Integraties
Microsoft Azure
Azure integratie configureren
De Microsoft Azure integratie stelt Tidal Control in staat om automatisch compliance tests uit te voeren op je Azure omgeving en Entra ID configuratie.
Vereisten:
- Super User rol in Tidal Control
- Entra ID app registratie rechten
- Azure subscription toegang voor rol toewijzingen
Benodigde machtigingen
De Azure-integratie gebruikt twee afzonderlijke machtigingssets — één voor Entra ID (Azure AD) en één voor Azure-resources. Alle toegang is read-only — Tidal Control schrijft, wijzigt of verwijdert nooit iets in je Azure-omgeving.
Microsoft Graph API-machtigingen
Deze machtigingen geven Tidal leestoegang tot je Entra ID-configuratie:
| Machtiging(en) | Waarvoor wij deze gebruiken |
|---|---|
| User.Read.All, Directory.Read.All | Wij controleren op inactieve gebruikersaccounts en openstaande verplichte wachtwoordwijzigingen. |
| Policy.Read.All, Organization.Read.All | Wij verifiëren conditional access policies — zoals MFA-handhaving voor beheerders en toegangsbeperking tot de Entra-beheerdersportal. |
| Device.Read.All, DeviceManagementManagedDevices.Read.All | Wij verifiëren Intune MDM-inschrijving, device-encryptiestatus en of apparaten recent gesynchroniseerd zijn. |
| Group.Read.All, GroupMember.Read.All, Application.Read.All | Wij lossen groepslidmaatschappen op die worden gebruikt in conditional access policies en verifiëren app-registraties. |
Reader-rol op Azure-subscriptions
De Reader-rol geeft Tidal leestoegang tot je Azure-resourceconfiguraties:
| Resourcetype | Waarvoor wij toegang nodig hebben |
|---|---|
| Virtual machines | Wij verifiëren de configuratie van automatisch patchen, Trusted Launch (Secure Boot) en schijfencryptie at rest. |
| Storage accounts | Wij controleren op publieke blob-toegang, HTTPS-handhaving, soft delete- en retentiebeleid en encryptie at rest. |
| Key Vault | Wij verifiëren of key vaults geen publieke netwerktoegang hebben ingeschakeld. |
| AKS (Kubernetes) | Wij controleren of Kubernetes API-servers publiek toegankelijk zijn en of automatische upgrade-kanalen zijn geconfigureerd. |
| PostgreSQL Flexible Server | Wij verifiëren publieke netwerktoegang, back-upretentie, onderhoudsvensterconfiguratie, TLS-instellingen en encryptie at rest. |
Microsoft Defender for Endpoint API-machtigingen
De Microsoft Defender-tests gebruiken de Microsoft Defender for Endpoint API. Dit zijn toepassingsmachtigingen op de WindowsDefenderATP API — deze staan los van de Microsoft Graph-machtigingen en de Reader-rol hierboven. Zonder deze machtigingen falen de Defender-tests met een autorisatiefout, ook al is de rest van de integratie verbonden.
| Machtiging | Waarvoor wij deze gebruiken |
|---|---|
| Machine.Read.All | Wij halen onboarded apparaten en hun antivirus-gezondheidsstatus op. |
| Vulnerability.Read.All | Wij lezen de kwetsbaarheden die op je apparaten zijn gedetecteerd. |
| SecurityRecommendation.Read.All | Wij lezen Defender-beveiligingsaanbevelingen (Threat & Vulnerability Management). |
| Alert.Read.All | Wij lezen Defender-beveiligingswaarschuwingen. |
Configuratie methoden
App integratie (aanbevolen)
Voordelen van app integratie:
- Sneller en eenvoudiger - Minder handmatige stappen en configuratie
- Minder foutgevoelig - Automatische machtigingen setup
- Geen credential management - Tidal beheert authenticatie automatisch
Setup proces:
- Ga naar Settings → Integrations in Tidal Control
- Klik Microsoft Azure tile
- Selecteer "App integratie (aanbevolen)"
- Klik "Klik hier om te beginnen"
- Log in via Azure portal wanneer doorgestuurd
- Review machtigingen en klik "Accepteren"
Service Principal
Wanneer service principal gebruiken:
- Volledige controle over app registratie en machtigingen vereist
- Organisatie security policy staat geen externe app integraties toe
- Custom credential management gewenst
Nadelen service principal:
- Meer configuratie stappen en hogere kans op fouten
- Handmatig credential management (expiration tracking)
- Risk van incomplete machtigingen waardoor tests kunnen falen
Service principal configuratie:
Het doel van deze stappen is om een service principal aan te maken in Azure en de benodigde gegevens te verzamelen om later in Tidal in te voeren. Noteer de volgende waarden tijdens configuratie:
- Tenant ID
- Client ID
- Client Secret
- Integratie naam
Azure app registratie:
- Ga naar Azure portal → Entra ID → App registraties
- Klik "Nieuwe registratie"
- Naam:
Tidal Control - Integratie - Accounttypen:
Enkele tenant
- Naam:
- Noteer Toepassing (client) ID (bewaar voor Tidal configuratie)
- Noteer Directory (tenant) ID (bewaar voor Tidal configuratie)
Client secret genereren:
- Ga naar "Certificaten & geheimen"
- Klik "Nieuw clientgeheim"
- Beschrijving:
Tidal Control - Integratie - Vervaldatum: 12 maanden
- Beschrijving:
- Klik "Toevoegen"
- Noteer secret waarde onmiddellijk (niet meer zichtbaar na pagina verlaten)
Belangrijk: Noteer alle waarden (Tenant ID, Client ID, Secret) in een veilige locatie. Je hebt deze nodig voor Tidal configuratie en het client secret is later niet meer ophaalbaar.
API machtigingen configureren:
- Ga naar "API-machtigingen" → "Een machtiging toevoegen"
- Selecteer Microsoft Graph → Toepassingsmachtigingen
- Voeg alle machtigingen toe:
Directory.Read.AllUser.Read.AllDevice.Read.AllApplication.Read.AllDeviceManagementManagedDevices.Read.AllGroupMember.Read.AllGroup.Read.AllOrganization.Read.AllPolicy.Read.All
- Voeg de Microsoft Defender for Endpoint-machtigingen toe (vereist voor de Defender-tests):
- Een machtiging toevoegen → API's die mijn organisatie gebruikt → zoek "WindowsDefenderATP" → Toepassingsmachtigingen
Machine.Read.AllVulnerability.Read.AllSecurityRecommendation.Read.AllAlert.Read.All
- Klik "Beheerderstoestemming verlenen" voor je tenant
Integratie voltooien in Tidal:
- Ga naar Settings → Integrations → Microsoft Azure
- Selecteer "Service Principal"
- Vul genoteerde waarden in:
- Naam: Herkenbare naam voor de integratie
- Tenant ID: Directory (tenant) ID uit Azure
- Client ID: Toepassing (client) ID uit Azure
- Client Secret: Het aangemaakte client secret
Azure abonnement toegang
Reader rol toewijzen per abonnement:
Voor elk Azure abonnement dat je wilt monitoren:
- Azure portal → Abonnementen → [Selecteer abonnement]
- Toegangsbeheer (IAM) → Roltoewijzing toevoegen
- Selecteer "Reader" rol
- Zoek naar je Tidal integratie (naam die je in stap 1 hebt gebruikt)
- Selecteer integratie en klik "Toewijzen"
Reader rol: Geeft Tidal read-only toegang voor compliance monitoring zonder security risico's. Voldoende voor alle Azure tests.
Integratie verificatie in Tidal
Controleer succesvolle configuratie:
- Settings → Integrations toont "Connected" status voor Azure
- Test refresh levert resultaten zonder (authentication) errors
Troubleshooting bij problemen:
- Verify alle credentials correct zijn ingevoerd
- Check of beheerderstoestemming is verleend voor API machtigingen
- Confirm Reader rol is toegewezen aan relevante abonnementen
- Als alleen de Microsoft Defender-tests falen met een autorisatiefout, controleer dan of de WindowsDefenderATP-machtigingen (
Machine.Read.All,Vulnerability.Read.All,SecurityRecommendation.Read.All,Alert.Read.All) zijn toegevoegd aan de app-registratie en of beheerderstoestemming is verleend
Microsoft Sentinel integratie
Microsoft Sentinel wordt geconfigureerd als een aparte integratie ten opzichte van de Microsoft Azure-integratie hierboven. Het voert compliance tests uit op één Sentinel-workspace door de incidenten, analytics- (alert-)regels en data connectors te lezen. Stel dit alleen in als je de Sentinel-tests wilt draaien — het heeft eigen credentials en hergebruikt de Azure-integratie hierboven niet.
Benodigde machtiging
Toegang tot Sentinel wordt verleend via een Azure RBAC-rol in plaats van API-machtigingen. Wijs de ingebouwde rol Microsoft Sentinel Reader toe aan een service principal, met als scope de resourcegroep die je Sentinel- (Log Analytics-)workspace bevat. Dit geeft read-only toegang tot Microsoft.SecurityInsights-resources (incidenten, alert-regels en data connectors) — voldoende voor alle Sentinel-tests.
Setup proces
1. Registreer een app (service principal):
- Ga naar Azure portal → Entra ID → App registraties → Nieuwe registratie
- Naam:
Tidal Control - Sentinel - Accounttypen:
Enkele tenant
- Naam:
- Noteer de Toepassing (client) ID en Directory (tenant) ID
- Ga naar "Certificaten & geheimen" → "Nieuw clientgeheim" en noteer de secret-waarde onmiddellijk (later niet meer ophaalbaar)
Je kunt de app-registratie van je bestaande Azure-integratie hergebruiken in plaats van een nieuwe aan te maken — wijs deze in de volgende stap simpelweg de Microsoft Sentinel Reader-rol toe en hergebruik de tenant ID, client ID en client secret in Tidal.
2. Wijs de Microsoft Sentinel Reader-rol toe:
- Ga naar de resourcegroep die je Sentinel-workspace bevat → Toegangsbeheer (IAM) → Roltoewijzing toevoegen
- Selecteer de rol "Microsoft Sentinel Reader"
- Zoek naar de app-registratie die je hebt aangemaakt en wijs deze toe
3. Verzamel de workspace-gegevens die je in Tidal invoert:
- Subscription ID
- Resourcegroep-naam
- Log Analytics workspace-naam (de workspace waarop Sentinel draait)
4. Voltooi de integratie in Tidal:
- Ga naar Settings → Integrations → Microsoft Sentinel
- Vul de waarden in:
- Naam: Herkenbare naam voor de integratie
- Tenant ID, Client ID, Client Secret: uit de app-registratie
- Subscription ID, Resourcegroep-naam, Workspace-naam: uit stap 3
Als de Sentinel-tests falen met een autorisatiefout, controleer dan of de rol Microsoft Sentinel Reader is toegewezen aan de app-registratie op het niveau van de resourcegroep (of workspace), en of de subscription ID, resourcegroep en workspace-naam exact overeenkomen met de workspace waarop Sentinel draait.
Kom je er nog niet uit?
Stuur een e-mail naar support@tidalcontrol.com, en wij nemen zo snel mogelijk contact op.
Support info verzamelen: Noteer welke browser je gebruikt, exacte foutmeldingen, welke stappen je al geprobeerd hebt, en screenshots van het probleem. Dit versnelt de oplossing aanzienlijk.
- Volgende
- Amazon Web Services (AWS)