L1 BIO 12.04 ISO A.12.4.1 CIS 5.1.2

Entra ID Activiteitenlogs Diagnostische Instelling

📅 2025-10-29
⏱️ 5 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Entra ID activiteitenlogs (aanmeldingslogs en auditlogs) moeten worden geëxporteerd naar een Log Analytics Workspace voor langetermijnbewaring, SIEM-integratie en geavanceerde beveiligingsanalyses. De standaard retentieperiode voor Entra ID logs is slechts 30 dagen, wat onvoldoende is voor compliance-audits en forensisch onderzoek die vaak 90 dagen of meer, of zelfs meerdere jaren aan retentie vereisen.

Aanbeveling
IMPLEMENTEER ENTRA ID LOG EXPORT
Risico zonder
Critical
Risk Score
9/10
Implementatie
3u (tech: 2u)
Van toepassing op:
Azure

Entra ID activiteitenlogs in de Azure Portal hebben een beperkte standaard retentieperiode van 30 dagen (Azure AD Free) of 90 dagen (Azure AD Premium), waarna de logs automatisch worden verwijderd. Dit is problematisch voor compliancekaders die 90 tot 365 dagen of zelfs 7 jaar retentie verplicht stellen (AVG, ISO 27001, BIO), beveiligingsonderzoek waarbij incidenttijdlijnen zich kunnen uitstrekken over maanden en historische logdata vereist is, trendanalyses waarbij langetermijn aanmeldingspatronen moeten worden geanalyseerd, en SIEM-integratie waarbij logs naar Microsoft Sentinel of externe SIEM-systemen moeten worden gestuurd. Exporteren naar Log Analytics lost dit op door configureerbare retentie van 30 tot 730 dagen (2 jaar) of aangepaste retentie via archivering, geavanceerde KQL-query's over historische data, SIEM-integratie voor gecentraliseerde beveiligingsmonitoring, en kosteneffectieve langetermijnopslag. Kritieke logcategorieën zijn SignInLogs (alle gebruikersaanmeldingen met locatie, apparaat, applicatie, MFA-status), AuditLogs (directorywijzigingen zoals gebruikersaanmaak, roltoewijzingen, beleidswijzigingen), NonInteractiveUserSignInLogs (service principal en beheerde identiteitsaanmeldingen), en RiskyUsers/RiskySignInLogs (Identity Protection-detecties).

PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph

Implementatie

Deze maatregel configureert Entra ID diagnostische instellingen om activiteitenlogs naar een Log Analytics Workspace te exporteren. De configuratie gebeurt via de Azure Portal onder Microsoft Entra ID → Diagnostische instellingen → Diagnostische instelling toevoegen waarbij alle relevante logcategorieën (SignInLogs, AuditLogs, NonInteractiveUserSignInLogs, ServicePrincipalSignInLogs, ManagedIdentitySignInLogs, ProvisioningLogs, ADFSSignInLogs, RiskyUsers, UserRiskEvents) worden geselecteerd en de bestemming naar Log Analytics Workspace wordt ingesteld met een retentie van minimaal 365 dagen. De kosten zijn afhankelijk van de organisatiegrootte en het aanmeldingsvolume, maar bedragen doorgaans €50-200 per maand voor middelgrote organisaties. De implementatie kost 2-3 uur inclusief retentieconfiguratie. Dit is een kritieke verplichte maatregel voor compliance en beveiligingsmonitoring, voldoet aan CIS Azure Benchmark controle 5.1.2 Niveau 1, BIO 12.04, ISO 27001 A.12.4.1, en AVG Artikel 5 gegevensretentievereisten.

Vereisten

Voor het exporteren van Entra ID activiteitenlogs naar Log Analytics Workspace zijn specifieke licenties en services vereist. Deze vereisten vormen de basis voor een succesvolle implementatie en garanderen dat alle benodigde functionaliteiten beschikbaar zijn. De primaire licentievereiste is Microsoft Entra ID P1 (Premium 1) of hoger. Deze licentie is essentieel omdat standaard Entra ID alleen aanmeldingslogs gedurende 7 dagen beschikbaar stelt en geen auditlogs, wat onvoldoende is voor compliance en beveiligingsmonitoring. Met Entra ID P1 worden aanmeldingslogs 30 dagen bewaard en auditlogs 30 dagen, terwijl Entra ID P2 deze periode uitbreidt naar 90 dagen voor beide logtypen. Deze licenties zijn bovendien vereist voor het exporteren van logs naar externe systemen zoals Log Analytics Workspace. Daarnaast is een Log Analytics Workspace (LAW) vereist. Dit is een Azure-omgeving waarin logdata wordt verzameld, opgeslagen en geanalyseerd. Het Log Analytics Workspace fungeert als centrale opslaglocatie voor alle geëxporteerde Entra ID logs en biedt mogelijkheden voor geavanceerde query's met KQL (Kusto Query Language), lange retentieperioden tot 730 dagen (2 jaar) standaard, en uitgebreide integratiemogelijkheden met SIEM-systemen zoals Microsoft Sentinel. Organisaties moeten ook beschikken over de juiste Azure-rollen en -machtigingen. Voor het configureren van diagnostische instellingen zijn beheerdersrechten op Entra ID-niveau vereist, zoals de rol Globale beheerder of Beveiligingsbeheerder. Voor het configureren van het Log Analytics Workspace zijn rechten op Azure-abonnementsniveau nodig, zoals Inzender of Log Analytics Inzender. Deze roltoewijzingen moeten worden afgestemd op het principe van minimale bevoegdheden. Vanuit complianceperspectief zijn aanvullende overwegingen belangrijk. Organisaties die vallen onder de AVG moeten voldoen aan gegevensretentievereisten die kunnen variëren van 90 dagen tot 7 jaar, afhankelijk van het type gegevens en de wettelijke verplichtingen. Het Log Analytics Workspace biedt flexibele retentieopties om aan deze vereisten te voldoen. Voor BIO-naleving is logging en monitoring van identiteitsactiviteiten verplicht volgens controle 12.04, wat specifieke eisen stelt aan de retentie en toegankelijkheid van logs.

Monitoring

Gebruik PowerShell-script entra-id-activity-logs-diagnostic-setting.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van Entra ID diagnostische instellingen is een kritieke taak voor het garanderen van continue compliance en effectieve beveiligingsmonitoring. Organisaties moeten regelmatig controleren of de export van activiteitenlogs naar Log Analytics Workspace correct functioneert en of alle vereiste logcategorieën daadwerkelijk worden geëxporteerd. De monitoringstrategie omvat meerdere aspecten. Ten eerste moet worden geverifieerd dat de diagnostische instellingen daadwerkelijk bestaan en correct zijn geconfigureerd. Dit betekent dat alle relevante logcategorieën moeten zijn geselecteerd: SignInLogs voor gebruikersaanmeldingen, AuditLogs voor directorywijzigingen, NonInteractiveUserSignInLogs voor service principal aanmeldingen, ServicePrincipalSignInLogs voor specifieke service principal activiteiten, ManagedIdentitySignInLogs voor beheerde identiteiten, ProvisioningLogs voor gebruikersinrichting, ADFSSignInLogs voor Active Directory Federation Services aanmeldingen, RiskyUsers en UserRiskEvents voor Identity Protection detecties. Ten tweede moet worden gecontroleerd of logs daadwerkelijk aankomen in het Log Analytics Workspace. Dit kan worden geverifieerd door KQL-query's uit te voeren op de SigninLogs en AuditLogs tabellen in Log Analytics. Het ontbreken van recente logs kan wijzen op configuratieproblemen, licentieproblemen, of onderbrekingen in de exportpijplijn. Organisaties moeten dagelijkse controles uitvoeren om te verifiëren dat logs binnen 24 uur na activiteit beschikbaar zijn in Log Analytics. Ten derde moet de retentieperiode regelmatig worden gecontroleerd. De configuratie moet minimaal 365 dagen retentie garanderen voor compliance, maar organisaties kunnen ervoor kiezen om deze periode te verlengen tot 730 dagen (2 jaar) of gebruik te maken van archiveringsoplossingen voor nog langere retentie. De actuele retentie-instelling kan worden gecontroleerd via de Azure Portal onder Log Analytics Workspace → Gebruik en geschatte kosten → Gegevensretentie. Daarnaast moet worden gemonitord of er kosten worden gemaakt en of deze binnen de verwachte budgettaire kaders vallen. Log Analytics Workspace kosten zijn afhankelijk van het volume aan gelogde gegevens, de retentieperiode, en eventuele query-gebruik. Organisaties moeten budgetwaarschuwingen configureren om onverwachte kosten te voorkomen. Vanuit complianceperspectief is het belangrijk dat regelmatig wordt gecontroleerd of de monitoring en logging voldoen aan de vereisten van relevante frameworks. Voor BIO-naleving betekent dit dat de logging moet voldoen aan controle 12.04, voor ISO 27001 aan controle A.12.4.1, en voor AVG aan artikel 5 gegevensretentievereisten. Documentatie van deze controles is essentieel voor audits en compliance-verificaties.

Implementatie

Gebruik PowerShell-script entra-id-activity-logs-diagnostic-setting.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van Entra ID diagnostische instellingen voor het exporteren van activiteitenlogs naar Log Analytics Workspace is een gestructureerd proces dat zorgvuldige planning en uitvoering vereist. Deze implementatie vormt de basis voor langetermijnbewaring van identiteitslogs, compliance-naleving en geavanceerde beveiligingsanalyses. Het implementatieproces begint met het navigeren naar de Azure Portal en het selecteren van Microsoft Entra ID. Binnen de Entra ID-omgeving moet worden genavigeerd naar de sectie Diagnostische instellingen, die zich bevindt onder het menu Monitoring. Deze sectie bevat alle geconfigureerde exportinstellingen voor Entra ID logs en biedt de mogelijkheid om nieuwe instellingen toe te voegen. Bij het toevoegen van een nieuwe diagnostische instelling moet eerst een naam worden gekozen die duidelijk aangeeft wat de instelling doet, bijvoorbeeld 'Entra-ID-Logs-naar-Log-Analytics'. Vervolgens moet de bestemming worden geselecteerd, waarbij 'Verzenden naar Log Analytics-werkruimte' moet worden gekozen. Dit zorgt ervoor dat alle geselecteerde logs worden geëxporteerd naar het opgegeven Log Analytics Workspace. De volgende cruciale stap is het selecteren van alle relevante logcategorieën die moeten worden geëxporteerd. Voor een complete logging-oplossing moeten minimaal de volgende categorieën worden geselecteerd: SignInLogs voor alle gebruikersaanmeldingen inclusief interactieve en niet-interactieve aanmeldingen, AuditLogs voor alle directorywijzigingen zoals gebruikersaanmaak, roltoewijzingen en beleidswijzigingen, NonInteractiveUserSignInLogs voor service principal en beheerde identiteitsaanmeldingen, ServicePrincipalSignInLogs voor specifieke service principal activiteiten, ManagedIdentitySignInLogs voor beheerde identiteitsaanmeldingen, ProvisioningLogs voor gebruikersinrichting en synchronisatie-activiteiten, ADFSSignInLogs voor Active Directory Federation Services aanmeldingen, RiskyUsers voor Identity Protection gebruikersrisico-detecties, en UserRiskEvents voor specifieke risicogebeurtenissen. Het selecteren van alle relevante categorieën is essentieel omdat het ontbreken van bepaalde logtypen kan leiden tot blinde vlekken in beveiligingsmonitoring en compliance-problemen. Na het selecteren van de logcategorieën moet het Log Analytics Workspace worden gekozen waar de logs naartoe moeten worden geëxporteerd. Organisaties kunnen kiezen voor een bestaand workspace of een nieuw workspace aanmaken specifiek voor Entra ID logs. Het is belangrijk om te overwegen of logs moeten worden gescheiden per omgeving (productie, test, ontwikkeling) of dat alle logs in één centraal workspace moeten worden verzameld voor gecentraliseerde monitoring. Een kritiek aspect van de implementatie is het configureren van de retentieperiode in het Log Analytics Workspace. Deze retentie moet minimaal 365 dagen zijn om te voldoen aan de meeste compliance-vereisten, maar organisaties moeten hun specifieke wettelijke verplichtingen controleren. Sommige organisaties hebben retentieperioden nodig van 730 dagen (2 jaar) of zelfs 7 jaar voor bepaalde typen gegevens. De retentie kan worden geconfigureerd via de Azure Portal onder Log Analytics Workspace → Gebruik en geschatte kosten → Gegevensretentie. Het is belangrijk om deze instelling direct na het aanmaken van de diagnostische instelling te configureren, omdat het wijzigen van retentie-instellingen voor bestaande data beperkingen kan hebben. Na de configuratie moet worden geverifieerd dat de export daadwerkelijk werkt. Dit kan worden gedaan door te wachten op nieuwe logactiviteit (bijvoorbeeld door een testaanmelding uit te voeren) en vervolgens te controleren of deze logs binnen 15-30 minuten verschijnen in het Log Analytics Workspace. Dit kan worden geverifieerd door een KQL-query uit te voeren op de SigninLogs of AuditLogs tabellen. Als logs niet verschijnen, moeten licentievereisten, machtigingen en configuratie-instellingen worden gecontroleerd. De implementatie moet worden gedocumenteerd met details over welke logcategorieën zijn geselecteerd, welk Log Analytics Workspace wordt gebruikt, wat de retentieperiode is, en wie verantwoordelijk is voor het monitoren en onderhouden van deze configuratie. Deze documentatie is essentieel voor compliance-audits en voor toekomstige beheerders die de configuratie moeten begrijpen of wijzigen.

Compliance en Auditing

Het exporteren van Entra ID activiteitenlogs naar Log Analytics Workspace is een kritieke vereiste voor naleving van meerdere belangrijke beveiligings- en compliancekaders die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige gegevens. Deze compliance-vereisten vormen de basis voor effectieve beveiligingsmonitoring, forensisch onderzoek en auditverificatie. De CIS Azure Benchmark controle 5.1.2 Niveau 1 vereist expliciet dat activiteitenlogs van cloud-identiteitsservices worden geëxporteerd naar een centraal loggingsysteem voor langetermijnbewaring en analyse. Deze controle maakt deel uit van de logging en monitoring-aanbevelingen die zijn ontworpen om organisaties in staat te stellen beveiligingsincidenten te detecteren, te onderzoeken en te reageren. Het niet naleven van deze controle betekent dat organisaties niet voldoen aan industrie-standaard beveiligingspraktijken en kunnen worden beschouwd als niet-compliant met algemeen aanvaarde cybersecurity-normen. De controle vereist specifiek dat alle aanmeldingslogs en auditlogs worden geëxporteerd naar een systeem dat langetermijnbewaring ondersteunt, wat Log Analytics Workspace perfect doet met zijn configureerbare retentieperioden. Voor Nederlandse overheidsorganisaties is de BIO (Baseline Informatiebeveiliging Overheid) van bijzonder belang. Controle 12.04 van de BIO vereist dat organisaties logging en monitoring implementeren voor identiteits- en toegangsbeheeractiviteiten. Dit omvat het loggen van alle aanmeldingspogingen, toegangsverzoeken, wijzigingen aan gebruikersaccounts, roltoewijzingen en andere identiteitsgerelateerde activiteiten. De BIO stelt specifieke eisen aan de retentie van deze logs, waarbij organisaties moeten kunnen aantonen dat logs beschikbaar zijn voor audits en forensisch onderzoek. Het exporteren van Entra ID logs naar Log Analytics Workspace met een retentieperiode van minimaal 365 dagen, en bij voorkeur langer, voldoet aan deze BIO-vereisten en stelt organisaties in staat om compliance te demonstreren tijdens audits. ISO 27001 controle A.12.4.1 vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle relevante beveiligingsgebeurtenissen. Deze controle maakt deel uit van het informatiebeveiligingsbeheersysteem (ISMS) en vereist dat logs voldoende detail bevatten om beveiligingsincidenten te kunnen onderzoeken en te kunnen verifiëren dat beveiligingscontroles effectief functioneren. Entra ID activiteitenlogs bevatten precies dit niveau van detail, met informatie over wie, wat, wanneer, waar en hoe voor elke identiteitsgerelateerde activiteit. Door deze logs te exporteren naar Log Analytics Workspace kunnen organisaties voldoen aan de ISO 27001-vereisten voor logbewaring, toegankelijkheid en analysebaarheid. De configureerbare retentieperioden in Log Analytics Workspace stellen organisaties in staat om logs te bewaren voor de periode die nodig is voor hun specifieke ISO 27001-certificering en auditcyclus. De Algemene Verordening Gegevensbescherming (AVG) stelt in artikel 5 specifieke eisen aan de verwerking van persoonsgegevens, inclusief het principe van opslagbeperking. Dit betekent dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld. Echter, voor beveiligings- en compliance-doeleinden kunnen organisaties gerechtvaardigd zijn om logs langer te bewaren. Het exporteren van Entra ID logs naar Log Analytics Workspace stelt organisaties in staat om een gebalanceerde aanpak te hanteren waarbij logs worden bewaard voor beveiligings- en compliance-doeleinden, maar waarbij ook duidelijk gedocumenteerd is waarom deze retentie noodzakelijk is. Daarnaast vereist de AVG dat organisaties kunnen aantonen dat ze passende technische en organisatorische maatregelen hebben genomen om persoonsgegevens te beschermen. Het loggen van alle identiteitsactiviteiten en het kunnen onderzoeken van beveiligingsincidenten is een essentieel onderdeel van deze maatregelen. Naast deze primaire compliancekaders zijn er aanvullende overwegingen voor organisaties die werken in specifieke sectoren. Organisaties in de financiële sector moeten mogelijk voldoen aan aanvullende eisen van de Autoriteit Financiële Markten (AFM) of De Nederlandsche Bank (DNB). Organisaties in de zorgsector moeten rekening houden met de NEN 7510 norm voor informatiebeveiliging in de zorg. Al deze kaders hebben gemeenschappelijke vereisten voor logging en monitoring van identiteitsactiviteiten, wat het exporteren van Entra ID logs naar Log Analytics Workspace tot een universele best practice maakt. Voor auditdoeleinden is het essentieel dat organisaties kunnen aantonen dat de logging-oplossing correct is geconfigureerd en functioneert. Dit betekent dat regelmatig moet worden geverifieerd dat logs daadwerkelijk worden geëxporteerd, dat de retentieperiode correct is ingesteld, en dat logs toegankelijk zijn voor analyse. Documentatie van de configuratie, regelmatige verificaties en bewijs van logdata zijn allemaal belangrijk voor succesvolle compliance-audits. Het Log Analytics Workspace biedt de mogelijkheid om deze verificaties uit te voeren door middel van KQL-query's die kunnen aantonen dat logs worden ontvangen en opgeslagen.

Remediatie

Gebruik PowerShell-script entra-id-activity-logs-diagnostic-setting.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring aangeeft dat Entra ID diagnostische instellingen ontbreken, niet correct zijn geconfigureerd, of niet functioneren, is onmiddellijke remediatie vereist om compliance en beveiligingsmonitoring te herstellen. Het ontbreken van adequate logging kan leiden tot blinde vlekken in beveiligingsmonitoring, onmogelijkheid om beveiligingsincidenten te onderzoeken, en compliance-schendingen. De remediatie begint met het identificeren van het specifieke probleem. Als de diagnostische instelling volledig ontbreekt, moet deze worden aangemaakt volgens de implementatie-instructies. Dit omvat het navigeren naar Microsoft Entra ID in de Azure Portal, het selecteren van Diagnostische instellingen, en het toevoegen van een nieuwe instelling met alle relevante logcategorieën en de juiste bestemming naar Log Analytics Workspace. Als de diagnostische instelling wel bestaat maar niet correct functioneert, moet worden onderzocht wat het probleem is. Veelvoorkomende problemen zijn ontbrekende logcategorieën die niet zijn geselecteerd, een verkeerd of niet-bestaand Log Analytics Workspace als bestemming, licentieproblemen waarbij Entra ID P1 of P2 ontbreekt, of machtigingsproblemen waarbij de service principal of beheerde identiteit niet de juiste rechten heeft om naar het Log Analytics Workspace te schrijven. Voor licentieproblemen moet worden gecontroleerd of de organisatie beschikt over Microsoft Entra ID P1 of P2 licenties. Zonder deze licenties kunnen logs niet worden geëxporteerd naar externe systemen zoals Log Analytics Workspace. Als licenties ontbreken, moeten deze worden aangeschaft en toegewezen aan de relevante gebruikers of service principals. Machtigingsproblemen kunnen worden opgelost door te verifiëren dat de diagnostische instelling de juiste rechten heeft om naar het Log Analytics Workspace te schrijven. Dit vereist meestal de rol Log Analytics Inzender of Inzender op het Log Analytics Workspace-niveau. Deze rollen kunnen worden toegewezen via de Azure Portal onder het Log Analytics Workspace → Toegangsbeheer (IAM) → Roltoewijzing toevoegen. Als logs wel worden geëxporteerd maar de retentieperiode onvoldoende is, moet de retentie-instelling in het Log Analytics Workspace worden aangepast. Dit kan worden gedaan via de Azure Portal onder Log Analytics Workspace → Gebruik en geschatte kosten → Gegevensretentie. De retentie moet worden ingesteld op minimaal 365 dagen, of langer indien vereist door compliancekaders. Na het uitvoeren van de remediatie moet worden geverifieerd dat de oplossing werkt. Dit kan worden gedaan door te wachten op nieuwe logactiviteit en te controleren of deze logs verschijnen in het Log Analytics Workspace binnen 15-30 minuten. Een KQL-query kan worden gebruikt om te verifiëren dat recente logs zijn ontvangen. Als logs nog steeds niet verschijnen, moeten aanvullende troubleshooting-stappen worden ondernomen, zoals het controleren van Azure Service Health voor bekende problemen, het controleren van netwerkconnectiviteit, en het raadplegen van Azure Monitor-logboeken voor foutmeldingen. Het is belangrijk om na remediatie de monitoring te versterken om te voorkomen dat het probleem opnieuw optreedt. Dit kan worden gedaan door Azure Policy te gebruiken om te controleren dat diagnostische instellingen altijd aanwezig zijn en correct zijn geconfigureerd, door regelmatige geautomatiseerde controles uit te voeren, en door waarschuwingen in te stellen die worden geactiveerd wanneer logs niet worden ontvangen gedurende een bepaalde periode.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Entra ID Activity Logs Diagnostic Setting .DESCRIPTION CIS Azure Foundations Benchmark - Control 5.20 Controleert diagnostic settings voor Entra ID activity logs. .NOTES Filename: entra-id-activity-logs-diagnostic-setting.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 5.20 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Monitor [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Entra ID Activity Logs Diagnostic Setting" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Azure AD > Diagnostic settings" -ForegroundColor Gray Write-Host " - AuditLogs en SignInLogs enabled" -ForegroundColor Gray Write-Host " - Logs naar Log Analytics workspace" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: Entra ID diagnostic settings" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Azure AD > Diagnostic settings" -ForegroundColor Gray Write-Host " - AuditLogs en SignInLogs enabled" -ForegroundColor Gray Write-Host " - Logs naar Log Analytics workspace" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: Entra ID diagnostic settings" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Entra ID logs (aanmeldingen, audit) hebben standaard slechts 30 dagen retentie, wat onvoldoende is voor grondige onderzoeken. Forensisch onderzoek naar accountcompromittering is onmogelijk na 30 dagen. Compliance-vereisten: CIS 5.1.2, BIO 12.04, AVG. Het risico is kritiek - de identiteitsaudittrail ontbreekt.

Management Samenvatting

Entra ID Activiteitenlogs Diagnostische Instelling: Exporteer aanmeldingslogs en auditlogs naar Log Analytics (365+ dagen retentie). Identiteitsforensisch onderzoek mogelijk. Activatie: Entra ID → Diagnostische instellingen → Verzenden naar Log Analytics-werkruimte. Kosten: €100-300 per maand. Verplicht voor CIS 5.1.2, BIO 12.04, AVG. Implementatie: 2-3 uur. Kritieke identiteitsaudittrail.