L2 BIO 12.04.01 ISO A.12.4.1 CIS 2.1.4

Microsoft Defender Voor SQL Ingeschakeld

📅 2025-10-30
⏱️ 10 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender voor SQL biedt geavanceerde bedreigingsdetectie en kwetsbaarheidsbeoordeling voor Azure SQL-databases, SQL Managed Instances en SQL-servers op Azure Virtual Machines door verdachte databaseactiviteiten te bewaken en kwetsbaarheden te identificeren.

Aanbeveling
IMPLEMENTEER VOOR SQL DATABASES
Risico zonder
High
Risk Score
9/10
Implementatie
3u (tech: 1.5u)
Van toepassing op:
Azure SQL Database
Azure SQL Managed Instance
SQL server op Azure VMs

Azure SQL-databases bevatten vaak de meest kritieke bedrijfsdata en zijn primaire doelen voor aanvallers. Zonder gespecialiseerde databasebedreigingsdetectie blijven aanvallen onopgemerkt, zoals SQL-injectieaanvallen, brute-force authenticatiepogingen, escalatie van bevoegdheden, abnormale gegevenstoegangspatronen, potentiële gegevensexfiltratie en verkeerd geconfigureerde beveiligingsinstellingen. Traditionele netwerkbeveiliging detecteert deze bedreigingen op databaseniveau niet effectief. Defender voor SQL gebruikt machinaal leren om basisgedrag te leren en anomalieën te detecteren, zoals ongebruikelijke geografische toegang, abnormale zoekopdrachtpatronen, excessieve gegevensexporten en onbevoegde schemawijzigingen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle verifieert dat Microsoft Defender voor SQL is geactiveerd op alle Azure-abonnementen die SQL-databases hosten. Microsoft Defender voor SQL vormt een geavanceerde beveiligingslaag die specifiek is ontworpen om Azure SQL-resources te beschermen tegen moderne cyberbedreigingen en kwetsbaarheden. De service combineert verschillende geavanceerde beveiligingstechnologieën om een uitgebreide bescherming te bieden die verder gaat dan traditionele netwerkbeveiliging. Real-time bedreigingsdetectie vormt de kern van de service en monitort continu databaseactiviteiten om verdachte patronen te identificeren. Het systeem detecteert automatisch SQL-injectieaanvallen waarbij aanvallers kwaadaardige SQL-code proberen te injecteren in databasequery's, brute-force authenticatiepogingen waarbij systematisch wachtwoorden worden geraden, en andere geavanceerde databaseaanvallen zoals privilege escalation en abnormale toegangspatronen. Deze detectie gebeurt door middel van gedragsanalyse en machine learning-modellen die leren van normale databaseactiviteit en afwijkingen kunnen identificeren voordat ze tot schade leiden. Kwetsbaarheidsbeoordeling vormt een tweede pijler van de service en voert automatisch wekelijkse scans uit op alle geconfigureerde SQL-databases. Deze scans evalueren meer dan 100 verschillende beveiligingsconfiguraties, inclusief authenticatie-instellingen, autorisatieconfiguraties, versleutelingsinstellingen en netwerkbeveiligingsopties. Elke bevinding wordt geclassificeerd op basis van risiconiveau en impact, waarbij kritieke kwetsbaarheden directe aandacht vereisen. Het systeem biedt gedetailleerde hersteladviezen voor elke kwetsbaarheid, inclusief SQL-scripts en configuratiewijzigingen die kunnen worden toegepast om de beveiligingsproblemen op te lossen. Geavanceerde SQL-bedreigingsbescherming maakt gebruik van gedragsanalyse om patronen te identificeren die wijzen op potentiële aanvallen of datalekken. Het systeem monitort toegangspatronen, zoekopdrachtvolumes en geografische locaties om anomalieën te detecteren die kunnen wijzen op ongeautoriseerde toegang of gegevensexfiltratie. Gegevensdetectie en classificatie functionaliteit identificeert automatisch gevoelige gegevens binnen databases, inclusief creditcardnummers, burgerservicenummers en andere persoonlijk identificeerbare informatie, en helpt organisaties bij het voldoen aan compliancevereisten zoals de AVG. Beveiligingswaarschuwingen worden gegenereerd met gedetailleerde ernstclassificaties die organisaties helpen bij het prioriteren van responsacties. Elke waarschuwing bevat contextuele informatie over de betrokken SQL-resource, het tijdstip van de gebeurtenis, de gedetecteerde activiteit en aanbevolen herstelstappen. Integratie met Microsoft Defender voor Cloud zorgt voor geïntegreerd beveiligingsbeheer waarbij alle beveiligingsgebeurtenissen worden gecentraliseerd in één dashboard, waardoor organisaties een holistisch overzicht krijgen van hun beveiligingspostuur. De kosten bedragen ongeveer 5% van de SQL-database computekosten per maand, wat betekent dat een database die €300 per maand kost, ongeveer €15 extra per maand genereert voor Defender-bescherming. Deze kosten variëren per databasegrootte en gebruik, maar vormen een relatief kleine investering gezien de omvangrijke beveiligingsfunctionaliteit die wordt geboden en de potentiële schade die kan worden voorkomen.

Vereisten

Voor de activering van Microsoft Defender voor SQL zijn verschillende technische en organisatorische voorwaarden vereist die essentieel zijn voor een succesvolle implementatie. Deze vereisten vormen de basis voor een effectieve beveiligingsoplossing die naadloos integreert met bestaande Azure-infrastructuur en beheerprocessen. Ten eerste is een Azure-abonnement met eigenaar- of bijdragerrechten noodzakelijk. Deze rechten zijn essentieel omdat Defender voor SQL configuratiewijzigingen vereist op abonnementsniveau die niet kunnen worden uitgevoerd met beperkte rollen zoals lezer of beveiligingslezer. De eigenaar of bijdrager moet expliciet toestemming hebben om beveiligingsinstellingen te wijzigen en prijsplannen te activeren binnen het Microsoft Defender voor Cloud-ecosysteem. Voor geautomatiseerde implementatie en monitoring is PowerShell 5.1 of hoger vereist, samen met de specifieke Az PowerShell-modules. De modules Az.Accounts en Az.Security zijn onmisbaar voor het beheren van Defender-configuraties via de commandoregel. Az.Accounts biedt authenticatiefunctionaliteit voor Azure-abonnementen, terwijl Az.Security specifieke cmdlets bevat zoals Set-AzSecurityPricing en Get-AzSecurityPricing die directe controle bieden over Defender-voor SQL-instellingen. Organisaties die nog werken met oudere AzureRM-modules moeten migreren naar de Az-modules om compatibiliteit te garanderen. De aanwezigheid van bestaande Azure SQL-resources is een fundamentele vereiste, aangezien de service geen effect heeft zonder actieve SQL-databases, SQL Managed Instances of SQL-servers op virtuele machines. Defender voor SQL werkt op resource-niveau en vereist dat er daadwerkelijk SQL-workloads aanwezig zijn om te beschermen. Organisaties die alleen Azure Storage of andere services gebruiken, zullen geen voordeel hebben van deze specifieke Defender-functie. Microsoft Defender voor Cloud moet ingeschakeld zijn op het abonnement voordat Defender voor SQL kan worden geactiveerd. Dit is een hiërarchische afhankelijkheid waarbij Defender voor Cloud fungeert als het overkoepelende beveiligingsplatform. Zonder deze basisconfiguratie kunnen individuele Defender-plannen zoals SQL-bescherming niet worden geactiveerd. Voor kwetsbaarheidsbeoordelingsfuncties is een opslagaccount vereist waar scanresultaten kunnen worden opgeslagen. Hoewel Microsoft de mogelijkheid biedt om dit automatisch aan te maken, raden we aan om een specifiek opslagaccount te configureren dat voldoet aan organisatorische beveiligings- en compliancevereisten. Dit account moet zich in dezelfde regio bevinden als de SQL-resources voor optimale prestaties en naleving van gegevensresidencievereisten. Budgetgoedkeuring is cruciaal omdat Defender voor SQL aanvullende kosten met zich meebrengt. De service kost ongeveer 5% van de SQL-database computekosten per maand, wat betekent dat een database die €300 per maand kost, ongeveer €15 extra per maand genereert voor Defender-bescherming. Voor organisaties met meerdere databases kunnen deze kosten oplopen, waardoor budgetgoedkeuring en kostenbeheer essentieel zijn voor duurzame implementatie.

Implementatie

De implementatie van Microsoft Defender voor SQL kan op twee manieren worden uitgevoerd: via geautomatiseerde PowerShell-scripts of handmatig via de Azure Portal. Beide methoden hebben hun voordelen en zijn geschikt voor verschillende scenario's binnen Nederlandse overheidsorganisaties. Voor organisaties met meerdere Azure-abonnementen of die automatisering en herhaalbaarheid prioriteren, biedt PowerShell de meest efficiënte aanpak. Het bijgeleverde PowerShell-script maakt gebruik van de Set-AzSecurityPricing-cmdlet met de parameter -Name 'SqlServers' en -PricingTier 'Standard' om Defender voor SQL te activeren op alle geconfigureerde abonnementen. Deze geautomatiseerde aanpak zorgt voor consistentie tussen verschillende omgevingen en vermindert de kans op menselijke fouten tijdens de configuratie. Het script kan worden geïntegreerd in bestaande CI/CD-pipelines of worden uitgevoerd als onderdeel van infrastructure-as-code-initiatieven. De handmatige implementatie via de Azure Portal biedt meer visuele controle en is geschikt voor organisaties die de configuratiestappen stap voor stap willen doorlopen of die beperkte automatisering hebben. Het proces begint met navigatie naar Microsoft Defender voor Cloud binnen de Azure Portal, waar beheerders toegang krijgen tot de centrale beveiligingsdashboard. In het linkermenu selecteert men 'Environment settings', wat toegang geeft tot alle geconfigureerde Azure-abonnementen en beheergroepen. Na het selecteren van het specifieke abonnement waarop Defender voor SQL moet worden geactiveerd, opent men het tabblad 'Defender plans'. Hier worden alle beschikbare Defender-plannen weergegeven, waaronder de optie voor databases. Beheerders schakelen de 'Databases'-optie in en selecteren vervolgens de specifieke SQL-resourcetypen die moeten worden beschermd: Azure SQL Databases en/of SQL-servers op machines. Deze granulariteit stelt organisaties in staat om gefaseerde implementaties uit te voeren, waarbij eerst productieomgevingen worden beschermd voordat ontwikkel- en testomgevingen worden toegevoegd. Voor de kwetsbaarheidsbeoordelingsfunctie klikt men op 'Settings' om gedetailleerde configuratieopties te openen. Hier kan een specifiek opslagaccount worden geselecteerd voor het opslaan van scanresultaten, of men kan ervoor kiezen om Microsoft automatisch een opslagaccount te laten aanmaken. Voor Nederlandse overheidsorganisaties met specifieke gegevensresidencievereisten is het raadzaam om handmatig een opslagaccount te configureren dat voldoet aan Nederlandse datalocatievereisten. E-mailnotificaties vormen een cruciaal onderdeel van de configuratie, omdat ze beveiligingsteams direct informeren over gevonden kwetsbaarheden. Organisaties kunnen meerdere e-mailadressen configureren, waarbij het aanbevolen is om zowel technische beheerders als beveiligingsverantwoordelijken toe te voegen. De notificaties kunnen worden afgestemd op ernstniveaus, zodat alleen kritieke bevindingen directe aandacht krijgen terwijl minder urgente zaken via wekelijkse samenvattingen worden gecommuniceerd. Na het voltooien van alle configuratiestappen klikt men op 'Save' om de activering te voltooien. Het systeem valideert de configuratie en start de onboarding van SQL-resources binnen enkele minuten. Organisaties ontvangen een bevestigingsmelding zodra de activering succesvol is voltooid, waarna de eerste kwetsbaarheidsscans automatisch worden gestart binnen 24 uur.

Gebruik PowerShell-script defender-for-sql-enabled.ps1 (functie Invoke-Remediation) – PowerShell-script voor automatische activering van Defender voor SQL op alle abonnementen met Set-AzSecurityPricing -Name 'SqlServers' -PricingTier 'Standard'.

Monitoring

Effectieve monitoring van Microsoft Defender voor SQL vereist een gestructureerde aanpak waarbij verschillende beveiligingsaspecten regelmatig worden geëvalueerd en geanalyseerd. Deze monitoring vormt de basis voor proactieve beveiliging en zorgt ervoor dat organisaties snel kunnen reageren op potentiële bedreigingen en kwetsbaarheden. Het beveiligingswaarschuwingendashboard binnen Microsoft Defender voor Cloud vormt het centrale punt voor het bewaken van SQL-bedreigingsdetectie. Dit dashboard verzamelt alle beveiligingswaarschuwingen die door Defender voor SQL worden gegenereerd, inclusief SQL-injectiepogingen, brute-force authenticatieaanvallen, abnormale toegangspatronen en potentiële gegevensexfiltratie. Beveiligingsteams moeten dit dashboard dagelijks controleren, waarbij prioriteit wordt gegeven aan waarschuwingen met hoge ernstclassificaties. Het dashboard biedt contextuele informatie over elke waarschuwing, inclusief de betrokken SQL-resource, het tijdstip van de gebeurtenis, de gedetecteerde activiteit en aanbevolen herstelstappen. Organisaties kunnen filters toepassen op basis van ernst, resource, tijdstip en bedreigingstype om de relevante informatie snel te identificeren. Kwetsbaarheidsbeoordelingsresultaten vereisen wekelijkse beoordeling per database om ervoor te zorgen dat geïdentificeerde beveiligingsproblemen tijdig worden aangepakt. Deze scans controleren databases op meer dan 100 verschillende beveiligingsconfiguraties, inclusief authenticatie-instellingen, autorisatieconfiguraties, versleutelingsinstellingen en netwerkbeveiligingsopties. Elke bevinding wordt geclassificeerd op basis van risiconiveau en impact, waarbij kritieke kwetsbaarheden directe aandacht vereisen. Beheerders moeten niet alleen de bevindingen beoordelen, maar ook de voortgang van herstelacties bijhouden. Het systeem biedt gedetailleerde herstelstappen voor elke kwetsbaarheid, inclusief SQL-scripts en configuratiewijzigingen die kunnen worden toegepast om de beveiligingsproblemen op te lossen. Gegevensclassificatiebevindingen vormen een essentieel onderdeel van de monitoringstrategie, vooral voor organisaties die werken met gevoelige persoonsgegevens onder de AVG. Defender voor SQL detecteert automatisch gevoelige gegevens binnen databases, inclusief creditcardnummers, burgerservicenummers, e-mailadressen en andere persoonlijk identificeerbare informatie. Organisaties moeten regelmatig controleren welke databases gevoelige gegevens bevatten en of deze gegevens adequaat zijn beschermd met versleuteling en toegangscontroles. Deze informatie is cruciaal voor AVG-compliance en helpt organisaties bij het voldoen aan artikel 32 van de verordening, dat vereist dat passende technische en organisatorische maatregelen worden genomen om persoonsgegevens te beveiligen. Analyse van ongebruikelijke toegangspatronen en geografische anomalieën vereist geavanceerde bewaking waarbij machinaal leren-modellen worden gebruikt om afwijkingen te detecteren van normale databaseactiviteit. Defender voor SQL bouwt een basislijn op van normale toegangspatronen gedurende 7 tot 14 dagen na activering, waarna het systeem afwijkingen kan identificeren zoals toegang vanaf ongebruikelijke geografische locaties, toegang buiten normale bedrijfsuren, abnormale zoekopdrachtvolumes of toegangspogingen tot gevoelige tabellen die normaal niet worden geraadpleegd. Beveiligingsteams moeten deze anomalieën onderzoeken om te bepalen of ze wijzen op legitieme activiteit of potentiële beveiligingsincidenten. Het bijhouden van herstelvoortgang voor geïdentificeerde kwetsbaarheden is essentieel voor effectief beveiligingsbeheer. Organisaties moeten een gestructureerd proces implementeren waarbij elke kwetsbaarheid wordt toegewezen aan een verantwoordelijke beheerder, een deadline wordt vastgesteld voor herstel en de status regelmatig wordt bijgewerkt. Microsoft Defender voor Cloud biedt volgfunctionaliteit waarmee organisaties de status van herstelacties kunnen bewaken, maar veel organisaties kiezen ervoor om deze informatie te integreren met hun bestaande ticketing- of projectmanagementsystemen voor betere zichtbaarheid en verantwoording. Beveiligingsaanbevelingen specifiek voor Azure SQL-databases moeten regelmatig worden beoordeeld en geïmplementeerd. Deze aanbevelingen gaan verder dan alleen Defender voor SQL en omvatten best practices voor databaseconfiguratie, netwerkbeveiliging, authenticatie en autorisatie. Organisaties moeten een proces implementeren waarbij nieuwe aanbevelingen wekelijks worden geëvalueerd, prioriteit wordt toegewezen op basis van risico en impact, en implementatie wordt gepland binnen redelijke termijnen. Deze aanbevelingen helpen organisaties niet alleen bij het verbeteren van hun beveiligingspostuur, maar ook bij het voldoen aan compliancevereisten zoals CIS Benchmarks en BIO-normen.

Gebruik PowerShell-script defender-for-sql-enabled.ps1 (functie Invoke-Monitoring) – PowerShell-script voor continue monitoring van Defender voor SQL prijsplanniveau per abonnement met Get-AzSecurityPricing -Name 'SqlServers'.

Remediatie

Na de activering van Microsoft Defender voor SQL starten verschillende processen automatisch die zorgen voor onmiddellijke en continue beveiliging van SQL-resources. Het begrijpen van deze processen en de bijbehorende tijdlijnen is essentieel voor effectieve planning en verwachtingenbeheer binnen organisaties. Kwetsbaarheidsbeoordelingsscans starten automatisch binnen 24 uur na activering van Defender voor SQL. Deze scans voeren uitgebreide beveiligingscontroles uit op alle geconfigureerde SQL-databases, waarbij meer dan 100 verschillende beveiligingsconfiguraties worden geëvalueerd. De eerste scanresultaten zijn doorgaans beschikbaar binnen 48 uur na de initiële scan, hoewel dit kan variëren afhankelijk van het aantal databases en hun grootte. Organisaties moeten rekening houden met deze tijdlijn bij het plannen van beveiligingsreviews en moeten niet verwachten dat alle resultaten onmiddellijk beschikbaar zijn. Na de initiële scan worden wekelijkse automatische scans uitgevoerd om nieuwe kwetsbaarheden te detecteren en wijzigingen in de beveiligingsconfiguratie te monitoren. Bedreigingsdetectiemonitoring start onmiddellijk na activering, wat betekent dat organisaties direct bescherming hebben tegen actieve aanvallen en verdachte activiteiten. Deze real-time bewaking analyseert databasezoekopdrachten, authenticatiepogingen en toegangspatronen om potentiële beveiligingsincidenten te identificeren. In tegenstelling tot kwetsbaarheidsbeoordelingen die wekelijks worden uitgevoerd, werkt bedreigingsdetectie continu en kan binnen seconden waarschuwingen genereren wanneer verdachte activiteit wordt gedetecteerd. Deze onmiddellijke responscapaciteit is cruciaal voor het beperken van de impact van beveiligingsincidenten en het voorkomen van gegevenslekken. Machinaal leren-basislijn wordt opgebouwd gedurende een periode van 7 tot 14 dagen na activering. Tijdens deze periode leert het systeem normale databaseactiviteitspatronen, inclusief typische toegangstijden, geografische locaties van gebruikers, gebruikelijke zoekopdrachtpatronen en normale gegevensvolumes. Deze basislijn is essentieel voor accurate anomaliedetectie, omdat het systeem afwijkingen van normale activiteit kan identificeren. Organisaties moeten tijdens deze periode rekening houden met mogelijke valse positieven, omdat het systeem nog leert wat normale activiteit is voor hun specifieke omgeving. Na de initiële leerperiode wordt de nauwkeurigheid van anomaliedetectie aanzienlijk verbeterd, wat resulteert in minder valse positieven en betere detectie van echte bedreigingen. E-mailwaarschuwingen moeten worden geconfigureerd voor kritieke ernstbevindingen om ervoor te zorgen dat beveiligingsteams onmiddellijk worden geïnformeerd over urgente beveiligingsproblemen. Deze waarschuwingen kunnen worden afgestemd op verschillende ernstniveaus, waarbij organisaties kunnen kiezen om alleen kritieke en hoge ernstbevindingen per e-mail te ontvangen, terwijl middelmatige en lage ernstbevindingen via wekelijkse samenvattingen worden gecommuniceerd. Het is aanbevolen om meerdere ontvangers te configureren, inclusief technische beheerders, beveiligingsverantwoordelijken en indien van toepassing complianceofficers, om ervoor te zorgen dat belangrijke informatie niet wordt gemist. Integratie met een Security Information and Event Management-systeem, ook wel bekend als SIEM, zoals Microsoft Sentinel wordt sterk aanbevolen voor organisaties die centrale beveiligingsmonitoring en -respons vereisen. Deze integratie maakt het mogelijk om Defender voor SQL-waarschuwingen te centraliseren met andere beveiligingsgebeurtenissen uit verschillende bronnen, wat zorgt voor een holistisch overzicht van de beveiligingspostuur van de organisatie. SIEM-integratie stelt beveiligingsteams in staat om correlaties te identificeren tussen verschillende beveiligingsgebeurtenissen, geavanceerde bedreigingsjacht uit te voeren en geautomatiseerde responsacties te implementeren. Voor Nederlandse overheidsorganisaties die werken met gevoelige gegevens kan deze centrale monitoring ook helpen bij het voldoen aan audit- en compliancevereisten door een centraal logboek te bieden van alle beveiligingsgebeurtenissen.

Gebruik PowerShell-script defender-for-sql-enabled.ps1 (functie Invoke-Remediation) – Automatische activering met Set-AzSecurityPricing voor alle abonnementen met SQL-workloads.

Compliance en Auditing

Microsoft Defender voor SQL speelt een cruciale rol bij het voldoen aan verschillende nationale en internationale compliance- en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Deze controle is essentieel voor naleving van meerdere frameworks en verordeningen die specifieke eisen stellen aan databasebeveiliging, bedreigingsdetectie en kwetsbaarheidsbeheer. De CIS Azure Foundations Benchmark v3.0.0 bevat in controle 2.1.4 een expliciete vereiste dat Microsoft Defender voor SQL moet zijn ingesteld op 'On' voor alle Azure-abonnementen. Deze benchmark wordt wereldwijd erkend als een best practice voor cloudbeveiliging en wordt vaak gebruikt als basis voor beveiligingsaudits en certificeringen. Nederlandse overheidsorganisaties die werken met Azure-diensten moeten voldoen aan deze controle om te demonstreren dat zij passende beveiligingsmaatregelen hebben geïmplementeerd voor hun cloudinfrastructuur. Het niet voldoen aan deze controle kan leiden tot negatieve auditbevindingen en kan de certificeringsstatus van organisaties beïnvloeden. De BIO Baseline Informatiebeveiliging Overheid bevat verschillende thema's die relevant zijn voor databasebeveiliging. Thema 12.04 richt zich op de beveiliging van systeembestanden en databasebeveiliging, waarbij specifieke eisen worden gesteld aan de bescherming van databases die gevoelige overheidsgegevens bevatten. Defender voor SQL helpt organisaties bij het voldoen aan deze eisen door geavanceerde bedreigingsdetectie en monitoring te bieden. Thema 12.06 behandelt het beheer van technische kwetsbaarheden, waarbij organisaties worden verplicht om regelmatig kwetsbaarheidsscans uit te voeren en geïdentificeerde problemen tijdig te herstellen. De automatische kwetsbaarheidsbeoordelingsfunctie van Defender voor SQL voldoet direct aan deze vereiste door wekelijkse scans uit te voeren en gedetailleerde hersteladviezen te bieden. ISO 27001:2022 bevat verschillende controles die relevant zijn voor databasebeveiliging. Controle A.12.4.1 vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle kritieke systemen, inclusief databases. Defender voor SQL genereert uitgebreide beveiligingslogs die voldoen aan deze vereiste en die kunnen worden gebruikt voor forensische analyses en compliance-audits. Controle A.12.6.1 vereist dat organisaties technische kwetsbaarheden beheren door regelmatige scans uit te voeren en herstelacties te implementeren. De kwetsbaarheidsbeoordelingsfunctie van Defender voor SQL biedt een gestructureerde aanpak voor het voldoen aan deze controle, inclusief tracking van herstelvoortgang en verificatie van geïmplementeerde maatregelen. De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving, bevat in artikel 21 specifieke vereisten voor cybersecurity-risicobeheer. Deze vereisten omvatten de implementatie van passende technische en organisatorische maatregelen voor het detecteren en beheren van beveiligingsbedreigingen. Defender voor SQL helpt organisaties bij het voldoen aan deze vereisten door geavanceerde bedreigingsdetectie te bieden die gebruikmaakt van machine learning en gedragsanalyse om potentiële aanvallen te identificeren voordat ze schade kunnen veroorzaken. De continue monitoring en realtime waarschuwingen zorgen ervoor dat organisaties snel kunnen reageren op beveiligingsincidenten, wat een kernvereiste is van de NIS2-richtlijn. De Algemene Verordening Gegevensbescherming (AVG) bevat in artikel 32 specifieke vereisten voor de beveiliging van verwerking van persoonsgegevens. Dit artikel vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beveiligen, inclusief maatregelen voor het detecteren en voorkomen van ongeautoriseerde toegang tot gegevens. Defender voor SQL helpt organisaties bij het voldoen aan deze vereisten door databaseactiviteiten te monitoren, abnormale toegangspatronen te detecteren en waarschuwingen te genereren wanneer potentiële inbreuken worden gedetecteerd. Voor organisaties die werken met bijzondere categorieën van persoonsgegevens, zoals gezondheidsgegevens of strafrechtelijke gegevens, zijn deze beveiligingsmaatregelen niet alleen aanbevolen maar vaak verplicht onder de AVG. Voor organisaties die werken met betaalkaartgegevens is PCI-DSS Requirement 11.2 van toepassing, dat vereist dat organisaties regelmatig kwetsbaarheidsscans uitvoeren op alle systemen die betrokken zijn bij de verwerking van betaalkaartgegevens. Defender voor SQL voldoet aan deze vereiste door wekelijkse automatische kwetsbaarheidsscans uit te voeren en gedetailleerde rapporten te genereren die kunnen worden gebruikt voor PCI-DSS-audits. Organisaties moeten ervoor zorgen dat alle databases die betaalkaartgegevens bevatten of verwerken zijn geconfigureerd voor Defender voor SQL-scanning en dat scanresultaten worden bewaard voor auditdoeleinden. Naast deze specifieke compliancevereisten biedt Defender voor SQL uitgebreide auditfunctionaliteit die organisaties helpt bij het voldoen aan algemene auditing- en verantwoordingsvereisten. Het systeem genereert gedetailleerde logs van alle beveiligingsgebeurtenissen, inclusief gedetecteerde bedreigingen, geïdentificeerde kwetsbaarheden en uitgevoerde herstelacties. Deze logs kunnen worden geëxporteerd en geïntegreerd met bestaande audit- en compliance-systemen, waardoor organisaties kunnen aantonen dat zij passende beveiligingsmaatregelen hebben geïmplementeerd en onderhouden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for SQL .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.4 Controleert of Microsoft Defender for SQL is ingeschakeld. Biedt threat detection voor SQL databases. .NOTES Filename: defender-for-sql-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/defender-for-sql-enabled.json CIS Control: 2.1.4 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Microsoft Defender for SQL" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "defender-for-sql-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "SqlServers" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ $result.Details += "✓ '$($sub.Name)': Defender for SQL enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ '$($sub.Name)': Defender for SQL DISABLED" $result.Recommendations += "Enable Defender for SQL op '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $fixed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "SqlServers" -PricingTier "Standard" -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled for: $($sub.Name)" -ForegroundColor Green $fixed++ } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Defender uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou enablen voor $($result.NonCompliantCount) subscription(s)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder Defender voor SQL blijven SQL-databasebedreigingen ongedetecteerd. SQL-injectieaanvallen blijven onopgemerkt, brute-force authenticatiepogingen genereren geen waarschuwingen, abnormale toegangspatronen blijven onzichtbaar en databasekwetsbaarheden worden niet gescand. Gemiddelde kosten van een SQL-inbreuk bedragen meer dan €1 miljoen. Compliancevereisten zoals CIS 2.1.4, AVG, NIS2 en PCI-DSS vereisen SQL-bedreigingsmonitoring. Het risico is hoog voor productie SQL-databases met gevoelige gegevens.

Management Samenvatting

Defender voor SQL biedt geavanceerde bedreigingsbescherming voor SQL-injectie, brute-force en abnormale toegang, kwetsbaarheidsbeoordeling met wekelijkse beveiligingsscans en meer dan 100 controles, en herstelscripts voor fixes. Activatie: Defender voor Cloud → Databases → SQL-databases → AAN. Kosten: 5 procent van database compute (€15 per maand voor een database van €300 per maand). Verplicht voor CIS 2.1.4, AVG, PCI-DSS en NIS2. Implementatie: 1-3 uur. Verplicht voor productie Azure SQL-databases.