L1 BIO 11.01 ISO A.12.6.1 CIS 2.1.19

Vulnerability Assessment In Azure Defender Voor Cloud

📅 2025-01-17
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Vulnerability Assessment vormt een fundamentele pijler van proactief beveiligingsbeheer binnen Azure-omgevingen en is essentieel voor Nederlandse overheidsorganisaties die moeten voldoen aan compliance-vereisten zoals de Baseline Informatiebeveiliging Overheid (BIO), de NIS2-richtlijn en internationale standaarden zoals ISO 27001. Door systematische scanning en identificatie van beveiligingskwetsbaarheden kunnen organisaties hun aanvalsoppervlak verkleinen, prioritering aanbrengen in patchmanagement en aantoonbaar voldoen aan wettelijke verplichtingen voor kwetsbaarheidsbeheer. Zonder uitgebreide vulnerability assessment blijven bekende kwetsbaarheden onopgemerkt en vormen zij een permanent beveiligingsrisico dat kan worden misbruikt door aanvallers om toegang te krijgen tot systemen en gegevens.

Aanbeveling
IMPLEMENTEREN
Risico zonder
Critical
Risk Score
9/10
Implementatie
12u (tech: 8u)
Van toepassing op:
Azure
Azure-abonnementen
Virtuele machines
Containers
SQL-databases
Container-registry's

Vulnerability Assessment is essentieel omdat het organisaties in staat stelt om proactief beveiligingskwetsbaarheden te identificeren voordat zij kunnen worden misbruikt door aanvallers. Zonder systematische scanning beschikken organisaties niet over inzicht in welke systemen kwetsbaar zijn voor bekende Common Vulnerabilities and Exposures (CVE's), welke beveiligingsupdates ontbreken, welke misconfiguraties bestaan en welke compliance-hiaten aanwezig zijn. Deze blinde vlekken creëren aanzienlijke beveiligingsrisico's omdat aanvallers vaak gebruik maken van bekende kwetsbaarheden die al patches hebben, maar die organisaties nog niet hebben toegepast. Voor Nederlandse overheidsorganisaties is het ontbreken van vulnerability assessment extra problematisch omdat toezichthouders zoals de Autoriteit Consument en Markt (ACM) bij NIS2-audits verwachten dat organisaties kunnen aantonen hoe zij kwetsbaarheden identificeren, monitoren en verhelpen. De BIO vereist in thema 12.06 expliciet dat organisaties kwetsbaarheden beheren en monitoren, wat zonder systematische assessment niet aantoonbaar is. Daarnaast maakt het ontbreken van vulnerability assessment het onmogelijk om trends te identificeren, zoals nieuwe kwetsbaarheden die worden geïntroduceerd door software-updates, of kwetsbaarheden die worden opgelost door patchmanagement-inspanningen. Vulnerability Assessment biedt daarentegen continue scanning van virtuele machines, containers, databases en andere Azure-resources op bekende kwetsbaarheden, automatische prioritering op basis van ernst en exploitability, concrete remediatie-aanbevelingen met stapsgewijze instructies, compliance-rapportage voor frameworks zoals PCI-DSS, ISO 27001 en CIS, en integratie met patchmanagement-systemen voor geautomatiseerde remediatie.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze best practice beschrijft het proces voor het implementeren en beheren van Vulnerability Assessment binnen Azure Defender voor Cloud voor verschillende resource-typen, inclusief virtuele machines, containers, SQL-databases en container-registry's. Vulnerability Assessment in Azure Defender voor Cloud omvat meerdere gespecialiseerde scanners die elk zijn geoptimaliseerd voor specifieke resource-typen: Microsoft Defender Vulnerability Management voor virtuele machines die CVE's detecteert in besturingssystemen en geïnstalleerde software, Microsoft Defender voor Containers die container-images scant op kwetsbaarheden voordat zij worden geïmplementeerd, SQL Vulnerability Assessment die databases scant op misconfiguraties en compliance-hiaten, en Azure Container Registry scanning die automatisch images scant op kwetsbaarheden tijdens push-operaties. Het proces omvat het inschakelen van de juiste Defender-plannen per resource-type, het configureren van automatische scanning, het reviewen van scanresultaten en prioritering van bevindingen, het implementeren van remediatie voor hoog-ernstige kwetsbaarheden, en het opzetten van continue monitoring en rapportage voor compliance-doeleinden. De best practice bevat richtlijnen voor het integreren van vulnerability assessment met bestaande security operations, het configureren van alerts voor nieuwe kritieke kwetsbaarheden, het opzetten van workflows voor automatische remediatie waar mogelijk, en het genereren van executive-rapportages die aantonen hoe organisaties hun kwetsbaarheidsbeheerproces continu verbeteren.

Vereisten en Voorbereiding

Voor het succesvol implementeren van Vulnerability Assessment binnen Azure Defender voor Cloud moeten organisaties voldoen aan verschillende technische, licentie- en organisatorische vereisten die essentieel zijn voor een effectieve kwetsbaarheidsbeheer-oplossing. Deze vereisten vormen de fundamentele basis waarop de assessment wordt gebouwd en zijn cruciaal om ervoor te zorgen dat de implementatie succesvol verloopt en dat organisaties betrouwbare data verzamelen voor risicobeoordeling en compliance-rapportage.

De primaire technische vereiste is dat Microsoft Defender voor Cloud actief is ingeschakeld op alle relevante Azure-abonnementen waarvan de resources moeten worden gescand. Defender voor Cloud vormt het centrale platform voor alle vulnerability assessment-functionaliteit en zonder deze service is het onmogelijk om kwetsbaarheden te scannen. Organisaties moeten ervoor zorgen dat Defender voor Cloud is ingeschakeld op zowel productie- als niet-productieomgevingen, hoewel de prioriteit uiteraard ligt bij productieomgevingen waar de beveiligingsrisico's het grootst zijn. Het is belangrijk om te verifiëren dat Defender voor Cloud daadwerkelijk actief is en dat er geen configuratiewaarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de service die de scanning beïnvloeden.

Voor virtuele machines is Microsoft Defender voor Servers vereist, wat automatisch vulnerability assessment-functionaliteit biedt via Microsoft Defender Vulnerability Management. Deze service scant virtuele machines op bekende CVE's in besturingssystemen en geïnstalleerde software, identificeert ontbrekende beveiligingsupdates, en genereert concrete aanbevelingen voor remediatie. Defender voor Servers moet worden geactiveerd op abonnementsniveau en vereist de Standard pricing tier (niet de Free tier) om volledige vulnerability assessment-functionaliteit te bieden. Voor organisaties met bestaande virtuele machines moet de Log Analytics-agent of Azure Monitor-agent worden geïnstalleerd op alle VM's die moeten worden gescand, omdat deze agents de scanning-data verzamelen en naar Defender voor Cloud sturen.

Voor containers en container-registry's is Microsoft Defender voor Containers vereist, wat automatische scanning biedt van container-images op kwetsbaarheden. Deze service scant images in Azure Container Registry (ACR) automatisch wanneer images worden gepusht, identificeert bekende CVE's in base images en applicatie-afhankelijkheden, en blokkeert kwetsbare images indien gewenst voordat zij worden geïmplementeerd. Defender voor Containers moet worden geactiveerd op abonnementsniveau en integreert naadloos met Azure Kubernetes Service (AKS) clusters voor runtime-beveiliging. Voor organisaties die ACR gebruiken, moet de registry worden gekoppeld aan Defender voor Cloud, wat automatisch gebeurt wanneer Defender voor Containers wordt geactiveerd.

Voor SQL-databases is Microsoft Defender voor SQL vereist, wat SQL Vulnerability Assessment biedt die databases scant op beveiligingsmisconfiguraties, zwakke wachtwoordbeleid, ontbrekende versleuteling en compliance-hiaten. SQL Vulnerability Assessment is geen standalone service maar werkt automatisch als onderdeel van Defender voor SQL. Deze service voert wekelijks automatische scans uit zonder handmatige interventie en genereert gedetailleerde rapporten met ernstclassificaties voor elke bevinding. Defender voor SQL moet worden geactiveerd op abonnementsniveau en vereist een Azure Storage Account voor het opslaan van scanresultaten.

Voor de automatisering van monitoring en rapportage is PowerShell versie 5.1 of hoger vereist, of PowerShell Core versie 7.0 of hoger voor cross-platform compatibiliteit. PowerShell vormt de basis voor het uitvoeren van scripts die vulnerability assessment-status controleren, scanresultaten ophalen en compliance-rapportages genereren. Specifieke PowerShell-modules zijn essentieel: de Az.Accounts module verzorgt de authenticatie en verbinding met Azure, terwijl de Az.Security module de specifieke cmdlets bevat voor het werken met Defender voor Cloud en vulnerability assessment-gegevens. Deze modules moeten geïnstalleerd zijn op alle systemen waar monitoring scripts worden uitgevoerd, inclusief CI/CD pipelines, Azure Automation runbooks en geautomatiseerde rapportagesystemen.

Vanuit een beveiligingsperspectief is minimaal de Security Reader rol vereist op de Azure-abonnementen die moeten worden gemonitord. Deze rol biedt leestoegang tot beveiligingsgegevens zonder de mogelijkheid om configuraties te wijzigen, wat ideaal is voor monitoring doeleinden. Voor organisaties die monitoring willen automatiseren via service principals of managed identities, moet deze service principal de Security Reader rol hebben op alle relevante abonnementen of op management group niveau voor automatische overerving. Het is belangrijk om te werken volgens het principe van least privilege en alleen de minimale benodigde rechten toe te kennen voor monitoring doeleinden.

Naast technische vereisten is een gestructureerd proces voor kwetsbaarheidsbeheer cruciaal voor effectieve vulnerability assessment. Dit proces moet duidelijk definiëren wie verantwoordelijk is voor het reviewen van scanresultaten, hoe kwetsbaarheden worden geprioriteerd, welke acties worden ondernomen bij kritieke bevindingen, en hoe resultaten worden gecommuniceerd naar management en stakeholders. Zonder een dergelijk proces blijft vulnerability assessment ad-hoc en wordt de waarde van scanning niet volledig benut. Organisaties moeten ook afspraken maken over remediatie-sla's: hoog-ernstige kwetsbaarheden moeten binnen 48 uur worden verholpen, medium-ernstige binnen 30 dagen, en laag-ernstige kunnen worden toegevoegd aan de technische schuld backlog.

Implementatie

De implementatie van Vulnerability Assessment binnen Azure Defender voor Cloud vereist een gestructureerde aanpak die begint met het inschakelen van de juiste Defender-plannen per resource-type, gevolgd door configuratie van automatische scanning, validatie van scanresultaten, en tot slot de integratie met bestaande security operations en governance-processen. Het implementatieproces kan worden uitgevoerd via verschillende methoden, afhankelijk van de voorkeur en automatiseringvereisten van de organisatie, maar een geautomatiseerde aanpak wordt sterk aanbevolen om consistentie te waarborgen en de belasting op beheerders te minimaliseren.

De eerste stap in het implementatieproces is het inschakelen van de juiste Microsoft Defender-plannen voor elk resource-type dat moet worden gescand. Voor virtuele machines moet Microsoft Defender voor Servers worden geactiveerd op abonnementsniveau via de Azure Portal onder Microsoft Defender voor Cloud → Environment settings → Selecteer abonnement → Defender plans → Servers → Standard. Deze activering kan ook worden geautomatiseerd via PowerShell met behulp van de Set-AzSecurityPricing cmdlet uit de Az.Security module. Voor containers moet Microsoft Defender voor Containers worden geactiveerd op dezelfde manier, waarbij de Containers plan wordt ingesteld op Standard. Voor SQL-databases moet Microsoft Defender voor SQL worden geactiveerd, waarbij de SQL servers plan wordt ingesteld op Standard. Het is belangrijk om te verifiëren dat alle relevante plannen zijn geactiveerd voordat met scanning wordt begonnen, omdat zonder de juiste plannen geen vulnerability assessment-functionaliteit beschikbaar is.

Na het inschakelen van de Defender-plannen moet automatische scanning worden geconfigureerd voor elk resource-type. Voor virtuele machines gebeurt scanning automatisch zodra Defender voor Servers is geactiveerd en de Log Analytics-agent of Azure Monitor-agent is geïnstalleerd op de VM's. De eerste scan start binnen 24 uur na activering en wordt vervolgens wekelijks automatisch herhaald. Voor containers gebeurt scanning automatisch wanneer images worden gepusht naar Azure Container Registry, waarbij elke nieuwe image automatisch wordt gescand op kwetsbaarheden. Voor SQL-databases moet SQL Vulnerability Assessment worden geconfigureerd op SQL-serverniveau via de Azure Portal onder SQL Server → Security → Microsoft Defender for Cloud → Configure, waarbij een Azure Storage Account wordt geselecteerd voor het opslaan van scanresultaten. SQL Vulnerability Assessment voert vervolgens wekelijks automatische scans uit zonder handmatige interventie.

Na het configureren van automatische scanning is het belangrijk om de eerste scanresultaten te reviewen en te valideren dat scanning correct functioneert. Dit kan worden gedaan via de Azure Portal onder Microsoft Defender voor Cloud → Recommendations, waar alle vulnerability assessment-bevindingen worden getoond. De resultaten zijn georganiseerd per resource-type en ernstniveau, waarbij hoog-ernstige kwetsbaarheden zoals kritieke CVE's of ontbrekende beveiligingsupdates prioriteit krijgen. Het is essentieel om de eerste scanresultaten grondig te reviewen om te begrijpen welke kwetsbaarheden aanwezig zijn, welke resources het meest kwetsbaar zijn, en welke remediatie-inspanningen het hoogste prioriteit hebben. Voor virtuele machines toont het dashboard CVE's met hun CVSS-scores, ontbrekende beveiligingsupdates, en aanbevelingen voor patchmanagement. Voor containers toont het dashboard kwetsbare images met hun CVE-lijsten en aanbevelingen voor image-updates. Voor SQL-databases toont het dashboard beveiligingsmisconfiguraties, zwakke wachtwoordbeleid en compliance-hiaten.

Na het reviewen van de eerste scanresultaten moet een prioriteringsproces worden opgezet voor remediatie van geïdentificeerde kwetsbaarheden. Hoog-ernstige kwetsbaarheden met CVSS-scores van 9.0 of hoger moeten onmiddellijk worden verholpen (binnen 48 uur) omdat deze de grootste beveiligingsrisico's vormen en vaak actief worden misbruikt door aanvallers. Medium-ernstige kwetsbaarheden met CVSS-scores tussen 7.0 en 8.9 moeten binnen 30 dagen worden verholpen, terwijl laag-ernstige kwetsbaarheden kunnen worden toegevoegd aan de technische schuld backlog voor uiteindelijke opruiming. Voor veel kwetsbaarheden kan remediatie worden geautomatiseerd via Azure Automation, Update Management, of patchmanagement-systemen zoals Windows Update of Linux package managers. Voor virtuele machines kunnen ontbrekende beveiligingsupdates automatisch worden geïnstalleerd via Azure Update Management, wat geïntegreerd is met Defender voor Cloud. Voor containers kunnen kwetsbare images worden bijgewerkt met nieuwere base images die de kwetsbaarheden hebben verholpen. Voor SQL-databases kunnen beveiligingsmisconfiguraties worden verholpen via T-SQL-scripts die worden gegenereerd door SQL Vulnerability Assessment.

Tot slot moet vulnerability assessment worden geïntegreerd met bestaande security operations en governance-processen, zoals wekelijkse security stand-ups, maandelijkse CISO-rapportages, driemaandelijkse bestuursrapportages en jaarlijkse compliance-audits. Dit betekent dat rapportages moeten worden gegenereerd in formaten die passen bij deze processen, dat data beschikbaar moet zijn voor verschillende stakeholders, en dat er duidelijk afgesproken processen zijn voor het bespreken van kwetsbaarheidsbevindingen en het prioriteren van remediatie-inspanningen. Door deze integratie wordt vulnerability assessment een natuurlijk onderdeel van de organisatiecultuur in plaats van een losstaande activiteit. Organisaties moeten ook alerts configureren die worden geactiveerd wanneer nieuwe kritieke kwetsbaarheden worden gedetecteerd, zodat security teams direct kunnen worden geïnformeerd en actie kunnen ondernemen voordat de kwetsbaarheden kunnen worden misbruikt.

Monitoring en Verificatie

Gebruik PowerShell-script vulnerability-assessment.ps1 (functie Invoke-Monitoring) – Controleert de status van Vulnerability Assessment voor alle resource-typen en rapporteert kwetsbaarheden en compliance-status.

Effectieve monitoring van Vulnerability Assessment vereist een gestructureerde aanpak die zowel technische als organisatorische aspecten omvat. Het monitoringproces moet inzicht bieden in de huidige kwetsbaarheidsstatus, trends identificeren over tijd, en actiegerichte informatie leveren voor continue verbetering en compliance-rapportage.

Het primaire dashboard voor Vulnerability Assessment monitoring bevindt zich in Microsoft Defender voor Cloud, waar een overzicht wordt getoond van alle kwetsbaarheden per resource-type, ernstniveau en compliance-status. Dit dashboard biedt ook inzicht in trends over tijd, waarbij wordt getoond of het aantal kwetsbaarheden toeneemt of afneemt, en welke resources het meest kwetsbaar zijn. Organisaties moeten dit dashboard regelmatig raadplegen, bij voorkeur dagelijks voor productieomgevingen en wekelijks voor niet-productieomgevingen, maar moeten zich niet uitsluitend hierop verlaten voor diepgaande analyses. Voor geautomatiseerde monitoring en trendanalyse is het belangrijk om scripts te gebruiken die regelmatig de kwetsbaarheidsstatus ophalen en opslaan voor historische vergelijking.

Wekelijkse review van nieuwe kwetsbaarheden vormt een kritieke activiteit in het monitoringproces. Elke week verschijnen er nieuwe kwetsbaarheden op basis van nieuwe CVE's die worden gepubliceerd, nieuwe software die wordt geïnstalleerd, of updates in de beveiligingsstandaarden. Het beveiligingsteam moet wekelijks tijd reserveren om deze nieuwe kwetsbaarheden te evalueren, te prioriteren op basis van ernst en exploitability, en ze toe te wijzen aan de juiste resource-eigenaren voor remediatie. Deze wekelijkse review voorkomt dat kwetsbaarheden zich opstapelen en zorgt voor tijdige actie, wat essentieel is voor het handhaven van een goede beveiligingspostuur.

Maandelijkse kwetsbaarheidstrendinganalyse gaat verder dan het bekijken van de huidige status en onderzoekt patronen over tijd. Deze analyse identificeert of het aantal kwetsbaarheden stijgt, daalt of stabiel blijft, en probeert de onderliggende oorzaken te begrijpen. Een stijgende trend kan bijvoorbeeld wijzen op nieuwe software die wordt geïnstalleerd zonder beveiligingsreview, wijzigingen in patchmanagement-processen, of nieuwe CVE's die worden gepubliceerd. Door deze trends te begrijpen, kunnen organisaties proactief actie ondernemen voordat het aantal kwetsbaarheden significant toeneemt. Maandelijkse trendanalyses moeten worden gedocumenteerd en gerapporteerd aan de CISO en andere relevante stakeholders, zodat zij op de hoogte blijven van de ontwikkeling van de kwetsbaarheidsstatus.

Driemaandelijkse executive reporting met jaar-op-jaar vergelijking biedt management inzicht in de langetermijnontwikkeling van de kwetsbaarheidsstatus. Deze rapporten moeten niet alleen de cijfers tonen, maar ook de context uitleggen: welke initiatieven hebben bijgedragen aan kwetsbaarheidsreductie, welke uitdagingen zijn tegengekomen, en wat zijn de plannen voor de komende periode. Jaar-op-jaar vergelijking helpt bij het demonstreren van vooruitgang en het rechtvaardigen van beveiligingsinvesteringen, wat essentieel is voor het verkrijgen van budgetgoedkeuring en het behouden van bestuurlijke steun voor beveiligingsinitiatieven.

Het stellen van concrete doelen is essentieel voor effectieve monitoring. Voor productieomgevingen wordt een doel gesteld van nul hoog-ernstige kwetsbaarheden (CVSS 9.0+) en minder dan tien medium-ernstige kwetsbaarheden (CVSS 7.0-8.9) per honderd resources. Voor ontwikkel- en testomgevingen kunnen iets hogere aantallen acceptabel zijn, gezien de lagere risico's en de behoefte aan flexibiliteit tijdens ontwikkeling. Deze doelen moeten realistisch zijn en rekening houden met de specifieke context van de organisatie, maar moeten ook ambitieus genoeg zijn om continue verbetering te stimuleren. Wanneer de kwetsbaarheidsstatus onder deze doelen daalt, moeten automatische alerts worden geactiveerd en moet er een gestructureerd proces zijn voor het prioriteren en uitvoeren van remediatie-inspanningen.

Compliance en Auditing

Vulnerability Assessment is niet alleen een maatstaf voor beveiligingspostuur, maar vormt ook een krachtig instrument voor het aantonen van naleving van verschillende compliance frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. De assessment is gebaseerd op internationale beveiligingsstandaarden en CVE-databases, waardoor organisaties kunnen aantonen dat zij voldoen aan meerdere compliance-vereisten tegelijkertijd.

De Baseline Informatiebeveiliging Overheid (BIO) vereist in thema 12.06 dat organisaties kwetsbaarheden beheren en monitoren. Vulnerability Assessment biedt een systematische aanpak die aantoont hoe organisaties kwetsbaarheden identificeren, monitoren en verhelpen, wat essentieel is voor het aantonen van BIO-naleving. Daarnaast vereist BIO thema 11.01 dat organisaties beleidsmatige borging realiseren en continu werken aan verbetering van de informatiebeveiliging, wat wordt ondersteund door de continue scanning en remediatie-inspanningen die deel uitmaken van vulnerability assessment. Door regelmatige monitoring en rapportage van kwetsbaarheden kunnen organisaties aantonen dat zij voldoen aan deze BIO-vereisten en kunnen zij tijdens audits bewijs leveren van continue verbetering van de beveiligingspostuur.

De NIS2-richtlijn vereist in artikel 21 dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen, inclusief het monitoren en detecteren van beveiligingsincidenten en kwetsbaarheden. Vulnerability Assessment helpt organisaties te voldoen aan deze vereisten door continue monitoring van kwetsbaarheden te bieden en door te identificeren welke beveiligingscontroles moeten worden verbeterd. Nederlandse organisaties die onder NIS2 vallen, kunnen Vulnerability Assessment gebruiken als onderdeel van hun risicobeheerproces en als bewijs van geïmplementeerde beveiligingsmaatregelen. Tijdens NIS2-audits door de Autoriteit Consument en Markt (ACM) kunnen organisaties rapportages van Vulnerability Assessment gebruiken om aan te tonen hoe zij kwetsbaarheden monitoren en verhelpen.

De ISO 27001-standaard vereist in controle A.12.6.1 dat organisaties technische kwetsbaarheden beheren en monitoren. Vulnerability Assessment ondersteunt deze vereisten door continue evaluatie van kwetsbaarheden te bieden en door tijdgestempelde bewijzen te leveren van geïdentificeerde en verholpen kwetsbaarheden. Organisaties die ISO 27001 gecertificeerd zijn of willen worden, kunnen Vulnerability Assessment gebruiken als onderdeel van hun continue verbeteringsproces en als bewijs van geïmplementeerde beveiligingscontroles tijdens certificeringsaudits.

PCI-DSS vereist in Requirement 11.2 dat organisaties kwartaalgewijze kwetsbaarheidsscans uitvoeren. Vulnerability Assessment in Azure Defender voor Cloud voert automatisch wekelijkse scans uit, wat ruimschoots voldoet aan de PCI-DSS-vereisten. De scanresultaten kunnen worden gebruikt als bewijs van naleving tijdens PCI-DSS-audits, waarbij organisaties kunnen aantonen dat zij regelmatig kwetsbaarheden scannen en verhelpen.

Voor auditing en compliance-doeleinden is het belangrijk om regelmatig bewijs te verzamelen dat aantoont dat Vulnerability Assessment actief is en correct functioneert, inclusief historische scanresultaten, trendanalyses, rapportages en documentatie van remediatie-acties. Dit bewijs kan worden verkregen via de Azure Portal, Azure PowerShell-cmdlets, de Azure Resource Manager API, of geautomatiseerde scripts die regelmatig worden uitgevoerd om compliance-rapportages te genereren. Auditlogboeken moeten worden bewaard voor de vereiste retentietijd, typisch zeven jaar voor Nederlandse overheidsorganisaties volgens de Archiefwet, en moeten regelmatig worden beoordeeld om te verzekeren dat de assessment actief blijft en dat alle kwetsbaarheden correct worden gedetecteerd en opgeslagen.

Remediatie

Gebruik PowerShell-script vulnerability-assessment.ps1 (functie Invoke-Remediation) – Genereert geautomatiseerde rapportages en alerts wanneer nieuwe kritieke kwetsbaarheden worden gedetecteerd.

Remediatie van geïdentificeerde kwetsbaarheden vereist een gestructureerde aanpak die rekening houdt met de ernst van kwetsbaarheden, de beschikbare resources, en de mogelijke verstoring van bedrijfsprocessen. Het remediatieproces begint met het identificeren en prioriteren van kwetsbaarheden op basis van hun CVSS-scores en exploitability, waarbij hoog-ernstige kwetsbaarheden altijd voorrang krijgen omdat deze de grootste beveiligingsrisico's vormen en vaak actief worden misbruikt door aanvallers.

Voor veel kwetsbaarheden kan remediatie worden geautomatiseerd via Azure Automation, Update Management, of patchmanagement-systemen. Voor virtuele machines kunnen ontbrekende beveiligingsupdates automatisch worden geïnstalleerd via Azure Update Management, wat geïntegreerd is met Defender voor Cloud. Voor containers kunnen kwetsbare images worden bijgewerkt met nieuwere base images die de kwetsbaarheden hebben verholpen, wat kan worden geautomatiseerd via CI/CD pipelines. Voor SQL-databases kunnen beveiligingsmisconfiguraties worden verholpen via T-SQL-scripts die worden gegenereerd door SQL Vulnerability Assessment. Het gebruik van geautomatiseerde remediatie zorgt voor consistentie en vermindert de kans op menselijke fouten, terwijl het ook de belasting op security teams vermindert.

Sommige kwetsbaarheden vereisen echter handmatige interventie of goedkeuring voordat ze kunnen worden geïmplementeerd, vooral wanneer deze betrekking hebben op configuratiewijzigingen die kunnen invloed hebben op bedrijfsprocessen of wanneer remediatie downtime vereist. Voor deze kwetsbaarheden moet een change management-proces worden gevolgd waarbij wijzigingen eerst worden getest in een testomgeving voordat ze worden toegepast op productie. Het is belangrijk om een balans te vinden tussen snelheid van remediatie en risico van verstoring, waarbij hoog-ernstige kwetsbaarheden sneller worden verholpen dan medium- of laag-ernstige kwetsbaarheden.

Na implementatie van remediatie is het belangrijk om te verifiëren dat de kwetsbaarheid daadwerkelijk is opgelost en dat de beveiligingspostuur dienovereenkomstig is verbeterd. Dit kan enige tijd duren, omdat Defender voor Cloud periodiek de beveiligingsstatus evalueert en nieuwe scans uitvoert. Organisaties moeten een proces hebben om de status van remediaties te volgen en te verifiëren dat ze succesvol zijn voltooid, waarbij geautomatiseerde monitoring kan helpen bij het detecteren wanneer kwetsbaarheden worden opgelost als gevolg van remediatie-inspanningen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Vulnerability Assessment in Azure Defender voor Cloud .DESCRIPTION Monitort de status van Vulnerability Assessment voor alle resource-typen (virtuele machines, containers, SQL-databases) en rapporteert kwetsbaarheden, trends en compliance-status voor continue kwetsbaarheidsbeheer. .NOTES Filename: vulnerability-assessment.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/vulnerability-assessment.json CIS Control: 2.1.19 BIO Controls: 11.01, 12.06 ISO 27001: A.12.6.1 NIS2 Article: 21 PCI-DSS: 11.2 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Vulnerability Assessment" function Connect-RequiredServices { try { if (-not (Get-AzContext)) { Connect-AzAccount -ErrorAction Stop | Out-Null } Write-Verbose "Verbonden met Azure" } catch { throw "Failed to connect to Azure: $_" } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "vulnerability-assessment" PolicyName = $PolicyName IsCompliant = $false TotalSubscriptions = 0 SubscriptionsWithDefender = 0 Details = @() Recommendations = @() VulnerabilitySummary = @{ HighSeverity = 0 MediumSeverity = 0 LowSeverity = 0 TotalVulnerabilities = 0 } } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalSubscriptions = $subscriptions.Count $totalHigh = 0 $totalMedium = 0 $totalLow = 0 foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null try { # Check Defender for Servers (includes VM vulnerability assessment) $serversPricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue $serversEnabled = $serversPricing -and $serversPricing.PricingTier -eq 'Standard' # Check Defender for Containers $containersPricing = Get-AzSecurityPricing -Name "Containers" -ErrorAction SilentlyContinue $containersEnabled = $containersPricing -and $containersPricing.PricingTier -eq 'Standard' # Check Defender for SQL $sqlPricing = Get-AzSecurityPricing -Name "SqlServers" -ErrorAction SilentlyContinue $sqlEnabled = $sqlPricing -and $sqlPricing.PricingTier -eq 'Standard' $defenderEnabled = $serversEnabled -or $containersEnabled -or $sqlEnabled if ($defenderEnabled) { $result.SubscriptionsWithDefender++ $statusDetails = @() if ($serversEnabled) { $statusDetails += "Servers" } if ($containersEnabled) { $statusDetails += "Containers" } if ($sqlEnabled) { $statusDetails += "SQL" } $result.Details += "✓ Subscription '$($sub.Name)': Vulnerability Assessment enabled ($($statusDetails -join ', '))" # Try to get vulnerability recommendations try { $recommendations = Get-AzSecurityRecommendation -ErrorAction SilentlyContinue | Where-Object { $_.RecommendationType -like '*Vulnerability*' -or $_.RecommendationType -like '*CVE*' -or $_.RecommendationType -like '*Update*' } if ($recommendations) { $highCount = ($recommendations | Where-Object { $_.Severity -eq 'High' -or $_.Severity -eq 'Critical' }).Count $mediumCount = ($recommendations | Where-Object { $_.Severity -eq 'Medium' }).Count $lowCount = ($recommendations | Where-Object { $_.Severity -eq 'Low' }).Count $totalHigh += $highCount $totalMedium += $mediumCount $totalLow += $lowCount if ($highCount -gt 0 -or $mediumCount -gt 0 -or $lowCount -gt 0) { $result.Details += " └─ Kwetsbaarheden: Hoog=$highCount, Medium=$mediumCount, Laag=$lowCount" if ($highCount -gt 0) { $result.Recommendations += "Subscription '$($sub.Name)': $highCount hoog-ernstige kwetsbaarheden - Verhelpen binnen 48 uur" } } } } catch { Write-Verbose "Kon kwetsbaarheidsaanbevelingen niet ophalen voor '$($sub.Name)': $_" } } else { $result.Details += "✗ Subscription '$($sub.Name)': Vulnerability Assessment NIET ingeschakeld" $result.Recommendations += "Schakel Defender voor Servers, Containers of SQL in op '$($sub.Name)'" } } catch { $result.Details += "✗ Subscription '$($sub.Name)': Fout bij controleren - $($_.Exception.Message)" } } $result.VulnerabilitySummary.HighSeverity = $totalHigh $result.VulnerabilitySummary.MediumSeverity = $totalMedium $result.VulnerabilitySummary.LowSeverity = $totalLow $result.VulnerabilitySummary.TotalVulnerabilities = $totalHigh + $totalMedium + $totalLow # Determine compliance if ($result.SubscriptionsWithDefender -eq $result.TotalSubscriptions -and $result.TotalSubscriptions -gt 0) { $result.IsCompliant = $true } elseif ($result.SubscriptionsWithDefender -gt 0) { $result.IsCompliant = $false $result.Recommendations += "Schakel Vulnerability Assessment in op alle abonnementen voor volledige dekking" } else { $result.IsCompliant = $false $result.Recommendations += "Vulnerability Assessment is niet ingeschakeld op enig abonnement - Kritieke beveiligingsrisico" } # Add vulnerability-based recommendations if ($totalHigh -gt 0) { $result.Recommendations += "Totaal $totalHigh hoog-ernstige kwetsbaarheden gedetecteerd - Onmiddellijke actie vereist" } if ($totalMedium -gt 10) { $result.Recommendations += "Totaal $totalMedium medium-ernstige kwetsbaarheden - Plan remediatie binnen 30 dagen" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" $result.IsCompliant = $false } return $result } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Totaal abonnementen: $($result.TotalSubscriptions)" -ForegroundColor White Write-Host "Met Vulnerability Assessment: $($result.SubscriptionsWithDefender)" -ForegroundColor $(if ($result.SubscriptionsWithDefender -eq $result.TotalSubscriptions) { 'Green' } else { 'Yellow' }) Write-Host "`nKwetsbaarheidsstatus:" -ForegroundColor Yellow Write-Host " Hoog-ernstige kwetsbaarheden: $($result.VulnerabilitySummary.HighSeverity)" -ForegroundColor $(if ($result.VulnerabilitySummary.HighSeverity -eq 0) { 'Green' } else { 'Red' }) Write-Host " Medium-ernstige kwetsbaarheden: $($result.VulnerabilitySummary.MediumSeverity)" -ForegroundColor $(if ($result.VulnerabilitySummary.MediumSeverity -lt 10) { 'Green' } elseif ($result.VulnerabilitySummary.MediumSeverity -lt 50) { 'Yellow' } else { 'Red' }) Write-Host " Laag-ernstige kwetsbaarheden: $($result.VulnerabilitySummary.LowSeverity)" -ForegroundColor Gray Write-Host " Totaal kwetsbaarheden: $($result.VulnerabilitySummary.TotalVulnerabilities)" -ForegroundColor White Write-Host "`nAbonnement Details:" -ForegroundColor Yellow foreach ($detail in $result.Details) { if ($detail -like "✓*") { Write-Host " $detail" -ForegroundColor Green } elseif ($detail -like "✗*") { Write-Host " $detail" -ForegroundColor Red } elseif ($detail -like " └─*") { Write-Host " $detail" -ForegroundColor Cyan } else { Write-Host " $detail" -ForegroundColor Gray } } if ($result.Recommendations.Count -gt 0) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($rec in $result.Recommendations) { Write-Host " • $rec" -ForegroundColor Cyan } } Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green Write-Host "`nVulnerability Assessment is ingeschakeld op alle abonnementen." -ForegroundColor Green if ($result.VulnerabilitySummary.HighSeverity -eq 0) { Write-Host "Geen hoog-ernstige kwetsbaarheden gedetecteerd - Uitstekend!" -ForegroundColor Green } else { Write-Host "Waarschuwing: $($result.VulnerabilitySummary.HighSeverity) hoog-ernstige kwetsbaarheden vereisen onmiddellijke aandacht." -ForegroundColor Yellow } } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`nVulnerability Assessment is niet volledig ingeschakeld." -ForegroundColor Red Write-Host "Schakel Defender voor Servers, Containers en/of SQL in op alle abonnementen." -ForegroundColor Yellow } Write-Host "`nBest Practices:" -ForegroundColor Cyan Write-Host " • Review kwetsbaarheden wekelijks voor beste resultaten" -ForegroundColor Gray Write-Host " • Verhelp hoog-ernstige kwetsbaarheden binnen 48 uur" -ForegroundColor Gray Write-Host " • Plan medium-ernstige kwetsbaarheden binnen 30 dagen" -ForegroundColor Gray Write-Host " • Stel alerts in voor nieuwe kritieke kwetsbaarheden" -ForegroundColor Gray Write-Host " • Genereer maandelijkse trend rapportages" -ForegroundColor Gray Write-Host " • Integreer vulnerability management in governance processen" -ForegroundColor Gray return $result } function Invoke-Remediation { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Vulnerability Assessment - Remediatie" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $result = Test-Compliance Write-Host "`nHuidige Status:" -ForegroundColor Yellow Write-Host " Abonnementen met Vulnerability Assessment: $($result.SubscriptionsWithDefender)/$($result.TotalSubscriptions)" -ForegroundColor $(if ($result.SubscriptionsWithDefender -eq $result.TotalSubscriptions) { 'Green' } else { 'Yellow' }) Write-Host " Hoog-ernstige kwetsbaarheden: $($result.VulnerabilitySummary.HighSeverity)" -ForegroundColor $(if ($result.VulnerabilitySummary.HighSeverity -eq 0) { 'Green' } else { 'Red' }) if ($result.SubscriptionsWithDefender -lt $result.TotalSubscriptions) { Write-Host "`nAanbevelingen voor implementatie:" -ForegroundColor Cyan Write-Host " 1. Schakel Microsoft Defender voor Servers in voor VM vulnerability assessment" -ForegroundColor Gray Write-Host " 2. Schakel Microsoft Defender voor Containers in voor container image scanning" -ForegroundColor Gray Write-Host " 3. Schakel Microsoft Defender voor SQL in voor database vulnerability assessment" -ForegroundColor Gray Write-Host " 4. Configureer automatische scanning (wekelijks voor VM's en SQL)" -ForegroundColor Gray Write-Host " 5. Stel alerts in voor nieuwe kritieke kwetsbaarheden" -ForegroundColor Gray Write-Host " 6. Zet een dashboard op voor real-time kwetsbaarheidszichtbaarheid" -ForegroundColor Gray Write-Host " 7. Integreer vulnerability rapportages in maandelijkse CISO reviews" -ForegroundColor Gray Write-Host "`nPowerShell commando's voor activering:" -ForegroundColor Cyan Write-Host " # Defender voor Servers" -ForegroundColor Gray Write-Host " Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard'" -ForegroundColor White Write-Host "`n # Defender voor Containers" -ForegroundColor Gray Write-Host " Set-AzSecurityPricing -Name 'Containers' -PricingTier 'Standard'" -ForegroundColor White Write-Host "`n # Defender voor SQL" -ForegroundColor Gray Write-Host " Set-AzSecurityPricing -Name 'SqlServers' -PricingTier 'Standard'" -ForegroundColor White } else { Write-Host "`n[OK] Vulnerability Assessment is ingeschakeld op alle abonnementen." -ForegroundColor Green if ($result.VulnerabilitySummary.HighSeverity -gt 0) { Write-Host "`nKritieke actie vereist:" -ForegroundColor Red Write-Host " • $($result.VulnerabilitySummary.HighSeverity) hoog-ernstige kwetsbaarheden vereisen onmiddellijke remediatie" -ForegroundColor Yellow Write-Host " • Review bevindingen in Defender voor Cloud → Recommendations" -ForegroundColor Gray Write-Host " • Prioriteer kwetsbaarheden met CVSS 9.0+ voor eerste remediatie" -ForegroundColor Gray Write-Host " • Gebruik Azure Update Management voor automatische patch deployment" -ForegroundColor Gray } else { Write-Host "Geen hoog-ernstige kwetsbaarheden gedetecteerd - Uitstekend!" -ForegroundColor Green } } Write-Host "`nVoor continue monitoring:" -ForegroundColor Cyan Write-Host " • Gebruik dit script in Azure Automation runbooks (wekelijks)" -ForegroundColor Gray Write-Host " • Sla kwetsbaarheidsdata op in Azure Log Analytics voor trendanalyse" -ForegroundColor Gray Write-Host " • Configureer Azure Monitor alerts bij nieuwe kritieke kwetsbaarheden" -ForegroundColor Gray Write-Host " • Genereer maandelijkse rapportages voor bestuurders" -ForegroundColor Gray Write-Host " • Integreer met patchmanagement-systemen voor geautomatiseerde remediatie" -ForegroundColor Gray return $result } function Invoke-Revert { Write-Host "`n⚠️ Vulnerability Assessment uitschakelen wordt NIET aanbevolen" -ForegroundColor Red Write-Host "Dit creëert aanzienlijke beveiligingsrisico's en compliance-problemen." -ForegroundColor Red Write-Host "`nAls u Vulnerability Assessment moet uitschakelen:" -ForegroundColor Yellow Write-Host " • Gebruik: Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Free'" -ForegroundColor Gray Write-Host " • Let op: Dit schakelt alle Defender voor Servers functionaliteit uit" -ForegroundColor Yellow Write-Host " • Overweeg alternatieve vulnerability scanning oplossingen" -ForegroundColor Gray Write-Host "`nHet wordt sterk aanbevolen om Vulnerability Assessment actief te houden.`n" -ForegroundColor Red } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou Vulnerability Assessment status rapporteren voor $($result.TotalSubscriptions) abonnement(en)" -ForegroundColor Yellow Write-Host "Huidige status: $($result.SubscriptionsWithDefender) abonnement(en) met Vulnerability Assessment" -ForegroundColor Yellow if ($result.SubscriptionsWithDefender -lt $result.TotalSubscriptions) { Write-Host "`nAbonnementen zonder Vulnerability Assessment:" -ForegroundColor Yellow $result.Details | Where-Object { $_ -like "✗*" } | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } if ($result.VulnerabilitySummary.TotalVulnerabilities -gt 0) { Write-Host "`nGedetecteerde kwetsbaarheden:" -ForegroundColor Yellow Write-Host " Hoog: $($result.VulnerabilitySummary.HighSeverity)" -ForegroundColor $(if ($result.VulnerabilitySummary.HighSeverity -eq 0) { 'Green' } else { 'Red' }) Write-Host " Medium: $($result.VulnerabilitySummary.MediumSeverity)" -ForegroundColor Yellow Write-Host " Laag: $($result.VulnerabilitySummary.LowSeverity)" -ForegroundColor Gray } } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "`nStatus: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red } Write-Host "Abonnementen met Vulnerability Assessment: $($result.SubscriptionsWithDefender)/$($result.TotalSubscriptions)" -ForegroundColor White if ($result.VulnerabilitySummary.TotalVulnerabilities -gt 0) { Write-Host "`nKwetsbaarheden:" -ForegroundColor Yellow Write-Host " Hoog: $($result.VulnerabilitySummary.HighSeverity)" -ForegroundColor $(if ($result.VulnerabilitySummary.HighSeverity -eq 0) { 'Green' } else { 'Red' }) Write-Host " Medium: $($result.VulnerabilitySummary.MediumSeverity)" -ForegroundColor $(if ($result.VulnerabilitySummary.MediumSeverity -lt 10) { 'Green' } else { 'Yellow' }) Write-Host " Laag: $($result.VulnerabilitySummary.LowSeverity)" -ForegroundColor Gray } else { Write-Host "Geen kwetsbaarheden gedetecteerd" -ForegroundColor Green } Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray Write-Host "Gebruik -Remediation voor implementatie aanbevelingen`n" -ForegroundColor Gray } } catch { Write-Error $_ exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Kritiek - Zonder Vulnerability Assessment beschikken organisaties niet over inzicht in welke systemen kwetsbaar zijn voor bekende CVE's, welke beveiligingsupdates ontbreken, en welke compliance-hiaten aanwezig zijn. Deze blinde vlekken creëren aanzienlijke beveiligingsrisico's omdat aanvallers vaak gebruik maken van bekende kwetsbaarheden die al patches hebben, maar die organisaties nog niet hebben toegepast. Voor Nederlandse overheidsorganisaties is het ontbreken van assessment extra problematisch omdat toezichthouders verwachten dat organisaties kunnen aantonen hoe zij kwetsbaarheden identificeren, monitoren en verhelpen, wat zonder systematische assessment niet aantoonbaar is.

Management Samenvatting

Vulnerability Assessment biedt continue scanning van virtuele machines, containers, databases en andere Azure-resources op bekende kwetsbaarheden, automatische prioritering op basis van ernst en exploitability, en concrete remediatie-aanbevelingen. Implementatie via Azure Defender voor Cloud kost gemiddeld acht tot twaalf uur aan technische configuratie, waarna wekelijkse automatische scanning plaatsvindt. Best practice is om nul hoog-ernstige kwetsbaarheden (CVSS 9.0+) en minder dan tien medium-ernstige kwetsbaarheden per honderd resources te handhaven voor productieomgevingen. Assessment is essentieel voor BIO-naleving (thema 12.06), NIS2-vereisten (artikel 21), ISO 27001-compliance (A.12.6.1) en PCI-DSS-vereisten (11.2).