💼 Management Samenvatting
Microsoft Defender voor Cloud genereert continu beveiligingsaanbevelingen op basis van de Azure Security Benchmark. Deze aanbevelingen moeten systematisch worden bijgehouden, geprioriteerd en hersteld om de beveiligingspositie van de organisatie te verbeteren.
Aanbeveling
IMPLEMENTEER AANBEVELING TRACKING
Risico zonder
High
Risk Score
8/10
Implementatie
12u (tech: 4u)
Van toepassing op:
✓ Azure
Defender-aanbevelingen identificeren concrete beveiligingslekken: verkeerd geconfigureerde resources, ontbrekende versleuteling, open beheerpoorten, verouderde patches, buitensporige machtigingen en nalevingsschendingen. Zonder systematische tracking blijven kritieke kwetsbaarheden onopgelost: bevindingen met hoge ernst worden niet geprioriteerd, de voortgang van herstel wordt niet gemeten, beveiligingsteams hebben geen inzicht in trends, management ontvangt geen rapportage over verbeteringen van de beveiligingspositie, en nalevingsaudits falen door onopgeloste bevindingen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Security
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Security
Implementatie
Deze maatregel monitort alle Defender voor Cloud-aanbevelingen over abonnementen en houdt bij: totaal aantal openstaande aanbevelingen, verdeling van hoge/middel/lage ernst, aanbevelingen per abonnement, leeftijd van aanbevelingen, en voortgang van herstel over tijd. Het script biedt geen automatisch herstel (aanbevelingen zijn te divers), maar zorgt voor inzicht en tracking. Organisaties moeten een proces implementeren voor: wekelijkse review van nieuwe bevindingen met hoge ernst, maandelijkse hersteldoelen, toewijzing van aanbevelingen aan resource-eigenaren, en kwartaalrapportage over de beveiligingspositie.
Vereisten
Voor het implementeren van systematische tracking en remediatie van Defender voor Cloud-aanbevelingen zijn verschillende technische en organisatorische vereisten noodzakelijk. Deze vereisten vormen de basis voor een effectief beveiligingsbeheerproces dat voldoet aan de eisen van compliance frameworks zoals CIS Azure Foundations Benchmark, ISO 27001, NIS2 en BIO.
De primaire technische vereiste is dat Microsoft Defender voor Cloud is ingeschakeld op alle Azure-abonnementen binnen de organisatie. Dit betekent dat de Defender-plannen moeten zijn geactiveerd voor de relevante resource types, waaronder servers, databases, storage accounts, en andere cloud resources. Zonder actieve Defender voor Cloud monitoring worden er geen aanbevelingen gegenereerd, waardoor het trackingproces niet kan functioneren. Organisaties moeten ervoor zorgen dat Defender voor Cloud is geconfigureerd op zowel productie- als niet-productieomgevingen, omdat beveiligingslekken in ontwikkel- of testomgevingen ook kunnen worden uitgebuit.
Voor de uitvoering van de monitoring- en tracking scripts is PowerShell 5.1 of hoger vereist. Dit is de minimale versie die ondersteuning biedt voor de benodigde Azure PowerShell-modules. Voor optimale functionaliteit wordt PowerShell 7.x aanbevolen, omdat deze versie cross-platform ondersteuning biedt en betere prestaties levert. De scripts maken gebruik van de Az.Accounts en Az.Security modules, die moeten worden geïnstalleerd en bijgewerkt naar de nieuwste versies. Deze modules bieden de benodigde cmdlets voor authenticatie, abonnementsbeheer en toegang tot Defender voor Cloud-aanbevelingen via de Azure Security API.
Voor het monitoren van aanbevelingen is minimaal de Security Reader rol vereist op het abonnementsniveau of hoger. Deze rol biedt leestoegang tot alle beveiligingsgerelateerde informatie, inclusief aanbevelingen, waarschuwingen en beveiligingsscores. Voor organisaties die gebruik maken van Azure Lighthouse voor gecentraliseerd beheer, moet de Security Reader rol worden toegewezen aan de service principal of managed identity die de monitoring uitvoert. Voor het daadwerkelijk herstellen van aanbevelingen is de Contributor rol of een specifieke resource-eigenaar rol vereist, afhankelijk van het type resource dat moet worden aangepast.
Naast technische vereisten is een goed gedefinieerd organisatorisch proces essentieel voor effectieve recommendation tracking. Dit proces moet duidelijke verantwoordelijkheden definiëren voor het reviewen van nieuwe aanbevelingen, het prioriteren op basis van ernst en bedrijfsimpact, het toewijzen van aanbevelingen aan resource-eigenaren, en het volgen van de voortgang van remediatie. Het proces moet ook escalatiepaden bevatten voor aanbevelingen die niet binnen de gestelde termijnen worden opgelost, en mechanismen voor rapportage aan management en compliance teams.
Voor grotere organisaties wordt aanbevolen om een ticketing systeem te integreren, zoals Azure DevOps, ServiceNow of Jira, om de workflow voor het behandelen van aanbevelingen te ondersteunen. Dit maakt het mogelijk om aanbevelingen te koppelen aan werkitems, deadlines te stellen, en de voortgang te volgen in dashboards. Daarnaast moeten organisaties overwegen om automatische meldingen te configureren voor nieuwe aanbevelingen met hoge ernst, zodat beveiligingsteams direct kunnen reageren op kritieke bevindingen.
Monitoring en Tracking
Effectieve monitoring van Defender voor Cloud-aanbevelingen vereist een gestructureerde aanpak die continuïteit, volledigheid en actiegerichtheid combineert. Het monitoringproces vormt de basis voor proactief beveiligingsbeheer en stelt organisaties in staat om trends te identificeren, risico's te prioriteren en de effectiviteit van beveiligingsmaatregelen te meten.
Gebruik PowerShell-script defender-recommendations-tracked.ps1 (functie Invoke-Monitoring) – Het Invoke-Monitoring script verzamelt alle openstaande Defender voor Cloud-aanbevelingen over alle geconfigureerde Azure-abonnementen. Het script genereert een uitgebreid rapport met gedetailleerde informatie over elke aanbeveling, inclusief de ernst, het getroffen resource type, de aanbevolen actie, en de leeftijd van de aanbeveling. Deze informatie wordt geaggregeerd op abonnementsniveau en per ernstcategorie, waardoor beveiligingsteams snel kunnen identificeren welke abonnementen de meeste aandacht vereisen..
Gebruik PowerShell-script defender-recommendations-tracked.ps1 (functie Test-Compliance) – De Test-Compliance functie monitort alle Defender-aanbevelingen met een gedetailleerde uitsplitsing per ernst per abonnement. Deze functie controleert of de organisatie voldoet aan de compliance-eisen door te verifiëren dat er geen aanbevelingen met hoge ernst langer dan de gestelde termijn openstaan, en dat de totale beveiligingsscore binnen acceptabele grenzen blijft..
Een van de belangrijkste best practices voor recommendation tracking is het uitvoeren van wekelijkse reviews van alle aanbevelingen met hoge ernst. Deze reviews moeten worden uitgevoerd door het beveiligingsteam in samenwerking met resource-eigenaren, en moeten resulteren in concrete actieplannen met duidelijke deadlines. Tijdens deze reviews moeten nieuwe aanbevelingen worden geëvalueerd op basis van hun potentiële impact op de bedrijfsvoering, en moeten bestaande aanbevelingen worden gecontroleerd op voortgang van remediatie.
Het toewijzen van aanbevelingen aan resource-eigenaren is essentieel voor effectieve remediatie. Dit kan worden gedaan via Azure Policy, waarbij automatische tags worden toegevoegd aan resources die voldoen aan bepaalde criteria, of via een ticketing systeem zoals Azure DevOps of ServiceNow. Door aanbevelingen expliciet toe te wijzen aan verantwoordelijke personen of teams, wordt duidelijk wie verantwoordelijk is voor het oplossen van elk beveiligingslek, en kunnen escalatiepaden worden gevolgd wanneer aanbevelingen niet binnen de gestelde termijn worden opgelost.
Het volgen van remediatievoortgang in een gecentraliseerd systeem zoals Azure DevOps of ServiceNow biedt verschillende voordelen. Ten eerste kunnen beveiligingsteams de status van alle openstaande aanbevelingen in één overzicht zien, waardoor het gemakkelijker wordt om prioriteiten te stellen en resources toe te wijzen. Ten tweede kunnen historische gegevens worden gebruikt om trends te analyseren en te identificeren welke typen aanbevelingen het vaakst voorkomen, welke teams het snelst reageren, en waar verbeteringen in het proces mogelijk zijn.
Maandelijkse beveiligingspositie meetings met management zijn cruciaal voor het behouden van executive support en het waarborgen van adequate budgettoewijzing voor beveiligingsinitiatieven. Tijdens deze meetings moeten beveiligingsteams presenteren: het totale aantal openstaande aanbevelingen en trends over tijd, de verdeling van aanbevelingen per ernstcategorie, de voortgang ten opzichte van maandelijkse remediatiedoelen, en de impact van remediatie op de algemene beveiligingsscore. Deze rapportage helpt management om geïnformeerde beslissingen te nemen over prioriteiten en investeringen in beveiliging.
Het exporteren van aanbevelingen voor compliance-rapportage is noodzakelijk voor organisaties die moeten voldoen aan regelgeving zoals NIS2, BIO of ISO 27001. Deze rapporten moeten worden opgeslagen in een beveiligde locatie met geschikte retentieperioden, en moeten voldoende detail bevatten om auditors te kunnen aantonen dat de organisatie proactief beveiligingslekken identificeert en aanpakt. Automatische export naar een compliance management platform kan de efficiëntie van dit proces aanzienlijk verbeteren.
Het monitoren van Secure Score trends is een belangrijke indicator voor de algehele beveiligingsgezondheid van de organisatie. Secure Score is een metriek die de beveiligingspositie van een organisatie weergeeft als een percentage, waarbij hogere scores aangeven dat meer aanbevelingen zijn geïmplementeerd. Door trends in Secure Score te volgen, kunnen organisaties meten of hun beveiligingsinspanningen effectief zijn, en kunnen ze identificeren wanneer aanvullende maatregelen nodig zijn. Het is belangrijk om te begrijpen dat Secure Score dynamisch is en kan veranderen wanneer nieuwe aanbevelingen worden toegevoegd of wanneer de configuratie van resources wijzigt.
Compliance en Auditing
Systematische tracking en remediatie van Defender voor Cloud-aanbevelingen is een fundamentele vereiste voor naleving van verschillende cybersecurity frameworks en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Deze maatregel draagt direct bij aan het voldoen aan de eisen van het CIS Azure Foundations Benchmark, ISO 27001, NIS2 en BIO, en vormt een essentieel onderdeel van een volwassen beveiligingsbeheerprogramma.
Het CIS Azure Foundations Benchmark v3.0.0 bevat in regel 2.1.25 de expliciete vereiste dat beveiligingsaanbevelingen moeten worden bijgehouden en hersteld. Deze regel stelt dat organisaties een proces moeten hebben voor het identificeren, categoriseren, prioriteren en oplossen van beveiligingsaanbevelingen die worden gegenereerd door cloud security tools zoals Defender voor Cloud. Het niet naleven van deze regel kan resulteren in een onvoldoende beoordeling tijdens CIS-compliance audits, wat kan leiden tot het verlies van certificeringen of het niet kunnen voldoen aan contractuele verplichtingen met partners of klanten.
ISO 27001 controle A.12.6.1 vereist dat organisaties technische kwetsbaarheden beheren door middel van tijdige identificatie en remediatie. Dit betekent dat organisaties moeten kunnen aantonen dat ze een systematisch proces hebben voor het monitoren van beveiligingsaanbevelingen, het evalueren van hun impact, en het implementeren van passende maatregelen om risico's te mitigeren. ISO 27001 controle A.18.2.2 vereist daarnaast dat organisaties regelmatig compliance reviews uitvoeren om te verifiëren dat beveiligingsmaatregelen effectief zijn en dat nieuwe risico's tijdig worden geïdentificeerd. Defender recommendation tracking biedt de audit trail die nodig is om te bewijzen dat deze controles worden nageleefd.
De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving, vereist in Artikel 21 dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen. Dit omvat het identificeren en aanpakken van beveiligingslekken in een tijdige en effectieve manier. Systematische tracking van Defender-aanbevelingen helpt organisaties om te voldoen aan deze vereiste door te zorgen voor continue monitoring en proactieve remediatie van beveiligingsproblemen. Organisaties die niet kunnen aantonen dat ze een effectief proces hebben voor het beheren van beveiligingsaanbevelingen, kunnen worden geconfronteerd met boetes of andere handhavingsmaatregelen.
Het BIO (Baseline Informatiebeveiliging Overheid) framework bevat in Thema 12.06 specifieke eisen voor het beheer van technische kwetsbaarheden, inclusief remediation tracking. Dit thema vereist dat organisaties een proces hebben voor het identificeren, evalueren en herstellen van beveiligingslekken, en dat dit proces wordt gedocumenteerd en regelmatig wordt geëvalueerd. Voor Nederlandse overheidsorganisaties is naleving van BIO niet alleen een best practice, maar vaak ook een wettelijke verplichting. Het niet kunnen aantonen van effectief kwetsbaarheidsbeheer kan leiden tot negatieve bevindingen tijdens BIO-audits, wat kan resulteren in het verlies van vertrouwen van burgers en andere stakeholders.
Voor compliance-audits is het essentieel dat organisaties kunnen aantonen dat ze een gestructureerd en herhaalbaar proces hebben voor het behandelen van beveiligingsaanbevelingen. Dit betekent dat alle stappen in het proces moeten worden gedocumenteerd, inclusief wanneer aanbevelingen zijn geïdentificeerd, wie verantwoordelijk is voor remediatie, welke acties zijn ondernomen, en wanneer aanbevelingen zijn opgelost. De scripts en processen die worden beschreven in deze maatregel bieden de basis voor deze documentatie, maar organisaties moeten ervoor zorgen dat ze ook de organisatorische processen en workflows documenteren die rondom deze technische tools zijn gebouwd.
Naast het voldoen aan specifieke compliance-eisen, helpt systematische recommendation tracking organisaties ook om te voldoen aan algemene principes van due diligence en risk management. Door proactief beveiligingslekken te identificeren en aan te pakken, kunnen organisaties aantonen dat ze redelijke maatregelen nemen om hun systemen en data te beschermen. Dit kan belangrijk zijn in het geval van een beveiligingsincident, waarbij organisaties moeten kunnen aantonen dat ze hebben voldaan aan hun zorgplicht om beveiligingsrisico's te mitigeren.
Remediatie
Remediatie van Defender voor Cloud-aanbevelingen is het proces waarbij geïdentificeerde beveiligingslekken daadwerkelijk worden opgelost door het implementeren van de aanbevolen beveiligingsmaatregelen. Effectieve remediatie vereist een gestructureerde aanpak die rekening houdt met de ernst van aanbevelingen, de potentiële impact op bedrijfsprocessen, en de beschikbare resources voor implementatie. Het doel van remediatie is niet alleen om individuele aanbevelingen op te lossen, maar ook om de algehele beveiligingspositie van de organisatie te verbeteren en te voorkomen dat vergelijkbare problemen in de toekomst optreden.
Gebruik PowerShell-script defender-recommendations-tracked.ps1 (functie Invoke-Remediation) – De Invoke-Remediation functie biedt ondersteuning voor het herstellen van Defender-aanbevelingen door het uitvoeren van de aanbevolen configuratiewijzigingen. Deze functie kan worden gebruikt voor aanbevelingen die automatisch kunnen worden opgelost, zoals het inschakelen van versleuteling, het sluiten van onveilige poorten, of het bijwerken van beveiligingsconfiguraties. Voor complexere aanbevelingen die handmatige interventie vereisen, biedt de functie gedetailleerde instructies en stappen die moeten worden gevolgd..
Het remediatieproces begint met het prioriteren van aanbevelingen op basis van hun ernst en potentiële impact. Aanbevelingen met hoge ernst die betrekking hebben op kritieke systemen of gevoelige data moeten worden behandeld met de hoogste prioriteit, idealiter binnen 7 dagen na identificatie. Aanbevelingen met middel ernst kunnen worden gepland voor remediatie binnen 30 dagen, terwijl aanbevelingen met lage ernst kunnen worden opgenomen in reguliere onderhoudscycli. Deze prioritering moet echter worden aangepast op basis van de specifieke context van elke aanbeveling, waarbij rekening wordt gehouden met factoren zoals de beschikbaarheid van resources, de complexiteit van de remediatie, en de potentiële impact op bedrijfsprocessen.
Voordat remediatie wordt uitgevoerd, is het belangrijk om een impactanalyse uit te voeren om te begrijpen hoe de voorgestelde wijzigingen de functionaliteit en beschikbaarheid van systemen kunnen beïnvloeden. Dit omvat het identificeren van afhankelijkheden tussen systemen, het beoordelen van de impact op gebruikers, en het plannen van eventuele downtime of service-onderbrekingen. Voor productieomgevingen moet remediatie idealiter worden getest in een test- of acceptatieomgeving voordat deze wordt toegepast, om te verifiëren dat de wijzigingen de beoogde beveiligingsverbetering opleveren zonder onbedoelde neveneffecten.
Voor veel aanbevelingen kan remediatie worden geautomatiseerd met behulp van Azure Policy, Azure Automation runbooks, of andere infrastructure-as-code tools. Automatische remediatie heeft verschillende voordelen: het vermindert de kans op menselijke fouten, het versnelt het remediatieproces, en het zorgt voor consistentie in de toepassing van beveiligingsmaatregelen. Echter, niet alle aanbevelingen zijn geschikt voor automatische remediatie, vooral wanneer ze complexe configuratiewijzigingen vereisen of wanneer ze kunnen interfereren met bedrijfskritieke processen. In deze gevallen moet remediatie worden uitgevoerd door ervaren beheerders die de volledige context begrijpen.
Na het uitvoeren van remediatie is het belangrijk om te verifiëren dat de wijzigingen daadwerkelijk het beoogde effect hebben gehad. Dit kan worden gedaan door het opnieuw uitvoeren van de monitoring scripts om te controleren of de aanbeveling is opgelost, en door het uitvoeren van aanvullende beveiligingstests om te verifiëren dat de remediatie geen nieuwe beveiligingslekken heeft geïntroduceerd. Deze verificatie moet worden gedocumenteerd als onderdeel van de audit trail, zodat tijdens toekomstige audits kan worden aangetoond dat remediatie effectief is uitgevoerd.
Voor aanbevelingen die niet kunnen worden opgelost vanwege technische beperkingen, bedrijfsvereisten, of andere legitieme redenen, moet een risico-acceptatie proces worden gevolgd. Dit proces moet documenteren waarom de aanbeveling niet kan worden geïmplementeerd, welke alternatieve beveiligingsmaatregelen zijn genomen om het risico te mitigeren, en wie verantwoordelijk is voor de acceptatie van het resterende risico. Risico-acceptaties moeten regelmatig worden herzien om te bepalen of de omstandigheden zijn veranderd en of remediatie nu mogelijk is geworden.
Effectieve remediatie vereist ook continue verbetering van het proces zelf. Organisaties moeten regelmatig evalueren welke typen aanbevelingen het vaakst voorkomen, welke remediatiestrategieën het meest effectief zijn, en waar verbeteringen mogelijk zijn in termen van snelheid, efficiëntie of kwaliteit. Deze evaluaties moeten worden gebruikt om het remediatieproces te verfijnen, training te ontwikkelen voor beheerders, en preventieve maatregelen te implementeren die voorkomen dat vergelijkbare problemen in de toekomst optreden.
Compliance & Frameworks
- CIS M365: Control 2.1.25 (L1) - Zorg ervoor dat beveiligingsaanbevelingen worden bijgehouden en hersteld
- BIO: 12.06.01 - Beheer van technische kwetsbaarheden - Tracking van herstel
- ISO 27001:2022: A.12.6.1, A.18.2.2 - Beheer van technische kwetsbaarheden en compliance reviews
- NIS2: Artikel - Cybersecurity risicobeheer - Herstel van kwetsbaarheden
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Defender for Cloud Recommendations Tracking
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 2.1.25
Monitort en tracked Defender for Cloud recommendations.
.NOTES
Filename: defender-recommendations-tracked.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 2.1.25
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Security
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Defender Recommendations Tracking"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
$result = @{ TotalSubscriptions = $subscriptions.Count; TotalRecommendations = 0; HighSeverity = 0; MediumSeverity = 0 }
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
$recommendations = Get-AzSecurityRecommendation -ErrorAction SilentlyContinue
if ($recommendations) {
$result.TotalRecommendations += $recommendations.Count
$result.HighSeverity += ($recommendations | Where-Object { $_.RecommendationSeverity -eq 'High' }).Count
$result.MediumSeverity += ($recommendations | Where-Object { $_.RecommendationSeverity -eq 'Medium' }).Count
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Recommendations: $($r.TotalRecommendations)" -ForegroundColor White
Write-Host "High Severity: $($r.HighSeverity)" -ForegroundColor $(if ($r.HighSeverity -gt 0) { 'Red' } else { 'Green' })
Write-Host "Medium Severity: $($r.MediumSeverity)" -ForegroundColor $(if ($r.MediumSeverity -gt 0) { 'Yellow' } else { 'Green' })
if ($r.HighSeverity -gt 0) {
Write-Host "`n⚠️ Action required: Address $($r.HighSeverity) high-severity recommendations" -ForegroundColor Red
}
}
else {
$r = Test-Compliance
Write-Host "`nDefender Recommendations: $($r.TotalRecommendations) total, $($r.HighSeverity) high-severity"
}
}
catch {
Write-Error $_
exit 1
}
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Recommendations: $($r.TotalRecommendations)" -ForegroundColor White
Write-Host "High Severity: $($r.HighSeverity)" -ForegroundColor $(if ($r.HighSeverity -gt 0) { 'Red' } else { 'Green' })
Write-Host "Medium Severity: $($r.MediumSeverity)" -ForegroundColor $(if ($r.MediumSeverity -gt 0) { 'Yellow' } else { 'Green' })
if ($r.HighSeverity -gt 0) {
Write-Host "`n⚠️ Action required: Address $($r.HighSeverity) high-severity recommendations" -ForegroundColor Red
}
}
else {
$r = Test-Compliance
Write-Host "`nDefender Recommendations: $($r.TotalRecommendations) total, $($r.HighSeverity) high-severity"
}
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder systematische Defender-aanbeveling tracking blijven beveiligingslekken onopgelost. Bevindingen met hoge ernst blijven open, Secure Score verbetert niet, compliance-audits falen, management heeft geen inzicht. Onopgeloste aanbevelingen zijn uitbuitbare zwakheden die tot vermijdbare inbreuken kunnen leiden. Het risico is hoog voor alle omgevingen, kritiek voor compliance-gedreven organisaties. CIS 2.1.25 vereist aanbeveling governance.
Management Samenvatting
Defender-aanbeveling Tracking implementeert: Wekelijkse review van aanbevelingen met hoge ernst, Herstel SLA's (Hoog: 7 dagen, Medium: 30 dagen), Voortgangsdashboards voor management, Verantwoordelijkheidstoewijzing per aanbeveling. Proces: Wekelijkse meetings beveiligingsteam, Prioritering op basis van ernst en bedrijfsimpact, Volg herstelvoltooiingspercentages, Executive rapportage. Verplicht CIS 2.1.25. Implementatie: 8-12 uur procesopzet. Doorlopend: 0,5 FTE (20 uur/maand) voor coördinatie. Essentieel voor volwassen beveiligingsoperaties.
- Implementatietijd: 12 uur
- FTE required: 0.1 FTE