L1 BIO 12.04.01 ISO A.12.4.1 CIS 5.24

Log Analytics Workspace: Architectuur, Best Practices En Implementatie

📅 2025-01-15
⏱️ 15 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Log Analytics Workspace vormt het centrale fundament voor alle logging, monitoring en security operations binnen Azure-omgevingen. Deze workspace verzamelt, bewaart en analyseert logdata vanuit alle hoeken van de cloudinfrastructuur, waardoor organisaties een volledig beeld krijgen van hun beveiligingsposture, operationele gezondheid en compliancepositie. Zonder een goed ontworpen en geïmplementeerd Log Analytics Workspace beschikken organisaties niet over de benodigde zichtbaarheid om beveiligingsincidenten te detecteren, te onderzoeken en adequaat te reageren op bedreigingen die de integriteit, vertrouwelijkheid en beschikbaarheid van informatie kunnen schaden.

Aanbeveling
IMPLEMENTEER LOG ANALYTICS WORKSPACE ALS FUNDAMENT VOOR ALLE AZURE LOGGING EN SECURITY OPERATIONS
Risico zonder
Critical
Risk Score
9/10
Implementatie
12u (tech: 8u)
Van toepassing op:
Azure
Azure Monitor
Central Logging
SIEM

In moderne cloudomgevingen genereren honderden of duizenden resources continu enorme hoeveelheden logdata. Zonder een gecentraliseerde loggingoplossing blijven deze logs verspreid over individuele resources, wat verschillende kritieke problemen veroorzaakt. Allereerst is correlatie tussen gebeurtenissen onmogelijk wanneer logs versnipperd zijn over verschillende systemen. Security teams kunnen geen verbanden leggen tussen verdachte activiteiten die plaatsvinden op verschillende resources, waardoor geavanceerde aanvallen die meerdere systemen betrekken onopgemerkt blijven. Ten tweede is de standaardretentie voor Azure-activiteitenlogs beperkt tot 90 dagen, terwijl resource-logs helemaal niet standaard worden bewaard. Dit maakt forensische analyses na incidenten onmogelijk, aangezien cruciale data al verloren is gegaan voordat een incident wordt ontdekt. Bovendien ontbreken querymogelijkheden over meerdere resources heen, waardoor threat hunting en incidentonderzoek aanzienlijk worden belemmerd. Zonder een gecentraliseerd systeem kan geen alertingbasis worden gelegd voor het detecteren van patronen die wijzen op aanvallen of misconfiguraties. SIEM-integratie is onmogelijk zonder Log Analytics Workspace, omdat Microsoft Sentinel vereist dat deze workspace als fundament dient voor alle security data. Tot slot leidt het ontbreken van adequate gecentraliseerde logging tot compliance-schendingen, aangezien BIO, ISO 27001 en NIS2 expliciet vereisen dat organisaties beschikken over gecentraliseerde logging met adequate retentieperiodes. Een Log Analytics Workspace biedt geüniformeerde logging voor alle Azure-resources, inclusief virtuele machines, opslag, netwerken en beveiligingscomponenten. De KQL-querytaal (Kusto Query Language) maakt geavanceerde analyses en threat hunting mogelijk, waardoor security teams proactief kunnen handelen in plaats van reactief. Langetermijnretentie kan worden geconfigureerd van 365 tot 730 dagen, wat essentieel is voor compliance-vereisten en forensische doeleinden. De opslag is kosteneffectief door tiered pricing, waarbij oude data kan worden gearchiveerd naar goedkopere tiers. Integratie met Azure Monitor-alerts maakt het mogelijk om direct te reageren op logpatronen die wijzen op beveiligingsincidenten. Microsoft Sentinel bouwt voort op deze workspace, waardoor het de fundament vormt voor volledige SIEM-functionaliteit. Tot slot maakt compliance-ready logging het mogelijk om tijdens audits te demonstreren dat gecentraliseerd logbeheer adequaat is geïmplementeerd.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.OperationalInsights, Az.Monitor

Implementatie

Dit artikel beschrijft de architectuur, best practices en implementatiestrategieën voor Log Analytics Workspace binnen de context van de Nederlandse Baseline voor Veilige Cloud. We behandelen de fundamentele concepten van Log Analytics Workspace, inclusief de architectuurkeuzes tussen dedicated en gedeelde workspaces, de verschillende data sources die kunnen worden geïntegreerd, en de configuratieopties voor retentie, toegangscontrole en kostenbeheer. Daarnaast leggen we uit hoe KQL-queries worden gebruikt voor geavanceerde analyses en threat hunting, hoe Azure Monitor-alerts kunnen worden geconfigureerd op basis van logpatronen, en hoe Microsoft Sentinel integreert met de workspace voor volledige SIEM-functionaliteit. We bespreken de kostenaspecten van Log Analytics Workspace, inclusief pricing tiers, data-ingestie-optimalisatie en archive tiers voor kostenbeheer. Tot slot behandelen we compliance-aspecten en hoe Log Analytics Workspace voldoet aan vereisten van BIO, ISO 27001, NIS2 en andere relevante frameworks. Het artikel biedt praktische richtlijnen voor het ontwerpen, implementeren en beheren van Log Analytics Workspace in enterprise-omgevingen, met specifieke aandacht voor Nederlandse overheidsorganisaties en hun compliance-vereisten.

Architectuur en Ontwerp van Log Analytics Workspace

Het ontwerpen van een Log Analytics Workspace-architectuur vereist zorgvuldige afweging van verschillende factoren, waaronder organisatorische structuur, compliance-vereisten, kostenbeheer en operationele behoeften. De eerste fundamentele keuze betreft de strategie voor workspace-distributie: dedicated workspaces per abonnement versus gedeelde workspaces over meerdere abonnementen heen. Een dedicated workspace per abonnement biedt verschillende voordelen, waaronder isolatie tussen verschillende omgevingen, gescheiden facturering voor kostenallocatie, en de mogelijkheid om omgeving-specifieke retentie- en toegangsbeheerbeleid toe te passen. Deze aanpak is bijzonder geschikt voor organisaties met strikte scheiding tussen productie-, test- en ontwikkelomgevingen, of voor organisaties die kosten moeten toewijzen aan specifieke business units of projecten. De dedicated aanpak maakt het ook eenvoudiger om omgeving-specifieke compliance-vereisten te implementeren, bijvoorbeeld wanneer productieomgevingen langere retentieperiodes vereisen dan testomgevingen.

Een gedeelde workspace over meerdere abonnementen heen biedt daarentegen ultieme centralisatie en één centraal overzicht voor de gehele organisatie. Deze aanpak is vooral waardevol voor grote enterprises met complexe multi-abonnement architecturen, omdat het correlatie tussen gebeurtenissen over verschillende abonnementen heen mogelijk maakt. Security teams kunnen één enkele query uitvoeren om activiteiten te analyseren die meerdere abonnementen betrekken, wat essentieel is voor het detecteren van geavanceerde aanvallen die meerdere systemen compromitteren. Gedeelde workspaces vereenvoudigen ook het beheer, omdat configuratiewijzigingen zoals retentie-instellingen of toegangsbeheerbeleid slechts één keer hoeven te worden toegepast in plaats van per abonnement. Bovendien kunnen kosten worden geoptimaliseerd door volume-kortingen en door het gebruik van archive tiers voor oude data. De keuze tussen dedicated en gedeelde workspaces hangt af van de specifieke behoeften van de organisatie, waarbij veel organisaties een hybride aanpak kiezen waarbij productieomgevingen dedicated workspaces hebben voor isolatie en compliance, terwijl test- en ontwikkelomgevingen een gedeelde workspace gebruiken voor kostenoptimalisatie.

De workspaceconfiguratie omvat verschillende kritieke componenten die zorgvuldig moeten worden gepland. Retentie moet minimaal 365 dagen bedragen voor compliance-doeleinden, waarbij 730 dagen wordt aanbevolen voor volledige compliance met auditvereisten en voor uitgebreide forensische analyses. Langere retentieperiodes zijn mogelijk maar leiden tot hogere opslagkosten, waardoor organisaties moeten afwegen tussen compliance-vereisten en kostenbeheer. Data sources moeten omvatten: activiteitenlogs voor subscription events die alle wijzigingen in resources vastleggen, diagnostische instellingen voor resource-logs die gedetailleerde informatie bevatten over de werking en prestaties van individuele resources, VM-agents voor performance- en securitylogs van virtuele machines, Azure AD-logs voor sign-ins en audit trails die cruciaal zijn voor security monitoring, en Microsoft Defender alerts en aanbevelingen die inzicht geven in de beveiligingsposture. De workspace moet worden geconfigureerd met passende toegangscontrole en authenticatie via RBAC, waarbij de rol Log Analytics Reader wordt toegewezen aan het security team voor alleen-lezen toegang, terwijl DevOps-teams mogelijk de rol Log Analytics Contributor nodig hebben voor het configureren van diagnostische instellingen.

Kostenbeheer vormt een belangrijk aspect van workspace-ontwerp, omdat Log Analytics Workspace kosten genereert op basis van data-ingestie. Een typische enterprise-organisatie verbruikt tussen de 5 en 20 GB aan logs per dag, wat resulteert in maandelijkse kosten tussen €300 en €1500, afhankelijk van de hoeveelheid data die wordt geïngesteerd en de gekozen pricing tier. De eerste 5 GB per maand is gratis, waarna kosten worden berekend volgens het pay-as-you-go model. Een daily cap kan worden ingesteld voor kostenbeheer, maar dit moet worden vermeden voor security logs om te voorkomen dat cruciale beveiligingsdata verloren gaat wanneer de daily cap wordt bereikt. Archive tier biedt kostenoptimalisatie voor oude logs die minder frequent worden geraadpleegd, waarbij de queryperformance iets lager is maar de opslagkosten aanzienlijk dalen. Data die ouder is dan 90 dagen kan worden gearchiveerd naar archive tier, waarbij de data nog steeds beschikbaar blijft voor query's maar met iets langere responsetijden. Deze aanpak maakt het mogelijk om langere retentieperiodes te behouden zonder excessieve kosten, wat essentieel is voor compliance-vereisten die langere bewaartermijnen vereisen.

Data Sources en Integratie

Een Log Analytics Workspace ontleent zijn waarde aan de diversiteit en volledigheid van data sources die logs leveren. Het configureren van de juiste data sources is essentieel om een compleet beeld te krijgen van de beveiligings- en operationele status van de Azure-omgeving. De eerste en meest fundamentele data source zijn activiteitenlogs op subscription-niveau, die alle belangrijke gebeurtenissen op subscription-niveau vastleggen, inclusief wijzigingen in resources, toegang tot resources, beveiligingsgebeurtenissen en policy-overtredingen. Deze logs moeten worden geconfigureerd via Subscription → Activity log → Export Activiteitenlog → Diagnostische instellingen, waarbij een nieuwe diagnostische instelling wordt aangemaakt die alle logs doorstuurt naar de Log Analytics Workspace. De logcategorieën die moeten worden geselecteerd zijn Administrative voor alle beheeracties, Security voor beveiligingsgebeurtenissen, Alert voor waarschuwingen, Policy voor policy-overtredingen en Recommendation voor aanbevelingen. Deze activiteitenlogs vormen de basis voor het detecteren van ongeautoriseerde wijzigingen, insider threats en misconfiguraties die kunnen leiden tot beveiligingslekken.

Resource diagnostische instellingen vormen de tweede kritieke data source en moeten worden geconfigureerd voor elk resource type dat logs genereert. Dit omvat virtuele machines voor performance- en securitylogs, storage accounts voor toegangs- en transactielogs, networking resources zoals Network Security Groups en Application Gateways voor netwerkactiviteit, en alle security services zoals Key Vault, Azure Firewall en Microsoft Defender. Voor elk resource type moet via Diagnostische instellingen een instelling worden aangemaakt die alle beschikbare logcategorieën (allLogs) doorstuurt naar de Log Analytics Workspace. Deze resource logs bevatten gedetailleerde informatie over de werking en prestaties van individuele resources, wat essentieel is voor het detecteren van anomalieën, performance-problemen en beveiligingsincidenten. Het is belangrijk om een systematische aanpak te volgen en een inventarisatie te maken van alle resources die logs moeten genereren, om te voorkomen dat resources worden gemist. Azure Policy kan worden gebruikt om automatisch diagnostische instellingen te configureren voor nieuwe resources, wat voorkomt dat dit probleem in de toekomst opnieuw optreedt.

Azure AD-integratie is essentieel voor complete security monitoring en audit trails, omdat sign-in logs en audit logs cruciaal zijn voor het detecteren van verdachte activiteiten. Via Azure AD → Diagnostische instellingen moet een instelling worden aangemaakt die relevante logs doorstuurt naar de workspace. De belangrijkste logcategorieën zijn SignInLogs, die alle aanmeldpogingen bevatten inclusief geslaagde en mislukte pogingen met details over locatie, apparaat en applicatie, AuditLogs die alle wijzigingen in Azure AD-objecten vastleggen zoals gebruikers, groepen en rollen, RiskyUsers die informatie bevat over gebruikers die mogelijk gecompromitteerd zijn op basis van machine learning-analyses, en UserRiskEvents die specifieke risicogebeurtenissen vastleggen zoals ongebruikelijke aanmeldlocaties of verdachte activiteiten. Deze logs zijn cruciaal voor het detecteren van verdachte activiteiten zoals brute force aanvallen, ongebruikelijke aanmeldlocaties, privilege escalation pogingen en accountovernames. Door deze logs te correleren met andere logdata in de workspace kunnen security teams geavanceerde threat hunting queries uitvoeren die patronen detecteren die wijzen op geavanceerde aanvallen.

Microsoft Defender-integratie kan worden geconfigureerd via Defender voor Cloud → Environment settings → Continuous export, waarbij alle security alerts en aanbevelingen worden doorgestuurd naar de Log Analytics Workspace. Deze export stuurt alle security alerts en aanbevelingen door naar de workspace, waardoor deze data beschikbaar komt voor geavanceerde analyses en correlatie met andere logdata. Deze integratie maakt het mogelijk om een volledig beeld te krijgen van de beveiligingsposture van de Azure-omgeving en om geavanceerde threat hunting queries uit te voeren die data combineren vanuit verschillende bronnen. Application Insights-integratie maakt het mogelijk om applicatieprestaties en -beschikbaarheid te monitoren, waarbij telemetrie wordt verzameld vanuit webapplicaties, API's en serverless functies. Deze data kan worden gebruikt voor het detecteren van performance-problemen, beschikbaarheidsissues en applicatie-specifieke beveiligingsincidenten. Tot slot kunnen aangepaste applicaties worden geconfigureerd om logs te verzenden naar de workspace via de Log Analytics API of via agents die op virtuele machines worden geïnstalleerd.

KQL-queries en Threat Hunting

Kusto Query Language (KQL) vormt het krachtige instrument voor het analyseren van logdata in Log Analytics Workspace. Deze querytaal maakt het mogelijk om complexe analyses uit te voeren, correlaties te leggen tussen verschillende gebeurtenissen en proactief te zoeken naar indicatoren van compromittering. KQL-queries kunnen worden gebruikt voor verschillende doeleinden, waaronder incidentonderzoek waarbij security teams specifieke gebeurtenissen analyseren die hebben plaatsgevonden tijdens een beveiligingsincident, threat hunting waarbij proactief wordt gezocht naar patronen die wijzen op aanvallen zelfs wanneer er geen specifieke alerts zijn gegenereerd, compliance-rapportage waarbij wordt aangetoond dat logs worden gebruikt voor security monitoring en incidentdetectie, en operationele monitoring waarbij wordt geanalyseerd of resources correct functioneren en of er performance-problemen zijn.

Threat hunting queries vormen een essentieel onderdeel van een volwassen security operations-strategie, omdat zij het mogelijk maken om bedreigingen te detecteren voordat ze escaleren tot volledige incidenten. Een voorbeeld van een threat hunting query is het detecteren van ongebruikelijke aanmeldpatronen door het analyseren van Azure AD sign-in logs. Deze query kan gebruikers identificeren die inloggen vanaf ongebruikelijke locaties, op ongebruikelijke tijden, of met ongebruikelijke applicaties, wat kan wijzen op accountovernames of gecompromitteerde credentials. Een andere veelgebruikte threat hunting query is het detecteren van privilege escalation pogingen door het analyseren van Activity Logs voor wijzigingen in RBAC-toewijzingen, waarbij wordt gezocht naar patronen waarbij gebruikers onverwacht verhoogde rechten krijgen. Correlatie queries kunnen worden gebruikt om verbanden te leggen tussen verschillende gebeurtenissen, bijvoorbeeld door het combineren van sign-in logs met resource access logs om te detecteren wanneer gebruikers toegang krijgen tot resources kort na een verdachte aanmelding.

Query-optimalisatie is essentieel om ervoor te zorgen dat queries efficiënt worden uitgevoerd en geen excessieve kosten genereren. Langzame queries kunnen wijzen op inefficient query-syntax, ontbrekende indexes, of het analyseren van te grote datasets. Het is belangrijk om queries te optimaliseren door specifieke tijdsbereiken te gebruiken in plaats van het analyseren van alle beschikbare data, waar mogelijk filters toe te passen aan het begin van de query om de dataset te verkleinen voordat complexe bewerkingen worden uitgevoerd, en aggregaties te gebruiken in plaats van detailrecords te retourneren wanneer alleen statistieken nodig zijn. Daarnaast moeten queries worden gedocumenteerd met duidelijke beschrijvingen van wat de query doet, welke data sources worden gebruikt, en wanneer de query moet worden uitgevoerd. Deze documentatie is essentieel voor kennisoverdracht en voor het kunnen demonstreren van adequate security monitoring tijdens audits.

Monitoring en Onderhoud

Gebruik PowerShell-script log-analytics-workspace.ps1 (functie Invoke-Monitoring) – Controleert de status en gezondheid van Log Analytics Workspaces.

Het monitoren van workspace health is essentieel om ervoor te zorgen dat de Log Analytics Workspace correct functioneert en alle logs ontvangt zoals verwacht. Dagelijkse data-ingestie moet worden gecontroleerd via Workspace → Usage en estimated costs, waarbij de hoeveelheid data die dagelijks wordt geïngesteerd wordt gemonitord. Een typische enterprise-organisatie verbruikt tussen de 100 MB en 20 GB aan logs per dag, afhankelijk van de omvang van de Azure-omgeving, het aantal resources en de gedetailleerdheid van de geconfigureerde diagnostische instellingen. Significante wijzigingen in het dataverbruik kunnen wijzen op nieuwe resources die zijn toegevoegd, misconfiguraties die leiden tot overmatige logging, of mogelijke beveiligingsincidenten die abnormale activiteit veroorzaken. Kostenmonitoring moet maandelijks worden uitgevoerd om ervoor te zorgen dat de kosten binnen budget blijven. Als de kosten excessief zijn, moeten optimalisatiemaatregelen worden overwogen, zoals het reduceren van niet-kritieke logcategorieën, het gebruik van sampling voor high-volume logs, of het configureren van daily caps voor specifieke logcategorieën waarbij dataverlies acceptabel is.

Data freshness moet worden geverifieerd om ervoor te zorgen dat logs realtime arriveren en niet vertraagd zijn. De laatste ingestietijd kan worden gecontroleerd via KQL queries die de meest recente timestamps analyseren, of via de Workspace Overview pagina die realtime metrics toont. Vertragingen in loglevering kunnen wijzen op netwerkproblemen, misconfiguraties in diagnostische instellingen, of capaciteitsproblemen bij de workspace. Het is belangrijk om te monitoren of alle geconfigureerde data sources daadwerkelijk logs leveren, omdat het mogelijk is dat diagnostische instellingen stilzwijgend falen zonder duidelijke foutmeldingen. Query performance moet regelmatig worden geëvalueerd, waarbij langzaam uitvoerende queries worden geïdentificeerd en geoptimaliseerd. Langzame queries kunnen wijzen op inefficient query-syntax, ontbrekende indexes, of het analyseren van te grote datasets. Het is belangrijk om queries te optimaliseren door specifieke tijdsbereiken te gebruiken, waar mogelijk filters toe te passen aan het begin van de query, en aggregaties te gebruiken in plaats van detailrecords te retourneren wanneer alleen statistieken nodig zijn.

Alerting en incidentdetectie vormen een kritieke component van workspace monitoring. Azure Monitor alerts kunnen worden geconfigureerd op basis van KQL queries, waardoor security teams proactief kunnen reageren op verdachte patronen in de logs. Deze alerts moeten worden geconfigureerd voor verschillende scenario's, zoals ongebruikelijke aanmeldpogingen, privilege escalation pogingen, wijzigingen in kritieke resources, of abnormale netwerkactiviteit. Het is belangrijk om alert fatigue te voorkomen door alleen alerts te configureren voor daadwerkelijk relevante gebeurtenissen en door gebruik te maken van alert grouping en suppression regels. Daarnaast moeten alert response procedures worden gedocumenteerd, waarbij duidelijk is wie verantwoordelijk is voor het onderzoeken van verschillende typen alerts en binnen welke tijdsperiode een response verwacht wordt. Incident response workflows moeten worden geïntegreerd met de Log Analytics Workspace, waarbij security teams gebruik maken van KQL queries om incidenten te onderzoeken en te analyseren. Tijdens een incident is het essentieel dat security analisten snel toegang hebben tot relevante logs en dat query's efficiënt kunnen worden uitgevoerd om de omvang en impact van een incident te bepalen.

Best practices voor workspace monitoring omvatten het regelmatig uitvoeren van compliance checks, waarbij wordt geverifieerd dat alle vereiste data sources correct zijn geconfigureerd en dat retentievereisten worden nageleefd. Maandelijkse reviews moeten worden uitgevoerd om te controleren of nieuwe resources automatisch zijn geconfigureerd om logs te verzenden, of dat handmatige configuratie vereist is. Security teams moeten regelmatig threat hunting queries uitvoeren om proactief te zoeken naar indicatoren van compromittering, zelfs wanneer er geen specifieke alerts zijn gegenereerd. Deze proactieve benadering maakt het mogelijk om bedreigingen te detecteren voordat ze escaleren tot volledige incidenten. Daarnaast moeten regelmatige backups worden gemaakt van kritieke queries en dashboards, zodat deze niet verloren gaan bij wijzigingen in de workspace configuratie. Documentatie van monitoring procedures en query's is essentieel voor kennisoverdracht en voor het kunnen demonstreren van adequate security monitoring tijdens audits. Tot slot moet regelmatig worden geëvalueerd of de huidige workspace configuratie nog steeds voldoet aan de behoeften van de organisatie, waarbij wordt overwogen om de architectuur aan te passen wanneer de omgeving groeit of wanneer nieuwe compliancevereisten worden geïntroduceerd.

Compliance en Auditing

Log Analytics Workspace vormt het fundament voor Azure logging compliance en is een kritieke component voor het voldoen aan verschillende compliance-vereisten en security frameworks. Zonder adequate gecentraliseerde logging kunnen organisaties niet voldoen aan de vereisten die worden gesteld door internationale standaarden en Nederlandse regelgeving. Tijdens security audits is de Log Analytics Workspace-configuratie vaak een van de eerste vragen die worden gesteld, omdat het de basis vormt voor alle andere beveiligings- en compliance-initiatieven. Een correct geconfigureerde workspace demonstreert dat de organisatie serieus omgaat met security monitoring en dat zij in staat is om incidenten te detecteren en te onderzoeken.

De CIS Azure Foundations Benchmark v3.0.0 stelt in control 5.24 expliciet dat diagnostische logging moet zijn ingeschakeld en moet worden doorgestuurd naar een Log Analytics Workspace. Deze controle vereist dat alle Azure-resources diagnostische instellingen hebben geconfigureerd die relevante logs doorsturen naar de workspace. Tijdens compliance-audits zal worden geverifieerd dat alle kritieke resources, inclusief virtuele machines, storage accounts, networking resources en security services, correct zijn geconfigureerd om logs te genereren en door te sturen. Het ontbreken van een Log Analytics Workspace of het ontbreken van correct geconfigureerde diagnostische instellingen resulteert in een falende score voor deze controle, wat kan leiden tot het niet voldoen aan de CIS Benchmark vereisten.

BIO Thema 12.04.01 stelt vereisten voor gebeurtenisregistratie en gecentraliseerde logging. Deze norm vereist dat organisaties beschikken over gecentraliseerde logging waarbij alle relevante gebeurtenissen worden vastgelegd en bewaard voor een adequate periode. De Log Analytics Workspace voldoet aan deze vereiste door logs vanuit alle Azure-resources te verzamelen en op te slaan in een gecentraliseerde repository. Tijdens BIO-audits zal worden geverifieerd dat de organisatie beschikt over adequate logging capabilities en dat logs beschikbaar zijn voor analyses en incidentonderzoek. De retentieperiode moet voldoen aan de BIO-vereisten, waarbij minimaal 365 dagen wordt aanbevolen en 730 dagen wordt vereist voor organisaties met specifieke auditvereisten. Bovendien moet de organisatie kunnen demonstreren dat logs worden gebruikt voor security monitoring en dat procedures bestaan voor het analyseren van logs en het detecteren van beveiligingsincidenten.

ISO 27001:2022 controle A.12.4.1 stelt vereisten voor gebeurtenissen logging en audit trails, waarbij gecentraliseerd logbeheer wordt vereist. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen vastleggen en dat logs worden bewaard voor een adequate periode voor auditdoeleinden. De Log Analytics Workspace voldoet aan deze vereiste door alle Azure logs te verzamelen en op te slaan in een gecentraliseerde omgeving die toegankelijk is voor security teams en auditors. Tijdens ISO 27001 audits zal worden geverifieerd dat de logging-implementatie voldoet aan de vereisten en dat procedures bestaan voor het beheren, analyseren en archiveren van logs. Bovendien moet de organisatie kunnen demonstreren dat logs worden gebruikt voor het detecteren van beveiligingsincidenten en dat adequate maatregelen zijn genomen om logs te beschermen tegen ongeautoriseerde toegang of wijziging.

De NIS2-richtlijn stelt in Artikel 21 vereisten voor logging en monitoring infrastructuur. Deze richtlijn vereist dat essentiële en belangrijke entiteiten beschikken over adequate monitoring en logging capabilities om cyberdreigingen te detecteren en te reageren op beveiligingsincidenten. De Log Analytics Workspace voldoet aan deze vereiste door een gecentraliseerde logging-infrastructuur te bieden die alle Azure-gerelateerde gebeurtenissen vastlegt. Tijdens NIS2-compliance verificaties zal worden geverifieerd dat de organisatie beschikt over adequate logging capabilities en dat deze worden gebruikt voor security monitoring. Bovendien vereist NIS2 dat organisaties beschikken over procedures voor het delen van incidentinformatie, waarbij logs kunnen worden gebruikt om incidentdetails te verzamelen en te delen met relevante autoriteiten wanneer vereist.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Log Analytics Workspace: Architectuur, Best Practices en Implementatie .DESCRIPTION Controleert of Azure-abonnementen correct zijn geconfigureerd met Log Analytics Workspaces voor gecentraliseerde logging, security monitoring en compliance. Deze workspace vormt het fundament voor alle Azure-beveiligingsoperaties en is essentieel voor threat hunting, incidentdetectie en compliance-rapportage. .NOTES Filename: log-analytics-workspace.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/azure/logging-monitoring/log-analytics-workspace.json Category: logging-monitoring Workload: azure .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\log-analytics-workspace.ps1 -Monitoring Check compliance status van Log Analytics Workspaces .EXAMPLE .\log-analytics-workspace.ps1 -Remediation Genereert een overzicht van abonnementen zonder Log Analytics Workspaces en aanbevelingen voor herstel .EXAMPLE .\log-analytics-workspace.ps1 -Remediation -WhatIf Show what would be changed without applying #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.OperationalInsights, Az.Monitor [CmdletBinding()] param( [Parameter(HelpMessage = "Monitor current configuration status")] [switch]$Monitoring, [Parameter(HelpMessage = "Apply recommended configuration")] [switch]$Remediation, [Parameter(HelpMessage = "Revert to previous configuration")] [switch]$Revert, [Parameter(HelpMessage = "Show what would happen without making changes")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' # ============================================================================ # HEADER # ============================================================================ Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Log Analytics Workspace" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # ============================================================================ # VARIABLES # ============================================================================ $PolicyName = "Log Analytics Workspace" $PolicyDescription = "Controleert of Azure-abonnementen voorzien zijn van Log Analytics Workspaces voor gecentraliseerde logging, security monitoring en compliance." # Minimum retentieperiode in dagen (365 dagen voor compliance) $MinimumRetentionDays = 365 # ============================================================================ # FUNCTIONS # ============================================================================ function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure als dat nog niet is gebeurd. #> [CmdletBinding()] param() try { $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } else { Write-Verbose "Reeds verbonden met Azure: $($context.Subscription.Name)" } } catch { Write-Error "Kon geen verbinding maken met Azure: $_" throw } } function Get-AzureSubscriptions { <# .SYNOPSIS Haalt alle Azure-abonnementen op waarvoor de gebruiker toegang heeft. .OUTPUTS Array van Azure-abonnement objecten. #> [CmdletBinding()] param() Write-Verbose "Ophalen van Azure-abonnementen..." try { $subscriptions = Get-AzSubscription -ErrorAction Stop return $subscriptions } catch { Write-Warning "Fout bij ophalen van abonnementen: $_" return @() } } function Get-LogAnalyticsWorkspaces { <# .SYNOPSIS Haalt alle Log Analytics Workspaces op voor een specifiek abonnement. .PARAMETER SubscriptionId De ID van het Azure-abonnement. .OUTPUTS Array van Log Analytics Workspace objecten. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$SubscriptionId ) Write-Verbose "Ophalen van Log Analytics Workspaces voor abonnement: $SubscriptionId" try { Set-AzContext -SubscriptionId $SubscriptionId -ErrorAction Stop | Out-Null $workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue $workspaceDetails = @() foreach ($workspace in $workspaces) { try { # Haal retentie-instellingen op $retentionDays = $workspace.RetentionInDays if (-not $retentionDays) { $retentionDays = 30 # Standaardwaarde als niet geconfigureerd } $workspaceDetails += [PSCustomObject]@{ Id = $workspace.Id Name = $workspace.Name ResourceGroupName = $workspace.ResourceGroupName Location = $workspace.Location RetentionInDays = $retentionDays Sku = $workspace.Sku.Name CustomerId = $workspace.CustomerId ProvisioningState = $workspace.ProvisioningState } } catch { Write-Warning "Fout bij ophalen van details voor workspace '$($workspace.Name)': $_" } } return $workspaceDetails } catch { Write-Warning "Fout bij ophalen van Log Analytics Workspaces voor abonnement '$SubscriptionId': $_" return @() } } function Test-WorkspaceCompliance { <# .SYNOPSIS Controleert of Log Analytics Workspaces voldoen aan compliance-vereisten. .PARAMETER Workspace De Log Analytics Workspace om te controleren. .OUTPUTS PSCustomObject met compliance-status. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [PSCustomObject]$Workspace ) $isCompliant = $true $issues = @() # Controleer retentieperiode if ($Workspace.RetentionInDays -lt $MinimumRetentionDays) { $isCompliant = $false $issues += "Retentieperiode ($($Workspace.RetentionInDays) dagen) is minder dan de vereiste $MinimumRetentionDays dagen" } # Controleer provisioning state if ($Workspace.ProvisioningState -ne "Succeeded") { $isCompliant = $false $issues += "Workspace provisioning state is niet 'Succeeded': $($Workspace.ProvisioningState)" } return [PSCustomObject]@{ IsCompliant = $isCompliant Issues = $issues } } function Test-WorkspaceConfiguration { <# .SYNOPSIS Controleert of abonnementen Log Analytics Workspaces hebben geconfigureerd. .OUTPUTS Array van PSCustomObject met workspace status per abonnement. #> [CmdletBinding()] param() $subscriptions = Get-AzureSubscriptions $results = @() foreach ($subscription in $subscriptions) { $subscriptionId = $subscription.Id $subscriptionName = $subscription.Name Write-Verbose "Controleren van abonnement: $subscriptionName" try { $workspaces = Get-LogAnalyticsWorkspaces -SubscriptionId $subscriptionId $hasWorkspace = $workspaces.Count -gt 0 $compliantWorkspaces = 0 $nonCompliantWorkspaces = 0 $allWorkspacesCompliant = $true foreach ($workspace in $workspaces) { $compliance = Test-WorkspaceCompliance -Workspace $workspace if ($compliance.IsCompliant) { $compliantWorkspaces++ } else { $nonCompliantWorkspaces++ $allWorkspacesCompliant = $false } } $isCompliant = $hasWorkspace -and $allWorkspacesCompliant $results += [PSCustomObject]@{ SubscriptionId = $subscriptionId SubscriptionName = $subscriptionName TotalWorkspaces = $workspaces.Count CompliantWorkspaces = $compliantWorkspaces NonCompliantWorkspaces = $nonCompliantWorkspaces HasWorkspace = $hasWorkspace IsCompliant = $isCompliant Workspaces = $workspaces } } catch { Write-Warning "Fout bij controleren van abonnement '$subscriptionName': $_" } } return $results } function Test-Compliance { <# .SYNOPSIS Tests if current configuration meets compliance requirements .DESCRIPTION Wrapper function that calls monitoring and returns compliance status .OUTPUTS Returns monitoring result object with isCompliant property #> [CmdletBinding()] param() $subscriptions = Test-WorkspaceConfiguration if (-not $subscriptions -or $subscriptions.Count -eq 0) { return [PSCustomObject]@{ ScriptName = "log-analytics-workspace" IsCompliant = $false Timestamp = Get-Date Details = "Er zijn geen Azure-abonnementen gevonden in de huidige scope." Recommendations = @("Controleer of u toegang heeft tot Azure-abonnementen.") Subscriptions = @() } } $nonCompliant = $subscriptions | Where-Object { -not $_.IsCompliant } $isCompliant = ($nonCompliant.Count -eq 0) $details = if ($isCompliant) { "Alle gevonden Azure-abonnementen hebben Log Analytics Workspaces geconfigureerd die voldoen aan de compliance-vereisten." } else { "Een of meer Azure-abonnementen missen Log Analytics Workspaces of hebben workspaces die niet voldoen aan de minimale compliance-eisen." } $recommendations = @() if (-not $isCompliant) { $recommendations += "Maak Log Analytics Workspaces aan voor abonnementen zonder workspaces." $recommendations += "Configureer retentieperiode van minimaal $MinimumRetentionDays dagen voor compliance." $recommendations += "Verifieer dat alle kritieke resources diagnostische instellingen hebben geconfigureerd die logs doorsturen naar de workspace." $recommendations += "Configureer Azure AD-integratie voor sign-in logs en audit logs." $recommendations += "Documenteer workspace-architectuur en data sources in het governance-register." } return [PSCustomObject]@{ ScriptName = "log-analytics-workspace" IsCompliant = $isCompliant Timestamp = Get-Date Details = $details Recommendations = $recommendations Subscriptions = $subscriptions } } function Invoke-Monitoring { <# .SYNOPSIS Monitors and reports current configuration status .DESCRIPTION Checks current configuration against security baseline requirements. Reports compliance status and identifies non-compliant settings. .OUTPUTS Returns hashtable with: - isCompliant: Boolean indicating overall compliance - details: Detailed findings - subscriptions: Array of subscription status objects #> [CmdletBinding()] param() try { Write-Host "`nMonitoring: $PolicyName" -ForegroundColor Yellow Write-Host "Beschrijving: $PolicyDescription" -ForegroundColor Yellow Write-Host "==============================================================" -ForegroundColor Yellow $result = Test-Compliance $subscriptions = $result.Subscriptions if ($subscriptions.Count -gt 0) { Write-Host "`nGevonden Azure-abonnementen:" -ForegroundColor Cyan foreach ($subscription in $subscriptions) { $statusColor = if ($subscription.IsCompliant) { "Green" } else { "Red" } $statusText = "Workspaces: $($subscription.TotalWorkspaces), " + "Compliant: $($subscription.CompliantWorkspaces), " + "Non-Compliant: $($subscription.NonCompliantWorkspaces)" Write-Host ("- {0} - {1}" -f $subscription.SubscriptionName, $statusText) -ForegroundColor $statusColor if ($subscription.Workspaces.Count -gt 0) { foreach ($workspace in $subscription.Workspaces) { $compliance = Test-WorkspaceCompliance -Workspace $workspace $workspaceColor = if ($compliance.IsCompliant) { "Green" } else { "Yellow" } Write-Host (" └─ {0} (Retentie: {1} dagen)" -f $workspace.Name, $workspace.RetentionInDays) -ForegroundColor $workspaceColor if (-not $compliance.IsCompliant -and $compliance.Issues.Count -gt 0) { foreach ($issue in $compliance.Issues) { Write-Host (" ⚠ {0}" -f $issue) -ForegroundColor Yellow } } } } } } else { Write-Host "`nGeen Azure-abonnementen gevonden in de huidige scope." -ForegroundColor Cyan } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "SUMMARY:" -ForegroundColor Cyan Write-Host " Totaal abonnementen: $($subscriptions.Count)" -ForegroundColor White Write-Host " Met workspaces: $(($subscriptions | Where-Object { $_.HasWorkspace }).Count)" -ForegroundColor White Write-Host " Compliant: $(($subscriptions | Where-Object { $_.IsCompliant }).Count)" -ForegroundColor White if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green Write-Host "Alle Azure-abonnementen voldoen aan de basisvoorwaarden voor Log Analytics Workspace." -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "Eén of meer Azure-abonnementen missen Log Analytics Workspaces of hebben workspaces die niet voldoen aan de vereisten." -ForegroundColor Red Write-Host "`nAanbevolen acties:" -ForegroundColor Yellow foreach ($rec in $result.Recommendations) { Write-Host (" - {0}" -f $rec) -ForegroundColor Yellow } } return $result } catch { Write-Host "`n[FAIL] ERROR during monitoring: $_" -ForegroundColor Red throw } } function Invoke-Remediation { <# .SYNOPSIS Applies recommended security configuration .DESCRIPTION Genereert een overzicht van Azure-abonnementen zonder Log Analytics Workspaces en aanbevelingen voor herstel. In plaats van automatisch configuraties aan te passen, markeert het script abonnementen zonder workspaces en geeft gerichte aanbevelingen om logging te herstellen. .PARAMETER WhatIf Shows what would be changed without making actual changes #> [CmdletBinding(SupportsShouldProcess)] param() try { Write-Host "`nRemediatie: $PolicyName" -ForegroundColor Yellow Write-Host "==============================================================" -ForegroundColor Yellow $result = Test-Compliance $subscriptions = $result.Subscriptions | Where-Object { -not $_.IsCompliant } if (-not $subscriptions -or $subscriptions.Count -eq 0) { Write-Host "Alle Azure-abonnementen beschikken over Log Analytics Workspaces die voldoen aan de vereisten. Geen remediatie nodig." -ForegroundColor Green return $result } Write-Host "`nNiet-conforme Azure-abonnementen:" -ForegroundColor Red foreach ($subscription in $subscriptions) { Write-Host ("- Abonnement: {0}" -f $subscription.SubscriptionName) -ForegroundColor Red Write-Host (" Workspaces: {0}" -f $subscription.TotalWorkspaces) -ForegroundColor Red if ($subscription.TotalWorkspaces -eq 0) { Write-Host (" ⚠ Geen Log Analytics Workspace gevonden" -ForegroundColor Yellow) } else { foreach ($workspace in $subscription.Workspaces) { $compliance = Test-WorkspaceCompliance -Workspace $workspace if (-not $compliance.IsCompliant) { Write-Host (" ⚠ Workspace '{0}' is niet compliant:" -f $workspace.Name) -ForegroundColor Yellow foreach ($issue in $compliance.Issues) { Write-Host (" - {0}" -f $issue) -ForegroundColor Yellow } } } } Write-Host "" } Write-Host "Aanbevolen vervolgstappen:" -ForegroundColor Yellow Write-Host "1. Maak een Log Analytics Workspace aan voor abonnementen zonder workspaces via Azure Portal of PowerShell." -ForegroundColor Yellow Write-Host "2. Configureer retentieperiode van minimaal $MinimumRetentionDays dagen voor compliance-vereisten." -ForegroundColor Yellow Write-Host "3. Configureer diagnostische instellingen voor alle kritieke resources om logs door te sturen naar de workspace." -ForegroundColor Yellow Write-Host "4. Configureer Azure AD-integratie voor sign-in logs en audit logs via Azure AD → Diagnostische instellingen." -ForegroundColor Yellow Write-Host "5. Configureer Microsoft Defender-integratie via Defender voor Cloud → Environment settings → Continuous export." -ForegroundColor Yellow Write-Host "6. Verifieer dat alle geconfigureerde data sources daadwerkelijk logs leveren via KQL-queries." -ForegroundColor Yellow Write-Host "7. Documenteer workspace-architectuur, data sources en monitoring procedures in het governance-register." -ForegroundColor Yellow if ($WhatIf) { Write-Host "`nWhatIf is ingeschakeld: er worden geen wijzigingen doorgevoerd; alleen een rapport is gegenereerd." -ForegroundColor Cyan } else { Write-Host "`nNOTE: Dit script genereert alleen een rapport. Configureer Log Analytics Workspaces handmatig via Azure Portal of gebruik infrastructuur-as-code (ARM/Bicep/Terraform) voor definitieve configuratie." -ForegroundColor Cyan } return $result } catch { Write-Host "`n[FAIL] ERROR during remediation: $_" -ForegroundColor Red throw } } function Invoke-Revert { <# .SYNOPSIS Reverts configuration to previous state .DESCRIPTION Reverts changes made by remediation to restore previous configuration. Voor Log Analytics Workspace is revert niet aanbevolen omdat dit beveiligingsrisico's introduceert. #> [CmdletBinding(SupportsShouldProcess)] param() try { Write-Host "`nRevert:" -ForegroundColor Yellow Write-Host "WARNING: Het verwijderen van Log Analytics Workspaces is een SECURITY RISK!" -ForegroundColor Red Write-Host "Dit zal beveiligingsmonitoring en incidentdetectie belemmeren.`n" -ForegroundColor Red Write-Host "Dit script ondersteunt geen automatische revert van Log Analytics Workspace configuratie." -ForegroundColor Yellow Write-Host "Als revert noodzakelijk is, verwijder dan handmatig workspaces via Azure Portal." -ForegroundColor Yellow Write-Host "Houd er rekening mee dat dit kan leiden tot niet-naleving van compliance-vereisten." -ForegroundColor Yellow } catch { Write-Host "`n[FAIL] ERROR during revert: $_" -ForegroundColor Red throw } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Connect-RequiredServices # Determine which action to perform if ($Revert) { if ($WhatIf) { Write-Host "WhatIf: Would revert configuration" -ForegroundColor Yellow } else { Invoke-Revert } } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Monitoring) { $result = Invoke-Monitoring # Exit with appropriate code for automation if ($result.IsCompliant) { exit 0 # Success - Compliant } else { exit 1 # Warning - Non-compliant } } else { # No parameters - show usage Write-Host "Available parameters:" -ForegroundColor Yellow Write-Host " -Monitoring : Check current configuration status" -ForegroundColor Gray Write-Host " -Remediation : Generate report and recommendations" -ForegroundColor Gray Write-Host " -Revert : Revert to previous configuration (NOT RECOMMENDED!)" -ForegroundColor Gray Write-Host " -WhatIf : Preview changes without applying" -ForegroundColor Gray Write-Host "`nExample: .\log-analytics-workspace.ps1 -Monitoring" -ForegroundColor Cyan } } catch { Write-Error "Script execution failed: $_" exit 2 # Error } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } # ============================================================================ # EXIT CODES # ============================================================================ # 0 = Success / Compliant # 1 = Warning / Non-compliant # 2 = Error / Execution failed

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder Log Analytics Workspace is gecentraliseerde logging onmogelijk, wat resulteert in onmogelijke beveiligingsincidentonderzoeken over meerdere resources heen, geen compliance-demonstratiemogelijkheid aangezien 7 jaar retentie wordt vereist, en onmogelijke SIEM-integratie. Log Analytics Workspace vormt het fundament voor Azure-beveiligingsoperaties en is essentieel voor threat hunting, incidentdetectie en compliance-rapportage.

Management Samenvatting

Log Analytics Workspace: Gecentraliseerde loggingrepository voor ALLE Azure logs inclusief Activity logs, Diagnostic logs, VM logs en Entra ID logs. Retentie van 365-730 dagen. SIEM-fundament voor Microsoft Sentinel. KQL-querytaal voor geavanceerde analyses en threat hunting. Kosten: €300-1500 per maand typisch. Verplicht voor CIS 5.24, BIO 12.04, ISO 27001, NIS2. Implementatie: 8-12 uur. KRITIEKE logginginfrastructuur.