L1 BIO 16.01.02 ISO A.16.1.2 CIS 2.1.21

Beveiligingswaarschuwingen Naar Beheerders Ingeschakeld

📅 2025-10-30
⏱️ 7 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Beveiligingswaarschuwingen moeten automatisch worden verstuurd naar abonnementsbeheerders met de rollen Owner of Contributor om verantwoordelijkheid te waarborgen bij beveiligingsincidenten op hun resources.

Aanbeveling
IMPLEMENTEER VOOR BEHEERDERSVERANTWOORDELIJKHEID
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Azure

Abonnementsbeheerders zijn verantwoordelijk voor resources binnen hun bereik en moeten onmiddellijk worden geïnformeerd bij beveiligingsincidenten. Eigenaren moeten op de hoogte zijn van compromitteringen op hun virtuele machines en databases. Medewerkers met Contributor-rechten moeten waarschuwingen over verkeerde configuraties ontvangen. Resource-eigenaren zijn verantwoordelijk voor incidentrespons. Zonder beheerderwaarschuwingen ontstaat er een verantwoordelijkheidskloof tussen het beveiligingsteam en resource-eigenaren, een vertraagde incidentrespons omdat beheerders dashboards niet proactief controleren, gebrek aan eigenaarschap voor beveiligingsbevindingen en compliance-overtredingen door gemiste meldingen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle configureert automatische e-mailwaarschuwingen naar alle abonnementeigenaren en medewerkers met Contributor-rechten bij beveiligingsincidenten met hoge ernst. De configuratie gebeurt per abonnement via de contactinstellingen van Microsoft Defender voor Cloud: waarschuwen over waarschuwingen met de ernst High, alle gebruikers met de volgende rollen zijn Owner en Contributor, waarna deze functie wordt ingeschakeld. Beheerderse-mailadressen worden opgehaald uit Azure AD op basis van roltoewijzingen. Ontvangers krijgen dezelfde waarschuwings-e-mails als het beveiligingsteam, maar uitsluitend binnen het bereik van hun abonnement.

Vereisten

Voor het implementeren van automatische beveiligingswaarschuwingen naar abonnementsbeheerders zijn verschillende technische en organisatorische vereisten van toepassing. Microsoft Defender voor Cloud moet actief zijn en geconfigureerd voor het abonnement waarop de waarschuwingen van toepassing zijn. Dit betekent dat Defender voor Cloud moet zijn ingeschakeld op ten minste het basisniveau, hoewel een upgrade naar het standaardniveau wordt aanbevolen voor volledige functionaliteit en geavanceerde waarschuwingsmogelijkheden. Voor geautomatiseerde configuratie en monitoring via scripts is PowerShell versie 5.1 of hoger vereist, waarbij PowerShell 7 of hoger wordt aanbevolen voor optimale prestaties en nieuwste cmdlet-ondersteuning. Daarnaast moeten de PowerShell-modules Az.Accounts en Az.Security geïnstalleerd zijn. Deze modules bieden de benodigde cmdlets voor verbinding met Azure en voor het beheren van beveiligingsinstellingen binnen Defender voor Cloud. De Az.Security-module bevat specifiek de functies voor het configureren en beheren van beveiligingscontacten en waarschuwingsinstellingen. Een kritieke vereiste is dat alle gebruikers met de rollen Owner of Contributor geldige e-mailadressen moeten hebben in Azure Active Directory. Deze e-mailadressen worden automatisch opgehaald op basis van roltoewijzingen op abonnementsniveau en vormen het doeladres voor waarschuwingsmeldingen. Het is essentieel dat deze e-mailadressen actief zijn en regelmatig worden gecontroleerd, omdat dit de primaire communicatiekanalen zijn voor kritieke beveiligingswaarschuwingen. Organisaties moeten daarom een proces hebben om ervoor te zorgen dat e-mailadressen van beheerders up-to-date blijven en dat afwezigheidsmeldingen correct zijn geconfigureerd voor belangrijke beveiligingspersoneel. Voor het configureren van deze instellingen is ten slotte een gebruiker met beheerdersrechten vereist. Idealiter heeft deze gebruiker de rol Security Administrator of Security Reader met aanvullende rechten voor het bewerken van Defender voor Cloud-instellingen. In grotere organisaties kan dit ook een aangepaste rol zijn die specifiek is ontworpen voor beveiligingsconfiguratiebeheer, waarbij het principe van minimale rechten wordt gevolgd. Het is belangrijk om te beseffen dat configuratiewijzigingen kunnen worden gecontroleerd via Azure-activiteitenlogboeken, wat helpt bij het handhaven van governance en compliance.

Monitoring

Gebruik PowerShell-script security-alerts-to-admins-enabled.ps1 (functie Invoke-Monitoring) – Verifieert de beheerderwaarschuwingsconfiguratie per abonnement met Get-AzSecurityContact.

Implementatie

De implementatie van automatische beveiligingswaarschuwingen naar abonnementsbeheerders begint met toegang tot de Microsoft Defender voor Cloud-portal. Navigeer naar de sectie Environment settings, waar alle geconfigureerde Azure-abonnementen worden weergegeven die verbonden zijn met de Defender voor Cloud-service. Deze centrale locatie biedt overzicht over alle omgevingen en maakt het mogelijk om instellingen per abonnement te beheren. Selecteer het specifieke abonnement waarvoor de beheerderwaarschuwingen moeten worden geconfigureerd. Het is belangrijk om te beseffen dat deze configuratie per abonnement wordt toegepast, wat betekent dat organisaties met meerdere abonnementen deze stappen moeten herhalen voor elk abonnement waar beheerdersmeldingen gewenst zijn. Dit abonnementsspecifieke beheer biedt flexibiliteit om verschillende waarschuwingsinstellingen toe te passen op verschillende omgevingen, zoals productie versus testomgevingen. Binnen de abonnementsinstellingen, klik op de optie E-mailmeldingen om toegang te krijgen tot de configuratie voor e-mailmeldingen. Deze sectie bevat verschillende opties voor wie waarschuwingen ontvangt en welke ernstniveaus worden meegedeeld. Schakel de optie in die aangeeft dat alle gebruikers met specifieke rollen moeten worden geïnformeerd. Deze benadering zorgt ervoor dat de configuratie automatisch wordt toegepast op alle personen die aan de geselecteerde rollen zijn toegewezen, zonder dat individuele gebruikers handmatig hoeven te worden toegevoegd. Selecteer de rollen Owner en Contributor voor de automatische meldingen. De rol Owner heeft volledige controle over alle resources binnen het abonnement en moet absoluut op de hoogte zijn van beveiligingsincidenten. De rol Contributor kan resources beheren maar heeft geen toegang tot toegangsbeheerinstellingen, maar deze gebruikers zijn vaak verantwoordelijk voor het operationele beheer en configuratie van resources, waardoor hun betrokkenheid bij beveiligingswaarschuwingen cruciaal is. Schakel waarschuwingen in voor High severity alerts. Dit ernstniveau omvat kritieke beveiligingsbedreigingen zoals actieve aanvallen, gecompromitteerde accounts, detectie van malware en andere ernstige incidenten die onmiddellijke aandacht vereisen. Voor organisaties met een volwassen Security Operations Center kan optioneel ook Medium severity worden ingeschakeld, wat waarschuwingen omvat voor potentieel verdachte activiteiten die nader onderzoek vereisen maar niet onmiddellijk kritiek zijn. Deze configuratie moet zorgvuldig worden overwogen om te voorkomen dat beheerders worden overspoeld met te veel meldingen, wat kan leiden tot waarschuwingsmoeheid. Na het configureren van alle instellingen, sla de configuratie op voor het abonnement. De wijzigingen worden direct actief en Defender voor Cloud begint automatisch met het verzenden van e-mailwaarschuwingen naar alle gebruikers met de geselecteerde rollen wanneer nieuwe beveiligingsincidenten met de opgegeven ernst worden gedetecteerd. Het is aan te raden om een testwaarschuwing te genereren of te wachten op de eerste echte waarschuwing om te verifiëren dat de configuratie correct functioneert en dat beheerders daadwerkelijk meldingen ontvangen.

Compliance en Auditing

De configuratie van automatische beveiligingswaarschuwingen naar abonnementsbeheerders draagt direct bij aan naleving van meerdere belangrijke beveiligings- en compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven. De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 2.1.21 dat beveiligingswaarschuwingen moeten worden verzonden naar abonnementsbeheerders. Deze controle valt onder niveau L1, wat betekent dat deze als basisvereiste wordt beschouwd en moet worden geïmplementeerd voor alle Azure-omgevingen. Naleving van deze controle is essentieel voor organisaties die streven naar CIS-compliance en wordt vaak vereist door audits en certificeringsprocessen. Binnen het ISO 27001:2022-raamwerk komt deze configuratie overeen met controle A.16.1.2, die betrekking heeft op het rapporteren van beveiligingsgebeurtenissen. Deze controle vereist dat organisaties procedures hebben voor het melden van beveiligingsgebeurtenissen aan relevante belanghebbenden binnen een redelijke tijdsperiode. Door automatische waarschuwingen te configureren voor beheerders met hoge bevoegdheden, voldoen organisaties aan deze vereiste door ervoor te zorgen dat verantwoordelijke partijen onmiddellijk worden geïnformeerd over beveiligingsincidenten. Daarnaast relateert dit aan controle A.6.1.3, die betrekking heeft op de toewijzing van verantwoordelijkheden voor informatiebeveiliging, door duidelijk te definiëren wie verantwoordelijk is voor het reageren op beveiligingswaarschuwingen. De NIS2-richtlijn, die vanaf oktober 2024 van toepassing is op essentiële en belangrijke entiteiten binnen de Europese Unie, specificeert in Artikel 23 de verplichtingen voor het melden van incidenten. Organisaties moeten significante cyberincidenten melden aan relevante autoriteiten binnen vierentwintig uur na detectie, en een gedetailleerd rapport binnen een redelijke termijn indienen. Door beveiligingswaarschuwingen automatisch naar abonnementsbeheerders te sturen, kunnen organisaties sneller reageren op incidenten en tijdig voldoen aan meldingsvereisten. Deze configuratie ondersteunt de accountability-vereisten binnen NIS2 door te zorgen dat verantwoordelijke beheerders onmiddellijk op de hoogte worden gesteld van potentiële incidenten. Het Baseline Informatiebeveiliging Overheid framework, dat de standaard is voor informatiebeveiliging binnen de Nederlandse overheid, adresseert dit onder thema 16.01 over incidentbeheer. Specifiek betreft dit de subcontrole 16.01.02, die vereist dat organisaties procedures hebben voor het melden van beveiligingsincidenten aan relevante beheerders en autoriteiten. De automatische verzending van beveiligingswaarschuwingen naar abonnementsbeheerders voldoet direct aan deze BIO-vereiste door geautomatiseerde meldingen te garanderen zonder afhankelijkheid van handmatige processen die foutgevoelig kunnen zijn. Voor auditdoeleinden is het belangrijk om te documenteren dat deze configuratie actief is en te verifiëren dat beheerders daadwerkelijk waarschuwingen ontvangen. Auditlogboeken in Azure kunnen worden gebruikt om aan te tonen wanneer de configuratie is gewijzigd en wie deze wijzigingen heeft doorgevoerd. Daarnaast kunnen e-mailmeldingen worden gebruikt als bewijs dat het meldingsproces functioneert zoals bedoeld.

Remediatie

Gebruik PowerShell-script security-alerts-to-admins-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Security Alerts to Admins .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.21 Controleert of security alerts worden verstuurd naar admins. .NOTES Filename: security-alerts-to-admins-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/security-alerts-to-admins-enabled.json CIS Control: 2.1.21 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][string]$Email ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Security Alerts to Admins" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Alerts uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "security-alerts-to-admins-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Alerts uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $contacts = Get-AzSecurityContact -ErrorAction SilentlyContinue if ($contacts -and $contacts.AlertsToAdmins -eq 'On') { $result.CompliantCount++ $result.Details += "✓ '$($sub.Name)': Alerts to admins enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ '$($sub.Name)': Alerts to admins DISABLED" $result.Recommendations += "Enable alerts to admins voor '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan if (-not $Email) { Write-Host "[FAIL] Email required" -ForegroundColor Red return } function Invoke-Revert { Write-Host "`n⚠️ Alerts uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $fixed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityContact -Name "default" -Email $Email -AlertsToAdmins On -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled for: $($sub.Name)" -ForegroundColor Green $fixed++ } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Alerts uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Zou alerts to admins enablen" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder beveiligingswaarschuwingen naar abonnementsbeheerders blijven resource-eigenaren onwetend van beveiligingsincidenten op hun resources. Er ontstaat een verantwoordelijkheidskloof waarbij beheerders niet verantwoordelijk kunnen worden gehouden. Een vertraagde respons treedt op omdat alleen het centrale beveiligingsteam wordt geïnformeerd. Compliance: CIS 2.1.21, NIS2. Het risico is medium - voornamelijk gerelateerd aan verantwoordelijkheid en governance.

Management Samenvatting

Beveiligingswaarschuwingen naar beheerders stuurt Defender-waarschuwingen automatisch naar abonnementeigenaren en Contributors voor resource-eigenaarsverantwoordelijkheid. Complementeert centrale beveiligingsteammeldingen. Activatie: Defender voor Cloud → E-mailmeldingen → Informeer abonnementsbeheerders. Gratis. Verplicht volgens CIS 2.1.21. Implementatie: 15 minuten. Zorgt voor bewustwording van resource-eigenaren.