L2 BIO 12.04.01 ISO A.12.4.1 CIS Azure - NSG flow logs

Azure Netwerkbeveiliging: NSG Flow Logs Inschakelen Voor Netwerkmonitoring

📅 2025-10-30
⏱️ 3 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

NSG Flow Logs voor Azure Network Security Groups registreren al het netwerkverkeer (zowel toegestaan als geblokkeerd) dat door NSG-regels wordt verwerkt. Deze gedetailleerde netwerkzichtbaarheid is essentieel voor beveiligingsforensisch onderzoek, anomaliedetectie en compliance-audits van netwerkverkeerpatronen.

Aanbeveling
IMPLEMENTEER NSG FLOW LOGS
Risico zonder
High
Risk Score
8/10
Implementatie
8u (tech: 5u)
Van toepassing op:
Azure

Zonder NSG Flow Logs ontbreekt fundamentele netwerkzichtbaarheid waardoor beveiligingsdreigingen en operationele problemen volledig onzichtbaar blijven voor beveiligingsteams. Organisaties die geen netwerkverkeer loggen bevinden zich in een kritieke situatie waarin aanvallers vrijwel ongezien kunnen opereren zonder dat hun activiteiten worden gedetecteerd of gedocumenteerd. Netwerkgebaseerde aanvallen vormen een aanzienlijk risico wanneer Flow Logs niet zijn ingeschakeld. Poortscanning waarbij aanvallers systematisch honderden verbindingspogingen ondernemen naar gevoelige services zoals SMB op poort 445, RDP op poort 3389, of andere kritieke netwerkservices blijft volledig onzichtbaar voor beveiligingsteams. Zonder logging van geweigerde verbindingspogingen kunnen organisaties niet detecteren wanneer hun netwerk wordt verkend door externe partijen die zoeken naar kwetsbare services of open poorten die kunnen worden geëxploiteerd. Gegevensexfiltratie waarbij grote volumes gevoelige gegevens worden overgedragen naar onbekende externe IP-adressen kan niet worden gedetecteerd zonder uitgebreide verkeersanalyse. Aanvallers die succesvol toegang hebben gekregen tot een systeem kunnen vervolgens grote hoeveelheden data exporteren zonder dat deze activiteit wordt opgemerkt. Zonder Flow Logs ontbreekt de mogelijkheid om ongebruikelijke uitgaande verkeersvolumes te identificeren of verdachte communicatiepatronen te herkennen die wijzen op gegevensdiefstal. Laterale beweging binnen het netwerk waarbij gecompromitteerde virtuele machines verbinding maken met andere interne systemen blijft volledig ongedocumenteerd zonder netwerklogging. Aanvallers gebruiken laterale beweging om door het netwerk te navigeren en toegang te krijgen tot steeds kritiekere systemen. Zonder zichtbaarheid in netwerkcommunicatie kunnen beveiligingsteams niet identificeren welke systemen zijn verbonden met gecompromitteerde machines, waardoor de volledige scope van een aanval onbekend blijft. Command en Control communicatie waarbij malware periodieke beaconpatronen vertoont naar externe aanvalsinfrastructuur wordt niet herkend zonder netwerkmonitoring. Moderne malware gebruikt geavanceerde technieken om periodiek contact te leggen met aanvallers zonder opvallende activiteit te veroorzaken. Deze communicatiepatronen zijn alleen detecteerbaar door middel van netwerkverkeersanalyse die abnormale connectiepatronen en communicatie met verdachte externe IP-adressen identificeert. Forensisch onderzoek bij beveiligingsincidenten is vrijwel onmogelijk zonder netwerklogs. Wanneer een beveiligingsincident wordt ontdekt, kunnen beveiligingsteams fundamentele vragen niet beantwoorden zoals welke virtuele machines hebben gecommuniceerd met de gecompromitteerde systemen, welke netwerkverbindingen zijn gebruikt tijdens de aanval, of hoe de aanval zich heeft verspreid door de infrastructuur. Zonder netwerklogs kunnen aanvalstijdlijnen niet worden gereconstrueerd omdat cruciale netwerkactiviteit niet is geregistreerd. Oorzaakanalyse faalt volledig omdat netwerkverkeerpatronen die de oorsprong en methodologie van aanvallen zouden kunnen onthullen compleet ontbreken. Compliance-audits falen omdat beveiligingsframeworks uitgebreide netwerklogging als essentieel onderdeel van beveiligingsmonitoring beschouwen. ISO 27001 controle A.12.4.1 eist expliciet gebeurtenislogging inclusief netwerkgebeurtenissen als fundamentele vereiste voor informatiebeveiligingsmanagement. De NIS2-richtlijn Artikel 21 verplicht netwerkmonitoring voor incidentdetectie als wettelijke verplichting voor kritieke infrastructuren. De Nederlandse Baseline Informatiebeveiliging Overheid BIO controle 12.04 vereist logging van netwerkverkeer voor overheidsorganisaties. NIST SC-7 boundary protection verplicht verkeersmonitoring als essentieel onderdeel van netwerkgrensbescherming. Organisaties die deze logging vereisten niet naleven kunnen niet voldoen aan compliance-audits en riskeren boetes, certificeringsproblemen, of reputatieschade. NSG Flow Logs bieden complete netwerkzichtbaarheid door al het verkeer dat door Network Security Groups wordt verwerkt uitgebreid te loggen. De logs bevatten gedetailleerde informatie over bron- en bestemmings-IP-adressen waardoor beveiligingsteams kunnen identificeren welke systemen met elkaar communiceren. Bron- en bestemmingspoorten worden geregistreerd zodat specifieke services en applicaties kunnen worden geïdentificeerd. Protocolinformatie zoals TCP, UDP, of ICMP wordt vastgelegd voor complete verkeersanalyse. Verkeersrichting wordt gedocumenteerd zodat onderscheid kan worden gemaakt tussen inkomend en uitgaand verkeer. Belangrijkste is dat elke NSG toestaan of weigeren beslissing voor elk netwerkpakket wordt geregistreerd, waardoor beveiligingsteams kunnen zien welke verbindingspogingen zijn toegestaan en welke zijn geblokkeerd door beveiligingsregels. Azure Traffic Analytics voegt geavanceerde machine learning gebaseerde anomaliedetectie toe die ongebruikelijke verkeerpatronen automatisch identificeert zonder dat beveiligingsanalisten elke logvermelding handmatig moeten analyseren. Deze intelligentie maakt het mogelijk om bedreigingen te detecteren die anders onopgemerkt zouden blijven in de enorme hoeveelheid netwerkgegevens die dagelijks wordt gegenereerd.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Network, Az.NetworkWatcher

Implementatie

Deze maatregel implementeert NSG Flow Logs voor alle Network Security Groups in de Azure-omgeving om complete netwerkzichtbaarheid te realiseren en te voldoen aan beveiligings- en compliance-vereisten. De implementatie vereist een gestructureerde aanpak waarbij verschillende Azure-services worden geconfigureerd en geactiveerd om volledige netwerkmonitoring mogelijk te maken. De eerste stap in het implementatieproces is het inschakelen van Azure Network Watcher, een regionale service die verplicht is in elke Azure-regio waar Network Security Groups actief zijn. Network Watcher biedt de infrastructuur die nodig is voor het genereren en verzamelen van Flow Log gegevens. Organisaties die werken met resources verspreid over meerdere Azure-regio's moeten ervoor zorgen dat Network Watcher wordt geactiveerd in elke relevante regio, omdat Flow Logs regionaal worden beheerd en niet automatisch worden gedeeld tussen regio's. Voor de opslag van Flow Log gegevens moet een dedicated Azure Storage Account worden geconfigureerd dat specifiek is gereserveerd voor netwerklogging. Het gebruik van een gescheiden opslagaccount biedt betere controle over toegang, beveiliging en kostenbeheer. Het opslagaccount moet worden geconfigureerd met passende beveiligingsinstellingen inclusief versleuteling in rust en netwerktoegangsbeperkingen die overeenkomen met de organisatorische beveiligingsvereisten. De kern van de implementatie bestaat uit het configureren van Flow Logs voor elke individuele Network Security Group in de omgeving. Dit configuratieproces wordt uitgevoerd via de Azure Portal door te navigeren naar Network Watcher, waarna de optie NSG Flow Logs wordt geselecteerd en de functie Inschakelen wordt geactiveerd. Voor elke NSG moet een selectie worden gemaakt, waarna het eerder geconfigureerde opslagaccount als bestemming wordt toegewezen voor logopslag. De bewaartermijn moet worden ingesteld op minimaal 90 dagen om te voldoen aan compliance-vereisten, hoewel organisaties kunnen kiezen voor langere bewaartermijnen afhankelijk van hun specifieke audit- en forensische behoeften. Optioneel kan Traffic Analytics worden ingeschakeld tijdens het configuratieproces, wat geavanceerde netwerkmonitoring en automatische bedreigingsdetectie toevoegt. Traffic Analytics vereist een Log Analytics Workspace als bestemming waarin de geanalyseerde netwerkgegevens worden opgeslagen. Deze service gebruikt machine learning algoritmes om flow log gegevens te analyseren en detecteert automatisch verdachte netwerkpatronen zonder dat beveiligingsanalisten elke logvermelding handmatig hoeven te evalueren. Traffic Analytics biedt intelligente detectie van verschillende bedreigingstypes door middel van geavanceerde analyse. Ongebruikelijke geografische bestemmingen worden geïdentificeerd wanneer systemen communiceren met locaties die niet overeenkomen met normale bedrijfsactiviteiten. Abnormale verkeersvolumes worden gedetecteerd wanneer netwerkcommunicatie significant afwijkt van historische patronen. Potentiële Command en Control beaconing wordt herkend door periodieke communicatiepatronen te analyseren die kenmerkend zijn voor malware-communicatie. Interne verkenningactiviteiten worden geïdentificeerd wanneer systemen ongebruikelijke verbindingen maken met andere interne resources die niet overeenkomen met verwachte bedrijfsprocessen. De gegenereerde Flow Logs kunnen worden bevraagd in Log Analytics Workspace voor uitgebreide forensische analyse met behulp van Kusto Query Language queries. Beveiligingsteams kunnen specifieke vragen stellen zoals het tonen van al het geweigerde verkeer naar kritieke poorten zoals poort 445 voor SMB of poort 3389 voor RDP. Complexe analyses zoals het lijsten van alle virtuele machines die hebben gecommuniceerd met een specifiek verdacht IP-adres worden mogelijk gemaakt door de gedetailleerde netwerkgegevens die in de logs zijn opgeslagen. Waarschuwingen vormen een essentieel onderdeel van de implementatie en moeten worden geconfigureerd voor kritieke netwerkpatronen die wijzen op mogelijke beveiligingsbedreigingen. Massale poortscanning waarbij honderden verbindingspogingen worden gedetecteerd moet direct een waarschuwing genereren naar het beveiligingsoperatiecentrum. Grote gegevensoverdrachten naar niet-vertrouwde externe IP-adressen kunnen wijzen op gegevensexfiltratie en vereisen onmiddellijke aandacht. Ongebruikelijke interne VM-naar-VM communicatiepatronen kunnen laterale beweging door aanvallers signaleren en moeten worden onderzocht. De implementatie van NSG Flow Logs vereist naar schatting vijf tot acht uur werk voor volledige deployment over alle Network Security Groups in een typische Azure-omgeving. De totale kosten bestaan uit opslagkosten variërend van één tot drie euro per NSG per maand afhankelijk van het volume van geregistreerd netwerkverkeer. Traffic Analytics genereert aanvullende kosten van twee tot vijf euro per maand wanneer deze optionele service is ingeschakeld. Deze investering is essentieel voor netwerkbeveiligingsmonitoring en wordt beschouwd als een must-have maatregel voor organisaties die serieus omgaan met cloudbeveiliging. Deze maatregel voldoet aan meerdere internationale beveiligingsstandaarden en compliance-frameworks. De CIS Azure Benchmark Level 2 vereist expliciet dat NSG Flow Logs zijn ingeschakeld als essentiële beveiligingscontrole. De Nederlandse Baseline Informatiebeveiliging Overheid BIO controle 12.04.01 vereist logging en monitoring van netwerkverkeer voor overheidsorganisaties. ISO 27001 controle A.12.4.1 eist gebeurtenislogging inclusief netwerkgebeurtenissen voor gecertificeerde organisaties. NIST SC-7 boundary protection verplicht verkeersmonitoring als onderdeel van netwerkgrensbescherming. Compliance met deze frameworks is niet alleen een best practice maar in veel gevallen een wettelijke verplichting voor organisaties die werken met gevoelige gegevens of kritieke infrastructuren.

Vereisten

Voor het implementeren van NSG Flow Logs zijn specifieke technische en organisatorische vereisten noodzakelijk om ervoor te zorgen dat de netwerkmonitoring effectief kan worden ingezet en voldoet aan de gestelde beveiligings- en compliance-standaarden. Organisaties moeten een grondige evaluatie uitvoeren van hun huidige Azure-infrastructuur om te bepalen welke componenten reeds aanwezig zijn en welke nog moeten worden geïmplementeerd voordat NSG Flow Logs kunnen worden geactiveerd. De primaire technische vereiste is de aanwezigheid van Azure Network Security Groups (NSGs) binnen de Azure-omgeving. NSGs vormen de basis voor netwerkbeveiliging in Azure en zijn verantwoordelijk voor het filteren van netwerkverkeer naar en van Azure-resources. Zonder NSGs kunnen Flow Logs niet worden geconfigureerd, omdat deze logs specifiek de verkeersbeslissingen van NSGs registreren. Organisaties moeten daarom eerst een volledige inventarisatie uitvoeren van alle NSGs die in hun omgeving aanwezig zijn, inclusief NSGs die zijn gekoppeld aan subnetten, netwerkinterfaces van virtuele machines, en applicatiebeveiligingsgroepen. Deze inventarisatie vormt de basis voor het bepalen van de scope van de Flow Logs implementatie en helpt bij het schatten van de benodigde opslagcapaciteit en kosten. Een kritische vereiste is de beschikbaarheid van Azure Network Watcher, een regionale service die netwerkmonitoring en diagnostische mogelijkheden biedt. Network Watcher moet worden ingeschakeld in elke Azure-regio waar NSGs actief zijn, omdat Flow Logs regionaal worden beheerd. Het inschakelen van Network Watcher is een eenmalige actie per regio en genereert minimale kosten, maar is essentieel voor de functionaliteit van Flow Logs. Organisaties die werken met meerdere Azure-regio's moeten ervoor zorgen dat Network Watcher in alle relevante regio's is geactiveerd om volledige netwerkzichtbaarheid te garanderen. Het is belangrijk om te begrijpen dat Network Watcher een regionale service is, wat betekent dat Flow Logs voor NSGs in verschillende regio's afzonderlijk moeten worden geconfigureerd. Voor de opslag van Flow Log gegevens is een Azure Storage Account vereist. Dit opslagaccount moet specifiek worden geconfigureerd voor Flow Log opslag en moet voldoen aan de beveiligingsvereisten van de organisatie. Het wordt aanbevolen om een dedicated opslagaccount te gebruiken voor Flow Logs om te voorkomen dat deze logs worden gemengd met andere gegevens en om betere controle te hebben over toegang en beveiliging. Het opslagaccount moet worden geconfigureerd met de juiste beveiligingsinstellingen, inclusief versleuteling in rust, netwerktoegangsbeperkingen indien nodig, en passende bewaartermijnen. Organisaties moeten ook rekening houden met de opslagkosten, die variëren afhankelijk van het volume van het geregistreerde netwerkverkeer. Voor omgevingen met veel netwerkverkeer kunnen de opslagkosten aanzienlijk zijn, wat betekent dat organisaties een balans moeten vinden tussen de bewaartermijn en de kosten. Voor geavanceerde netwerkmonitoring en anomaliedetectie is Traffic Analytics een optionele maar sterk aanbevolen component. Traffic Analytics gebruikt machine learning om Flow Log gegevens te analyseren en automatisch verdachte netwerkpatronen te detecteren. Voor het gebruik van Traffic Analytics is een Log Analytics Workspace vereist, waarin de geanalyseerde gegevens worden opgeslagen. Traffic Analytics voegt significante waarde toe aan Flow Logs door automatisch bedreigingen te identificeren die anders mogelijk onopgemerkt zouden blijven, maar genereert ook extra kosten. Organisaties moeten evalueren of de voordelen van Traffic Analytics opwegen tegen de extra kosten, waarbij vooral rekening moet worden gehouden met de complexiteit van de netwerkomgeving en de beschikbaarheid van security analisten die de gegenereerde inzichten kunnen interpreteren en actie kunnen ondernemen. Naast technische vereisten zijn er ook organisatorische vereisten die moeten worden vervuld. Organisaties moeten beschikken over gekwalificeerd IT-personeel met kennis van Azure-netwerkarchitectuur en netwerkbeveiliging. Het implementeren en onderhouden van NSG Flow Logs vereist begrip van netwerkconcepten, Azure-services, en beveiligingsprincipes. Daarnaast moeten organisaties procedures ontwikkelen voor het beheren en analyseren van Flow Log gegevens, inclusief het reageren op gedetecteerde bedreigingen en het uitvoeren van forensisch onderzoek bij beveiligingsincidenten. Deze procedures moeten worden gedocumenteerd en gecommuniceerd naar alle betrokken teams om te waarborgen dat Flow Logs effectief worden gebruikt voor beveiligingsdoeleinden. Een belangrijke organisatorische vereiste is ook de beschikbaarheid van een wijzigingsbeheerproces voor het configureren en wijzigen van Flow Log instellingen. Wijzigingen aan Flow Log configuraties kunnen impact hebben op de netwerkmonitoring en moeten daarom zorgvuldig worden gepland en uitgevoerd. Het wijzigingsbeheerproces moet duidelijk definiëren wie verantwoordelijk is voor het beheren van Flow Logs, welke goedkeuringsprocessen gelden voor wijzigingen, en hoe wijzigingen worden gedocumenteerd en gecommuniceerd. Goed wijzigingsbeheer voorkomt onbedoelde onderbrekingen in de netwerkmonitoring en zorgt ervoor dat alle wijzigingen traceerbaar zijn voor audit-doeleinden. Tot slot is een belangrijke vereiste de beschikbaarheid van monitoring- en rapportagetools om de effectiviteit van Flow Logs te kunnen meten en te rapporteren over de netwerkbeveiligingsstatus. Organisaties moeten in staat zijn om regelmatig te rapporteren over de compliancestatus van Flow Logs, het volume van geregistreerd verkeer, gedetecteerde bedreigingen, en de kosten van de implementatie. Deze rapportage is essentieel voor het demonstreren van compliance aan auditors en toezichthouders, en voor het ondersteunen van besluitvorming over verdere investeringen in netwerkbeveiliging. Effectieve rapportage maakt het ook mogelijk om trends te identificeren en proactief te reageren op veranderende bedreigingen en netwerkpatronen.

Implementatie

Gebruik PowerShell-script nsg-flow-logs-enabled.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van NSG Flow Logs vereist een gestructureerde aanpak waarbij organisaties systematisch alle benodigde componenten configureren en activeren om volledige netwerkzichtbaarheid te realiseren. Het implementatieproces begint met een grondige voorbereiding waarbij alle NSGs worden geïnventariseerd en de benodigde Azure-services worden geactiveerd, gevolgd door de daadwerkelijke configuratie van Flow Logs voor elke NSG en de optionele implementatie van Traffic Analytics voor geavanceerde monitoring. De eerste stap in het implementatieproces is het inschakelen van Azure Network Watcher in alle relevante Azure-regio's. Network Watcher is een regionale service die moet worden geactiveerd voordat Flow Logs kunnen worden geconfigureerd. Dit kan worden gedaan via de Azure Portal door te navigeren naar Network Watcher en de service te activeren voor elke regio waar NSGs actief zijn. Het is belangrijk om te begrijpen dat Network Watcher per regio moet worden ingeschakeld, wat betekent dat organisaties met resources in meerdere regio's dit proces moeten herhalen voor elke regio. Het inschakelen van Network Watcher is een eenmalige actie die minimale kosten genereert, maar essentieel is voor de functionaliteit van Flow Logs. Na het activeren van Network Watcher moet een Azure Storage Account worden geconfigureerd voor de opslag van Flow Log gegevens. Het wordt sterk aanbevolen om een dedicated opslagaccount te gebruiken specifiek voor Flow Logs om betere controle te hebben over toegang, beveiliging en kostenbeheer. Het opslagaccount moet worden geconfigureerd met de juiste beveiligingsinstellingen, inclusief versleuteling in rust, netwerktoegangsbeperkingen indien nodig, en passende bewaartermijnen. Organisaties moeten ook rekening houden met de opslagkosten, die variëren afhankelijk van het volume van het geregistreerde netwerkverkeer. Voor omgevingen met veel netwerkverkeer kunnen de opslagkosten aanzienlijk zijn, wat betekent dat organisaties een balans moeten vinden tussen de bewaartermijn en de kosten. Het wordt aanbevolen om minimaal 90 dagen bewaartermijn te configureren voor compliance-doeleinden, maar organisaties kunnen deze termijn aanpassen op basis van hun specifieke vereisten. De kern van de implementatie is het configureren van Flow Logs voor elke NSG in de omgeving. Dit kan worden gedaan via de Azure Portal door te navigeren naar Network Watcher → NSG Flow Logs → Inschakelen. Voor elke NSG moet worden geselecteerd, het opslagaccount als bestemming moet worden geconfigureerd, de bewaartermijn moet worden ingesteld, en optioneel kan Traffic Analytics worden ingeschakeld. Het is van cruciaal belang dat Flow Logs worden geconfigureerd voor alle NSGs in productieomgevingen, omdat het missen van zelfs één NSG kan leiden tot blinde vlekken in de netwerkmonitoring. Voor grote omgevingen met veel NSGs kan dit proces tijdrovend zijn, wat betekent dat organisaties moeten overwegen om geautomatiseerde scripts of Infrastructure as Code (IaC) oplossingen te gebruiken om de implementatie te versnellen en te standaardiseren. Voor geavanceerde netwerkmonitoring en anomaliedetectie kan Traffic Analytics worden ingeschakeld als optionele component. Traffic Analytics gebruikt machine learning om Flow Log gegevens te analyseren en automatisch verdachte netwerkpatronen te detecteren. Voor het gebruik van Traffic Analytics is een Log Analytics Workspace vereist, waarin de geanalyseerde gegevens worden opgeslagen. Traffic Analytics kan worden geconfigureerd tijdens het instellen van Flow Logs door de optie Traffic Analytics in te schakelen en een Log Analytics Workspace te selecteren. Traffic Analytics voegt significante waarde toe aan Flow Logs door automatisch bedreigingen te identificeren die anders mogelijk onopgemerkt zouden blijven, maar genereert ook extra kosten. Organisaties moeten evalueren of de voordelen van Traffic Analytics opwegen tegen de extra kosten, waarbij vooral rekening moet worden gehouden met de complexiteit van de netwerkomgeving en de beschikbaarheid van security analisten die de gegenereerde inzichten kunnen interpreteren en actie kunnen ondernemen. Na de configuratie van Flow Logs moeten waarschuwingen worden geconfigureerd voor kritieke netwerkpatronen. Deze waarschuwingen kunnen worden ingesteld in Azure Monitor of Log Analytics en moeten worden geconfigureerd om te reageren op verdachte activiteiten zoals massale poortscanning, grote gegevensoverdrachten naar niet-vertrouwde IP-adressen, of ongebruikelijke interne VM-naar-VM communicatiepatronen. Waarschuwingen kunnen worden geconfigureerd met KQL-query's die specifieke patronen detecteren in de Flow Log gegevens, en moeten worden gerouteerd naar de juiste teams voor snelle respons. Effectieve waarschuwingen maken het mogelijk om proactief te reageren op bedreigingen voordat deze significante schade kunnen veroorzaken. Het implementatieproces moet worden afgerond met validatie en documentatie. Organisaties moeten verifiëren dat Flow Logs correct worden gegenereerd en opgeslagen, dat waarschuwingen correct functioneren, en dat alle benodigde teams toegang hebben tot de Flow Log gegevens voor analyse. Alle configuraties moeten worden gedocumenteerd, inclusief welke NSGs Flow Logs hebben, welke opslagaccounts worden gebruikt, welke bewaartermijnen zijn geconfigureerd, en welke waarschuwingen zijn ingesteld. Deze documentatie is essentieel voor compliance-doeleinden en maakt het mogelijk om de implementatie te onderhouden en te verbeteren over tijd. Goede documentatie helpt ook bij het onboarden van nieuwe teamleden en het overdragen van kennis wanneer teamleden de organisatie verlaten.

Compliance en Auditing

De implementatie van NSG Flow Logs is direct gerelateerd aan compliance met verschillende beveiligings- en netwerkmonitoringstandaarden, waaronder de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001, NIST, en de CIS Azure Benchmark. Deze maatregel ondersteunt organisaties bij het voldoen aan wettelijke verplichtingen voor netwerkmonitoring en incidentdetectie, wat essentieel is voor Nederlandse overheidsorganisaties die verantwoordelijk zijn voor het beschermen van gevoelige gegevens en kritieke infrastructuren. De Baseline Informatiebeveiliging Overheid (BIO) controle 12.04.01 vereist specifiek logging en monitoring van netwerkverkeer om beveiligingsincidenten te kunnen detecteren en te onderzoeken. NSG Flow Logs bieden deze loggingfunctionaliteit door al het netwerkverkeer te registreren dat door NSGs wordt verwerkt, inclusief zowel toegestaan als geweigerd verkeer. Voor Nederlandse overheidsorganisaties is compliance met BIO-normen niet alleen een best practice, maar een wettelijke verplichting. Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om netwerkverkeer te monitoren en te loggen, en NSG Flow Logs vormen een concrete manier om aan deze verplichting te voldoen. Tijdens audits moet kunnen worden aangetoond dat Flow Logs zijn geconfigureerd voor alle relevante NSGs en dat de gegenereerde logs worden gebruikt voor beveiligingsmonitoring en incidentonderzoek. De ISO 27001 standaard controle A.12.4.1 vereist gebeurtenislogging inclusief netwerkgebeurtenissen. NSG Flow Logs voldoen aan deze vereiste door uitgebreide logging te bieden van alle netwerkverkeer dat door NSGs wordt verwerkt. De logs bevatten gedetailleerde informatie over bron- en bestemmings-IP-adressen, poorten, protocollen, verkeersrichting, en NSG-beslissingen, wat essentieel is voor beveiligingsmonitoring en forensisch onderzoek. Organisaties die ISO 27001 certificering nastreven of behouden moeten kunnen demonstreren dat zij effectieve netwerklogging hebben geïmplementeerd, en NSG Flow Logs bieden een bewezen oplossing voor deze vereiste. Tijdens ISO 27001 audits moeten organisaties bewijs kunnen leveren van de configuratie van Flow Logs, de bewaartermijnen van logs, en het gebruik van logs voor beveiligingsmonitoring. De NIST Cybersecurity Framework controle SC-7 (Boundary Protection) verplicht verkeersmonitoring aan netwerkgrenzen. NSG Flow Logs bieden deze monitoringfunctionaliteit door al het verkeer te loggen dat door NSGs wordt verwerkt, wat de primaire netwerkgrenzen vormen in Azure-omgevingen. NIST SC-7 vereist dat organisaties netwerkverkeer monitoren en analyseren om bedreigingen te detecteren en te reageren op beveiligingsincidenten. NSG Flow Logs, in combinatie met Traffic Analytics, bieden geavanceerde monitoringmogelijkheden die voldoen aan deze NIST-vereisten. Organisaties die werken met NIST-frameworks moeten kunnen aantonen dat zij effectieve netwerkgrensbescherming hebben geïmplementeerd, en NSG Flow Logs vormen een essentieel onderdeel van deze implementatie. De CIS Azure Benchmark Level 2 vereist specifiek dat NSG Flow Logs zijn ingeschakeld voor alle NSGs. Deze benchmark biedt best practices voor Azure-beveiliging en wordt algemeen erkend als een standaard voor cloudbeveiliging. Compliance met de CIS Azure Benchmark is belangrijk voor organisaties die willen demonstreren dat zij best practices volgen voor cloudbeveiliging. NSG Flow Logs zijn expliciet genoemd als een vereiste controle in de CIS Azure Benchmark, wat betekent dat organisaties die deze benchmark volgen Flow Logs moeten implementeren om volledige compliance te bereiken. Tijdens assessments moet kunnen worden aangetoond dat Flow Logs zijn geconfigureerd voor alle NSGs en dat de logs worden gebruikt voor beveiligingsmonitoring. De NIS2-richtlijn (Network and Information Systems Directive 2) Artikel 21 verplicht netwerkmonitoring voor incidentdetectie. Voor Nederlandse organisaties die onder de NIS2-richtlijn vallen, is het implementeren van effectieve netwerkmonitoring niet alleen een best practice, maar een wettelijke verplichting. NSG Flow Logs, in combinatie met Traffic Analytics, bieden de monitoringfunctionaliteit die nodig is om te voldoen aan NIS2-vereisten. Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om netwerkbedreigingen te detecteren en te reageren op beveiligingsincidenten, en NSG Flow Logs vormen een essentieel onderdeel van deze maatregelen. Tijdens NIS2-assessments moeten organisaties bewijs kunnen leveren van de configuratie en het gebruik van netwerkmonitoringtools. Het auditingproces voor deze maatregel moet regelmatig worden uitgevoerd om te verifiëren dat Flow Logs correct zijn geconfigureerd en worden gebruikt voor beveiligingsmonitoring. Audits moeten worden uitgevoerd door onafhankelijke partijen of interne auditafdelingen, en moeten een volledige inventarisatie bevatten van alle NSGs en hun Flow Log configuraties. De auditresultaten moeten worden gedocumenteerd en beschikbaar zijn voor externe auditors en toezichthouders. Effectieve audits helpen organisaties niet alleen om compliance te demonstreren, maar ook om gebieden te identificeren waar verbeteringen mogelijk zijn. Tijdens audits moeten organisaties kunnen aantonen dat Flow Logs zijn geconfigureerd voor alle relevante NSGs, dat logs worden bewaard voor de vereiste bewaartermijn, en dat logs worden gebruikt voor beveiligingsmonitoring en incidentonderzoek. Voor audit-doeleinden moeten organisaties bewijs kunnen leveren van hun compliancestatus. Dit omvat inventarissen van alle NSGs met hun Flow Log configuraties, rapporten van monitoringactiviteiten, en documentatie van incidentonderzoeken waarbij Flow Logs zijn gebruikt. Deze documentatie moet worden bewaard voor de vereiste bewaartermijn, welke doorgaans minimaal zeven jaar is voor overheidsorganisaties. Goede documentatie maakt het mogelijk om de compliance-historie te traceren en te demonstreren dat de organisatie proactief werkt aan het handhaven van standaarden, zelfs wanneer er incidenteel afwijkingen optreden. Organisaties moeten ook procedures hebben voor het omgaan met uitzonderingen op Flow Log vereisten, waarbij duidelijk wordt aangegeven onder welke omstandigheden Flow Logs tijdelijk kunnen worden uitgeschakeld en welke goedkeuringsprocessen hiervoor gelden.

Monitoring

Gebruik PowerShell-script nsg-flow-logs-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van NSG Flow Logs is essentieel om te waarborgen dat netwerkverkeer correct wordt geregistreerd en dat beveiligingsbedreigingen tijdig worden gedetecteerd. Het monitoren van Flow Logs vereist een gestructureerde aanpak waarbij regelmatig wordt gecontroleerd of Flow Logs correct functioneren, of logs worden gegenereerd en opgeslagen zoals verwacht, en of de gegenereerde logs worden gebruikt voor beveiligingsmonitoring en incidentonderzoek. Zonder adequate monitoring kunnen organisaties niet garanderen dat hun netwerkmonitoring effectief is, wat kan leiden tot gemiste bedreigingen en compliance-problemen. De monitoringactiviteiten moeten systematisch worden uitgevoerd door middel van geautomatiseerde controles die verifiëren dat Flow Logs zijn geconfigureerd voor alle relevante NSGs en dat logs correct worden gegenereerd. Deze controles moeten minimaal wekelijks worden uitgevoerd, maar voor organisaties met hoge beveiligingseisen wordt aanbevolen om dagelijkse controles uit te voeren. Het gebruik van geautomatiseerde monitoringoplossingen voorkomt menselijke fouten en zorgt ervoor dat problemen direct worden gedetecteerd, zelfs wanneer configuratiewijzigingen worden gemaakt buiten normale werkuren. Geautomatiseerde monitoring maakt het ook mogelijk om trends te identificeren en proactief te reageren op veranderende netwerkpatronen. Het monitoringproces begint met het verifiëren dat Flow Logs zijn geconfigureerd voor alle NSGs in productieomgevingen. Dit omvat het controleren van alle NSGs in alle Azure-regio's om te bepalen welke NSGs Flow Logs hebben en welke niet. NSGs zonder Flow Logs moeten worden geïdentificeerd en gemarkeerd voor configuratie, omdat het missen van zelfs één NSG kan leiden tot blinde vlekken in de netwerkmonitoring. Het is belangrijk dat het monitoringproces ook NSGs identificeert waarvan de Flow Log configuratie mogelijk is gewijzigd of uitgeschakeld, omdat dit kan wijzen op onbedoelde wijzigingen of beveiligingsproblemen. Naast het verifiëren van de configuratie moet het monitoringproces ook controleren of Flow Logs daadwerkelijk worden gegenereerd en opgeslagen. Dit omvat het verifiëren dat logs worden geschreven naar het geconfigureerde opslagaccount, dat logs de verwachte informatie bevatten, en dat logs beschikbaar zijn voor analyse. Problemen met loggeneratie kunnen wijzen op configuratiefouten, opslagproblemen, of serviceproblemen met Azure Network Watcher. Het is belangrijk dat deze problemen snel worden gedetecteerd en opgelost, omdat het ontbreken van logs kan leiden tot gemiste bedreigingen en compliance-problemen. Het monitoringproces moet ook controleren of Traffic Analytics correct functioneert wanneer deze is ingeschakeld. Traffic Analytics analyseert Flow Log gegevens en detecteert automatisch verdachte netwerkpatronen, wat essentieel is voor proactieve bedreigingsdetectie. Het monitoringproces moet verifiëren dat Traffic Analytics gegevens correct worden verwerkt, dat anomaliedetectie functioneert zoals verwacht, en dat waarschuwingen worden gegenereerd voor gedetecteerde bedreigingen. Problemen met Traffic Analytics kunnen leiden tot gemiste bedreigingen, wat betekent dat deze problemen snel moeten worden opgelost. Rapportage vormt een cruciaal onderdeel van het monitoringproces. Organisaties moeten regelmatig rapporten genereren die een overzicht geven van de Flow Log status, het volume van geregistreerd verkeer, gedetecteerde bedreigingen, en de kosten van de implementatie. Deze rapporten moeten informatie bevatten over het aantal NSGs met Flow Logs, het aantal NSGs zonder Flow Logs, de locatie van deze NSGs, de verantwoordelijke teams, en de geplande acties om ontbrekende configuraties te remediëren. De rapporten moeten worden gedeeld met beveiligingsteams, compliance-functionarissen, en management om transparantie te waarborgen. Effectieve rapportage maakt het mogelijk om trends te identificeren, prioriteiten te stellen voor remediatie-activiteiten, en te demonstreren aan auditors dat de organisatie proactief werkt aan het handhaven van compliance. Daarnaast moet het monitoringproces waarschuwingen bevatten voor kritieke problemen zoals NSGs zonder Flow Logs, problemen met loggeneratie, of gedetecteerde bedreigingen. Wanneer een NSG wordt geïdentificeerd zonder Flow Logs, moet direct een waarschuwing worden gegenereerd naar de verantwoordelijke teams. Dit maakt het mogelijk om proactief te reageren op configuratiefouten voordat deze impact hebben op de netwerkmonitoring. Waarschuwingen moeten worden geconfigureerd met de juiste prioriteit en moeten worden gerouteerd naar de teams die verantwoordelijk zijn voor het beheer van de betreffende NSGs, zodat snelle actie kan worden ondernomen. Effectieve waarschuwingen maken het mogelijk om problemen snel op te lossen en te voorkomen dat netwerkmonitoring wordt beïnvloed. Het is belangrijk dat de monitoringoplossing ook historische trends kan volgen, zodat organisaties kunnen zien of de Flow Log status verbetert of verslechtert over tijd. Dit maakt het mogelijk om de effectiviteit van implementatie- en remediatie-activiteiten te meten en te bepalen of aanvullende maatregelen nodig zijn om de gewenste compliancestatus te bereiken en te behouden. Historische data kan ook worden gebruikt om te identificeren welke teams of processen het meest bijdragen aan compliance-problemen, zodat gerichte verbeteringen kunnen worden geïmplementeerd. Door trends te analyseren kunnen organisaties ook voorspellen wanneer nieuwe NSGs mogelijk Flow Logs nodig hebben, waardoor preventieve maatregelen kunnen worden genomen. Effectieve monitoring van Flow Logs is essentieel voor het waarborgen van continue netwerkzichtbaarheid en het voldoen aan beveiligings- en compliance-vereisten.

Remediatie

Gebruik PowerShell-script nsg-flow-logs-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer NSGs worden geïdentificeerd die geen Flow Logs hebben of wanneer Flow Logs niet correct functioneren, moeten deze onmiddellijk worden geremediateerd door Flow Logs te configureren of te herstellen. Het remediatieproces moet systematisch worden uitgevoerd om te waarborgen dat alle niet-compliant NSGs worden aangepakt zonder onnodige impact op netwerkfunctionaliteit of beveiliging. Effectieve remediatie is essentieel omdat NSGs zonder Flow Logs blinde vlekken creëren in de netwerkmonitoring, wat kan leiden tot gemiste bedreigingen en compliance-problemen. Het remediatieproces begint met het identificeren van alle NSGs die remediatie vereisen. Dit wordt gedaan door middel van de monitoring- en auditprocessen die regelmatig worden uitgevoerd. Voor elke geïdentificeerde NSG moet worden bepaald waarom Flow Logs ontbreken of niet functioneren, wat kan variëren van eenvoudige configuratiefouten tot complexere problemen met Azure Network Watcher of opslagaccounts. Een grondige evaluatie voorkomt onnodige configuratiewijzigingen en zorgt ervoor dat de juiste remediatie-acties worden ondernomen. Het is belangrijk om hierbij ook te evalueren of de NSG daadwerkelijk in een productieomgeving wordt gebruikt, of dat deze mogelijk verkeerd is geclassificeerd, omdat Flow Logs vooral belangrijk zijn voor productieomgevingen. Voor het uitvoeren van de remediatie moet voor elke NSG een configuratieplan worden ontwikkeld dat rekening houdt met de specifieke omstandigheden van de NSG en de impact op netwerkfunctionaliteit. Het configureren van Flow Logs voor een NSG is doorgaans een niet-disruptieve operatie die geen impact heeft op netwerkverkeer, maar het is belangrijk om te verifiëren dat de configuratie correct is en dat logs worden gegenereerd zoals verwacht. Het configuratieplan moet ook rekening houden met de beschikbaarheid van benodigde Azure-services zoals Network Watcher en opslagaccounts, omdat het ontbreken van deze services de remediatie kan belemmeren. Het wordt sterk aanbevolen om remediatie-acties eerst uit te voeren in een testomgeving of tijdens onderhoudsvensters om de impact te minimaliseren, hoewel dit doorgaans niet nodig is voor Flow Log configuratie. Tijdens het configuratieproces moeten organisaties de NSG en de Flow Log generatie continu monitoren om te verifiëren dat de configuratie succesvol is en dat logs correct worden gegenereerd. Als er problemen optreden tijdens of na de configuratie, moeten terugdraai-procedures beschikbaar zijn om de configuratie terug te brengen naar de oorspronkelijke staat. Goede monitoring en terugdraai-procedures minimaliseren het risico van langdurige problemen en zorgen ervoor dat issues snel kunnen worden opgelost. Voor NSGs die niet direct kunnen worden geconfigureerd vanwege technische beperkingen of bedrijfsvereisten, moeten tijdelijke mitigatiemaatregelen worden geïmplementeerd. Dit kan bijvoorbeeld betekenen dat extra monitoring wordt toegevoegd via alternatieve methoden, dat de NSG wordt geëvalueerd voor migratie naar een alternatieve configuratie, of dat aanvullende beveiligingsmaatregelen worden geïmplementeerd om het risico te verminderen. Deze mitigatiemaatregelen moeten echter worden gezien als tijdelijke oplossingen, en er moet een duidelijk plan zijn voor definitieve remediatie. Tijdelijke mitigatie mag nooit worden gebruikt als excuus om definitieve remediatie uit te stellen, omdat dit de organisatie blootstelt aan continue risico's van gemiste bedreigingen. Na het voltooien van de remediatie moet worden geverifieerd dat Flow Logs nu correct zijn geconfigureerd en functioneren. Dit omvat het controleren van de Flow Log configuratie, het valideren dat logs worden gegenereerd en opgeslagen, en het bevestigen dat logs beschikbaar zijn voor analyse. Deze verificatie moet worden gedocumenteerd als bewijs van de uitgevoerde remediatie. Verificatie is essentieel omdat het bevestigt dat de remediatie succesvol is geweest en dat de NSG nu voldoet aan alle vereisten. Zonder adequate verificatie kunnen organisaties niet zeker zijn dat de remediatie daadwerkelijk het gewenste resultaat heeft opgeleverd. Het is belangrijk dat alle remediatie-acties worden geregistreerd in het wijzigingsbeheersysteem en worden gecommuniceerd naar de relevante stakeholders. Dit omvat het documenteren van de oorspronkelijke status van de NSG, de uitgevoerde remediatie-acties, de nieuwe configuratie, de reden voor de remediatie, en de resultaten van de verificatie. Deze documentatie is essentieel voor compliance-doeleinden en maakt het mogelijk om de remediatie-activiteiten te traceren en te auditen. Goede documentatie helpt ook bij het leren van ervaringen en het verbeteren van toekomstige remediatie-processen. Het is ook belangrijk om te documenteren welke lessen zijn geleerd van de remediatie, zodat vergelijkbare problemen in de toekomst kunnen worden voorkomen. Tot slot moet het remediatieproces worden afgerond met een evaluatie van de effectiviteit van de genomen maatregelen. Dit omvat het beoordelen van de impact op netwerkmonitoring, beveiliging, kosten en operationele processen. Als de remediatie negatieve gevolgen heeft gehad, moeten deze worden geanalyseerd en moeten lessen worden getrokken voor toekomstige remediatie-activiteiten. Daarnaast moet worden gecontroleerd of er preventieve maatregelen zijn geïmplementeerd om te voorkomen dat nieuwe NSGs worden geconfigureerd zonder Flow Logs. Evaluatie is belangrijk omdat het helpt bij het verbeteren van het remediatieproces en ervoor zorgt dat toekomstige remediaties effectiever en efficiënter kunnen worden uitgevoerd. Door continu te leren van remediatie-activiteiten kunnen organisaties hun netwerkmonitoring en beveiligingspositie voortdurend verbeteren.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS NSG Flow Logs Enabled .DESCRIPTION CIS Azure Foundations Benchmark - Control 5.27 Controleert of NSG flow logging is ingeschakeld. .NOTES Filename: nsg-flow-logs-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 5.27 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Network [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "NSG Flow Logs Enabled" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue $networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue $flowLogCount = 0 foreach ($watcher in $networkWatchers) { $flowLogs = Get-AzNetworkWatcherFlowLog -NetworkWatcher $watcher -ErrorAction SilentlyContinue $flowLogCount += $flowLogs.Count } $result = @{ TotalNSGs = $nsgs.Count; TotalFlowLogs = $flowLogCount } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White Write-Host "Flow Logs Enabled: $($r.TotalFlowLogs)" -ForegroundColor $(if ($r.TotalFlowLogs -gt 0) { 'Green' } else { 'Yellow' }) if ($r.TotalFlowLogs -eq 0 -and $r.TotalNSGs -gt 0) { Write-Host "`n⚠️ Geen NSG flow logs ingeschakeld" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nNSG Flow Logs: $($r.TotalFlowLogs)/$($r.TotalNSGs) NSGs" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White Write-Host "Flow Logs Enabled: $($r.TotalFlowLogs)" -ForegroundColor $(if ($r.TotalFlowLogs -gt 0) { 'Green' } else { 'Yellow' }) if ($r.TotalFlowLogs -eq 0 -and $r.TotalNSGs -gt 0) { Write-Host "`n⚠️ Geen NSG flow logs ingeschakeld" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nNSG Flow Logs: $($r.TotalFlowLogs)/$($r.TotalNSGs) NSGs" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: Geen netwerkzichtbaarheid betekent blind zijn voor laterale beweging, gegevensexfiltratie en poortscanning. Netwerkforensisch onderzoek is onmogelijk. Compliance: CIS 6.5, BIO 12.04, NIS2. Het risico is HOOG - netwerkaanvalzichtbaarheid.

Management Samenvatting

NSG Flow Logs: Inschakelen op alle NSGs → Doorsturen naar Opslag + Log Analytics. Logt alle netwerkstromen (toegestaan/geweigerd, bron/bestemming IP-adressen, poorten). Traffic Analytics (optioneel) voegt machine learning anomaliedetectie toe. Activatie: Network Watcher → NSG Flow Logs → Inschakelen per NSG. Kosten: €20-100 per NSG per maand. Verplicht CIS 6.5, BIO 12.04, NIS2. Implementatie: 5-8 uur. Essentieel voor netwerkforensisch onderzoek.