Wat is Microsoft Defender for Cloud?

Maar dat is nog niet alles, het wordt ook beschouwd als:

• Cloud Security Posture Management (CSPM) oplossing
• Cloud Workload Protection Platform (CWPP)
• Een DevSecOps oplossing die beveiligingsbeheer centraliseert op codeniveau in multi-cloud en multi-pipeline omgevingen

Het implementeren van Microsoft Defender for Cloud is eenvoudig aangezien het al geïntegreerd is met Azure services als een ingebouwde beveiligingsoplossing.

Bijvoorbeeld, het integreert met Microsoft Sentinel en Microsoft Defender for Cloud Apps.

Defender for Cloud vervult in feite 3 essentiële behoeften:

• Continu beoordelen: Je beveiligingspositie kennen, eventuele problemen identificeren en kwetsbaarheden bijhouden.
• Beveiligen: Bronnen en diensten beveiligen en versterken door de status te vergelijken met de Microsoft cloud security benchmark in Defender for Cloud (Azure Security Benchmark + beveiligingsbenchmark voor andere cloudproviders + andere Microsoft clouds).
• Verdedigen: Bedreigingen detecteren en oplossen voor bronnen, workloads en diensten gehost op de Azure Cloud.

De twee primaire doelen van Microsoft Defender for Cloud zijn als volgt:

1. Je (als administrator) helpen je huidige beveiligingssituatie te begrijpen
2. Je helpen je security posture te verbeteren op basis van inzichten

Nu we weten wat het inhoudt, laten we kijken wat je ermee kunt doen… met Microsoft Defender for Cloud, kun je:

• Cloud security posture monitoren en beheren
• Kwetsbaarheden detecteren
• Beveiligingsincidenten efficiënt onderzoeken

Die informatie wordt verstrekt aan de beveiligingsbeheerder in het Azure dashboard:

Azure-native beschermingen

• Azure PaaS services: Detecteert bedreigingen die gericht zijn op Azure PaaS services waaronder Azure App Service, Azure SQL, Azure Storage Account, en vele andere diensten.
• Azure data services: Defender for Cloud omvat mogelijkheden die je automatisch helpen je gegevens in Azure SQL te classificeren. Je kunt ook beoordelingen krijgen voor mogelijke kwetsbaarheden in Azure SQL en opslagdiensten, samen met aanbevelingen om deze te mitigeren.
• Netwerken: Defender for Cloud helpt je blootstelling aan brute force-aanvallen te beperken door toegang tot virtuele machine poorten te beperken met Just-in-Time (JIT) VM-toegang. Je kunt je netwerk versterken door alleen specifieke bron-IP's toe te laten, poort- en IP-bereikbeperkingen te definiëren, en onnodige toegang tot kritieke bronnen te voorkomen.

Geavanceerde bedreigingsbescherming

Defender for Cloud biedt geavanceerde bedreigingsbescherming voor virtuele machines, SQL-databases, containers, webapplicaties, en netwerken, en helpt bij het detecteren en reageren op beveiligingsdreigingen in je omgeving.

Defender for Cloud Componenten

Microsoft groepeert de mogelijkheden van Defender for Cloud in verschillende gebieden:

Al deze hebben hun eigen set van beleidsregels. Deze beleidsregels kunnen acties vereisen zoals het inschakelen van centraal identiteitsbeheer, het configureren van firewalls, of het toepassen van andere beveiligingsbest practices over diensten.

Wat zijn de kosten voor Defender for Cloud?

De prijzen voor Microsoft Defender for Cloud variëren afhankelijk van het type overeenkomst, de aankoopdatum, en de wisselkoers. Het is een pay-as-you-go-service zonder voorafgaande kosten, en je kunt het de eerste 30 dagen gratis proberen.

Er worden kosten per bron in rekening gebracht op basis van het onderstaande prijsmodel.

Belangrijkste functies van Microsoft Defender for Cloud

We zijn dagen bezig als we elke functie bespreken... Voor nu geven we je enkele van de belangrijkste functies van Microsoft Defender for Cloud:

• Intelligente dreigingsdetectie: Defender for Cloud gebruikt machine learning en geavanceerde detectiealgoritmen om een breed scala aan bedreigingen te identificeren. Het herkent proactief potentiële kwetsbaarheden en biedt concrete stappen om deze te herstellen voordat ze worden misbruikt.
• Stelt prioriteiten bij het herstellen van risico's: Hiermee kun je je richten op fixes die van invloed zijn op je beveiligde score en algehele beveiliging.
• Vulnerability management: Defender for Cloud bevat een ingebouwde scan op kwetsbaarheden (voorheen Azure Defender) om risico's in je cloud resources te detecteren en te verhelpen.
• Identity and Access Management (IAM): Microsoft Defender for Cloud ondersteunt IAM door integratie met Microsoft Entra (voorheen Azure Active Directory). Het detecteert overmatige permissies, ongebruikte rollen en risicovolle toegangspatronen. De tool beveelt acties aan om toegang met minimale rechten af te dwingen en ondersteunt MFA, conditional access en role-based access control (RBAC) om identiteitsgerelateerde risico's te verminderen.
• Inzichten in codepipelines: Defender for Cloud helpt beveiligingsteams applicaties en resources te beschermen van code tot cloud. Het ondersteunt multi-pipeline omgevingen zoals GitHub en Azure DevOps.
• Compliance: Defender for Cloud ondersteunt compliance met de regelgeving door je huidige status te tonen ten opzichte van verschillende industrienormen. Het helpt je te voldoen aan de regelgevende normen HIPAA, GDPR en PCI DSS. Het biedt ook aanbevelingen om de compliance in je hele omgeving te helpen verbeteren.
• Bescherming tegen bedreigingen: Omvat mogelijkheden voor het detecteren van en reageren op bedreigingen die gericht zijn op zowel Azure- als niet-Azure resources.
• Security Information and Event Management (SIEM): Defender for Cloud integreert met SIEM-tools (zoals Microsoft Sentinel). Dit maakt gecentraliseerd beveiligingsbeheer, dreigingsdetectie en incidentrespons door je hele omgeving mogelijk.

Hoe werkt Microsoft Defender for Cloud?

Microsoft Defender for Cloud werkt door een verenigd beveiligingsbeheer en geavanceerde dreigingsbescherming te bieden. Het monitort actief netwerken en detecteert dreigingen door loggegevens van alle Azure resources en netwerkactiviteit te verzamelen en te analyseren.

Het gebruikt niet alleen op handtekeningen gebaseerde detectiemethoden, maar maakt ook gebruik van machine learning (ML) om dreigingen te detecteren door gebruik te maken van:

• Geïntegreerde dreigingsinformatie
• Gedragsanalyse
• Anomalie detectie

Microsoft Defender for Cloud werkt door beveiligingsbeleid en internationale regelgeving toe te wijzen aan workloads en resources in cloudomgevingen en te evalueren of deze al dan niet worden toegepast. Dit proces creëert vervolgens een "secure score".

Gebaseerd op de resultaten, bevat het aanbevelingen om je security posture te verbeteren, voor zowel Azure als niet Azure omgevingen.

Wat is een Secure Score?

Een Secure Score meet de security posture van een organisatie. Het consolideert beveiligingsbevindingen in een enkele, bruikbare score. Je kunt het vinden in het Microsoft Defender portal.

Een hogere score = een lager geïdentificeerd risiconiveau.

Microsoft Defender for Cloud scant voortdurend de hybride netwerkresources op beveiligingsproblemen. Elk resource wordt afzonderlijk beoordeeld en heeft een maximale score op basis van alles wat gedaan kan worden om zijn beveiliging te maximaliseren.

Voor elke genegeerde aanbeveling daalt de score. De bevindingen voor elk resource worden allemaal samengevoegd, en er wordt een algehele score gegenereerd die je vertelt hoe goed je beveiliging in één oogopslag is.

Vervolgens kun je meer details zien over de score en hoe deze te verbeteren.

Hoe wordt de Secure Score berekend?

Secure Score in Microsoft Defender for Cloud wordt berekend op basis van het percentage beveiligingscontroles dat je hebt geïmplementeerd uit het totaal mogelijke verbeteringen.

• Elke aanbeveling heeft een maximale puntwaarde gebaseerd op zijn impact op je beveiligingshouding.
• Wanneer je een aanbeveling implementeert, verdien je punten voor je Secure Score.
• Gedeeltelijke implementatie geeft gedeeltelijke punten. Bijvoorbeeld, als een aanbeveling van toepassing is op 10 resources en je repareert er 5, krijg je 50% van de mogelijke punten.
• Totale Secure Score is de som van alle punten die je hebt verdiend, gedeeld door het totaal mogelijke punten over alle aanbevelingen.

Security alerts

Security alerts in Microsoft Defender for Cloud zijn meldingen die worden geactiveerd wanneer bedreigingen worden gedetecteerd in zowel je Azure als niet-Azure resources.

Zodra Defender for Cloud een dreiging in een deel van je omgeving detecteert, genereert het beveiligingswaarschuwingen samen met details van de getroffen resources. Beter nog, het biedt ook stappen voor herstel. Het kan geautomatiseerde reacties activeren (zoals Azure Functions of andere apps) om onmiddellijke actie te ondernemen indien geconfigureerd.

Het echt krachtige deel is dat het deze waarschuwingen daadwerkelijk correleert tot incidenten als ze meerdere resources beïnvloeden. Zo geeft het je meer een visueel beeld van een aanvalscampagne die mogelijk binnen je organisatie plaatsvindt.

Binnen dit heb je een basistabel met:

• Ernst: Helpt je prioriteit te geven aan welke incidenten of waarschuwingen je moet reageren.
• Titel: De naam van de waarschuwing.
• Affected Resources: Welke assets zijn getroffen.
• Starttijd: Wanneer de waarschuwing begon.
• Aanvalstactieken: (Soms beschikbaar) Kleine aanvalsdetails.

Dit geeft je een betere visuele indicator van wat er gaande is en in welke fase het zich binnen je organisatie bevindt.

Bekijk de onderstaande afbeelding voor een visuele voorstelling van het overzicht van beveiligingswaarschuwingen:

We kunnen eigenlijk op een van deze waarschuwingen klikken, en het haalt gedetailleerde informatie op

• Severity level
• Beschrijving van wat er gebeurt
• Getroffen resources
• Actiepagina met aanbevelingen

Voordelen van Microsoft Defender for Cloud

• Proactieve verdediging tegen bedreigingen: Defender for Cloud gebruikt realtime-monitoring en waarschuwingen om bedreigingen vroegtijdig te detecteren en te stoppen voordat ze invloed hebben op je infrastructuur.
• Multi-cloud bescherming: Het geeft inzicht in de beveiliging van multi-cloud omgevingen binnen één enkel dashboard, inclusief Azure, AWS en Google Cloud.
• Integratie met Azure native services: Microsoft Defender for Cloud integreert met andere Microsoft-beveiligingstools zoals Azure Sentinel.
• Geïntegreerd beveiligingsbeheer: Defender for Cloud brengt beveiligingsbeheer onder in één platform, of je nu alleen Azure, meerdere clouds of een hybride cloud gebruikt.
• Uitgebreide bescherming over cloud resources: Defender for Cloud beveiligt je hele cloudomgeving, inclusief virtuele machines, containers, netwerken, databases en andere belangrijke bronnen.
• Cloud Native beveiliging: Microsoft Defender for Cloud is gebouwd als een cloud native beveiligingsoplossing op maat voor de bescherming van cloud workloads en toepassingen. 

Conclusie

In dit artikel hebben we besproken hoe Microsoft Defender for Cloud een essentiële en schaalbare oplossing is voor het beveiligen van workloads en applicaties. Of je nu volledig in Azure zit, deels in Azure – hybride cloud, on-prem of multi-cloud.

Daarbij vraag je je waarschijnlijk af, "Is Microsoft Defender for Cloud het waard?"

Het antwoord = Ja.

Van alle beste beveiligingspraktijken van Azure, is het gebruik van Microsoft Defender for Cloud een van de beste dingen die je kunt doen. Je krijgt een dienst die dagelijks miljarden signalen verwerkt.

Beter nog, het dashboard biedt je in feite een overzicht met één venster om alle aanbevelingen gemakkelijk op te volgen en het overzicht te behouden, zelfs in complexe multi-cloud omgevingen.

En laten we eerlijk zijn: uiteindelijk heb je iets nodig om je omgeving te beschermen tegen cyberaanvallen – die steeds geavanceerder worden naarmate de dagen verstrijken.

Hoewel Defender for Cloud misschien niet voor altijd gratis is (alleen de eerste 30 dagen), is herstel dat ook niet. Onthoud dat beveiliging NIET de plaats is om te bezuinigen. Het risico is het gewoon niet waard.