L1 BIO 12.01 ISO A.8.8 CIS 2.1.13

Microsoft Defender For Cloud: Automatische Provisioning Van Monitoring Agents Inschakelen

📅 2025-10-29
⏱️ 12 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Automatische provisioning van monitoring agents in Microsoft Defender voor Cloud zorgt voor geautomatiseerde implementatie van beveiligingsmonitoring agents op alle Azure virtuele machines en Virtual Machine Scale Sets. Deze agents verzamelen beveiligingsgebeurtenissen, systeemconfiguraties en logbestanden die essentieel zijn voor continue beveiligingsmonitoring, detectie van beveiligingsdreigingen en kwetsbaarheidsbeoordeling zonder dat handmatige interventie nodig is.

Aanbeveling
IMPLEMENTEER VERPLICHT
Risico zonder
High
Risk Score
8/10
Implementatie
0u
Van toepassing op:
Azure
Microsoft Defender voor Cloud
Azure Virtuele machines

Handmatige implementatie van monitoring agents is arbeidsintensief, foutgevoelig en leidt onvermijdelijk tot incomplete beveiligingsdekking. Nieuwe virtuele machines die worden geïmplementeerd zonder monitoring agents blijven volledig onzichtbaar voor beveiligingsmonitoring systemen, waardoor aanvallen, kwetsbaarheden, malware-infecties en compliance-problemen onopgemerkt kunnen blijven totdat het te laat is. Het is praktisch onmogelijk om in grote Azure-omgevingen handmatig bij te houden welke virtuele machines wel en niet zijn voorzien van agents, zeker met dynamische schaling en automatische schaling. Auto-provisioning elimineert deze beveiligingshiaten door agents automatisch te implementeren op alle virtuele machines - bestaande én nieuwe - waardoor honderd procent zichtbaarheid wordt gegarandeerd. Dit is essentieel voor realtime detectie van beveiligingsdreigingen, gedragsanalyses, bestandsintegriteitsmonitoring, kwetsbaarheidsscanning en compliance-rapportage. Zonder agents is er geen telemetrie, zonder telemetrie geen detectie, en zonder detectie geen adequate incidentrespons.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security, Az.OperationalInsights

Implementatie

Deze beveiligingsmaatregel activeert automatische provisioning van monitoring agents op alle Azure-abonnementen. Wanneer ingeschakeld, worden Azure Monitor Agents (AMA) of Log Analytics Agents (MMA/OMS) automatisch geïnstalleerd en geconfigureerd op alle bestaande virtuele machines bij de eerste compliancecontrole na activering, nieuwe virtuele machines direct na implementatie binnen enkele minuten, virtuele machines die later worden toegevoegd aan het abonnement, en virtuele machines in Virtual Machine Scale Sets. De agents verzamelen beveiligingsgebeurtenissen zoals mislukte aanmeldpogingen en privilege-escalaties, systeemlogboeken zoals kernelberichten en servicestatus, configuratiedata zoals firewallregels en geïnstalleerde software, bestandsintegriteitsdata en netwerkverbindingslogboeken. Deze data wordt realtime verstuurd naar gekoppelde Log Analytics-workspaces waar Microsoft Defender voor Cloud deze analyseert met machine learning en bedreigingsinformatie voor detectie van aanvallen, anomalieën en kwetsbaarheden. De functie ondersteunt zowel Windows Server (2012 R2 en nieuwer) als Linux virtuele machines met diverse distributies en werkt transparant zonder prestatie-impact op workloads.

Vereisten

Het succesvol implementeren van automatische provisioning van monitoring agents vereist een grondige voorbereiding waarbij zowel technische als organisatorische voorwaarden moeten worden vervuld. Deze vereisten vormen de fundering voor een betrouwbare en effectieve beveiligingsmonitoring infrastructuur die organisaties in staat stelt om volledige zichtbaarheid te verkrijgen over hun Azure-omgeving. Zonder adequate voorbereiding kunnen implementaties falen, waardoor beveiligingshiaten ontstaan die organisaties kwetsbaar maken voor aanvallen en compliance-schendingen. De eerste en meest fundamentele vereiste betreft de beschikking over een actief Azure-abonnement met de juiste toegangsrechten. Organisaties moeten ervoor zorgen dat de gebruiker die de configuratie uitvoert beschikt over de rol van Owner of Contributor op abonnementsniveau. Deze rechten zijn absoluut noodzakelijk omdat automatische provisioning een abonnementsbrede configuratie wijzigt die directe invloed heeft op alle virtuele machines binnen het betreffende abonnement. Het wijzigen van deze instelling zonder de juiste rechten resulteert in een foutmelding en voorkomt dat de configuratie wordt toegepast. Voor organisaties die werken met meerdere abonnementen is het essentieel om voor elk abonnement afzonderlijk te controleren of de benodigde rechten aanwezig zijn, omdat toegangsrechten per abonnement kunnen verschillen. In grote organisaties met complexe toegangsbeheerstructuren kan het nodig zijn om tijdelijk verhoogde rechten aan te vragen via het Identity and Access Management team, waarbij deze rechten na implementatie weer kunnen worden ingetrokken om het principe van least privilege te handhaven. Voor geautomatiseerde configuratie via PowerShell-scripts is een moderne PowerShell-omgeving vereist. Organisaties moeten beschikken over PowerShell versie 5.1 of hoger, waarbij PowerShell 7.x of hoger wordt aanbevolen voor optimale compatibiliteit met de nieuwste Azure-modules. De moderne Az PowerShell-modules moeten worden geïnstalleerd, waarbij specifiek de modules Az.Accounts (minimaal versie 2.0), Az.Security (minimaal versie 1.0) en Az.OperationalInsights essentieel zijn voor het beheren van beveiligingsinstellingen en Log Analytics-workspaces. Deze modules kunnen worden geïnstalleerd via de Install-Module cmdlet, waarbij organisaties moeten zorgen dat de nieuwste versies worden gebruikt om compatibiliteitsproblemen te voorkomen. Voor omgevingen met strikte beveiligingsvereisten kunnen organisaties ervoor kiezen om modules te installeren vanuit een interne PowerShell Gallery repository in plaats van de publieke PowerShell Gallery, wat extra controle biedt over welke versies worden gebruikt. Microsoft Defender voor Cloud moet ingeschakeld zijn op abonnementsniveau voordat automatische provisioning kan worden geactiveerd. De gratis tier van Defender voor Cloud is voldoende voor de basis functionaliteit van automatische provisioning, wat betekent dat organisaties geen extra kosten hoeven te maken voor deze fundamentele beveiligingsmaatregel. Echter, betaalde tiers zoals Defender voor Servers bieden extra geavanceerde functies zoals geavanceerde bedreigingsdetectie, just-in-time VM-toegang, adaptieve applicatiecontroles en netwerkhardening aanbevelingen. Voor organisaties met hoge beveiligingsvereisten wordt het sterk aanbevolen om te evalueren of deze extra functies waardevol zijn voor hun specifieke use case, hoewel dit niet strikt noodzakelijk is voor de functionaliteit van automatische provisioning zelf. Log Analytics-workspaces vormen het centrale opslagpunt voor alle telemetrie die wordt verzameld door monitoring agents. Deze workspaces zijn absoluut essentieel voor het ontvangen en opslaan van agentdata, zonder welke agents geen doel hebben om data naar te verzenden. Hoewel Microsoft automatisch een standaard workspace kan aanmaken indien deze niet aanwezig is wanneer automatische provisioning wordt geactiveerd, wordt het sterk aanbevolen om proactief een eigen workspace te configureren voordat provisioning wordt ingeschakeld. Deze aanpak biedt verschillende voordelen: organisaties hebben volledige controle over de workspace configuratie, kunnen kostenoptimalisatie toepassen door retentieperiodes en data volumes te beheren, kunnen specifieke toegangsbeheerregels toepassen, en kunnen de workspace integreren in bestaande monitoring en SIEM-infrastructuur. Voor grote organisaties met meerdere omgevingen wordt het aanbevolen om aparte workspaces te gebruiken per omgeving (productie, ontwikkeling, test) om gegevensisolatie te garanderen en kosten beter te kunnen beheren. Toegang tot Azure Portal is vereist voor handmatige configuratie en validatie van de instellingen, hoewel de meeste configuratie ook volledig via PowerShell kan worden uitgevoerd. Voor organisaties die de voorkeur geven aan een visuele interface biedt Azure Portal een gebruiksvriendelijke manier om automatische provisioning in te schakelen en te valideren. De portal interface toont ook realtime informatie over de status van agent implementaties, wat bijzonder nuttig is tijdens de initiële implementatie en validatiefase. Voor geautomatiseerde implementaties op schaal is PowerShell echter de aanbevolen aanpak omdat dit betere herhaalbaarheid en versiebeheer biedt. Netwerkconnectiviteit van virtuele machines naar Azure Monitor-service-eindpunten is cruciaal voor succesvolle agent implementatie en data verzending. Virtuele machines moeten uitgaande verbindingen kunnen maken naar Azure Monitor-service-eindpunten, waarbij organisaties gebruik kunnen maken van service tags in Network Security Group-regels om de benodigde uitgaande verbindingen toe te staan zonder alle specifieke IP-adressen te moeten whitelisten. De service tag 'AzureMonitor' bevat alle benodigde IP-adresbereiken en wordt automatisch bijgewerkt door Microsoft wanneer nieuwe eindpunten worden toegevoegd, wat de beheerbaarheid aanzienlijk verbetert. Voor omgevingen met strikte netwerkisolatie vereisten kan Azure Private Link worden gebruikt om privéconnectiviteit te bieden naar Log Analytics-workspaces, hoewel dit extra configuratie en kosten met zich meebrengt. Virtuele machines moeten beschikken over een door het systeem beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit voor authenticatie met Azure-services. Deze identiteiten worden automatisch geconfigureerd wanneer automatische provisioning wordt ingeschakeld, waarbij moderne virtuele machines standaard beschikken over door het systeem beheerde identiteiten. Voor oudere virtuele machines of virtuele machines met specifieke configuratievereisten kan het nodig zijn om handmatig een beheerde identiteit in te schakelen voordat agents kunnen worden geïnstalleerd. Deze identiteiten zijn essentieel omdat agents deze gebruiken om zich te authenticeren bij Azure Monitor zonder dat er credentials hoeven te worden opgeslagen op de virtuele machine zelf, wat de beveiliging aanzienlijk verbetert. Tot slot moeten virtuele machines voldoende schijfruimte beschikbaar hebben voor de agentinstallatie, met een minimum van 500 MB vrije ruimte op het systeemstation. Hoewel de daadwerkelijke agentinstallatie doorgaans minder ruimte in beslag neemt, biedt deze buffer ruimte voor logbestanden, updates en tijdelijke bestanden tijdens de installatie. Voor virtuele machines met beperkte schijfruimte kan het nodig zijn om eerst schoonmaakacties uit te voeren of de schijfruimte uit te breiden voordat agents kunnen worden geïnstalleerd. Organisaties moeten ook rekening houden met de continue ruimtevereisten voor agentlogbestanden en cache, waarbij regelmatige monitoring van schijfruimte wordt aanbevolen om te voorkomen dat agents falen door onvoldoende ruimte.

Monitoring

Gebruik PowerShell-script auto-provisioning-agents-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor compliance checking van automatische provisioning status over alle Azure-abonnementen. Het script controleert alle ingeschakelde abonnementen en rapporteert per abonnement of auto-provisioning is ingeschakeld of uitgeschakeld, inclusief statistieken en niet-compliant items..

Continue monitoring van de automatische provisioning status vormt een kritieke component van effectief beveiligingsbeheer in Azure-omgevingen. Zonder regelmatige controle kunnen configuratiewijzigingen onopgemerkt blijven, waardoor beveiligingshiaten ontstaan die organisaties kwetsbaar maken voor aanvallen. Het monitoringproces begint met het PowerShell-script dat gebruikmaakt van de cmdlet Get-AzSecurityAutoProvisioningSetting om de auto-provisioning configuratie per abonnement op te halen en te valideren. Het script itereert systematisch door alle ingeschakelde abonnementen binnen de Azure-tenant en controleert voor elk abonnement of de auto-provisioning instelling op 'On' staat. Deze geautomatiseerde controle elimineert de noodzaak voor handmatige verificatie van tientallen of honderden abonnementen, wat in grote organisaties praktisch onhaalbaar zou zijn. De output van het script bevat uitgebreide informatie die essentieel is voor compliance-rapportage en beveiligingsaudits. Het totaal aantal abonnementen wordt gerapporteerd, samen met een gedetailleerde verdeling van abonnementen waar auto-provisioning is ingeschakeld versus uitgeschakeld. Per abonnement wordt de exacte compliance status weergegeven, inclusief de timestamp van de laatste configuratiewijziging, wat cruciaal is voor het traceren van wijzigingen en het identificeren van onbevoegde configuratiewijzigingen. Deze gedetailleerde informatie stelt beveiligingsteams in staat om snel afwijkingen te identificeren en corrigerende maatregelen te nemen voordat beveiligingsincidenten optreden.

Integratie van het monitoring script in bestaande beveiligingsinfrastructuur verhoogt de operationele effectiviteit aanzienlijk. Het script kan worden geïntegreerd in geautomatiseerde compliance dashboards die realtime inzicht bieden in de beveiligingspostuur van de organisatie. Deze dashboards kunnen worden gebruikt door CISO's en beveiligingsmanagers om executive rapportage te genereren en compliance status te communiceren naar stakeholders. SIEM-systemen kunnen de script output ontvangen via log forwarding, waardoor auto-provisioning status wordt opgenomen in de centrale beveiligingsmonitoring. Dit maakt het mogelijk om correlaties te maken tussen auto-provisioning status en andere beveiligingsgebeurtenissen, zoals detectie van aanvallen op virtuele machines zonder monitoring agents. Rapportage workflows kunnen het script gebruiken om periodieke compliance rapporten te genereren die worden gebruikt voor interne audits en externe certificeringen zoals ISO 27001 en BIO. Voor continue monitoring kan het script worden ingepland via Azure Automation runbooks met een dagelijkse of wekelijkse frequentie, afhankelijk van de organisatorische behoeften en compliance vereisten. Dagelijkse monitoring wordt aanbevolen voor productie-omgevingen met hoge beveiligingsvereisten, terwijl wekelijkse monitoring voldoende kan zijn voor ontwikkel- en testomgevingen. Deze geautomatiseerde monitoring stelt organisaties in staat om proactief te reageren op configuratiewijzigingen die de beveiligingsdekking kunnen beïnvloeden, voordat deze leiden tot daadwerkelijke beveiligingsincidenten.

Handmatige controle via Azure Portal biedt een gebruiksvriendelijke visuele interface voor het valideren van de auto-provisioning configuratie, wat bijzonder nuttig is voor ad-hoc controles en tijdens beveiligingsaudits. De navigatie begint bij Microsoft Defender voor Cloud, waar organisaties Environment Settings selecteren om toegang te krijgen tot de configuratie-instellingen voor alle abonnementen. Na het selecteren van het gewenste abonnement opent de sectie Settings & monitoring, die een overzicht biedt van alle monitoring-gerelateerde configuraties. In het tabblad monitoring coverage is per resourcetype zoals virtuele machines, App Services en andere Azure-resources duidelijk zichtbaar of auto-provisioning ingeschakeld is. Deze visuele weergave toont niet alleen de configuratiestatus, maar ook kwantitatieve informatie over hoeveel resources momenteel worden gemonitord versus het totaal aantal resources binnen het abonnement. Deze informatie is cruciaal voor het identificeren van beveiligingshiaten, omdat het organisaties in staat stelt om snel te zien welke resources mogelijk buiten de beveiligingsmonitoring vallen. Voor virtuele machines specifiek toont de interface het aantal VM's met geïnstalleerde agents versus het totaal aantal VM's, wat direct inzicht geeft in de beveiligingsdekking. Deze informatie helpt organisaties om snel te identificeren waar aanvullende actie vereist is, zoals het handmatig installeren van agents op VM's waar automatische provisioning om technische redenen heeft gefaald, of het onderzoeken van configuratiewijzigingen die hebben geleid tot het uitschakelen van auto-provisioning.

Remediatie

Gebruik PowerShell-script auto-provisioning-agents-enabled.ps1 (functie Invoke-Remediation) – Automatische activering van auto-provisioning voor monitoring agents op alle ingeschakelde Azure-abonnementen. Het script gebruikt Set-AzSecurityAutoProvisioningSetting om auto-provisioning in te schakelen en rapporteert het aantal abonnementen dat is geconfigureerd. Ondersteunt WhatIf-modus voor preview van wijzigingen..

Het remediation script itereert door alle ingeschakelde Azure-abonnementen en activeert auto-provisioning waar het momenteel uitgeschakeld is. Voor elk abonnement wordt de PowerShell-cmdlet Set-AzSecurityAutoProvisioningSetting aangeroepen met de parameter -AutoProvision On. Na succesvolle activering begint de automatische implementatie van agents op bestaande virtuele machines binnen 15 tot 30 minuten, waarbij het exacte tijdstip afhankelijk is van het aantal virtuele machines en de netwerkconnectiviteit. Nieuwe virtuele machines krijgen agents automatisch binnen enkele minuten na implementatie, waardoor ze direct na opstarten worden gemonitord. Het script toont per abonnement of de activering is geslaagd en geeft een totaal overzicht van alle wijzigingen. Gebruik de -WhatIf parameter om te zien welke abonnementen zouden worden aangepast zonder daadwerkelijke wijzigingen door te voeren, wat bijzonder nuttig is voor grote omgevingen waar meerdere abonnementen worden beheerd.

Handmatige configuratie via Azure Portal biedt een gebruiksvriendelijke interface voor het inschakelen van auto-provisioning. Start door te navigeren naar Microsoft Defender voor Cloud en selecteer Environment Settings. Kies het gewenste abonnement en klik op Settings & monitoring. In de monitoring coverage sectie, zoek naar de optie 'Log Analytics agent/Azure Monitor agent' en zet de toggle op 'On'. Selecteer vervolgens de Log Analytics Workspace configuratie: organisaties kunnen een specifieke workspace gebruiken voor betere kostencontrole en gegevensbeheer, of Defender toestaan om automatisch een standaard workspace aan te maken. Optioneel kunnen organisaties het Windows-beveiligingsgebeurtenissen verzamelingsniveau configureren met opties voor Common, Minimal of All, waarbij Common de aanbevolen instelling is voor de meeste omgevingen omdat het een goede balans biedt tussen beveiligingsdekking en logvolume. Klik op Save om de configuratie op te slaan. De activering is direct effectief voor nieuwe virtuele machines en wordt binnen 30 minuten uitgerold naar bestaande virtuele machines, waarbij organisaties de voortgang kunnen monitoren via de monitoring coverage pagina.

Implementatie Stappenplan

Een succesvolle implementatie van automatische provisioning van monitoring agents vereist een gestructureerde aanpak die begint met een grondige inventarisatie van alle Azure-abonnementen. Organisaties moeten eerst bepalen welke abonnementen virtuele machine workloads bevatten die monitoring vereisen, waarbij het belangrijk is om zowel productie- als ontwikkel- en testomgevingen te identificeren. Tijdens deze inventarisatiefase moeten organisaties ook rekening houden met toekomstige groei en schaalbaarheid, aangezien nieuwe abonnementen die later worden toegevoegd ook moeten worden voorzien van monitoring agents. De volgende cruciale stap betreft het bepalen van de Log Analytics Workspace strategie, waarbij organisaties kunnen kiezen tussen een centrale workspace voor alle abonnementen, een workspace per omgeving zoals productie, ontwikkeling en test, of een workspace per abonnement. De aanbevolen aanpak is één workspace per omgeving voor kostenoptimalisatie, omdat dit een goede balans biedt tussen gegevensisolatie, kostenbeheer en operationele eenvoud. Na het bepalen van de workspace strategie moeten organisaties bestaande Log Analytics-workspaces identificeren of nieuwe workspaces creëren, waarbij aandacht moet worden besteed aan de gegevensretentie policy. Een minimale retentieperiode van 90 dagen is essentieel voor compliance doeleinden, maar voor forensische analyse en incidentonderzoek wordt een retentieperiode van 365 dagen sterk aanbevolen, hoewel dit hogere opslagkosten met zich meebrengt. Netwerkconnectiviteit vormt een kritieke vereiste voor succesvolle agent implementatie, waarbij organisaties moeten zorgen dat virtuele machines kunnen communiceren met Azure Monitor-service-eindpunten. Dit kan worden bereikt via service tags in Network Security Group-regels, wat de beheerbaarheid verbetert omdat Microsoft automatisch de IP-adresbereiken bijwerkt, of via Azure Private Link voor omgevingen met strikte netwerkisolatie vereisten. Voordat auto-provisioning wordt geactiveerd op productie-abonnementen, is het essentieel om eerst te testen op een testabonnement. Organisaties moeten het remediation script uitvoeren met de -WhatIf parameter om de impact te voorspellen en te zien welke configuratiewijzigingen zouden worden doorgevoerd zonder daadwerkelijke wijzigingen aan te brengen. Na deze validatie kan auto-provisioning worden geactiveerd op het testabonnement zonder de -WhatIf parameter, waarbij organisaties de agent implementatiestatus moeten monitoren via Azure Portal om te verifiëren dat agents correct worden geïnstalleerd. Validatie is cruciaal en omvat het controleren van VM-extensions in Azure Portal om te bevestigen dat de Azure Monitor Agent of Log Analytics Agent is geïnstalleerd, en het verifiëren van de dataflow in Log Analytics door te zoeken naar beveiligingsgebeurtenissen en systeemlogboeken van de virtuele machines. Als de test succesvol is, kunnen organisaties het remediation script uitvoeren voor alle productie-abonnementen, waarbij het belangrijk is om de implementatie voortgang te monitoren via Microsoft Defender voor Cloud onder Recommendations, waar de aanbeveling 'Monitoring agent zou moeten worden geïnstalleerd op uw machines' de status van agent implementatie weergeeft. Organisaties moeten alerts configureren in Log Analytics voor virtuele machines waar agent installatie faalt, wat kan gebeuren vanwege netwerkconnectiviteitsproblemen, onvoldoende machtigingen, of resource constraints zoals onvoldoende schijfruimte. Deze alerts stellen security teams in staat om proactief te reageren op implementatieproblemen voordat ze leiden tot beveiligingshiaten. Documentatie is essentieel voor audit doeleinden en moet de Log Analytics Workspace configuratie, retentieperiodes, en de mapping tussen abonnementen en workspaces bevatten. Tot slot moeten organisaties periodieke reviews plannen, bij voorkeur maandelijks, om te controleren of alle virtuele machines agents hebben geïnstalleerd en data verzenden, waarbij eventuele afwijkingen moeten worden onderzocht en opgelost.

Compliance en Framework Mapping

Deze beveiligingsmaatregel helpt organisaties bij het voldoen aan verschillende compliance frameworks en beveiligingsstandaarden die essentieel zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige gegevens. De CIS Azure Foundations Benchmark versie 3.0.0 bevat control 2.1.13 die expliciet vereist dat automatische provisioning van de Log Analytics agent voor Azure virtuele machines is ingesteld op 'On', waarbij dit een Level 1 aanbeveling betreft die verplicht is voor alle organisaties. Deze control is fundamenteel omdat het ervoor zorgt dat alle virtuele machines automatisch worden voorzien van monitoring capabilities zonder handmatige interventie, wat kritiek is voor het behalen van een volledige beveiligingsdekking. De BIO Baseline Informatiebeveiliging Overheid bevat twee relevante thema's die direct worden ondersteund door automatische provisioning van monitoring agents. Thema 12.01 betreft de controle van technische kwetsbaarheden en vereist continue scanning en monitoring van systemen voor kwetsbaarheden, waarbij monitoring agents essentieel zijn voor het verzamelen van de benodigde telemetrie voor kwetsbaarheidsbeoordeling. Thema 16.01 richt zich op informatiebeveiligingsincidentenbeheer en vereist monitoring capabilities voor detectie van beveiligingsincidenten, waarbij agents realtime beveiligingsgebeurtenissen verzamelen die nodig zijn voor snelle incidentdetectie en respons. ISO 27001:2022 bevat drie relevante controls die worden ondersteund door deze maatregel. Control A.8.8 betreft het beheer van technische kwetsbaarheden en vereist tijdige informatie over technische kwetsbaarheden door monitoring, waarbij agents continu systeemconfiguraties en software-inventarissen verzamelen. Control A.8.15 vereist dat gebeurtenislogboeken worden geproduceerd, bewaard, beveiligd en geanalyseerd, waarbij monitoring agents deze logboeken verzamelen en naar Log Analytics-workspaces sturen voor gecentraliseerde opslag en analyse. Control A.8.16 betreft monitoring activiteiten en vereist continue monitoring van informatiebeveiligingsgebeurtenissen, waarbij agents realtime monitoring bieden van beveiligingsgebeurtenissen op virtuele machines. De NIS2 Directive Artikel 21 vereist cybersecurity risicobeheersmaatregelen inclusief capabilities voor monitoring, detectie en respons op beveiligingsincidenten, waarbij automatische provisioning ervoor zorgt dat alle systemen worden gemonitord zonder handmatige configuratie. De Algemene Verordening Gegevensbescherming (AVG) Artikel 32 vereist technische en organisatorische maatregelen voor de beveiliging van verwerking, waarbij monitoring capabilities essentieel zijn voor het detecteren van ongeautoriseerde toegang tot persoonsgegevens en datalekken. Het NIST Cybersecurity Framework bevat de functie DE.CM (Security Continuous Monitoring) die continue monitoring van cybersecurity gebeurtenissen vereist, waarbij monitoring agents de basis vormen voor deze continue monitoring capability. Door automatische provisioning te implementeren, voldoen organisaties aan deze diverse compliance vereisten op een schaalbare en betrouwbare manier, waarbij handmatige configuratiefouten worden geëlimineerd en volledige beveiligingsdekking wordt gegarandeerd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Auto-Provisioning of Monitoring Agents .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.13 Controleert of automatic provisioning van monitoring agents is ingeschakeld. .NOTES Filename: auto-provisioning-agents-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/auto-provisioning-agents-enabled.json CIS Control: 2.1.13 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Auto-Provisioning of Monitoring Agents" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Auto-provisioning uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "auto-provisioning-agents-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Auto-provisioning uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $autoProvision = Get-AzSecurityAutoProvisioningSetting -ErrorAction SilentlyContinue if ($autoProvision -and $autoProvision.AutoProvision -eq 'On') { $result.CompliantCount++ $result.Details += "✓ '$($sub.Name)': Auto-provisioning enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ '$($sub.Name)': Auto-provisioning DISABLED" $result.Recommendations += "Enable auto-provisioning voor '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan function Invoke-Revert { Write-Host "`n⚠️ Auto-provisioning uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $fixed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityAutoProvisioningSetting -SettingName "default" -EnableAutoProvision -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled auto-provisioning for: $($sub.Name)" -ForegroundColor Green $fixed++ } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Auto-provisioning uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou auto-provisioning enablen voor $($result.NonCompliantCount) subscription(s)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder automatische provisioning van monitoring agents blijven Azure virtuele machines volledig onzichtbaar voor beveiligingsmonitoringsystemen wat kritieke detectiehiaten creëert. Beveiligingsaanvallen zoals ransomware, malware-infecties, brute force authenticatiepogingen, privilege-escalatie exploits en gegevensexfiltratie blijven volledig ongedetecteerd zonder agent-gebaseerde telemetrie. De gemiddelde tijd tot detectie stijgt van minuten met agents naar weken of maanden zonder agents, wat catastrofale gegevensblootstelling mogelijk maakt. Handmatige agent-implementatie is fundamenteel onbetrouwbaar waarbij nieuwe virtuele machines vaak vergeten worden tijdens implementatiehaast, ontwikkel- en testvirtuele machines systematisch worden overgeslagen omdat ze 'tijdelijk' zijn maar jaren blijven draaien zonder monitoring, agent-installatiefouten onopgemerkt blijven zonder geautomatiseerde herhaalpogingen, en virtuele machine sprawl over abonnementen betekent dat beveiligingsteams niet eens weten welke virtuele machines bestaan laat staan of agents geïnstalleerd zijn. Schaalbaarheid faalt bij meer dan vijftig virtuele machines waarbij handmatige implementatie operationeel onhaalbaar wordt. Forensische gegevens ontbreken bij beveiligingsincidenten omdat logboeken van pre-incident activiteit niet bestaan - oorzaakanalyse is onmogelijk zonder historische agenttelemetrie. Compliance-schendingen ontstaan: CIS 2.1.13 vereist geautomatiseerde agent-implementatie, BIO 12.01 en 16.01 vereisen continue beveiligingsmonitoring, ISO 27001 A.8.8, A.8.15 en A.8.16 logboekvereisten kunnen niet worden gehaald, NIS2 Artikel 21 beveiligingsmonitoringvereisten worden geschonden. Gemiddelde tijd tot detectie stijgt dramatisch wat gemiddelde tijd tot respons ook verhoogt - elke dag vertraging in inbraakdetectie kost gemiddeld 25.000 euro extra volgens Ponemon Institute. Het risico is kritiek voor alle Azure-omgevingen met virtuele machines ongeacht werkbelastingtype.

Management Samenvatting

Automatische provisioning van monitoring agents automatiseert de implementatie van Azure Monitor Agent en beveiligingsextensies naar alle Azure virtuele machines (bestaande en nieuwe) zonder handmatige interventie, wat honderd procent beveiligingsdekking garandeert. Automatische provisioning werkt via: Azure Policy automatische toewijzing die agents implementeert zodra een virtuele machine wordt aangemaakt (latentie minder dan 15 minuten voor nieuwe virtuele machines), automatische installatie op alle bestaande virtuele machines binnen 30 minuten na activering, automatische herstelacties bij agentfouten met herhaallogica, integratie met Log Analytics-workspace voor gecentraliseerde logverzameling, ondersteuning voor Windows- en Linux-virtuele machines met platformspecifieke agentvarianten. Agents verzamelen: beveiligingsgebeurtenissen zoals authenticatie, privilegewijzigingen en procescreatie, prestatiemetrieken zoals CPU, geheugen en schijf voor anomaliedetectie, bestandsintegriteitsmonitoringdata, netwerkverbindingen voor detectie van laterale beweging, en resultaten van kwetsbaarheidsscans. Deze maatregel is absoluut verplicht voor alle Azure-abonnementen met virtuele machines, verplicht voor CIS 2.1.13, BIO 12.01 en 16.01, ISO 27001 A.8.8, A.8.15 en A.8.16, NIS2 Artikel 21, en wordt beschouwd als fundamentele vereiste voor elke beveiligingsmonitoringcapaciteit. Implementatie: Azure Portal → Defender voor Cloud → Omgevingsinstellingen → Automatische provisioning → Log Analytics-agent → AAN, selecteer Log Analytics-workspace (maak een toegewijde workspace per omgeving aan zoals productie, ontwikkeling en test), activeer voor alle abonnementen. Agents worden automatisch geïmplementeerd binnen 30 minuten. Kosten: agentimplementatie is gratis, Log Analytics-datainname kost 2 tot 5 euro per virtuele machine per maand afhankelijk van het logvolume. De return on investment komt voort uit: honderd procent beveiligingsdekking van virtuele machines zonder blinde vlekken, geëlimineerde operationele overhead van handmatige implementatie, reductie van gemiddelde tijd tot detectie van weken naar minuten wat 25.000 euro per dag aan kostenbesparing oplevert, compliancesucces, en forensische paraatheid voor incidentonderzoek.