💼 Management Samenvatting
Insider threat detection vormt een kritieke beveiligingsmaatregel voor het identificeren van kwaadaardige of nalatige activiteiten door geautoriseerde gebruikers binnen de organisatie. Azure Sentinel biedt geavanceerde mogelijkheden voor het detecteren van insider threats door middel van user behavior analytics, anomaliedetectie en correlatie van beveiligingsgebeurtenissen. Zonder adequate insider threat detection kunnen organisaties niet tijdig reageren op bedreigingen van binnenuit, wat kan leiden tot datalekken, intellectueel eigendomsdiefstal en reputatieschade.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
24u (tech: 16u)
Van toepassing op:
✓ Azure
Insider threats vormen een aanzienlijk beveiligingsrisico voor moderne organisaties, waarbij onderzoeken aantonen dat meer dan 30% van alle beveiligingsincidenten worden veroorzaakt door insiders, zowel kwaadaardig als nalatig. Deze bedreigingen zijn bijzonder gevaarlijk omdat insiders beschikken over legitieme toegang tot systemen en gegevens, waardoor traditionele perimeterbeveiliging niet effectief is. Kwaadaardige insiders kunnen misbruik maken van hun bevoegdheden om gevoelige gegevens te stelen, systemen te saboteren of intellectueel eigendom te misbruiken voor persoonlijk gewin. Nalatige insiders kunnen onbedoeld beveiligingsincidenten veroorzaken door onveilige praktijken, zoals het delen van wachtwoorden, het klikken op phishing-emailberichten of het verliezen van apparaten met gevoelige gegevens. Zonder adequate insider threat detection kunnen organisaties deze bedreigingen niet tijdig identificeren en reageren, wat kan leiden tot aanzienlijke financiële verliezen, reputatieschade en niet-naleving van compliance-vereisten. Insider threat detection lost dit probleem op door gebruik te maken van user behavior analytics om afwijkend gedrag te identificeren, door correlatie van beveiligingsgebeurtenissen om verdachte patronen te detecteren, en door machine learning om anomalieën te identificeren die kunnen wijzen op insider threats. Deze detectie moet worden uitgevoerd in real-time om tijdig te kunnen reageren op bedreigingen, en moet worden geïntegreerd met incident response-processen om effectieve responsacties te kunnen uitvoeren. Daarnaast is insider threat detection onmisbaar voor het voldoen aan compliance-vereisten zoals vastgelegd in de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn, de AVG en andere relevante wet- en regelgeving die van toepassing is op Nederlandse overheidsorganisaties. Deze frameworks vereisen dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om interne bedreigingen te detecteren en te reageren, en dat zij beschikken over geautomatiseerde systemen voor het monitoren van gebruikersgedrag. Het ontbreken van adequate insider threat detection kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade en juridische aansprakelijkheid.
PowerShell Modules Vereist
Primary API: Azure Security Insights
Connection:
Required Modules: Az.Accounts, Az.OperationalInsights, Az.SecurityInsights
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.OperationalInsights, Az.SecurityInsights
Implementatie
Azure Sentinel insider threat detection omvat het implementeren van analytics rules, user behavior analytics en anomaliedetectie om verdachte activiteiten door geautoriseerde gebruikers te identificeren. Dit omvat het configureren van analytics rules die specifiek zijn gericht op het detecteren van insider threat-indicatoren, zoals ongebruikelijke data-accesspatronen, massale gegevensexport, toegang buiten normale werkuren, privilege escalation, en verdachte netwerkactiviteit. Insider threat detection maakt gebruik van user behavior analytics om een baseline te creëren van normaal gebruikersgedrag, waarna afwijkingen van deze baseline kunnen worden geïdentificeerd als potentiële insider threats. Deze detectie kan worden uitgevoerd via ingebouwde Azure Sentinel analytics rules die zijn gebaseerd op Microsoft's threat intelligence en best practices, of via aangepaste analytics rules die zijn afgestemd op de specifieke behoeften van de organisatie. Daarnaast biedt Azure Sentinel de mogelijkheid om machine learning-modellen te gebruiken voor anomaliedetectie, waarbij gebruik wordt gemaakt van geavanceerde algoritmen om complexe patronen te identificeren die kunnen wijzen op insider threats. Insider threat detection moet ook worden geïntegreerd met andere beveiligingssystemen, zoals Azure Active Directory Identity Protection, Microsoft 365 Defender en Azure Defender, om een compleet beeld te krijgen van gebruikersactiviteiten en potentiële bedreigingen. De detectie moet worden geconfigureerd om waarschuwingen te genereren wanneer verdachte activiteiten worden gedetecteerd, en deze waarschuwingen moeten worden geïntegreerd met incident response-processen om effectieve responsacties te kunnen uitvoeren. Daarnaast moet insider threat detection worden geconfigureerd met privacy-by-design principes, waarbij gebruikersactiviteiten worden gemonitord op een manier die de privacy van gebruikers respecteert en voldoet aan AVG-vereisten.
Vereisten
Voor het implementeren van effectieve insider threat detection met Azure Sentinel zijn specifieke licentievereisten, beheerdersbevoegdheden en technische configuraties noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle implementatie van insider threat detection en zijn essentieel om te kunnen voldoen aan compliance-vereisten en beveiligingsbest practices. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet beschikken over de benodigde detectie-capaciteiten en niet kunnen voldoen aan wettelijke verplichtingen zoals vastgelegd in de BIO, NIS2 richtlijn en de AVG.
De primaire licentievereiste voor insider threat detection is een Azure Sentinel-licentie, die beschikbaar is als onderdeel van Azure Monitor of als standalone licentie. Azure Sentinel vereist een Log Analytics-workspace met de juiste capaciteit om beveiligingsgebeurtenissen op te slaan, waarbij organisaties moeten overwegen om een dedicated workspace te gebruiken voor beveiligingsmonitoring om te voorkomen dat beveiligingsgebeurtenissen worden gemengd met operationele logs. Voor uitgebreide insider threat detection zijn aanvullende licenties nodig, zoals Azure Active Directory Premium P2 voor Identity Protection-functionaliteit, Microsoft 365 E5 of Microsoft 365 E5 Security voor geavanceerde threat detection in Microsoft 365, en Azure Defender voor Servers voor endpoint detection en response. Deze licenties kunnen aanzienlijke kosten met zich meebrengen, maar zijn essentieel voor effectieve insider threat detection. Organisaties moeten een kosten-batenanalyse uitvoeren om te bepalen welke licenties nodig zijn voor hun specifieke behoeften, en moeten overwegen om te beginnen met basislicenties en geleidelijk uit te breiden naarmate de behoeften groeien.
Naast licentievereisten is een specifieke beheerdersrol nodig die toegang heeft tot Azure Sentinel en de benodigde configuratie-informatie. De Azure Sentinel Contributor rol is de minimale rol die nodig is voor het configureren van insider threat detection, omdat deze rol toegang heeft tot analytics rules en de mogelijkheid heeft om deze te configureren en te beheren. Voor uitgebreidere configuratie die ook toegang vereist tot gebruikersactiviteiten en identiteitsgegevens, kan de Security Administrator rol of de Global Administrator rol nodig zijn. Deze rollen kunnen worden toegewezen via het Azure Portal of via Azure PowerShell met behulp van de Az.Resources module. Het is belangrijk te realiseren dat deze rollen gevoelige informatie kunnen bekijken, zoals gebruikersactiviteiten en beveiligingsgebeurtenissen. Daarom moeten deze rollen alleen worden toegewezen aan vertrouwde beheerders die een security clearance hebben en die zijn getraind in het uitvoeren van insider threat detection. Organisaties moeten een proces implementeren voor het toewijzen en beheren van deze rollen, inclusief regelmatige reviews om te verifiëren dat alleen geautoriseerde personen toegang hebben tot insider threat detection-functionaliteit.
Technische vereisten omvatten ook de beschikbaarheid van data connectors en de juiste netwerkconnectiviteit. Voor effectieve insider threat detection moeten data connectors worden geconfigureerd om beveiligingsgebeurtenissen te verzamelen uit verschillende bronnen, zoals Azure Active Directory voor authenticatiegebeurtenissen, Microsoft 365 voor gebruikersactiviteiten, Azure resources voor resource-toegang, en on-premises systemen voor hybride omgevingen. Deze data connectors moeten actief zijn en data verzamelen voordat insider threat detection effectief kan zijn. Daarnaast moeten beheerders beschikken over netwerkconnectiviteit naar Azure services, wat meestal betekent dat zij toegang hebben tot internet of dat er een ExpressRoute-verbinding is geconfigureerd voor organisaties die privéconnectiviteit vereisen. Voor organisaties met strikte netwerkbeveiliging kunnen aanvullende firewallregels nodig zijn om toegang te verlenen tot de benodigde Azure endpoints voor insider threat detection-functionaliteit.
Voor organisaties die geavanceerde insider threat detection willen implementeren, zijn aanvullende vereisten nodig. Dit omvat de beschikbaarheid van machine learning-capaciteiten voor anomaliedetectie, de beschikbaarheid van threat intelligence-feeds voor het identificeren van bekende bedreigingsindicatoren, en de beschikbaarheid van incident response-tools voor het reageren op gedetecteerde bedreigingen. Organisaties moeten overwegen om geavanceerde insider threat detection te implementeren als onderdeel van hun beveiligingsstrategie, waarbij gebruik wordt gemaakt van machine learning en kunstmatige intelligentie om complexe patronen te identificeren die kunnen wijzen op insider threats. Het is cruciaal te realiseren dat zonder de juiste licenties, bevoegdheden en configuraties insider threat detection niet effectief kan worden geïmplementeerd en organisaties niet kunnen waarborgen dat zij beschikken over adequate detectie-capaciteiten voor interne bedreigingen. Het ontbreken van adequate insider threat detection kan leiden tot situaties waarin organisaties niet tijdig kunnen reageren op bedreigingen van binnenuit, wat kan resulteren in datalekken, intellectueel eigendomsdiefstal en niet-naleving van compliance-vereisten. Daarom moeten organisaties ervoor zorgen dat alle vereisten volledig zijn geïmplementeerd voordat zij insider threat detection implementeren.
Implementatie
De implementatie van insider threat detection met Azure Sentinel vereist een gestructureerde aanpak die begint met het voorbereiden van de detectie-omgeving, gevolgd door het configureren van analytics rules voor insider threat-indicatoren, het implementeren van user behavior analytics, het configureren van anomaliedetectie, en het integreren met incident response-processen. Hoewel insider threat detection relatief eenvoudig kan worden geconfigureerd via het Azure Portal, is het essentieel om een doordachte detectiestrategie te volgen die ervoor zorgt dat alle relevante bedreigingsindicatoren worden gedetecteerd en dat de detectie wordt geïntegreerd met bestaande beveiligingsprocessen.
De eerste stap in het implementatieproces is het voorbereiden van de detectie-omgeving door te zorgen dat Azure Sentinel is ingeschakeld, dat data connectors zijn geconfigureerd en actief zijn, en dat de benodigde beheerdersrollen zijn toegewezen. Beheerders moeten verifiëren dat Azure Sentinel is ingeschakeld op de Log Analytics-workspace, dat alle relevante data connectors zijn geconfigureerd en data verzamelen, en dat zij beschikken over de juiste bevoegdheden om analytics rules te configureren en te beheren. Na het voorbereiden van de detectie-omgeving kunnen beheerders beginnen met het configureren van analytics rules voor insider threat-indicatoren.
De tweede stap omvat het configureren van analytics rules die specifiek zijn gericht op het detecteren van insider threat-indicatoren. Azure Sentinel biedt een uitgebreide set aan ingebouwde analytics rules die zijn gebaseerd op Microsoft's threat intelligence en best practices, waaronder regels voor het detecteren van ongebruikelijke data-accesspatronen, massale gegevensexport, toegang buiten normale werkuren, privilege escalation, en verdachte netwerkactiviteit. Deze ingebouwde regels kunnen worden ingeschakeld via het Azure Portal door te navigeren naar Azure Sentinel, Analytics te selecteren, en de gewenste regels in te schakelen. Daarnaast biedt Azure Sentinel de mogelijkheid om aangepaste analytics rules te ontwikkelen die zijn afgestemd op de specifieke behoeften van de organisatie, waarbij gebruik wordt gemaakt van Kusto Query Language (KQL) om complexe query's te schrijven die insider threat-indicatoren identificeren. Deze aangepaste regels kunnen worden ontwikkeld op basis van threat intelligence, best practices en lessons learned uit eerdere incidenten, en kunnen worden getest en gevalideerd voordat zij in productie worden genomen.
De derde stap omvat het implementeren van user behavior analytics om een baseline te creëren van normaal gebruikersgedrag en om afwijkingen van deze baseline te identificeren. User behavior analytics maakt gebruik van machine learning om patronen te leren van historische gebruikersactiviteiten, waarna afwijkingen van deze patronen kunnen worden geïdentificeerd als potentiële insider threats. Azure Sentinel biedt ingebouwde user behavior analytics-functionaliteit die automatisch baselines creëert en anomalieën identificeert, maar organisaties kunnen ook aangepaste user behavior analytics-modellen ontwikkelen die zijn afgestemd op hun specifieke behoeften. User behavior analytics moet worden geconfigureerd om verschillende soorten gedrag te monitoren, zoals authenticatiepatronen, data-accesspatronen, netwerkactiviteit, en applicatiegebruik. Daarnaast moet user behavior analytics worden geconfigureerd met privacy-by-design principes, waarbij gebruikersactiviteiten worden gemonitord op een manier die de privacy van gebruikers respecteert en voldoet aan AVG-vereisten.
Gebruik PowerShell-script insider-threat-detection.ps1 (functie Invoke-Implementation) – Configureert en verifieert insider threat detection analytics rules in Azure Sentinel.
Het PowerShell-script insider-threat-detection.ps1 ondersteunt deze implementatie door automatisch analytics rules te configureren voor insider threat-indicatoren, user behavior analytics te implementeren, en de detectie-status te verifiëren. Het script maakt verbinding met Azure via Connect-AzAccount, haalt de Azure Sentinel configuratie op via REST API-calls, configureert analytics rules voor insider threat-indicatoren, implementeert user behavior analytics, en controleert of de detectie correct is geconfigureerd en actief is. De uitvoer bevat zowel een totaalscore per tenant als een overzicht per workspace en per analytics rule, waardoor teams gericht acties kunnen uitzetten naar de eigenaar van de betreffende workload. Het script kan herhaaldelijk worden gedraaid na configuratiewijzigingen om te verifiëren dat de verwachte configuratie inderdaad aanwezig is.
De vierde stap omvat het configureren van anomaliedetectie om complexe patronen te identificeren die kunnen wijzen op insider threats. Anomaliedetectie maakt gebruik van machine learning en kunstmatige intelligentie om afwijkingen te identificeren die niet kunnen worden gedetecteerd door traditionele rule-based detectie. Azure Sentinel biedt ingebouwde anomaliedetectie-functionaliteit die automatisch anomalieën identificeert in gebruikersactiviteiten, maar organisaties kunnen ook aangepaste anomaliedetectie-modellen ontwikkelen die zijn afgestemd op hun specifieke behoeften. Anomaliedetectie moet worden geconfigureerd om verschillende soorten anomalieën te identificeren, zoals ongebruikelijke authenticatiepatronen, ongebruikelijke data-accesspatronen, ongebruikelijke netwerkactiviteit, en ongebruikelijke applicatiegebruik. Daarnaast moet anomaliedetectie worden geconfigureerd met false positive-reductie om te voorkomen dat legitieme activiteiten worden gemarkeerd als verdacht.
De laatste implementatiestap omvat het integreren van insider threat detection met incident response-processen om effectieve responsacties te kunnen uitvoeren wanneer bedreigingen worden gedetecteerd. Deze integratie omvat het configureren van waarschuwingen die worden gegenereerd wanneer insider threats worden gedetecteerd, het configureren van automatische responsacties via Azure Sentinel playbooks, en het integreren met bestaande incident response-tools en -processen. Beheerders moeten waarschuwingen configureren die worden verzonden naar security teams wanneer insider threats worden gedetecteerd, en moeten automatische responsacties configureren die kunnen worden uitgevoerd om de impact van bedreigingen te minimaliseren. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van gedetecteerde bedreigingen, waarbij security teams worden getraind in het identificeren en reageren op insider threats, en waarbij incident response-procedures worden gedocumenteerd voor compliance-doeleinden.
Compliance en Auditing
Vanuit complianceperspectief vervult insider threat detection een centrale rol als technische voorziening om te waarborgen dat organisaties beschikken over adequate detectie-capaciteiten voor interne bedreigingen, en als bron van bewijs dat de organisatie structureel voldoet aan gestelde normen. De Baseline Informatiebeveiliging Overheid (BIO) schrijft in hoofdstuk 12.04 voor dat beveiligingsrelevante gebeurtenissen moeten worden gemonitord, geanalyseerd en gekoppeld aan opvolgacties. Door insider threat detection regelmatig uit te voeren en de resultaten te documenteren, kan eenvoudig worden aangetoond dat organisaties beschikken over adequate detectie-capaciteiten voor interne bedreigingen en dat deze capaciteiten correct functioneren. Tijdens ENSIA-audits en interne controles kunnen insider threat detection-rapporten rechtstreeks worden gebruikt als evidence dat de organisatie beschikken over volwassen beveiligingsmonitoring en dat deze monitoring correct functioneert.
Ook de AVG en NIS2 stellen impliciete en expliciete eisen aan beveiligingsmonitoring en incident response. AVG Artikel 32 verlangt passende technische en organisatorische maatregelen om onder meer de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens te waarborgen. Zonder goede beveiligingsmonitoring is het vrijwel onmogelijk om na een datalek vast te stellen wanneer het lek precies is ontstaan, wat de beoordeling van meldplicht en impact enorm bemoeilijkt. NIS2 en de Wet beveiliging netwerk- en informatiesystemen vragen bovendien om aantoonbaar en proportioneel incidentmanagement, inclusief snelle detectie en respons. Een Azure Sentinel-omgeving waarin insider threat detection regelmatig wordt uitgevoerd en de resultaten worden gedocumenteerd, vormt de basis om deze verplichtingen na te komen en om in rapportages richting toezichthouders overtuigend te laten zien dat de organisatie beschikken over adequate detectie-capaciteiten voor interne bedreigingen. Voor organisaties in de publieke sector is insider threat detection bovendien essentieel voor het waarborgen van transparantie en verantwoording, waarbij bestuurders moeten kunnen aantonen dat zij passende controles hebben geïmplementeerd om de beveiliging van kritieke diensten te waarborgen.
Voor sectorale kaders, zoals de DigiD-beveiligingsrichtlijnen, de richtlijnen van het Nationaal Cyber Security Centrum (NCSC) of aanvullende eisen van toezichthouders in de gezondheidszorg en financiële sector, geldt eveneens dat beveiligingsmonitoring en incident response centraal staan. Azure Sentinel insider threat detection maakt het mogelijk om maatwerkrapporten te definiëren waarin bijvoorbeeld alle gedetecteerde bedreigingen, de status van analytics rules, en eventuele geïdentificeerde problemen in één overzicht worden samengebracht. Deze rapporten kunnen periodiek worden geëxporteerd en ondertekend, waardoor zij direct als auditstuk kunnen worden opgenomen in dossiers. Belangrijk is wel dat de detectieprocedures en -criteria die hiervoor worden gebruikt onder versiebeheer staan, zodat auditteams kunnen controleren dat de gebruikte logica consistent is en dat resultaten herhaalbaar zijn. Door deze configuraties te documenteren in het verwerkingsregister en in dataprotectie-effectbeoordelingen (DPIA's), kan worden aangetoond dat insider threat detection proportioneel en doelgebonden is ingericht.
Transparantie en dataminimalisatie blijven randvoorwaarden, ook bij insider threat detection. Organisaties moeten onderbouwen waarom bepaalde gebruikersactiviteiten worden gemonitord tijdens detectie en hoe lang detectierapporten worden bewaard. Azure Sentinel ondersteunt deze verantwoording doordat detectieprocedures kunnen worden gedocumenteerd en omdat exportstromen naar andere systemen zichtbaar zijn. Door deze configuraties te documenteren in het verwerkingsregister en in dataprotectie-effectbeoordelingen, kan worden aangetoond dat insider threat detection proportioneel en doelgebonden is ingericht. Hiermee worden technische maatregelen direct gekoppeld aan juridische en organisatorische kaders, wat essentieel is binnen de Nederlandse Baseline voor Veilige Cloud.
Monitoring
Gebruik PowerShell-script insider-threat-detection.ps1 (functie Invoke-Monitoring) – Automatiseert de verificatie van insider threat detection status en controleert of alle analytics rules operationeel zijn.
Effectieve monitoring van insider threat detection is essentieel om te waarborgen dat de detectie correct blijft functioneren en dat organisaties altijd beschikken over adequate detectie-capaciteiten voor interne bedreigingen die essentieel zijn voor compliance-doeleinden en incident response. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat insider threat detection actief is, dat alle analytics rules correct zijn geconfigureerd en actief zijn, en dat er geen problemen zijn met de detectie-infrastructuur die kunnen leiden tot gaten in de beveiligingszichtbaarheid. Monitoring omvat het continu volgen van de detectie-status, het verifiëren dat alle analytics rules operationeel zijn, het controleren van de gezondheid van de detectie-infrastructuur, en het waarborgen dat configuratiewijzigingen niet leiden tot problemen met de detectie-functionaliteit.
De basis van monitoring wordt gevormd door regelmatige verificatie van de detectie-status via het Azure Portal of via PowerShell. Beheerders moeten wekelijks controleren of insider threat detection actief is, of alle analytics rules correct zijn geconfigureerd en actief zijn, of user behavior analytics correct functioneert, en of er geen waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de detectie-functionaliteit. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de detectie-status controleren en waarschuwingen genereren wanneer problemen worden gedetecteerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat configuratiewijzigingen of beheerdersfouten kunnen leiden tot het onbedoeld uitschakelen van analytics rules of user behavior analytics, wat kan resulteren in gaten in de beveiligingszichtbaarheid en niet-naleving van compliance-vereisten.
Naast het controleren van de detectie-status moeten organisaties regelmatig verifiëren dat analytics rules daadwerkelijk bedreigingen detecteren en dat deze detecties correct worden verwerkt. Dit kan worden gedaan door query's uit te voeren in Azure Sentinel om te controleren of analytics rules incidenten genereren, of door gebruik te maken van ingebouwde monitoring-dashboards die de status van analytics rules weergeven. Als analytics rules geen incidenten genereren of als bepaalde bedreigingsindicatoren niet worden gedetecteerd, kan dit wijzen op problemen met de rule-configuratie die moeten worden opgelost. Organisaties moeten processen implementeren voor het regelmatig uitvoeren van deze verificaties, waarbij wekelijks wordt gecontroleerd of analytics rules actief zijn en bedreigingen detecteren, en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Voor organisaties die geautomatiseerde insider threat detection hebben geïmplementeerd, is het essentieel om te monitoren of deze detectie correct functioneert en of waarschuwingen worden gegenereerd wanneer bedreigingen worden gedetecteerd. Dit omvat het controleren van de uitvoer van geautomatiseerde detectiescripts, het analyseren van gegenereerde waarschuwingen, en het verifiëren dat bedreigingen worden opgelost. Problemen met geautomatiseerde detectie kunnen leiden tot situaties waarin insider threats niet worden gedetecteerd, wat kan resulteren in gaten in de beveiligingszichtbaarheid en problemen met compliance-doeleinden. Organisaties moeten processen implementeren voor het monitoren van de effectiviteit van geautomatiseerde detectie, waarbij maandelijks wordt gecontroleerd of detectie correct functioneert en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Daarnaast moeten organisaties processen implementeren voor het monitoren van de gezondheid van de insider threat detection-infrastructuur, inclusief het controleren van de capaciteit van de Log Analytics-workspace en het verifiëren dat er voldoende opslagruimte beschikbaar is voor het opslaan van beveiligingsgebeurtenissen. Als de workspace-capaciteit wordt bereikt, kunnen nieuwe beveiligingsgebeurtenissen niet worden opgeslagen, wat kan resulteren in gaten in de beveiligingszichtbaarheid. Organisaties moeten waarschuwingen configureren die worden gegenereerd wanneer workspace-capaciteit bijna wordt bereikt, zodat proactieve maatregelen kunnen worden genomen om te voorkomen dat beveiligingsgebeurtenissen verloren gaan. Voor organisaties die langere retentieperiodes nodig hebben, is het belangrijk om te overwegen om data te exporteren naar externe systemen zoals Azure Storage Accounts, waar langere retentieperiodes mogelijk zijn zonder de beperkingen van de standaard Log Analytics-workspace-capaciteit.
Remediatie
Gebruik PowerShell-script insider-threat-detection.ps1 (functie Invoke-Remediation) – Ondersteunt remediatie door detectieproblemen te identificeren en aanbevelingen te geven voor het oplossen van insider threat detection problemen.
Remediatie van insider threat detection problemen omvat het identificeren van ontbrekende analytics rules, het corrigeren van configuratiefouten, en het waarborgen dat alle relevante bedreigingsindicatoren worden gedetecteerd. Het is belangrijk om te realiseren dat wanneer insider threat detection niet correct is geconfigureerd, organisaties niet tijdig kunnen reageren op bedreigingen van binnenuit en volledig blind zijn voor interne bedreigingen die kunnen leiden tot beveiligingsincidenten, datalekken en niet-naleving van compliance-vereisten. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van detectieproblemen, zodat de impact op de beveiligingszichtbaarheid wordt geminimaliseerd.
Wanneer analytics rules niet zijn geconfigureerd of niet actief zijn, moeten deze worden geconfigureerd via het Azure Portal door te navigeren naar Azure Sentinel, Analytics te selecteren, en de gewenste regels in te schakelen. Voor aangepaste analytics rules moeten deze worden ontwikkeld met behulp van KQL en worden getest voordat zij in productie worden genomen. Na het configureren van analytics rules is het essentieel om te verifiëren dat de regels actief zijn en bedreigingen detecteren, zodat kan worden bevestigd dat de configuratie correct is. Daarnaast moeten organisaties processen implementeren voor het regelmatig updaten van analytics rules om te waarborgen dat nieuwe bedreigingsindicatoren worden gedetecteerd en dat bestaande regels blijven functioneren.
Wanneer user behavior analytics niet correct functioneert, moeten de configuratie-instellingen worden gecontroleerd en aangepast. Dit kan betekenen dat de baseline-periode moet worden verlengd om voldoende historische data te verzamelen, dat de anomaliedrempels moeten worden aangepast om false positives te verminderen, of dat aanvullende data sources moeten worden geconfigureerd om een completer beeld te krijgen van gebruikersactiviteiten. Organisaties moeten processen implementeren voor het regelmatig controleren van user behavior analytics-configuratie, zodat problemen kunnen worden geïdentificeerd en opgelost voordat zij leiden tot problemen met de detectie-functionaliteit.
Voor organisaties die problemen hebben met de Log Analytics-workspace configuratie, zoals onvoldoende capaciteit of onjuiste retentie-instellingen, moeten deze problemen worden opgelost voordat insider threat detection volledig operationeel kan zijn. Dit kan betekenen dat de workspace-capaciteit moet worden verhoogd, dat retentie-instellingen moeten worden aangepast om te voldoen aan compliance-vereisten, of dat aanvullende workspaces moeten worden geconfigureerd voor specifieke workloads. Organisaties moeten processen implementeren voor het regelmatig controleren van workspace-configuratie, zodat problemen kunnen worden geïdentificeerd en opgelost voordat zij leiden tot problemen met de detectie-functionaliteit.
Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van detectieproblemen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat beheerders moeten worden getraind in het belang van insider threat detection, dat configuratiewijzigingen moeten worden gereviewd voordat zij worden doorgevoerd, of dat aanvullende controles moeten worden geïmplementeerd om te voorkomen dat analytics rules onbedoeld worden uitgeschakeld. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat insider threat detection continu actief blijft en dat er geen gaten ontstaan in de beveiligingszichtbaarheid die kunnen leiden tot niet-naleving van compliance-vereisten.
Compliance & Frameworks
- BIO: 12.04, 11.04, 10.02 - Logging, monitoring, toegangscontrole en continuïteit van kritieke processen
- ISO 27001:2022: A.12.4.1, A.16.1, A.9.2.1 - Gebeurtenissen logging, incidentmanagement, forensische mogelijkheden en toegangsbeheer
- NIS2: Artikel - Incident detection en response capaciteiten, inclusief insider threat detection
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Controle en implementatie van Azure Sentinel Insider Threat Detection configuratie.
.DESCRIPTION
Dit script controleert of Azure Sentinel Insider Threat Detection analytics rules
zijn geconfigureerd en actief zijn op Azure Sentinel workspaces. Het script
ondersteunt ook het inschakelen van analytics rules wanneer deze zijn uitgeschakeld.
Het script is bedoeld als controle- en implementatietool waarmee cloud- en
securityteams snel kunnen zien of Azure Sentinel Insider Threat Detection
correct is geconfigureerd en actief is voor het detecteren van interne bedreigingen.
.NOTES
Filename: insider-threat-detection.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/sentinel/insider-threat-detection.json
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.SecurityInsights, Az.OperationalInsights
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[string]$WorkspaceResourceGroupName,
[Parameter()]
[string]$WorkspaceName
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Sentinel Insider Threat Detection - Internal Threat Detection and Compliance"
function Connect-RequiredServices {
if (-not (Get-AzContext)) {
Connect-AzAccount -ErrorAction Stop | Out-Null
}
}
function Get-AzureSentinelInsiderThreatDetectionStatus {
<#
.SYNOPSIS
Haalt de status van Azure Sentinel Insider Threat Detection analytics rules op voor alle Log Analytics workspaces.
#>
$workspaces = @()
if ($WorkspaceName -and $WorkspaceResourceGroupName) {
$workspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName $WorkspaceResourceGroupName -Name $WorkspaceName -ErrorAction SilentlyContinue
if ($workspace) {
$workspaces += $workspace
}
}
else {
$workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction Stop
}
$results = @()
foreach ($ws in $workspaces) {
$workspaceId = $ws.ResourceId
try {
# Controleren of Azure Sentinel is ingeschakeld
$context = Get-AzContext
$accessToken = [Microsoft.Azure.Commands.Common.Authentication.AzureSession]::Instance.AuthenticationFactory.Authenticate(
$context.Account, $context.Environment, $context.Tenant.Id, $null, "Never", $null, "https://management.azure.com"
).AccessToken
$headers = @{
'Authorization' = "Bearer $accessToken"
'Content-Type' = 'application/json'
}
$sentinelApiUrl = "https://management.azure.com$workspaceId/providers/Microsoft.SecurityInsights/onboardingStates/default?api-version=2021-10-01-preview"
try {
$sentinelResponse = Invoke-RestMethod -Uri $sentinelApiUrl -Method Get -Headers $headers -ErrorAction SilentlyContinue
$sentinelEnabled = $sentinelResponse.properties.customerManagedKey -ne $null -or $sentinelResponse.name -eq "default"
}
catch {
$sentinelEnabled = $false
}
if (-not $sentinelEnabled) {
$results += [PSCustomObject]@{
WorkspaceName = $ws.Name
WorkspaceResourceGroup = $ws.ResourceGroupName
WorkspaceId = $workspaceId
SentinelEnabled = $false
InsiderThreatRulesCount = 0
ActiveInsiderThreatRules = 0
UserBehaviorAnalyticsEnabled = $false
NonCompliant = $true
Notes = "Azure Sentinel is niet ingeschakeld op deze workspace."
}
continue
}
# Analytics rules ophalen voor insider threat detection
$insiderThreatKeywords = @("insider", "data exfiltration", "privilege escalation", "unusual access", "mass export", "abnormal behavior", "user behavior")
$insiderThreatRulesCount = 0
$activeInsiderThreatRules = 0
try {
$rulesUrl = "https://management.azure.com$workspaceId/providers/Microsoft.SecurityInsights/alertRules?api-version=2022-11-01"
$rulesResponse = Invoke-RestMethod -Uri $rulesUrl -Method Get -Headers $headers -ErrorAction SilentlyContinue
if ($rulesResponse.value) {
foreach ($rule in $rulesResponse.value) {
$ruleName = $rule.name
$ruleDisplayName = $rule.properties.displayName
$ruleEnabled = $rule.properties.enabled
# Controleren of de rule gerelateerd is aan insider threat detection
$isInsiderThreatRule = $false
foreach ($keyword in $insiderThreatKeywords) {
if ($ruleName -like "*$keyword*" -or $ruleDisplayName -like "*$keyword*") {
$isInsiderThreatRule = $true
break
}
}
if ($isInsiderThreatRule) {
$insiderThreatRulesCount++
if ($ruleEnabled) {
$activeInsiderThreatRules++
}
}
}
}
}
catch {
# Als rules niet kunnen worden opgehaald, blijven we op 0
}
# User Behavior Analytics status controleren
$userBehaviorAnalyticsEnabled = $false
try {
$uebaUrl = "https://management.azure.com$workspaceId/providers/Microsoft.SecurityInsights/settings?api-version=2022-11-01"
$uebaResponse = Invoke-RestMethod -Uri $uebaUrl -Method Get -Headers $headers -ErrorAction SilentlyContinue
if ($uebaResponse.value) {
foreach ($setting in $uebaResponse.value) {
if ($setting.name -like "*UEBA*" -or $setting.name -like "*UserEntityBehaviorAnalytics*") {
if ($setting.properties.enabled) {
$userBehaviorAnalyticsEnabled = $true
break
}
}
}
}
}
catch {
# Als UEBA status niet kan worden opgehaald, blijven we op false
}
# Workspace configuratie controleren
$workspaceConfigured = $true
$workspaceNotes = @()
if (-not $ws.RetentionInDays -or $ws.RetentionInDays -lt 90) {
$workspaceConfigured = $false
$workspaceNotes += "Retentieperiode is minder dan 90 dagen (huidig: $($ws.RetentionInDays) dagen)"
}
$nonCompliant = $insiderThreatRulesCount -eq 0 -or $activeInsiderThreatRules -eq 0 -or -not $userBehaviorAnalyticsEnabled -or -not $workspaceConfigured
$notes = if ($insiderThreatRulesCount -eq 0) {
"Geen insider threat detection analytics rules geconfigureerd."
}
elseif ($activeInsiderThreatRules -eq 0) {
"Insider threat detection analytics rules zijn geconfigureerd maar niet actief."
}
elseif (-not $userBehaviorAnalyticsEnabled) {
"User Behavior Analytics is niet ingeschakeld."
}
elseif (-not $workspaceConfigured) {
$workspaceNotes -join "; "
}
else {
"Insider threat detection is correct geconfigureerd en actief."
}
$results += [PSCustomObject]@{
WorkspaceName = $ws.Name
WorkspaceResourceGroup = $ws.ResourceGroupName
WorkspaceId = $workspaceId
SentinelEnabled = $sentinelEnabled
InsiderThreatRulesCount = $insiderThreatRulesCount
ActiveInsiderThreatRules = $activeInsiderThreatRules
UserBehaviorAnalyticsEnabled = $userBehaviorAnalyticsEnabled
WorkspaceConfigured = $workspaceConfigured
RetentionDays = $ws.RetentionInDays
NonCompliant = $nonCompliant
Notes = $notes
}
}
catch {
$results += [PSCustomObject]@{
WorkspaceName = $ws.Name
WorkspaceResourceGroup = $ws.ResourceGroupName
WorkspaceId = $workspaceId
SentinelEnabled = $false
InsiderThreatRulesCount = 0
ActiveInsiderThreatRules = 0
UserBehaviorAnalyticsEnabled = $false
WorkspaceConfigured = $false
RetentionDays = 0
NonCompliant = $true
Notes = "Fout bij het ophalen van insider threat detection status: $($_.Exception.Message)"
}
}
}
return $results
}
function Test-Compliance {
$data = Get-AzureSentinelInsiderThreatDetectionStatus
$totalWorkspaces = $data.Count
$sentinelDisabled = ($data | Where-Object { -not $_.SentinelEnabled }).Count
$noInsiderThreatRules = ($data | Where-Object { $_.SentinelEnabled -and $_.InsiderThreatRulesCount -eq 0 }).Count
$noActiveInsiderThreatRules = ($data | Where-Object { $_.SentinelEnabled -and $_.ActiveInsiderThreatRules -eq 0 }).Count
$uebaDisabled = ($data | Where-Object { $_.SentinelEnabled -and -not $_.UserBehaviorAnalyticsEnabled }).Count
$workspaceIssues = ($data | Where-Object { -not $_.WorkspaceConfigured }).Count
$nonCompliant = ($data | Where-Object { $_.NonCompliant -eq $true }).Count
return [PSCustomObject]@{
TotalWorkspaces = $totalWorkspaces
SentinelDisabled = $sentinelDisabled
NoInsiderThreatRules = $noInsiderThreatRules
NoActiveInsiderThreatRules = $noActiveInsiderThreatRules
UEBADisabled = $uebaDisabled
WorkspaceIssues = $workspaceIssues
NonCompliantWorkspaces = $nonCompliant
Details = $data
}
}
try {
Connect-RequiredServices
if ($Monitoring) {
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
if ($result.SentinelDisabled -gt 0) {
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor Yellow
}
else {
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor Green
}
if ($result.NoInsiderThreatRules -gt 0) {
Write-Host ("Zonder insider threat detection rules : {0}" -f $result.NoInsiderThreatRules) -ForegroundColor Yellow
}
else {
Write-Host ("Zonder insider threat detection rules : {0}" -f $result.NoInsiderThreatRules) -ForegroundColor Green
}
if ($result.NoActiveInsiderThreatRules -gt 0) {
Write-Host ("Zonder actieve insider threat rules : {0}" -f $result.NoActiveInsiderThreatRules) -ForegroundColor Yellow
}
else {
Write-Host ("Zonder actieve insider threat rules : {0}" -f $result.NoActiveInsiderThreatRules) -ForegroundColor Green
}
if ($result.UEBADisabled -gt 0) {
Write-Host ("User Behavior Analytics uitgeschakeld : {0}" -f $result.UEBADisabled) -ForegroundColor Yellow
}
else {
Write-Host ("User Behavior Analytics uitgeschakeld : {0}" -f $result.UEBADisabled) -ForegroundColor Green
}
if ($result.WorkspaceIssues -gt 0) {
Write-Host ("Workspace configuratie problemen : {0}" -f $result.WorkspaceIssues) -ForegroundColor Yellow
}
else {
Write-Host ("Workspace configuratie problemen : {0}" -f $result.WorkspaceIssues) -ForegroundColor Green
}
if ($result.NonCompliantWorkspaces -gt 0) {
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor Yellow
}
else {
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor Green
}
if ($result.SentinelDisabled -gt 0 -or $result.NoInsiderThreatRules -gt 0 -or $result.NoActiveInsiderThreatRules -gt 0 -or $result.UEBADisabled -gt 0 -or $result.WorkspaceIssues -gt 0 -or $result.NonCompliantWorkspaces -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de insider threat detection-vereisten." -ForegroundColor Yellow
Write-Host " Gebruik de details-uitvoer om te bepalen waar insider threat detection moet worden geconfigureerd" -ForegroundColor Yellow
Write-Host " of waar analytics rules moeten worden ingeschakeld." -ForegroundColor Yellow
}
# Gedetailleerde tabel als JSON voor verdere verwerking
$result.Details | ConvertTo-Json -Depth 4
}
elseif ($Remediation) {
$result = Test-Compliance
$nonCompliant = $result.Details | Where-Object { $_.NonCompliant -eq $true }
if ($nonCompliant) {
Write-Host "" -ForegroundColor Yellow
Write-Host "[INFO] Dit script identificeert workspaces waar insider threat detection problemen zijn." -ForegroundColor Yellow
Write-Host "[INFO] Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig." -ForegroundColor Yellow
foreach ($workspace in $nonCompliant) {
Write-Host "" -ForegroundColor White
Write-Host "Workspace: $($workspace.WorkspaceName)" -ForegroundColor Cyan
Write-Host " Status: $($workspace.Notes)" -ForegroundColor Gray
if (-not $workspace.SentinelEnabled) {
Write-Host " Actie: Schakel Azure Sentinel in via Azure Portal > Azure Sentinel > Add" -ForegroundColor Yellow
}
elseif ($workspace.InsiderThreatRulesCount -eq 0) {
Write-Host " Actie: Configureer insider threat detection analytics rules via Azure Portal > Azure Sentinel > Analytics" -ForegroundColor Yellow
}
elseif ($workspace.ActiveInsiderThreatRules -eq 0) {
Write-Host " Actie: Schakel insider threat detection analytics rules in via Azure Portal > Azure Sentinel > Analytics" -ForegroundColor Yellow
}
elseif (-not $workspace.UserBehaviorAnalyticsEnabled) {
Write-Host " Actie: Schakel User Behavior Analytics in via Azure Portal > Azure Sentinel > Settings > Entity Behavior Analytics" -ForegroundColor Yellow
}
elseif (-not $workspace.WorkspaceConfigured) {
Write-Host " Actie: Pas workspace configuratie aan (retentieperiode minimaal 90 dagen)" -ForegroundColor Yellow
}
}
}
else {
Write-Host "Alle gecontroleerde workspaces hebben insider threat detection correct geconfigureerd." -ForegroundColor Green
}
}
else {
$result = Test-Compliance
Write-Host ""
Write-Host ("Azure Sentinel insider threat detection status: {0} workspace(s) gecontroleerd, {1} zonder insider threat rules, {2} zonder actieve rules." -f `
$result.TotalWorkspaces, $result.NoInsiderThreatRules, $result.NoActiveInsiderThreatRules)
}
}
catch {
Write-Error $_
exit 1
}
# ================================================================================
# Standaard Invoke-* Functions
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Voert een verificatie uit voor Azure Sentinel Insider Threat Detection.
.DESCRIPTION
Deze functie verifieert of Azure Sentinel Insider Threat Detection correct is geconfigureerd.
Gebruik deze informatie om insider threat detection correct te configureren en te waarborgen
dat alle benodigde componenten aanwezig zijn.
#>
[CmdletBinding()]
param()
try {
Connect-RequiredServices
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor (if ($result.SentinelDisabled -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder insider threat detection rules : {0}" -f $result.NoInsiderThreatRules) -ForegroundColor (if ($result.NoInsiderThreatRules -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder actieve insider threat rules : {0}" -f $result.NoActiveInsiderThreatRules) -ForegroundColor (if ($result.NoActiveInsiderThreatRules -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("User Behavior Analytics uitgeschakeld : {0}" -f $result.UEBADisabled) -ForegroundColor (if ($result.UEBADisabled -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Workspace configuratie problemen : {0}" -f $result.WorkspaceIssues) -ForegroundColor (if ($result.WorkspaceIssues -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor (if ($result.NonCompliantWorkspaces -gt 0) { 'Yellow' } else { 'Green' })
if ($result.SentinelDisabled -gt 0 -or $result.NoInsiderThreatRules -gt 0 -or $result.NoActiveInsiderThreatRules -gt 0 -or $result.UEBADisabled -gt 0 -or $result.WorkspaceIssues -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de insider threat detection-vereisten." -ForegroundColor Yellow
}
$result.Details | ConvertTo-Json -Depth 4
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een monitoringcontrole uit en toont een samenvatting plus JSON-uitvoer.
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor (if ($result.SentinelDisabled -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder insider threat detection rules : {0}" -f $result.NoInsiderThreatRules) -ForegroundColor (if ($result.NoInsiderThreatRules -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder actieve insider threat rules : {0}" -f $result.NoActiveInsiderThreatRules) -ForegroundColor (if ($result.NoActiveInsiderThreatRules -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("User Behavior Analytics uitgeschakeld : {0}" -f $result.UEBADisabled) -ForegroundColor (if ($result.UEBADisabled -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Workspace configuratie problemen : {0}" -f $result.WorkspaceIssues) -ForegroundColor (if ($result.WorkspaceIssues -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor (if ($result.NonCompliantWorkspaces -gt 0) { 'Yellow' } else { 'Green' })
if ($result.SentinelDisabled -gt 0 -or $result.NoInsiderThreatRules -gt 0 -or $result.NoActiveInsiderThreatRules -gt 0 -or $result.UEBADisabled -gt 0 -or $result.WorkspaceIssues -gt 0 -or $result.NonCompliantWorkspaces -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de insider threat detection-vereisten." -ForegroundColor Yellow
}
$result.Details | ConvertTo-Json -Depth 4
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door insider threat detection problemen te identificeren.
.DESCRIPTION
Deze functie identificeert workspaces waar insider threat detection problemen zijn.
Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig
via de Azure Portal.
#>
[CmdletBinding()]
param()
try {
Connect-RequiredServices
$result = Test-Compliance
$nonCompliant = $result.Details | Where-Object { $_.NonCompliant -eq $true }
if ($nonCompliant) {
Write-Host "" -ForegroundColor Yellow
Write-Host "[INFO] Dit script identificeert workspaces waar insider threat detection problemen zijn." -ForegroundColor Yellow
Write-Host "[INFO] Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig." -ForegroundColor Yellow
foreach ($workspace in $nonCompliant) {
Write-Host "" -ForegroundColor White
Write-Host "Workspace: $($workspace.WorkspaceName)" -ForegroundColor Cyan
Write-Host " Status: $($workspace.Notes)" -ForegroundColor Gray
if (-not $workspace.SentinelEnabled) {
Write-Host " Actie: Schakel Azure Sentinel in via Azure Portal > Azure Sentinel > Add" -ForegroundColor Yellow
}
elseif ($workspace.InsiderThreatRulesCount -eq 0) {
Write-Host " Actie: Configureer insider threat detection analytics rules via Azure Portal > Azure Sentinel > Analytics" -ForegroundColor Yellow
}
elseif ($workspace.ActiveInsiderThreatRules -eq 0) {
Write-Host " Actie: Schakel insider threat detection analytics rules in via Azure Portal > Azure Sentinel > Analytics" -ForegroundColor Yellow
}
elseif (-not $workspace.UserBehaviorAnalyticsEnabled) {
Write-Host " Actie: Schakel User Behavior Analytics in via Azure Portal > Azure Sentinel > Settings > Entity Behavior Analytics" -ForegroundColor Yellow
}
elseif (-not $workspace.WorkspaceConfigured) {
Write-Host " Actie: Pas workspace configuratie aan (retentieperiode minimaal 90 dagen)" -ForegroundColor Yellow
}
}
}
else {
Write-Host "Alle gecontroleerde workspaces hebben insider threat detection correct geconfigureerd." -ForegroundColor Green
}
}
catch {
Write-Error $_
exit 1
}
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Kritiek - Zonder adequate insider threat detection kunnen organisaties niet tijdig reageren op bedreigingen van binnenuit, wat kan leiden tot datalekken, intellectueel eigendomsdiefstal en niet-naleving van BIO, NIS2 en AVG-vereisten.
Management Samenvatting
Implementeer insider threat detection met Azure Sentinel om bedreigingen van binnenuit te detecteren en te reageren. Essentieel voor compliance en beveiligingsmonitoring. Implementatie: 24 uur.
- Implementatietijd: 24 uur
- FTE required: 0.3 FTE