureerd via de database-serverinstellingen, en de machine learning baseline-periode is vergelijkbaar met die van SQL Database. Organisaties moeten ervoor zorgen dat PostgreSQL en MySQL audit logging is ingeschakeld, omdat ATP afhankelijk is van deze logs voor effectieve bedreigingsdetectie.

Voor Azure Cosmos DB is ATP beschikbaar via Microsoft Defender for Azure Cosmos DB en richt zich op bedreigingen die specifiek zijn voor NoSQL-databases. De activering gebeurt via Microsoft Defender for Cloud door de optie 'Azure Cosmos DB' in te schakelen in de Defender plans-sectie voor het relevante abonnement. ATP voor Cosmos DB detecteert abnormale toegangspatronen, ongebruikelijke queryvolumes, pogingen tot ongeautoriseerde toegang tot containers, en verdachte activiteiten die kunnen wijzen op datalekken of systeemcompromittering. De configuratie van e-mailnotificaties gebeurt via de Cosmos DB-accountinstellingen, en organisaties moeten ervoor zorgen dat diagnostische logging is ingeschakeld voor effectieve ATP-functionaliteit. De machine learning baseline-periode voor Cosmos DB is vergelijkbaar met die van andere databaseservices, en organisaties moeten rekening houden met de unieke kenmerken van NoSQL-databases bij het interpreteren van ATP-waarschuwingen.

Na activering van ATP voor alle relevante databaseservices moeten organisaties testen uitvoeren om te verifiëren dat het systeem correct werkt. Deze tests moeten worden uitgevoerd in een gecontroleerde omgeving, bij voorkeur op een testdatabase, en moeten verschillende bedreigingstypen simuleren zoals SQL-injectiepogingen, brute-force aanmeldpogingen, en abnormale data-accespatronen. Organisaties moeten verifiëren dat waarschuwingen worden gegenereerd en ontvangen, en moeten de waarschuwingsdetails controleren om te zorgen dat alle benodigde forensische informatie aanwezig is. Na het testen moeten organisaties processen implementeren voor het regelmatig monitoren en beoordelen van ATP-waarschuwingen, en moeten zij procedures hebben voor het reageren op gedetecteerde bedreigingen.

Monitoring en Waarschuwingsbeheer

Gebruik PowerShell-script advanced-threat-protection.ps1 (functie Invoke-Monitoring) – Controleert de status van Advanced Threat Protection voor alle Azure-databaseservices.

Effectieve monitoring van Advanced Threat Protection-waarschuwingen vormt een kritieke component van een volwassen beveiligingsoperatie. Monitoring stelt organisaties in staat om gedetecteerde bedreigingen tijdig te identificeren, te beoordelen en aan te pakken voordat ze kunnen escaleren tot volledige beveiligingsincidenten. Zonder adequate monitoring blijven zelfs de meest geavanceerde detectietechnologieën ineffectief, omdat waarschuwingen onopgemerkt blijven of te laat worden aangepakt.

De primaire locatie voor het monitoren van ATP-waarschuwingen is Microsoft Defender for Cloud, waar alle beveiligingswaarschuwingen centraal worden weergegeven. Beveiligingsteams kunnen navigeren naar de Security alerts-sectie en vervolgens filteren op database-bedreigingen om alleen relevante waarschuwingen te bekijken. Deze centrale weergave biedt een overzicht van alle actieve bedreigingen, hun ernstniveaus en de status van onderzoek en herstel. Organisaties moeten dagelijks deze waarschuwingen controleren, waarbij kritieke en hoge ernstwaarschuwingen prioriteit krijgen voor onmiddellijke beoordeling.

Wekelijkse beoordelingen vormen een essentieel onderdeel van effectieve ATP-monitoring. Tijdens deze wekelijkse reviews analyseren beveiligingsteams de patronen en trends in gedetecteerde bedreigingen, met speciale aandacht voor SQL-injectiepogingen, brute-forcepatronen en abnormale data-accespatronen. Door deze patronen wekelijks te analyseren, kunnen teams trends identificeren, zoals toenemende aanvalsvolumes of nieuwe aanvalstechnieken, en hun verdedigingsstrategieën dienovereenkomstig aanpassen.

Kritieke en hoge ernstwaarschuwingen vereisen onmiddellijke aandacht en moeten binnen één uur worden onderzocht. Deze waarschuwingen wijzen meestal op actieve aanvallen of zeer verdachte activiteiten die een onmiddellijke respons vereisen. Organisaties moeten duidelijke procedures hebben voor het escaleren en onderzoeken van deze waarschuwingen, inclusief wie verantwoordelijk is voor het initiële onderzoek, welke stappen moeten worden ondernomen en wanneer incident response-teams moeten worden geactiveerd.

Foutpositieve afstemming is een continu proces dat essentieel is voor het handhaven van de effectiviteit van ATP. Tijdens de eerste 7-14 dagen na activering, wanneer het machine learning-model nog leert, kunnen er meer foutpositieven optreden. Na deze periode zouden foutpositieven moeten afnemen, maar organisaties moeten nog steeds bekende veilige patronen op de witte lijst zetten om onnodige waarschuwingen te voorkomen. Dit proces vereist zorgvuldige analyse om ervoor te zorgen dat alleen daadwerkelijk veilige patronen worden gewhitelist en dat geen echte bedreigingen worden genegeerd.

Compliance en Auditing

Advanced Threat Protection voor Azure-databases speelt een cruciale rol bij het voldoen aan verschillende compliance- en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige gegevens. Deze compliancevereisten mandateren specifieke beveiligingscontroles en monitoringcapaciteiten die ATP direct ondersteunt.

De CIS Azure Benchmark bevat specifieke aanbevelingen voor database-beveiliging die Advanced Threat Protection ondersteunt. ATP vormt een onderdeel van de Microsoft Defender-implementatie die wordt aanbevolen in de CIS Azure Benchmark voor het detecteren van bedreigingen tegen databases. Organisaties die de CIS Azure Benchmark volgen, moeten bedreigingsdetectiecapaciteiten implementeren voor hun databases, en ATP biedt deze functionaliteit als geïntegreerd onderdeel van Microsoft Defender.

ISO 27001:2022 bevat controle A.12.6.1 die specifiek betrekking heeft op het beheer van technische kwetsbaarheden. Deze controle vereist dat organisaties technische kwetsbaarheden tijdig identificeren, beoordelen en aanpakken. Advanced Threat Protection ondersteunt deze controle door automatisch databases te scannen op bekende kwetsbaarheden en misconfiguraties, en door pogingen te detecteren om deze kwetsbaarheden te exploiteren.

De NIS2-richtlijn vereist dat organisaties detectiecapaciteiten voor beveiligingsdreigingen implementeren en procedures hebben voor het detecteren van beveiligingsincidenten. Advanced Threat Protection voldoet direct aan deze vereisten door real-time detectie te bieden van bedreigingen tegen databases. Nederlandse organisaties die onder NIS2 vallen, moeten ervoor zorgen dat hun ATP-implementatie voldoet aan de vereisten van Artikel 21.

De Algemene Verordening Gegevensbescherming (AVG) bevat Artikel 32 dat vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beveiligen. Advanced Threat Protection ondersteunt deze vereisten door te monitoren op verdachte activiteiten die kunnen wijzen op ongeautoriseerde toegang tot databases die persoonsgegevens bevatten.

PCI-DSS v4.0 Requirement 11.4 vereist dat organisaties intrusion detection-systemen implementeren om ongeautoriseerde toegang tot systemen te detecteren. Advanced Threat Protection voldoet aan deze vereiste door te detecteren op verdachte database-activiteiten die kunnen wijzen op ongeautoriseerde toegang of pogingen tot datadiefstal.

Remediatie

Gebruik PowerShell-script advanced-threat-protection.ps1 (functie Invoke-Remediation) – Activeert Advanced Threat Protection voor alle Azure-databaseservices die momenteel niet zijn beschermd.

Remediatie van Advanced Threat Protection voor Azure-databases omvat het activeren van ATP voor databases die momenteel niet zijn beschermd, of het corrigeren van configuratiefouten in bestaande ATP-implementaties. Het is belangrijk om te begrijpen dat ATP automatisch wordt geactiveerd wanneer Microsoft Defender voor de betreffende databaseservice wordt ingeschakeld op abonnementsniveau.

Voor databases die momenteel geen Advanced Threat Protection hebben, begint het remediatieproces met het verifiëren van de status van Microsoft Defender voor de betreffende databaseservice op abonnementsniveau. Navigeer naar Microsoft Defender for Cloud in de Azure Portal en controleer de Environment settings voor het relevante abonnement. Als Defender voor de betreffende service niet is ingeschakeld, activeer deze service door de status te wijzigen van 'Off' naar 'On' onder de 'Defender plans'-sectie.

Na het activeren van Defender en ATP, moeten organisaties ervoor zorgen dat alle benodigde configuraties correct zijn ingesteld. Controleer of database auditing of diagnostische logging is ingeschakeld, omdat ATP afhankelijk is van deze logs voor het detecteren van verdachte activiteiten. Configureer e-mailnotificaties voor ATP-waarschuwingen en verifieer dat de configuratie correct is opgeslagen.

Voor bestaande ATP-implementaties die configuratiefouten hebben, moeten organisaties de specifieke problemen identificeren en corrigeren. Als e-mailnotificaties niet werken, controleer de e-mailconfiguratie en verifieer dat de geconfigureerde adressen nog steeds actief zijn. Als ATP geen waarschuwingen genereert, verifieer dat database auditing is ingeschakeld en dat de logs correct worden opgeslagen.

Na het voltooien van de remediatie, moeten organisaties het ATP-systeem testen om te verifiëren dat alles correct werkt. Voer gesimuleerde aanvallen uit en verifieer dat waarschuwingen worden gegenereerd en ontvangen. Documenteer alle configuratiewijzigingen en testresultaten voor auditdoeleinden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Databases: Advanced Threat Protection Enabled .DESCRIPTION Controleert of Advanced Threat Protection (ATP) is ingeschakeld voor alle Azure-databaseservices (SQL Database, PostgreSQL, MySQL, Cosmos DB). ATP detecteert afwijkende activiteiten die duiden op security threats. Waarom is deze control belangrijk? - Real-time threat detection voor alle database types - Security alerts voor verdachte activiteiten - Integration met Azure Security Center - Automated threat analysis via machine learning - Compliance met ISO 27001, NIS2, PCI-DSS .NOTES Filename: advanced-threat-protection.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/databases/advanced-threat-protection.json #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Sql, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Azure Databases: Advanced Threat Protection" function Connect-RequiredServices { try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } # Verify required modules $requiredModules = @('Az.Accounts', 'Az.Sql', 'Az.Security') foreach ($module in $requiredModules) { if (-not (Get-Module -ListAvailable -Name $module)) { Write-Warning "Module $module is not installed. Install with: Install-Module -Name $module" } } } catch { throw "Failed to connect to Azure: $_" } } function Test-SqlAtpCompliance { param([string]$ResourceGroupName, [string]$ServerName) try { $atp = Get-AzSqlServerAdvancedThreatProtectionSetting ` -ResourceGroupName $ResourceGroupName ` -ServerName $ServerName ` -ErrorAction SilentlyContinue return ($atp -and $atp.IsEnabled) } catch { Write-Verbose "Could not check ATP for SQL server $ServerName : $_" return $false } } function Test-DefenderPlanEnabled { param([string]$SubscriptionId, [string]$PlanName) try { $defenderSettings = Get-AzSecurityPricing ` -Name $PlanName ` -ErrorAction SilentlyContinue return ($defenderSettings -and $defenderSettings.PricingTier -eq 'Standard') } catch { Write-Verbose "Could not check Defender plan $PlanName : $_" return $false } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "advanced-threat-protection" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } try { $subscription = Get-AzContext | Select-Object -ExpandProperty Subscription $subscriptionId = $subscription.Id # Check SQL Database ATP Write-Verbose "Checking SQL Database ATP..." $sqlServers = Get-AzSqlServer -ErrorAction SilentlyContinue if ($sqlServers) { $result.TotalResources += @($sqlServers).Count foreach ($server in $sqlServers) { $isCompliant = Test-SqlAtpCompliance -ResourceGroupName $server.ResourceGroupName -ServerName $server.ServerName if ($isCompliant) { $result.CompliantCount++ $result.Details += "✓ SQL Server '$($server.ServerName)' heeft ATP enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ SQL Server '$($server.ServerName)' heeft ATP DISABLED" $result.Recommendations += "Enable ATP voor SQL Server '$($server.ServerName)' via Microsoft Defender for SQL" } } } # Check Defender plans for other database services Write-Verbose "Checking Defender plans for database services..." $defenderPlans = @( @{ Name = 'SqlServers'; DisplayName = 'Azure SQL Database' }, @{ Name = 'OpenSourceRelationalDatabases'; DisplayName = 'PostgreSQL/MySQL' }, @{ Name = 'CosmosDbs'; DisplayName = 'Azure Cosmos DB' } ) foreach ($plan in $defenderPlans) { $isEnabled = Test-DefenderPlanEnabled -SubscriptionId $subscriptionId -PlanName $plan.Name if ($isEnabled) { $result.Details += "✓ Defender plan '$($plan.DisplayName)' is enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ Defender plan '$($plan.DisplayName)' is DISABLED" $result.Recommendations += "Enable Microsoft Defender for '$($plan.DisplayName)' in Defender for Cloud" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" Write-Error "Compliance check failed: $_" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan try { $subscription = Get-AzContext | Select-Object -ExpandProperty Subscription $subscriptionId = $subscription.Id $fixed = 0 # Enable ATP for SQL Servers Write-Host "`nChecking SQL Servers..." -ForegroundColor Yellow $sqlServers = Get-AzSqlServer -ErrorAction SilentlyContinue foreach ($server in $sqlServers) { $atp = Get-AzSqlServerAdvancedThreatProtectionSetting ` -ResourceGroupName $server.ResourceGroupName ` -ServerName $server.ServerName ` -ErrorAction SilentlyContinue if (-not $atp -or -not $atp.IsEnabled) { try { Enable-AzSqlServerAdvancedThreatProtection ` -ResourceGroupName $server.ResourceGroupName ` -ServerName $server.ServerName ` -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled ATP for SQL Server '$($server.ServerName)'" -ForegroundColor Green $fixed++ } catch { Write-Warning "Could not enable ATP for SQL Server '$($server.ServerName)': $_" Write-Host " [INFO] Ensure Microsoft Defender for SQL is enabled at subscription level" -ForegroundColor Yellow } } else { Write-Host " [OK] SQL Server '$($server.ServerName)' already has ATP enabled" -ForegroundColor Green } } # Note about other database services Write-Host "`n[INFO] For PostgreSQL, MySQL, and Cosmos DB:" -ForegroundColor Yellow Write-Host " Enable Microsoft Defender plans via:" -ForegroundColor Gray Write-Host " Azure Portal > Microsoft Defender for Cloud > Environment settings > [Subscription] > Defender plans" -ForegroundColor Gray Write-Host " Enable: OpenSourceRelationalDatabases and CosmosDbs" -ForegroundColor Gray Write-Host "`n[OK] Remediation completed: $fixed SQL server(s) configured" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "`nResources checked: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } if ($result.Recommendations -and $result.Recommendations.Count -gt 0) { Write-Host "`nRecommendations:" -ForegroundColor Yellow $result.Recommendations | ForEach-Object { Write-Host " • $_" -ForegroundColor Yellow } } if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red exit 1 } return $result } function Invoke-Revert { Write-Host "`n⚠️ ATP uitschakelen wordt NIET aanbevolen" -ForegroundColor Yellow Write-Host "Advanced Threat Protection is een kritieke beveiligingsmaatregel." -ForegroundColor Yellow Write-Host "Het uitschakelen verhoogt het risico op ongedetecteerde aanvallen aanzienlijk." -ForegroundColor Yellow Write-Host "`nAls u ATP moet uitschakelen, doe dit via:" -ForegroundColor Yellow Write-Host " Azure Portal > Microsoft Defender for Cloud > Environment settings" -ForegroundColor Gray Write-Host " Schakel de betreffende Defender plans uit" -ForegroundColor Gray } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou ATP enablen voor $($result.NonCompliantCount) resource(s)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Compliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) resources)" -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } } } catch { Write-Error $_ exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder Advanced Threat Protection voor Azure-databases blijven kritieke security-aanvallen ongedetecteerd tot datalekken worden ontdekt wat betekent dat incident response veel te laat komt. SQL injection-aanvallen, brute-force authenticatiepogingen, abnormale data-accespatronen en privilege escalationpogingen blijven maandenlang onopgemerkt terwijl aanvallers systematisch gevoelige data exfiltreren. Gemiddelde detectietijd zonder ATP is 197 dagen volgens IBM Cyber Security Intelligence Index wat catastrofale data exposure betekent. Compliance-auditors vereisen intrusion detection capabilities onder ISO 27001 A.12.6.1, NIS2 Artikel 21 security monitoring, PCI-DSS Requirement 11.4 die continuous monitoring mandateren - zonder ATP falen deze audits. Gemiddelde kosten per database data breach zijn €1-5 miljoen volgens Verizon DBIR waarbij early detection via ATP gemiddeld 80 procent cost reduction oplevert.

Management Samenvatting

Advanced Threat Protection (ATP) voor Azure-databases is een intelligent security layer die machine learning en behavioral analytics gebruikt om sophisticated database-aanvallen te detecteren en real-time alerts te genereren. ATP is beschikbaar voor Azure SQL Database, SQL Managed Instance, Azure Database for PostgreSQL, Azure Database for MySQL en Azure Cosmos DB. ATP detecteert SQL injection-pogingen, brute force authentication, abnormale data access patterns, geografische anomalieën en privilege escalationpogingen. ATP is onderdeel van Microsoft Defender en wordt automatisch geactiveerd wanneer Defender voor de betreffende databaseservice wordt ingeschakeld op subscription-level. Machine learning baseline period: 7-14 dagen waarbij ATP normal database activity leert voordat anomaly detection fully operational is. Real-time alerts via email notifications naar security teams, Azure Security Center recommendations en integration met Azure Sentinel SIEM. Deze maatregel is verplicht voor ALLE productie Azure-databases met gevoelige data, mandatory voor compliance met ISO 27001 A.12.6.1, NIS2 Artikel 21, PCI-DSS Requirements 11.4. Implementatie: Activeer Microsoft Defender voor de betreffende databaseservice, configureer email alert recipients, wacht 7-14 dagen voor ML baseline, test via simulated attacks. Kosten: 5-10% van database compute costs. Return on investment komt van 80 procent reductie in breach detection time, prevented data exfiltration via early detection, compliance audit success en gemiddeld €1-5M cost avoidance per prevented breach.