💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van auditlogging voor applicatiegroepbeheer op Windows endpoints, waardoor alle wijzigingen aan applicatiegroepen worden vastgelegd voor beveiligingsanalyse en naleving.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Auditlogging voor applicatiegroepbeheer is essentieel voor het detecteren van ongeautoriseerde wijzigingen aan groepsconfiguraties, het voldoen aan compliance-eisen zoals BIO en ISO 27001, en het bieden van forensische sporen bij beveiligingsincidenten. Zonder deze logging kunnen kwaadwillende actoren wijzigingen aanbrengen zonder detectie, wat leidt tot escalatie van privileges en potentiële datalekken.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze configuratie stelt auditlogging in voor applicatiegroepbeheer via Microsoft Intune apparaatconfiguratiebeleid of compliance policies. Het systeem registreert zowel geslaagde als mislukte pogingen tot wijziging van applicatiegroepen, inclusief het aanmaken, wijzigen, verwijderen en toewijzen van leden aan deze groepen. Deze logging vindt plaats op Windows endpoints en wordt opgeslagen in de Windows Security Event Log, waar het kan worden gemonitord door security information and event management (SIEM) systemen voor real-time detectie van verdachte activiteiten.
Vereisten
Voor de implementatie van auditlogging voor applicatiegroepbeheer zijn verschillende technische en organisatorische vereisten van toepassing. Vanuit technisch perspectief is Microsoft Intune vereist als device management platform, waarbij gebruik wordt gemaakt van device configuratiebeleidsregels om de auditinstellingen centraal te beheren en af te dwingen op alle Windows endpoints binnen de organisatie. Deze centrale aanpak zorgt voor consistentie in de loggingconfiguratie en vereenvoudigt het beheer en onderhoud van de beveiligingsinstellingen.
Naast Microsoft Intune is een werkende verbinding met Microsoft Graph API noodzakelijk voor het configureren en monitoren van de Intune policies. De vereiste PowerShell modules, waaronder Microsoft.Graph.DeviceManagement, moeten geïnstalleerd zijn op het systeem waar de configuratie wordt uitgevoerd. Daarnaast moeten de Windows endpoints beschikken over Windows 10 versie 1809 of hoger, of Windows 11, omdat oudere versies mogelijk niet alle auditfunctionaliteiten ondersteunen die nodig zijn voor uitgebreide logging van applicatiegroepbeheer.
Vanuit organisatorisch perspectief is het essentieel dat er duidelijke procedures zijn vastgelegd voor het beheren van auditlogs, inclusief retentieperiodes, toegangscontroles en procedures voor het analyseren van loggegevens. Security teams moeten getraind zijn in het interpreteren van applicatiegroepbeheer events en moeten beschikken over tools voor loganalyse, zoals een SIEM-systeem of log aggregatie platform. De organisatie moet ook beschikken over voldoende opslagcapaciteit voor het bewaren van auditlogs volgens de vereiste retentieperiodes, die vaak minimaal één jaar bedragen voor compliance doeleinden.
Voor het effectief monitoren en analyseren van de gegenereerde auditlogs is toegang tot de Windows Security Event Log vereist, hetzij lokaal op de endpoints, hetzij via centrale logcollectie. Organisaties moeten overwegen om een centrale logcollectie infrastructuur in te richten, waarbij logs van alle endpoints worden verzameld en opgeslagen op een beveiligde locatie. Deze centrale opslag faciliteert niet alleen compliance en auditing, maar maakt ook geavanceerde security analytics mogelijk, zoals correlatie van events tussen verschillende endpoints en detectie van verdachte patronen die wijzen op mogelijke beveiligingsincidenten.
Implementatie
De implementatie van auditlogging voor applicatiegroepbeheer begint met het voorbereiden van de Microsoft Intune omgeving en het verifiëren van de benodigde rechten en connectiviteit. De implementatie wordt uitgevoerd via een gestructureerd proces dat begint met het opzetten van de juiste device configuratie policy in Microsoft Intune, gevolgd door het toewijzen van deze policy aan de relevante device groepen binnen de organisatie.
Het eerste stadium van de implementatie omvat het verbinden met Microsoft Graph via de Connect-MgGraph cmdlet, waarbij de juiste permissions worden aangevraagd voor het beheren van device management policies. Na het opzetten van de verbinding wordt een nieuwe device configuration policy aangemaakt die specifiek gericht is op het configureren van Windows audit policies. Binnen deze policy wordt de audit categorie voor account management geconfigureerd, met specifieke focus op applicatiegroepbeheer events, waarbij zowel success als failure events worden ingeschakeld voor maximale zichtbaarheid.
De configuratie van de audit policy vereist het instellen van de juiste registry waarden of het gebruik van Group Policy Object (GPO) instellingen die via Intune worden afgedwongen. De specifieke audit subcategorie die geconfigureerd moet worden is "Audit Application Group Management", welke onderdeel uitmaakt van de bredere "Account Management" audit categorie. Deze subcategorie registreert alle wijzigingen aan applicatiegroepen, inclusief het aanmaken van nieuwe groepen, het wijzigen van groepseigenschappen, het toevoegen of verwijderen van leden, en het verwijderen van groepen.
Na het aanmaken en configureren van de policy moet deze worden toegewezen aan de relevante device groepen. Het is aan te raden om te beginnen met een pilot groep van test devices om te verifiëren dat de configuratie correct werkt en dat de audit events daadwerkelijk worden gegenereerd en opgeslagen in de Windows Security Event Log. Tijdens deze pilot fase moeten security teams de gegenereerde logs analyseren om te bevestigen dat alle verwachte events worden vastgelegd en dat de logdata compleet en bruikbaar is voor security monitoring doeleinden.
Zodra de pilot succesvol is afgerond en eventuele configuratieproblemen zijn opgelost, kan de policy worden uitgerold naar alle productie endpoints. Tijdens de uitrol moet continue monitoring plaatsvinden om te verifiëren dat de configuratie correct wordt toegepast op alle devices en dat er geen onverwachte problemen optreden. De implementatie wordt ondersteund door geautomatiseerde scripts die de configuratie kunnen verifiëren en eventuele afwijkingen kunnen rapporteren, wat het beheer en onderhoud van de auditlogging configuratie vereenvoudigt.
Gebruik PowerShell-script account-management-audit-application-group-management-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van auditlogging voor applicatiegroepbeheer vereist een gestructureerde aanpak waarbij zowel de configuratie van de audit policy als de gegenereerde log events regelmatig worden gecontroleerd. De monitoring activiteiten zijn gericht op het verifiëren dat de auditlogging correct is geconfigureerd en actief werkt, dat alle relevante events worden vastgelegd, en dat er geen ongebruikelijke of verdachte activiteiten plaatsvinden die wijzen op mogelijke beveiligingsincidenten.
De eerste component van monitoring betreft het controleren van de configuratie status van de audit policy op alle endpoints. Dit omvat het verifiëren dat de policy correct is toegepast via Microsoft Intune, dat de registry instellingen of GPO configuraties daadwerkelijk zijn geactiveerd op de endpoints, en dat er geen configuratiedrift heeft plaatsgevonden waarbij endpoints zijn teruggevallen naar de standaard instellingen. Geautomatiseerde monitoring scripts kunnen periodiek de configuratie status controleren en afwijkingen rapporteren aan het security team, waardoor problemen snel kunnen worden geïdentificeerd en opgelost.
De tweede component van monitoring richt zich op het analyseren van de gegenereerde audit events in de Windows Security Event Log. Security teams moeten regelmatig de Event Log controleren op applicatiegroepbeheer events, waarbij aandacht wordt besteed aan zowel success als failure events. Success events kunnen wijzen op legitieme wijzigingen aan applicatiegroepen, maar moeten worden geverifieerd tegen change management processen om te bevestigen dat de wijzigingen geautoriseerd waren. Failure events kunnen wijzen op pogingen tot ongeautoriseerde wijzigingen of op technische problemen die moeten worden onderzocht.
Voor geavanceerde monitoring en detectie van verdachte activiteiten is het aan te raden om de audit logs te integreren met een SIEM-systeem of security analytics platform. Deze systemen kunnen automatisch patronen detecteren die wijzen op mogelijke beveiligingsincidenten, zoals ongebruikelijke tijden van wijzigingen, wijzigingen door onbekende gebruikers, of meerdere mislukte pogingen tot wijziging van applicatiegroepen. De SIEM kan ook correlaties maken tussen applicatiegroepbeheer events en andere security events, zoals ongebruikelijke login activiteiten of privilege escalation pogingen, wat een completer beeld geeft van potentiële beveiligingsbedreigingen.
Monitoring moet ook aandacht besteden aan de kwaliteit en volledigheid van de logdata. Security teams moeten verifiëren dat logs correct worden gegenereerd, dat er geen gaps zijn in de logging, en dat de logdata voldoende detail bevat voor forensische analyse. Daarnaast moet worden gemonitord of de logopslag correct functioneert en of er voldoende capaciteit beschikbaar is voor het bewaren van logs volgens de vereiste retentieperiodes. Regelmatige audits van de logging infrastructuur helpen ervoor te zorgen dat de auditlogging betrouwbaar blijft en voldoet aan compliance eisen.
Gebruik PowerShell-script account-management-audit-application-group-management-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring activiteiten afwijkingen detecteren in de auditlogging configuratie of wanneer endpoints niet voldoen aan de vereiste instellingen, moet een gestructureerd remediatieproces worden gevolgd om de configuratie te herstellen en te verifiëren dat de auditlogging correct functioneert. Het remediatieproces begint met het identificeren van de oorzaak van de afwijking, gevolgd door het toepassen van de juiste correctieve maatregelen en het verifiëren dat de remediatie succesvol is geweest.
De meest voorkomende oorzaak van configuratieafwijkingen is dat endpoints de Intune policy niet correct hebben ontvangen of toegepast. Dit kan gebeuren wanneer endpoints tijdelijk niet verbonden waren met het netwerk tijdens de policy deployment, wanneer er conflicterende policies zijn die de auditlogging configuratie overschrijven, of wanneer lokale wijzigingen zijn aangebracht die de Intune configuratie hebben overschreven. In dergelijke gevallen moet de Intune policy opnieuw worden toegepast op de betreffende endpoints, waarbij eventuele conflicterende configuraties worden opgelost.
Voor endpoints waar de Intune policy niet automatisch kan worden hersteld, kan handmatige remediatie nodig zijn. Dit omvat het direct configureren van de audit policy instellingen op het endpoint, hetzij via registry wijzigingen, hetzij via lokale Group Policy configuratie. Na handmatige remediatie moet worden geverifieerd dat de configuratie correct is toegepast en dat de audit events daadwerkelijk worden gegenereerd. Het is belangrijk om ook de onderliggende oorzaak van het probleem te onderzoeken en aan te pakken om te voorkomen dat het probleem opnieuw optreedt.
In gevallen waar de auditlogging configuratie correct is maar er geen events worden gegenereerd, moet worden onderzocht of er daadwerkelijk activiteit plaatsvindt die zou moeten worden gelogd, of dat er een probleem is met de Windows Event Log service of de audit subsystem. Problemen met de Event Log service kunnen worden opgelost door de service te herstarten of door eventuele corruptie in de Event Log database te repareren. Als er geen activiteit plaatsvindt, kan het nodig zijn om test wijzigingen aan applicatiegroepen uit te voeren om te verifiëren dat de logging correct werkt.
Na het uitvoeren van remediatie activiteiten moet altijd verificatie plaatsvinden om te bevestigen dat de configuratie correct is hersteld en dat de auditlogging weer volledig functioneert. Deze verificatie omvat het controleren van de configuratie status op de endpoints, het testen van de event generatie door het uitvoeren van test wijzigingen, en het analyseren van de gegenereerde events om te verifiëren dat ze compleet en correct zijn. Documentatie van de remediatie activiteiten en de resultaten is essentieel voor compliance doeleinden en voor het verbeteren van toekomstige remediatieprocessen.
Gebruik PowerShell-script account-management-audit-application-group-management-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Auditlogging voor applicatiegroepbeheer speelt een cruciale rol in het voldoen aan verschillende compliance frameworks en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. De implementatie van deze auditlogging is direct gerelateerd aan vereisten uit het BIO Baseline Informatiebeveiliging Overheid framework, specifiek controle 16.01 over gebeurtenissen logging en audittrails. Deze controle vereist dat organisaties alle relevante security events loggen en bewaren voor analyse en auditing doeleinden, waarbij applicatiegroepbeheer events als kritieke security events worden beschouwd die moeten worden vastgelegd.
Naast BIO vereisten is auditlogging voor applicatiegroepbeheer ook relevant voor ISO 27001:2022 compliance, met name controle A.12.4.1 over event logging. Deze controle vereist dat organisaties logging implementeren voor alle relevante security events, inclusief wijzigingen aan systemen en configuraties die van invloed kunnen zijn op de beveiliging. Applicatiegroepbeheer events vallen duidelijk onder deze categorie, omdat wijzigingen aan applicatiegroepen direct van invloed kunnen zijn op toegangscontroles en beveiligingsperimeters binnen de organisatie.
Voor CIS Security Benchmark compliance is auditlogging voor applicatiegroepbeheer onderdeel van aanbeveling 18.9.19.2, welke zich richt op het implementeren van uitgebreide auditlogging voor account management activiteiten. Deze aanbeveling benadrukt het belang van het loggen van zowel geslaagde als mislukte pogingen tot wijziging van accounts en groepen, wat essentieel is voor het detecteren van ongeautoriseerde activiteiten en het voldoen aan security best practices.
Vanuit AVG perspectief kan auditlogging voor applicatiegroepbeheer relevant zijn voor het aantonen van compliance met technische en organisatorische maatregelen die zijn vereist voor de beveiliging van persoonsgegevens. Wanneer applicatiegroepen worden gebruikt voor toegangscontrole tot systemen die persoonsgegevens bevatten, is het loggen van wijzigingen aan deze groepen belangrijk voor het aantonen dat de organisatie passende maatregelen heeft genomen om de beveiliging van persoonsgegevens te waarborgen. Auditlogs kunnen ook worden gebruikt om te reageren op verzoeken van betrokkenen over wie toegang heeft tot hun persoonsgegevens, wat relevant is voor het voldoen aan AVG transparantievereisten.
Voor auditing doeleinden moeten organisaties ervoor zorgen dat auditlogs voor applicatiegroepbeheer worden bewaard voor de vereiste retentieperiodes, die vaak minimaal één jaar bedragen maar kunnen variëren afhankelijk van de specifieke compliance vereisten en organisatorische policies. De logs moeten worden opgeslagen op een beveiligde manier met passende toegangscontroles, zodat alleen geautoriseerd personeel toegang heeft tot de logdata. Regelmatige audits van de logging configuratie en de gegenereerde logs helpen ervoor te zorgen dat de organisatie blijft voldoen aan compliance vereisten en dat eventuele afwijkingen snel kunnen worden geïdentificeerd en gecorrigeerd. Documentatie van de logging configuratie, retentie policies, en toegangscontroles is essentieel voor het aantonen van compliance tijdens externe audits en assessments.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Application Group Management Success and Failure
.DESCRIPTION
CIS - Audit application group management moet Success AND Failure loggen.
.NOTES
Filename: audit-app-group-mgmt.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Application Group Management|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Application Group Management"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-app-group.ps1"; PolicyName = "Audit App Group Mgmt"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "Audit App Group Management: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van authenticatie en accountwijzigingen.
Management Samenvatting
Schakel audit logging in.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE