L2 BIO 12.06 ISO A.12.6.1 CIS 2.1.19

Kwetsbaarheidsbeoordeling Voor Machines Ingeschakeld

📅 2025-10-29
⏱️ 6 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Kwetsbaarheidsbeoordeling moet ingeschakeld zijn op alle virtuele machines voor de detectie van softwarekwetsbaarheden en ontbrekende beveiligingsupdates.

Aanbeveling
IMPLEMENTEER VIA DEFENDER VOOR SERVERS
Risico zonder
Critical
Risk Score
9/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Azure

Niet-gepatchte kwetsbaarheden vormen een veelvoorkomend toegangspunt voor cyberaanvallen. Kwetsbaarheidsbeoordeling detecteert bekende kwetsbaarheden (CVEs) en ontbrekende beveiligingsupdates, waardoor tijdige herstelmaatregelen mogelijk worden.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle verifieert of Microsoft Defender voor servers is ingeschakeld, wat kwetsbaarheidsbeoordeling omvat. Het systeem scant virtuele machines op bekende kwetsbaarheden en genereert concrete aanbevelingen voor herstelmaatregelen.

Vereisten

Voor de implementatie en het beheer van kwetsbaarheidsbeoordeling op virtuele machines in Azure zijn specifieke technische en organisatorische vereisten noodzakelijk. Deze vereisten zorgen ervoor dat de beveiligingscontroles effectief kunnen worden geconfigureerd, gemonitord en onderhouden. Het niet naleven van deze vereisten kan resulteren in onvolledige beveiligingsdekking, waardoor organisaties kwetsbaar blijven voor bekende bedreigingen die hadden kunnen worden voorkomen. De primaire technische vereiste betreft de Azure-abonnementstoegang. Organisaties moeten beschikken over een actief Azure-abonnement met eigenaarsrechten (Owner) op het betreffende abonnement. Deze rechten zijn essentieel omdat de configuratie van Microsoft Defender voor servers en de bijbehorende kwetsbaarheidsbeoordeling wijzigingen vereist op abonnementsniveau. Eigenaarsrechten maken het mogelijk om beveiligingsinstellingen te wijzigen, monitoring in te stellen en herstelmaatregelen uit te voeren zonder beperkingen. Het gebruik van beperkte rollen zoals Inzender of Beveiligingsbeheerder is onvoldoende, omdat deze rollen niet de benodigde machtigingen hebben om Defender-plannen te activeren of te wijzigen op abonnementsniveau. Voor de automatisering en het beheer van kwetsbaarheidsbeoordeling is PowerShell vereist. De minimale versie is PowerShell 5.1 of hoger, wat standaard beschikbaar is op moderne Windows-systemen. Voor Linux-omgevingen kan PowerShell Core worden gebruikt, wat cross-platform ondersteuning biedt. PowerShell vormt de basis voor alle geautomatiseerde controles en herstelacties die in dit kader worden uitgevoerd. Organisaties die werken met verouderde systemen moeten ervoor zorgen dat PowerShell wordt bijgewerkt naar een ondersteunde versie voordat zij beginnen met de implementatie van kwetsbaarheidsbeoordeling. Naast de PowerShell-runtime zijn specifieke Azure PowerShell-modules noodzakelijk. De module Az.Accounts vormt de basis voor alle Azure-gerelateerde operaties en biedt authenticatiefunctionaliteit. Deze module is vereist voor het opzetten van verbindingen met Azure-abonnementen en het beheren van authenticatiecontexten. De module Az.Security bevat alle cmdlets die specifiek gericht zijn op Azure Security Center en Microsoft Defender voor Cloud functionaliteit, inclusief de configuratie en monitoring van kwetsbaarheidsbeoordeling. Organisaties moeten ervoor zorgen dat deze modules regelmatig worden bijgewerkt naar de nieuwste versies om toegang te hebben tot de meest recente functionaliteiten en beveiligingspatches. Het installeren van modules kan worden gedaan via de Install-Module cmdlet, waarbij organisaties moeten letten op compatibiliteit tussen verschillende moduleversies. De meest kritieke vereiste is dat Microsoft Defender voor servers moet zijn ingeschakeld op het Azure-abonnement. Kwetsbaarheidsbeoordeling is een geïntegreerd onderdeel van Microsoft Defender voor servers en kan niet afzonderlijk worden geactiveerd. Defender voor servers biedt uitgebreide beveiligingsmogelijkheden, waaronder endpoint detection and response (EDR), adaptieve toepassingscontroles, netwerkbeveiligingsaanbevelingen en dus kwetsbaarheidsbeoordeling. Organisaties moeten ervoor zorgen dat Defender voor servers is geactiveerd op het abonnementsniveau voordat kwetsbaarheidsbeoordeling kan worden gebruikt. Het activeren van Defender voor servers is een eenmalige actie die automatisch alle bijbehorende functionaliteiten inschakelt, inclusief kwetsbaarheidsbeoordeling, zonder dat aanvullende configuratiestappen nodig zijn. Naast deze technische vereisten zijn er ook organisatorische overwegingen. IT-beheerders moeten voldoende kennis hebben van Azure-beveiligingsconcepten en kwetsbaarheidsbeheer. Het is raadzaam om een gestructureerde aanpak te volgen waarbij eerst de vereisten worden gecontroleerd, vervolgens de configuratie wordt uitgevoerd, en ten slotte continue monitoring wordt ingesteld. Organisaties moeten ook rekening houden met de kosten die verbonden zijn aan Microsoft Defender voor servers, aangezien dit een betaalde service is die per virtuele machine wordt gefactureerd. De kosten variëren afhankelijk van het gekozen plan, waarbij Plan 2 de volledige functionaliteit biedt inclusief kwetsbaarheidsbeoordeling. Organisaties moeten een kosten-batenanalyse uitvoeren om te bepalen of de investering gerechtvaardigd is gezien de beveiligingsrisico's die worden gemitigeerd. Daarnaast moeten organisaties rekening houden met de operationele overhead die gepaard gaat met het beheren van kwetsbaarheidsbeoordeling, inclusief het analyseren van scanresultaten, het prioriteren van herstelacties en het documenteren van genomen maatregelen voor compliance-doeleinden.

Monitoring

Continue monitoring van kwetsbaarheidsbeoordeling is essentieel om te garanderen dat alle virtuele machines regelmatig worden gescand op bekende kwetsbaarheden en ontbrekende beveiligingsupdates. Monitoring stelt organisaties in staat om proactief te reageren op beveiligingsrisico's voordat deze kunnen worden uitgebuit door aanvallers. Zonder adequate monitoring kunnen organisaties onbewust blijven van kritieke kwetsbaarheden die in hun omgeving aanwezig zijn, wat kan leiden tot succesvolle cyberaanvallen en datalekken. Het implementeren van een robuust monitoringproces is daarom niet alleen een best practice, maar ook een compliance-vereiste voor veel beveiligingsframeworks. Het monitoringproces begint met het verifiëren van de status van Microsoft Defender voor servers op het Azure-abonnement. Dit kan worden uitgevoerd via het Azure Portal, waar de status van Defender-plannen zichtbaar is, of via geautomatiseerde PowerShell-scripts die regelmatig de configuratie controleren. De monitoringfunctie controleert of Defender voor servers actief is en of kwetsbaarheidsbeoordeling daadwerkelijk wordt uitgevoerd op alle virtuele machines. Organisaties moeten ervoor zorgen dat deze verificatie regelmatig plaatsvindt, idealiter dagelijks, om snel te kunnen reageren op eventuele configuratiewijzigingen die de beveiligingsdekking kunnen beïnvloeden. Het gebruik van geautomatiseerde scripts voorkomt menselijke fouten en zorgt voor consistente monitoring zonder dat beheerders handmatig elke virtuele machine hoeven te controleren. Een belangrijk aspect van monitoring is het bijhouden van de scanresultaten. Microsoft Defender voor servers voert automatisch wekelijkse kwetsbaarheidsscans uit op alle virtuele machines waarop de service is ingeschakeld. Deze scans identificeren bekende kwetsbaarheden in besturingssystemen en geïnstalleerde software, waarbij gebruik wordt gemaakt van uitgebreide databases met Common Vulnerabilities and Exposures (CVE) informatie. De resultaten worden gepresenteerd in Azure Security Center, waar beveiligingsbeheerders een overzicht krijgen van alle gevonden kwetsbaarheden, gesorteerd op ernst en impact. Organisaties moeten deze resultaten regelmatig analyseren om trends te identificeren, zoals een toename van specifieke kwetsbaarheidstypen of virtuele machines die consistent kwetsbaarheden vertonen. Deze analyse helpt organisaties om hun patch management proces te verbeteren en prioriteiten te stellen voor herstelacties. De monitoringoplossing moet ook controleren of nieuwe virtuele machines automatisch worden opgenomen in het kwetsbaarheidsbeoordelingsproces. Wanneer organisaties nieuwe virtuele machines deployen, moeten deze automatisch worden beschermd door Microsoft Defender voor servers, waardoor continue beveiligingsdekking wordt gegarandeerd. Monitoring scripts kunnen deze automatische inschakeling verifiëren en waarschuwingen genereren wanneer virtuele machines niet worden beschermd. Dit is vooral belangrijk in dynamische cloudomgevingen waar virtuele machines regelmatig worden aangemaakt en verwijderd. Organisaties moeten ervoor zorgen dat hun monitoringoplossing real-time detectie biedt van nieuwe virtuele machines, zodat eventuele configuratiefouten snel kunnen worden geïdentificeerd en gecorrigeerd voordat deze machines in productie worden gebruikt. Voor effectieve monitoring is het raadzaam om geautomatiseerde controles in te stellen die regelmatig worden uitgevoerd, bijvoorbeeld dagelijks of wekelijks. Deze controles kunnen worden geïntegreerd in bestaande monitoring- en alerting-systemen, waardoor beveiligingsteams direct worden geïnformeerd wanneer er problemen worden gedetecteerd. De monitoringoplossing moet ook historische trends bijhouden, zodat organisaties kunnen zien of het aantal kwetsbaarheden toeneemt of afneemt over tijd. Deze trendanalyse is waardevol voor het meten van de effectiviteit van beveiligingsmaatregelen en het identificeren van gebieden waar aanvullende aandacht nodig is. Organisaties kunnen deze gegevens ook gebruiken voor rapportage aan management en auditors, waarbij zij kunnen aantonen dat zij proactief werken aan het verbeteren van hun beveiligingspostuur. Het PowerShell-script voor monitoring, beschikbaar via de functie Invoke-Monitoring, biedt een geautomatiseerde manier om de status van kwetsbaarheidsbeoordeling te controleren. Dit script verbindt met Azure, verifieert de Defender-configuratie, en rapporteert de status van alle virtuele machines. De resultaten kunnen worden geëxporteerd naar verschillende formaten voor verdere analyse of rapportage aan management en auditors. Organisaties kunnen dit script integreren in hun bestaande monitoring-infrastructuur, bijvoorbeeld door het uit te voeren via Azure Automation of door het te koppelen aan hun Security Information and Event Management (SIEM) systeem. Deze integratie zorgt ervoor dat kwetsbaarheidsbeoordeling een onderdeel wordt van het algehele beveiligingsmonitoringproces, waardoor organisaties een holistisch beeld krijgen van hun beveiligingsstatus.

Gebruik PowerShell-script vulnerability-assessment-machines-on.ps1 (functie Invoke-Monitoring) – Geautomatiseerde controle van kwetsbaarheidsbeoordeling status.

Remediatie

Wanneer monitoring aangeeft dat kwetsbaarheidsbeoordeling niet is ingeschakeld op virtuele machines, moeten organisaties direct herstelmaatregelen nemen om de beveiligingsdekking te herstellen. Remediatie omvat het activeren van Microsoft Defender voor servers op het Azure-abonnement, waardoor kwetsbaarheidsbeoordeling automatisch beschikbaar komt voor alle virtuele machines. Het uitstellen van remediatie kan organisaties blootstellen aan bekende kwetsbaarheden die door aanvallers kunnen worden uitgebuit, wat kan leiden tot datalekken, serviceonderbrekingen en compliance-schendingen. Daarom is het van cruciaal belang dat organisaties een gestructureerd remediatieproces hebben dat snel kan worden uitgevoerd wanneer problemen worden gedetecteerd. De remediatieprocedure begint met het verifiëren van de huidige status van Microsoft Defender voor servers. Organisaties moeten controleren of Defender voor servers al gedeeltelijk is geactiveerd of volledig ontbreekt. In sommige gevallen kan Defender voor servers zijn ingeschakeld op abonnementsniveau, maar niet op specifieke virtuele machines. In andere gevallen moet Defender voor servers volledig worden geactiveerd vanaf het begin. Deze verificatie is belangrijk omdat verschillende scenario's verschillende remediatiestappen vereisen. Organisaties moeten ook controleren of er eventuele factureringsproblemen zijn die kunnen voorkomen dat Defender voor servers wordt geactiveerd, zoals onvoldoende Azure-credits of factureringsbeperkingen op het abonnement. De primaire remediatiemethode is het uitvoeren van het PowerShell-script dat specifiek is ontworpen voor het inschakelen van Microsoft Defender voor servers. Dit script, beschikbaar via de functie Invoke-Remediation, configureert automatisch alle benodigde instellingen op abonnementsniveau. Het script zorgt ervoor dat Defender voor servers wordt geactiveerd, wat automatisch kwetsbaarheidsbeoordeling inschakelt als onderdeel van de service. Organisaties kunnen ook gebruik maken van het gerelateerde script defender-for-servers-enabled.ps1 met de parameter -Remediation om deze functionaliteit te activeren. Voordat het script wordt uitgevoerd, moeten organisaties ervoor zorgen dat alle vereisten zijn vervuld, inclusief de benodigde PowerShell-modules en de juiste Azure-machtigingen. Het script moet worden uitgevoerd in een testomgeving voordat het in productie wordt gebruikt, om te verifiëren dat het correct werkt en geen onbedoelde gevolgen heeft. Na het uitvoeren van de remediatie moet worden geverifieerd dat de configuratie correct is toegepast. Dit kan worden gedaan door de monitoringfunctie opnieuw uit te voeren, die moet bevestigen dat kwetsbaarheidsbeoordeling nu actief is. Organisaties moeten ook controleren of alle virtuele machines daadwerkelijk worden gescand, aangezien er soms een vertraging kan optreden tussen het activeren van de service en het starten van de eerste scans. Deze vertraging kan variëren van enkele uren tot een dag, afhankelijk van de grootte van de omgeving en de belasting van de Azure-infrastructuur. Organisaties moeten geduld hebben en de status regelmatig controleren voordat zij concluderen dat de remediatie niet succesvol is geweest. Het is belangrijk om te begrijpen dat kwetsbaarheidsbeoordeling een geïntegreerd onderdeel is van Microsoft Defender voor servers en niet afzonderlijk kan worden geactiveerd. Wanneer organisaties Defender voor servers inschakelen, krijgen zij automatisch toegang tot alle bijbehorende functionaliteiten, inclusief kwetsbaarheidsbeoordeling, endpoint detection and response, en adaptieve toepassingscontroles. Deze geïntegreerde aanpak zorgt voor een complete beveiligingsoplossing zonder dat organisaties individuele componenten hoeven te configureren. Organisaties moeten zich bewust zijn van de kosten die verbonden zijn aan Defender voor servers, aangezien dit een betaalde service is. De kosten worden gefactureerd per virtuele machine per maand, wat betekent dat organisaties met grote omgevingen aanzienlijke kosten kunnen verwachten. Het is raadzaam om een kostenraming uit te voeren voordat de remediatie wordt uitgevoerd, zodat organisaties voorbereid zijn op de financiële impact. Na succesvolle remediatie moeten organisaties een proces opzetten om te voorkomen dat de configuratie in de toekomst wordt gewijzigd. Dit kan worden bereikt door het implementeren van Azure Policy-definities die ervoor zorgen dat Defender voor servers altijd ingeschakeld blijft, of door regelmatige geautomatiseerde controles die waarschuwingen genereren wanneer de configuratie wordt gewijzigd. Continue monitoring na remediatie is essentieel om te garanderen dat de beveiligingsdekking behouden blijft. Organisaties moeten ook een change management proces implementeren dat ervoor zorgt dat wijzigingen aan de Defender-configuratie worden gereviewd en goedgekeurd voordat zij worden doorgevoerd. Dit voorkomt dat onbedoelde wijzigingen de beveiligingsdekking compromitteren en zorgt ervoor dat alle configuratiewijzigingen worden gedocumenteerd voor audit-doeleinden.

Gebruik PowerShell-script vulnerability-assessment-machines-on.ps1 (functie Invoke-Remediation) – Automatische activering van kwetsbaarheidsbeoordeling via Defender voor servers.

Compliance en Auditing

Kwetsbaarheidsbeoordeling op virtuele machines is een kritieke beveiligingscontrole die vereist is door meerdere internationale en Nederlandse compliance-frameworks. Organisaties die opereren in de publieke sector of kritieke infrastructuur moeten kunnen aantonen dat zij proactief kwetsbaarheden identificeren en beheren, wat alleen mogelijk is met geautomatiseerde kwetsbaarheidsbeoordeling. Het niet implementeren van kwetsbaarheidsbeoordeling kan leiden tot het niet voldoen aan compliance-eisen, wat kan resulteren in boetes, reputatieschade en het verlies van certificeringen. Daarom is het van essentieel belang dat organisaties kwetsbaarheidsbeoordeling beschouwen als een fundamentele beveiligingscontrole die niet kan worden overgeslagen. Het CIS Azure Benchmark versie 3.0.0 bevat specifieke controle 2.1.19, die expliciet vereist dat kwetsbaarheidsbeoordeling is ingeschakeld op alle virtuele machines. De CIS (Center for Internet Security) benchmarks worden wereldwijd erkend als best practices voor cloudbeveiliging en worden vaak gebruikt als basis voor compliance-audits. Controle 2.1.19 valt onder het niveau 2 (L2) van de CIS-controles, wat betekent dat deze wordt aanbevolen voor organisaties met verhoogde beveiligingsvereisten. Voor Nederlandse overheidsorganisaties is naleving van CIS-controles vaak een vereiste voor het verkrijgen van beveiligingscertificeringen. Organisaties die niet voldoen aan deze controle kunnen problemen ondervinden bij het verkrijgen of behouden van hun beveiligingscertificeringen, wat kan leiden tot het verlies van contracten of het niet kunnen werken met bepaalde partners. De BIO (Baseline Informatiebeveiliging Overheid) is het Nederlandse beveiligingskader voor overheidsorganisaties en bevat specifieke eisen voor kwetsbaarheidsbeheer. Thema 12.06 van de BIO richt zich op het beheer van technische kwetsbaarheden en vereist dat organisaties een gestructureerd proces hebben voor het identificeren, beoordelen en herstellen van kwetsbaarheden. Kwetsbaarheidsbeoordeling via Microsoft Defender voor servers voldoet aan deze eis door automatische detectie en rapportage van kwetsbaarheden te bieden. Organisaties moeten kunnen aantonen dat zij regelmatig scans uitvoeren en dat gevonden kwetsbaarheden worden gedocumenteerd en aangepakt. Het niet voldoen aan BIO-eisen kan leiden tot het niet verkrijgen van een BIO-certificering, wat voor veel overheidsorganisaties een vereiste is voor het kunnen werken met gevoelige informatie. ISO 27001:2022 is de internationale standaard voor informatiebeveiligingsmanagementsystemen en bevat controle A.8.8, die betrekking heeft op het beheer van technische kwetsbaarheden. Deze controle vereist dat organisaties informatie verkrijgen over technische kwetsbaarheden, de risico's beoordelen die deze kwetsbaarheden vormen, en passende maatregelen nemen om deze te adresseren. Kwetsbaarheidsbeoordeling via Microsoft Defender voor servers biedt een gestructureerde aanpak voor het voldoen aan deze controle, door continue monitoring en automatische rapportage van kwetsbaarheden. Organisaties die ISO 27001 gecertificeerd willen worden of blijven, moeten kunnen aantonen dat zij een effectief kwetsbaarheidsbeheerproces hebben, waarbij kwetsbaarheidsbeoordeling een essentieel onderdeel is. De NIS2-richtlijn (Network and Information Systems Directive 2) is Europese wetgeving die van toepassing is op organisaties die opereren in kritieke sectoren. Artikel 21 van de NIS2-richtlijn bevat specifieke eisen voor kwetsbaarheidsbeheer en vereist dat organisaties passende technische en organisatorische maatregelen nemen om kwetsbaarheden te identificeren en te beheren. Nederlandse organisaties die onder de NIS2-richtlijn vallen, moeten kunnen aantonen dat zij geautomatiseerde kwetsbaarheidsbeoordeling uitvoeren en dat zij een proces hebben voor het prioriteren en herstellen van gevonden kwetsbaarheden. Het niet voldoen aan NIS2-eisen kan leiden tot aanzienlijke boetes en het verlies van het recht om te opereren in kritieke sectoren, wat voor veel organisaties een existentiële bedreiging zou vormen. Voor compliance-audits moeten organisaties bewijs kunnen overleggen dat kwetsbaarheidsbeoordeling daadwerkelijk wordt uitgevoerd. Dit bewijs omvat typisch de status van Microsoft Defender voor servers, historische scanresultaten, en documentatie van herstelacties die zijn ondernomen op basis van gevonden kwetsbaarheden. Organisaties moeten ook kunnen aantonen dat zij een gestructureerd proces hebben voor het beoordelen van de ernst van kwetsbaarheden en het prioriteren van herstelacties. Microsoft Defender voor servers biedt uitgebreide rapportagefunctionaliteiten die kunnen worden gebruikt om deze auditbewijzen te genereren. Deze rapporten moeten regelmatig worden bijgewerkt en bewaard voor de vereiste bewaartermijn, die voor veel frameworks minimaal zeven jaar is. Naast deze specifieke compliance-eisen is kwetsbaarheidsbeoordeling ook een best practice die wordt aanbevolen door andere beveiligingsframeworks, zoals de NIST Cybersecurity Framework en de Cloud Security Alliance (CSA) Cloud Controls Matrix. Organisaties die streven naar een hoge mate van beveiligingsvolwassenheid moeten kwetsbaarheidsbeoordeling beschouwen als een fundamentele beveiligingscontrole die niet kan worden overgeslagen. Het implementeren van kwetsbaarheidsbeoordeling is niet alleen een compliance-vereiste, maar ook een praktische maatregel die organisaties helpt om hun beveiligingspostuur te verbeteren en risico's te mitigeren voordat deze kunnen worden uitgebuit door aanvallers.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Vulnerability Assessment for Machines Enabled .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.19 Controleert of vulnerability assessment is enabled voor virtual machines. .NOTES Filename: vulnerability-assessment-machines-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/vulnerability-assessment-machines-on.json CIS Control: 2.1.19 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Vulnerability Assessment for Machines" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "vulnerability-assessment-machines-on" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n?? Vulnerability assessment uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue if ($pricing -and $pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ $result.Details += "? '$($sub.Name)': Vulnerability assessment enabled (via Defender for Servers)" } else { $result.NonCompliantCount++ $result.Details += "? '$($sub.Name)': Vulnerability assessment NIET enabled" $result.Recommendations += "Enable Defender for Servers voor '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) if ($result.NonCompliantCount -gt 0) { $result.Recommendations += "Vulnerability assessment wordt meegeleverd met Defender for Servers" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n?? Vulnerability assessment uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Write-Host "`n?? Vulnerability assessment vereist Defender for Servers" -ForegroundColor Yellow Write-Host " Run: defender-for-servers-enabled.ps1 -Remediation" -ForegroundColor Gray } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: ? COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: ? NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder kwetsbaarheidsbeoordeling blijven kwetsbaarheden in besturingssystemen en software onopgemerkt. Aanvallers kunnen bekende kwetsbaarheden uitbuiten zonder dat organisaties hier zicht op hebben. Compliance-eisen worden niet nageleefd: CIS 2.1.19, BIO 12.06, NIS2. Het risico is hoog voor virtuele machines omdat kwetsbaarheden universeel voorkomen.

Management Samenvatting

Kwetsbaarheidsbeoordeling voor virtuele machines is inbegrepen in Microsoft Defender voor servers Plan 2: wekelijkse kwetsbaarheidsscans, detectie van kwetsbaarheden in besturingssystemen en software, en concrete aanbevelingen voor herstel. Activatie gebeurt automatisch bij het inschakelen van Defender voor servers Plan 2. Kosten: inbegrepen in €12 per virtuele machine per maand. Verplicht volgens CIS 2.1.19. Verplicht voor productie-virtuele machines.