💼 Management Samenvatting
Het sturen van Microsoft Intune diagnostische logs naar een Log Analytics Workspace biedt gecentraliseerde logging van apparaatbeheeractiviteiten, beleidsimplementaties, wijzigingen in compliancestatus en registratieactiviteiten. Deze MDM (Mobile Device Management) audittrail is optioneel maar waardevol voor het oplossen van Intune-problemen en compliance-auditing van apparaatbeheer.
Aanbeveling
OVERWEEG INTUNE LOGGING
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 1u)
Van toepassing op:
✓ Azure
Het Intune-portal biedt ingebouwde rapporten en dashboards voor apparaatcompliance, beleidstoewijzingen en registratiestatus, maar deze native zichtbaarheid is beperkt tot recente gegevens en biedt geen langetermijnbewaring of geavanceerde querymogelijkheden. Het sturen van Intune-logs naar Log Analytics voegt functionaliteit toe zoals een langetermijnaudittrail van apparaatregistratie- en deregistratiesgebeurtenissen, beleidsimplementatiegeschiedenis en fouten, wijzigingen in compliancestatus over tijd, en correlatie met andere Azure-logs (bijvoorbeeld het koppelen van apparaatnon-compliance aan beveiligingsincidenten). De waarde is primair voor grote Intune-implementaties met honderden apparaten waar het oplossen van problemen complex wordt, of voor compliance-intensieve omgevingen die meerdere jaren durende audittrails van MDM-operaties vereisen. Voor kleine tot middelgrote Intune-implementaties zijn native Intune-rapporten doorgaans voldoende en is Log Analytics-integratie optioneel.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Deze maatregel configureert Intune Diagnostic Settings om logs te verzenden naar een Log Analytics Workspace. De implementatie gebeurt via Microsoft Intune admin center of Microsoft Entra admin center waarbij Diagnostic Settings worden ingeschakeld met Intune audit logs als categorie en Log Analytics als bestemming. De kosten zijn minimaal (typisch laag logvolume) en implementatie kost 1 uur. Dit is Should-Have prioriteit (optioneel) en relevant voor BIO 12.04 bij grote MDM-implementaties.
Vereisten
Voordat u begint met het configureren van Intune diagnostische logs voor Log Analytics, moet u ervoor zorgen dat aan alle technische en licentievereisten wordt voldaan. Deze vereisten zijn essentieel om een soepele implementatie te garanderen en om ervoor te zorgen dat alle functionaliteiten correct werken zonder onvoorziene belemmeringen. Het niet voldoen aan deze vereisten kan leiden tot implementatiefouten, onvolledige logexport, of complianceproblemen die later moeten worden opgelost.
De primaire vereiste is een actief Microsoft Intune-abonnement met de juiste licenties. Microsoft Intune maakt deel uit van Microsoft Endpoint Manager en vereist een van de volgende licentieopties: Microsoft 365 E3 of E5, Enterprise Mobility + Security E3 of E5, of een standalone Intune-licentie. Zonder deze licenties heeft u geen toegang tot de diagnostische instellingen die nodig zijn om logs te exporteren. Het is belangrijk om te verifiëren dat uw licentieovereenkomst nog geldig is en dat alle benodigde functies zijn geactiveerd. Voor Nederlandse overheidsorganisaties die gebruikmaken van overheidslicenties is het raadzaam om te controleren of de licentieovereenkomst de export van diagnostische logs naar Log Analytics toestaat, aangezien sommige licentievarianten mogelijk beperkingen hebben op gegevensexport.
Daarnaast moet er een Log Analytics Workspace beschikbaar zijn in uw Azure-abonnement. Deze workspace dient als centrale opslaglocatie voor alle loggegevens die vanuit Intune worden gestuurd. Als u nog geen Log Analytics Workspace heeft, kunt u deze eenvoudig aanmaken via de Azure Portal. Het is belangrijk om te bepalen in welke Azure-regio u de workspace wilt plaatsen, bij voorkeur in dezelfde regio als waar uw andere Azure-services draaien om latency te minimaliseren en compliancevereisten te respecteren. Voor Nederlandse organisaties is het van cruciaal belang om te kiezen voor een Azure-regio die voldoet aan de Nederlandse datalocatievereisten, zoals West-Europa (Nederland) of Noord-Europa, om te voldoen aan de AVG en andere nationale regelgeving. Bovendien moet u overwegen of u een bestaande workspace wilt gebruiken of een nieuwe workspace specifiek voor Intune-logs wilt aanmaken. Een dedicated workspace biedt betere scheiding van taken en maakt het eenvoudiger om toegangscontroles te beheren, terwijl een gedeelde workspace kosten kan besparen maar mogelijk complexer is om te beheren.
U heeft ook de juiste machtigingen nodig om diagnostische instellingen te configureren. Voor het configureren van Intune-diagnostische instellingen moet u beschikken over de rol Intune Service Administrator of Global Administrator in Microsoft Entra ID. Voor het configureren van de Log Analytics Workspace heeft u minimaal de rol Log Analytics Contributor nodig op het abonnementsniveau of op resourcegroepniveau. Zonder deze machtigingen zult u geen wijzigingen kunnen aanbrengen in de configuratie. Het is belangrijk om het principe van minimale bevoegdheden te volgen en alleen de benodigde rollen toe te kennen aan gebruikers die daadwerkelijk de configuratie moeten uitvoeren. Voor grotere organisaties is het aan te bevelen om een dedicated service account of managed identity te gebruiken voor de configuratie, in plaats van individuele gebruikersaccounts, om de beveiliging te verbeteren en de traceerbaarheid te vergroten.
Ten slotte moet u rekening houden met de kosten. Hoewel de kosten voor het verzenden van Intune-logs naar Log Analytics doorgaans minimaal zijn, vooral voor middelgrote organisaties, kunnen deze oplopen bij zeer grote implementaties met duizenden apparaten. Het is raadzaam om de kosten te monitoren via Azure Cost Management en om indien nodig logretentie-instellingen aan te passen om kosten te beheersen. De kosten zijn voornamelijk gebaseerd op het volume aan loggegevens dat wordt opgeslagen en de retentieperiode die u configureert. Voor de meeste organisaties zal het logvolume relatief laag zijn, aangezien Intune voornamelijk auditgebeurtenissen logt zoals apparaatregistraties en beleidswijzigingen, in plaats van continue operationele logs. Echter, bij implementaties met duizenden apparaten en frequente beleidswijzigingen kan het logvolume aanzienlijk zijn. Het is daarom belangrijk om van tevoren een schatting te maken van het verwachte logvolume en om retentie-instellingen te configureren die balanceren tussen compliancevereisten en kostenbeheersing. Voor Nederlandse overheidsorganisaties die moeten voldoen aan archiveringswettgeving kan een langere retentieperiode vereist zijn, wat de kosten kan verhogen.
Naast deze primaire vereisten zijn er ook enkele technische overwegingen die belangrijk zijn voor een succesvolle implementatie. U moet ervoor zorgen dat er voldoende netwerkconnectiviteit is tussen Intune en uw Azure-abonnement, en dat eventuele firewallregels of netwerkbeveiligingsgroepen de communicatie tussen Intune en Log Analytics niet blokkeren. Bovendien moet u overwegen of u aanvullende beveiligingsmaatregelen wilt implementeren, zoals versleuteling van loggegevens in transit en at rest, of het gebruik van private endpoints voor extra beveiliging. Deze overwegingen zijn vooral relevant voor organisaties die werken met gevoelige gegevens of die moeten voldoen aan strikte beveiligingsvereisten.
Implementatie
Gebruik PowerShell-script intune-logs-log-analytics.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Intune diagnostische logs naar Log Analytics begint met het configureren van de diagnostische instellingen in het Microsoft Intune admin center. Deze configuratie zorgt ervoor dat alle relevante auditgebeurtenissen en operationele logs automatisch worden doorgestuurd naar uw Log Analytics Workspace, waar ze kunnen worden opgeslagen, geanalyseerd en gecorreleerd met andere Azure-loggegevens. Deze geïntegreerde aanpak maakt het mogelijk om een holistisch beeld te krijgen van de beveiligingsstatus van uw organisatie, waarbij Intune-gebeurtenissen kunnen worden gekoppeld aan andere beveiligingsincidenten die worden gedetecteerd door Azure Security Center of Microsoft Sentinel.
De eerste stap in het implementatieproces is het aanmelden bij het Microsoft Intune admin center met een account dat beschikt over Intune Service Administrator of Global Administrator rechten. Navigeer vervolgens naar Tenant administration en selecteer Diagnostic settings. Hier vindt u de optie om nieuwe diagnostische instellingen te configureren. U kunt deze instellingen ook configureren via het Microsoft Entra admin center onder dezelfde sectie, aangezien Intune integreert met Entra ID voor identiteits- en toegangsbeheer. Het gebruik van het Entra admin center kan handig zijn als u al andere diagnostische instellingen voor Entra ID-services hebt geconfigureerd en u een consistente configuratie wilt behouden. Beide methoden leiden tot hetzelfde resultaat, dus de keuze is voornamelijk gebaseerd op persoonlijke voorkeur en de bestaande werkprocessen binnen uw organisatie.
Bij het configureren van de diagnostische instellingen moet u de categorie Intune audit logs selecteren. Deze categorie bevat alle relevante gebeurtenissen zoals apparaatregistraties, beleidsimplementaties, compliancestatuswijzigingen, en administratieve acties. U kunt ervoor kiezen om alleen specifieke logcategorieën te exporteren, maar voor een volledige audittrail wordt aanbevolen om alle beschikbare categorieën te selecteren. Dit zorgt ervoor dat u een compleet overzicht heeft van alle activiteiten binnen uw Intune-omgeving, wat essentieel is voor compliance-auditing en troubleshooting. Specifieke gebeurtenissen die worden vastgelegd omvatten onder meer apparaatregistraties en deregistraties, wijzigingen in apparaatconfiguraties, toepassing van compliancebeleid, wijzigingen in app-toewijzingen, en alle administratieve acties die worden uitgevoerd door beheerders binnen het Intune-portal.
Vervolgens selecteert u Log Analytics als bestemmingslocatie voor de logs. U moet de juiste Log Analytics Workspace selecteren uit uw Azure-abonnement. Zorg ervoor dat u de workspace selecteert die bedoeld is voor security en compliance logging, zodat alle logs op een centrale locatie worden verzameld voor analyse en auditdoeleinden. Als u meerdere workspaces heeft, overweeg dan om een dedicated workspace te gebruiken voor security logs om scheiding van taken te garanderen. Deze aanpak maakt het eenvoudiger om toegangscontroles te beheren en om te voldoen aan compliancevereisten waarbij security logs mogelijk striktere toegangsbeperkingen hebben dan operationele logs. Bovendien kan een dedicated workspace helpen bij het beheren van kosten, aangezien u specifieke retentie-instellingen en kostenbeperkingen kunt toepassen op security logs zonder dat dit invloed heeft op andere loggegevens.
Na het configureren van de instellingen worden de logs automatisch doorgestuurd naar Log Analytics. Het kan enkele minuten duren voordat de eerste logs zichtbaar zijn in de Log Analytics workspace, afhankelijk van de activiteit in uw Intune-omgeving. Als er weinig activiteit is, kan het langer duren voordat u de eerste logvermeldingen ziet. U kunt de configuratie verifiëren door een KQL-query uit te voeren in Log Analytics om te controleren of logs worden ontvangen. Een typische query zou kunnen zijn: IntuneAuditLogs | take 10 om de laatste tien auditlogvermeldingen te bekijken. Als u geen logs ziet, controleer dan of de diagnostische instellingen correct zijn geconfigureerd en of er daadwerkelijk activiteit is in uw Intune-omgeving. U kunt ook controleren of er foutmeldingen zijn in de Azure Monitor-diagnostische instellingen die kunnen wijzen op problemen met de logexport.
Voor geautomatiseerde implementatie kunt u het bijbehorende PowerShell-script gebruiken dat alle bovenstaande stappen programmatisch uitvoert. Dit script verbindt met Microsoft Graph API en configureert de diagnostische instellingen zonder handmatige interventie. Dit is vooral handig bij grootschalige implementaties of wanneer u de configuratie wilt herhalen in meerdere tenants of omgevingen. Het script biedt ook de mogelijkheid om de configuratie te valideren en om foutafhandeling te implementeren, wat helpt om ervoor te zorgen dat de implementatie succesvol is. Bovendien maakt het script het mogelijk om de configuratie te documenteren als code, wat helpt bij versiebeheer en bij het reproduceren van de configuratie in andere omgevingen. Voor organisaties die Infrastructure as Code (IaC) principes volgen, kan dit script worden geïntegreerd in CI/CD-pipelines om automatische implementatie en validatie mogelijk te maken.
Na de initiële configuratie is het belangrijk om de logexport te monitoren om ervoor te zorgen dat alles correct functioneert. U moet regelmatig controleren of logs worden ontvangen in Log Analytics en of de loggegevens compleet en accuraat zijn. Het is ook aan te bevelen om waarschuwingen te configureren die worden geactiveerd wanneer er een onverwachte afname is in het aantal binnenkomende logs, wat kan wijzen op een probleem met de configuratie of op een onderbreking in de logexport. Deze proactieve monitoring helpt om problemen snel te identificeren en op te lossen voordat ze leiden tot gaten in de audittrail of complianceproblemen.
Compliance en Auditing
Het exporteren van Intune-logs naar Log Analytics speelt een cruciale rol in het voldoen aan compliancevereisten, met name voor Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). De relevante controle binnen deze baseline is BIO 12.04, die specifiek eisen stelt aan logging en monitoring van beheersactiviteiten. Deze controle is onderdeel van het beveiligingsdomein dat zich richt op het monitoren en loggen van alle relevante beveiligingsgebeurtenissen en beheersactiviteiten binnen de organisatie. Voor Mobile Device Management (MDM) oplossingen zoals Microsoft Intune is dit bijzonder relevant, aangezien apparaatbeheer een kritiek onderdeel vormt van de beveiligingspostuur van moderne organisaties.
BIO 12.04 vereist dat organisaties alle relevante beveiligingsgebeurtenissen en beheersactiviteiten loggen en monitoren. Voor Mobile Device Management (MDM) oplossingen zoals Microsoft Intune betekent dit dat alle apparaatregistraties, beleidsimplementaties, compliancestatuswijzigingen en administratieve acties moeten worden vastgelegd in een auditlog. Het sturen van deze logs naar Log Analytics zorgt voor langetermijnbewaring en maakt geavanceerde analyse en correlatie mogelijk, wat essentieel is voor compliance-auditing. De controle vereist niet alleen dat gebeurtenissen worden gelogd, maar ook dat deze logs toegankelijk zijn voor auditing en dat er procedures zijn voor het analyseren en reageren op afwijkingen. Door logs naar Log Analytics te exporteren, voldoen organisaties aan deze vereisten door een gecentraliseerde, doorzoekbare en langdurig bewaarde audittrail te creëren die voldoet aan de eisen van BIO 12.04.
Naast BIO-compliance draagt deze implementatie ook bij aan andere compliancekaders zoals ISO 27001 en NEN 7510 voor zorggegevens. ISO 27001 vereist dat organisaties een informatiebeveiligingsmanagementsysteem (ISMS) implementeren dat onder meer logging en monitoring omvat. De controle A.12.4.1 binnen ISO 27001 specifiek vereist dat organisaties alle relevante beveiligingsgebeurtenissen worden gelogd en gemonitord. NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg, stelt vergelijkbare eisen aan logging en monitoring, met extra aandacht voor de bescherming van patiëntgegevens. Log Analytics biedt de mogelijkheid om logs langdurig op te slaan, wat vereist is voor auditdoeleinden. De standaard bewaartermijn kan worden aangepast naar behoefte, waarbij veel organisaties kiezen voor een bewaartermijn van minimaal 7 jaar voor auditlogs, conform Nederlandse archiveringswettgeving. Voor zorgorganisaties kan een langere bewaartermijn vereist zijn, afhankelijk van de specifieke regelgeving die van toepassing is op de behandelde patiëntgegevens.
Voor auditing doeleinden biedt Log Analytics krachtige querymogelijkheden via KQL (Kusto Query Language) waarmee auditors specifieke gebeurtenissen kunnen traceren, patronen kunnen identificeren en compliance kunnen verifiëren. Bijvoorbeeld kunnen auditors controleren of alle niet-compliant apparaten zijn geïdentificeerd en actie is ondernomen, of kunnen zij de volledige geschiedenis van beleidswijzigingen doorlopen om te verifiëren dat wijzigingen correct zijn geautoriseerd en uitgevoerd. Deze querymogelijkheden maken het mogelijk om complexe analyses uit te voeren, zoals het identificeren van trends in apparaatcompliance over tijd, het detecteren van ongebruikelijke patronen in apparaatregistraties, of het verifiëren dat alle vereiste beveiligingsbeleidsregels correct zijn toegepast op alle apparaten. Bovendien kunnen auditors gebruikmaken van vooraf gedefinieerde query's of aangepaste query's maken om specifieke compliancevragen te beantwoorden tijdens audits.
Het is belangrijk om te realiseren dat alleen het configureren van logging niet voldoende is voor volledige compliance. Organisaties moeten ook procedures implementeren voor regelmatige review van logs, het identificeren van afwijkingen, en het nemen van corrigerende maatregelen wanneer dat nodig is. Log Analytics kan hierbij ondersteunen door geautomatiseerde waarschuwingen te configureren voor kritieke gebeurtenissen zoals ongeautoriseerde apparaatregistraties of plotselinge wijzigingen in compliancestatus. Deze waarschuwingen kunnen worden geïntegreerd met incident response processen om ervoor te zorgen dat afwijkingen snel worden geïdentificeerd en aangepakt. Bovendien moeten organisaties documenteren wie toegang heeft tot de logs, hoe vaak logs worden gereviewd, en welke acties worden ondernomen wanneer afwijkingen worden gedetecteerd. Deze documentatie is essentieel voor compliance-auditing en helpt auditors te verifiëren dat de organisatie daadwerkelijk gebruikmaakt van de logs voor beveiligingsdoeleinden en niet alleen voor het voldoen aan formele vereisten.
Voor Nederlandse overheidsorganisaties zijn er ook specifieke vereisten met betrekking tot de locatie waar gegevens worden opgeslagen. De AVG vereist dat persoonsgegevens alleen worden verwerkt binnen de Europese Economische Ruimte (EER), tenzij er passende waarborgen zijn. Door ervoor te zorgen dat de Log Analytics Workspace zich bevindt in een Azure-regio binnen de EER, zoals West-Europa of Noord-Europa, voldoen organisaties aan deze vereisten. Bovendien moeten organisaties overwegen of de loggegevens persoonsgegevens bevatten en of er aanvullende maatregelen nodig zijn om de privacy te beschermen, zoals het pseudonimiseren of anonimiseren van gegevens voordat ze worden opgeslagen in Log Analytics.
Monitoring
Gebruik PowerShell-script intune-logs-log-analytics.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de Intune-logexport naar Log Analytics is essentieel om ervoor te zorgen dat de configuratie correct functioneert en dat alle relevante gebeurtenissen daadwerkelijk worden vastgelegd. Zonder adequate monitoring bestaat het risico dat logs verloren gaan of dat configuratiewijzigingen onopgemerkt blijven, wat kan leiden tot gaten in de audittrail en complianceproblemen. Deze monitoring moet een continue activiteit zijn, niet alleen een eenmalige controle na implementatie. Organisaties moeten een gestructureerde aanpak volgen waarbij verschillende aspecten van de logexport regelmatig worden gecontroleerd om ervoor te zorgen dat de configuratie blijft functioneren zoals bedoeld.
De primaire monitoringactiviteit bestaat uit het regelmatig controleren of de diagnostische instellingen nog actief zijn en correct zijn geconfigureerd. Dit kunt u doen via het Microsoft Intune admin center of via PowerShell-scripts die de configuratiestatus verifiëren. Het bijbehorende monitoring-script voert automatisch controles uit om te bevestigen dat de diagnostische instellingen zijn ingeschakeld, dat de juiste logcategorieën zijn geselecteerd, en dat de Log Analytics Workspace correct is geconfigureerd als bestemming. Deze controles moeten minimaal wekelijks worden uitgevoerd, maar voor kritieke omgevingen kan dagelijkse monitoring aanbevolen zijn. Het script kan worden geautomatiseerd via Azure Automation of via geplande taken om ervoor te zorgen dat controles consistent worden uitgevoerd zonder handmatige interventie.
Daarnaast moet u controleren of logs daadwerkelijk in Log Analytics aankomen. U kunt dit doen door regelmatig KQL-queries uit te voeren om te verifiëren dat nieuwe logvermeldingen worden ontvangen. Een afname in het aantal binnenkomende logs kan duiden op een probleem met de configuratie of op een onderbreking in de logexport. Het is aan te bevelen om dagelijks te controleren of logs worden ontvangen, vooral in de eerste weken na implementatie. Na de initiële periode kan de frequentie worden verlaagd naar wekelijks, maar het blijft belangrijk om regelmatig te controleren. U kunt een baseline vaststellen van het verwachte logvolume op basis van de activiteit in uw Intune-omgeving, en waarschuwingen configureren wanneer het werkelijke volume significant afwijkt van deze baseline. Dit helpt om problemen snel te identificeren, zelfs wanneer er nog steeds logs worden ontvangen maar het volume onverwacht laag is.
Voor geautomatiseerde monitoring kunt u Log Analytics-waarschuwingen configureren die worden geactiveerd wanneer er een onverwachte afname is in het aantal binnenkomende logs, of wanneer er een configuratiewijziging wordt gedetecteerd in de diagnostische instellingen. Deze waarschuwingen kunnen worden verzonden naar beveiligingsteams of IT-beheerders via e-mail, SMS, of integratie met incident response systemen zoals Microsoft Sentinel. Het configureren van deze waarschuwingen is bijzonder belangrijk omdat het ervoor zorgt dat problemen snel worden geïdentificeerd, zelfs wanneer er geen regelmatige handmatige controles worden uitgevoerd. U kunt waarschuwingen configureren voor verschillende scenario's, zoals wanneer er gedurende een bepaalde periode geen logs worden ontvangen, wanneer het logvolume significant afneemt, of wanneer er wijzigingen worden gedetecteerd in de diagnostische instellingen. Deze proactieve aanpak helpt om complianceproblemen te voorkomen door ervoor te zorgen dat eventuele problemen snel worden opgemerkt en aangepakt.
Ten slotte is het belangrijk om de kwaliteit van de gelogde gegevens te monitoren. Controleer regelmatig of alle verwachte velden aanwezig zijn in de logs, of de tijdstempels correct zijn, en of de gegevens consistent en compleet zijn. Onvolledige of inconsistente logs kunnen de effectiviteit van auditing en troubleshooting verminderen. U kunt dit doen door steekproefsgewijs logvermeldingen te controleren en door query's uit te voeren die controleren op ontbrekende of ongeldige gegevens. Bijvoorbeeld kunt u een query maken die controleert of alle logvermeldingen de vereiste velden bevatten, of een query die identificeert wanneer tijdstempels buiten het verwachte bereik vallen. Deze kwaliteitscontroles moeten maandelijks worden uitgevoerd om ervoor te zorgen dat de loggegevens betrouwbaar blijven voor auditing en troubleshooting doeleinden.
Naast deze technische monitoringactiviteiten is het ook belangrijk om de effectiviteit van de monitoring zelf te evalueren. Organisaties moeten regelmatig beoordelen of de monitoringactiviteiten daadwerkelijk problemen identificeren voordat ze leiden tot complianceproblemen of gaten in de audittrail. Dit kan worden gedaan door te analyseren hoe vaak problemen worden gedetecteerd door monitoring versus hoe vaak ze worden gedetecteerd door andere middelen, zoals gebruikersrapportages of externe audits. Op basis van deze evaluatie kunnen monitoringprocessen worden verbeterd om ervoor te zorgen dat ze effectief zijn in het identificeren en voorkomen van problemen.
Remediatie
Gebruik PowerShell-script intune-logs-log-analytics.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of auditing aangeeft dat de Intune-logexport naar Log Analytics niet correct is geconfigureerd of niet functioneert, is snelle remediatie essentieel om ervoor te zorgen dat er geen audittrail verloren gaat. De remediatieprocedure moet systematisch worden uitgevoerd om alle mogelijke oorzaken te adresseren en om te garanderen dat de configuratie volledig wordt hersteld. Het is belangrijk om een gestructureerde aanpak te volgen waarbij eerst het probleem wordt geïdentificeerd, vervolgens de oorzaak wordt vastgesteld, en ten slotte de configuratie wordt hersteld met verificatie dat alles correct functioneert. Deze systematische aanpak helpt om ervoor te zorgen dat alle aspecten van het probleem worden aangepakt en dat de configuratie volledig wordt hersteld zonder dat er aspecten over het hoofd worden gezien.
De eerste stap in het remediatieproces is het identificeren van het probleem. Veelvoorkomende problemen zijn: diagnostische instellingen die zijn uitgeschakeld of verwijderd, wijzigingen in de Log Analytics Workspace-configuratie, ontbrekende machtigingen voor de service principal die verantwoordelijk is voor de logexport, of problemen met de netwerkconnectiviteit tussen Intune en Azure. Het bijbehorende remediatie-script voert automatisch diagnostische controles uit om de oorzaak van het probleem te identificeren. Deze controles omvatten het verifiëren van de status van de diagnostische instellingen, het controleren van de configuratie van de Log Analytics Workspace, het valideren van machtigingen, en het testen van de netwerkconnectiviteit. Op basis van de resultaten van deze controles kan het script automatisch bepalen wat de oorzaak van het probleem is en welke stappen nodig zijn om het op te lossen.
Als de diagnostische instellingen ontbreken of onjuist zijn geconfigureerd, moet u deze opnieuw configureren volgens de implementatie-instructies. Het remediatie-script kan dit automatisch uitvoeren door de correcte configuratie te herstellen met alle vereiste instellingen. Zorg ervoor dat u de juiste logcategorieën selecteert en dat de juiste Log Analytics Workspace is geselecteerd als bestemming. Het script zal de configuratie herstellen op basis van de oorspronkelijke implementatie-instellingen, maar u moet verifiëren dat deze instellingen nog steeds correct zijn voor uw omgeving. Als er wijzigingen zijn aangebracht in de omgeving, zoals het verplaatsen van de Log Analytics Workspace naar een andere resourcegroep of het wijzigen van de naam, moet u deze wijzigingen mogelijk handmatig doorvoeren in de configuratie. Het is belangrijk om te documenteren welke wijzigingen zijn aangebracht tijdens de remediatie, zodat deze informatie beschikbaar is voor toekomstige troubleshooting of audits.
In sommige gevallen kan het probleem liggen bij machtigingen. De diagnostische instellingen vereisen dat de Intune-service de juiste machtigingen heeft om logs te schrijven naar de Log Analytics Workspace. Als deze machtigingen ontbreken, moet u deze handmatig toewijzen via de Azure Portal door de rol Log Analytics Contributor toe te kennen aan de service principal of managed identity die wordt gebruikt door Intune. Het identificeren van de juiste service principal kan complex zijn, aangezien dit afhankelijk is van hoe Intune is geconfigureerd in uw omgeving. In de meeste gevallen gebruikt Intune een managed identity of een service principal die automatisch wordt aangemaakt wanneer Intune wordt geconfigureerd. U kunt de Azure Portal gebruiken om te identificeren welke service principal of managed identity wordt gebruikt, en vervolgens de juiste rol toewijzen. Het is belangrijk om het principe van minimale bevoegdheden te volgen en alleen de benodigde rollen toe te kennen, niet meer dan strikt noodzakelijk.
Na het uitvoeren van de remediatie is het belangrijk om te verifiëren dat de configuratie correct werkt door te controleren of nieuwe logs worden ontvangen in Log Analytics. Wacht enkele minuten en voer dan een query uit om te bevestigen dat logs worden gestuurd. Als het probleem aanhoudt, raadpleeg dan de Azure Monitor-documentatie voor aanvullende troubleshooting-stappen of neem contact op met Microsoft Support. Het kan enige tijd duren voordat logs weer worden ontvangen, vooral als er een onderbreking is geweest in de logexport. Het is daarom belangrijk om geduldig te zijn en niet te snel te concluderen dat de remediatie niet succesvol is geweest. Als na een redelijke periode (bijvoorbeeld 30 minuten) nog steeds geen logs worden ontvangen, moet u aanvullende troubleshooting uitvoeren of contact opnemen met ondersteuning.
Na een succesvolle remediatie is het belangrijk om te analyseren wat de oorzaak van het probleem was en om maatregelen te nemen om te voorkomen dat het probleem opnieuw optreedt. Als het probleem bijvoorbeeld werd veroorzaakt door een onbedoelde wijziging in de configuratie, moet u overwegen om resource locks of andere beveiligingsmaatregelen te implementeren om te voorkomen dat dergelijke wijzigingen in de toekomst kunnen worden aangebracht. Als het probleem werd veroorzaakt door ontbrekende machtigingen, moet u ervoor zorgen dat deze machtigingen correct zijn geconfigureerd en dat procedures zijn geïmplementeerd om te voorkomen dat machtigingen per ongeluk worden verwijderd. Deze preventieve maatregelen helpen om de stabiliteit en betrouwbaarheid van de logexport te verbeteren en om complianceproblemen te voorkomen.
Compliance & Frameworks
- BIO: 12.04 - MDM logging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Intune Logs Log Analytics
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.22
Controleert of Intune logs naar Log Analytics worden gestuurd.
.NOTES
Filename: intune-logs-log-analytics.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.22
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Intune Logs Log Analytics"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Intune logging in Endpoint Manager:" -ForegroundColor Gray
Write-Host " - Diagnostic settings voor Intune" -ForegroundColor Gray
Write-Host " - Audit logs naar Log Analytics" -ForegroundColor Gray
Write-Host " - Device compliance logs" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Intune logs" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Intune logging in Endpoint Manager:" -ForegroundColor Gray
Write-Host " - Diagnostic settings voor Intune" -ForegroundColor Gray
Write-Host " - Audit logs naar Log Analytics" -ForegroundColor Gray
Write-Host " - Device compliance logs" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Intune logs" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Intune apparaatbeheersacties worden niet gelogd - beleidswijzigingen, registratiesgebeurtenissen en complianceacties zijn onzichtbaar. Compliance: BIO 12.04. Het risico is medium - apparaatbeheer audit.
Management Samenvatting
Intune Logs Log Analytics: Exporteer Intune diagnostische logs naar Log Analytics Workspace (apparaatregistraties, compliance beleidstoepassingen, configuratiewijzigingen). Activatie: Intune → Diagnostische instellingen → Streamen naar Log Analytics. Kosten: minimaal. Aanbevolen BIO 12.04. Implementatie: 1 uur. Apparaatbeheer audittrail.
- Implementatietijd: 1 uur
- FTE required: 0.02 FTE