💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van auditlogging voor wijzigingen aan auditbeleid op Windows endpoints, inclusief het vastleggen van succesvolle gebeurtenissen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Het vastleggen van wijzigingen aan auditbeleid is essentieel voor beveiligingsmonitoring en nalevingsdoeleinden.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert auditlogging voor wijzigingen aan auditbeleid via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows endpoints te beveiligen volgens beveiligingsbest practices. De instelling zorgt ervoor dat zowel geslaagde als mislukte wijzigingen aan auditbeleid worden vastgelegd in de Windows beveiligingslogboeken.
Vereisten
Voor de implementatie van auditlogging voor wijzigingen aan auditbeleid zijn verschillende technische en organisatorische vereisten van toepassing die zorgvuldig moeten worden overwogen voordat met de implementatie wordt begonnen. Allereerst is Microsoft Intune vereist als Mobile Device Management-oplossing voor het beheren van Windows endpoints. Intune biedt de mogelijkheid om apparaatconfiguratiebeleidsregels te implementeren die de auditinstellingen centraal kunnen beheren en afdwingen, wat essentieel is voor een consistente beveiligingspostuur op alle endpoints binnen de organisatie. Daarnaast is een geldige Microsoft 365-licentie met Intune-functionaliteit noodzakelijk, waarbij de organisatie beschikt over de juiste rechten om apparaatconfiguratiebeleidsregels te maken, toe te wijzen en te beheren. De licentievereisten variëren afhankelijk van de organisatiegrootte en de gewenste functionaliteit, waarbij organisaties moeten zorgen dat zij over de juiste licenties beschikken voor alle endpoints die moeten worden beheerd. Vanuit technisch perspectief moeten alle Windows endpoints die beheerd worden via Intune beschikken over Windows 10 versie 1809 of hoger, of Windows 11. Deze versies ondersteunen de Advanced Audit Policy Configuration die nodig is voor het vastleggen van wijzigingen aan auditbeleid. Oudere versies van Windows 10 of Windows 8.1 ondersteunen deze geavanceerde auditfuncties niet volledig en kunnen daarom niet worden geconfigureerd met deze specifieke auditinstelling. De endpoints moeten bovendien correct zijn geregistreerd in Microsoft Intune en een actieve verbinding hebben met de Intune-service. Dit vereist dat endpoints verbonden zijn met het internet of verbinding hebben met de interne netwerkinfrastructuur die toegang biedt tot de Intune-service. Organisatorisch gezien is het belangrijk dat er een duidelijk beveiligingsbeleid bestaat dat beschrijft welke auditgebeurtenissen moeten worden vastgelegd en voor welke doeleinden deze logboeken worden gebruikt. Dit beleid moet aansluiten bij de nalevingseisen van de organisatie, zoals de BIO Baseline Informatiebeveiliging Overheid, ISO 27001 of andere relevante normenkaders. Het beveiligingsbeleid moet specifiek aandacht besteden aan het belang van het vastleggen van wijzigingen aan auditbeleid, aangezien deze wijzigingen directe invloed kunnen hebben op welke andere gebeurtenissen worden gelogd. De IT-afdeling moet beschikken over voldoende kennis en expertise om de auditlogboeken te kunnen interpreteren, analyseren en waar nodig te reageren op beveiligingsincidenten. Dit vereist dat IT-medewerkers getraind zijn in het gebruik van loganalyse-tools en begrijpen hoe zij moeten omgaan met verschillende typen auditgebeurtenissen. Daarnaast is het essentieel dat er een proces is ingericht voor het bewaren, archiveren en vernietigen van auditlogboeken conform de geldende bewaartermijnen en privacywetgeving zoals de AVG. Dit proces moet duidelijk beschrijven hoe lang logboeken worden bewaard, wanneer en hoe zij worden gearchiveerd, en onder welke omstandigheden zij kunnen worden vernietigd. Tot slot moet er een monitoring- en waarschuwingsmechanisme aanwezig zijn dat waarschuwt wanneer er onverwachte of verdachte wijzigingen aan auditbeleid worden gedetecteerd, zodat beveiligingsteams proactief kunnen reageren op potentiële beveiligingsbedreigingen. Dit mechanisme moet geïntegreerd zijn met bestaande security operations center-processen en moet zorgen voor tijdige waarschuwingen wanneer er afwijkingen worden gedetecteerd. Het is van cruciaal belang dat de organisatie beschikt over voldoende opslagcapaciteit voor de auditlogboeken, omdat het vastleggen van wijzigingen aan auditbeleid kan leiden tot een aanzienlijke toename in het aantal loggebeurtenissen. Daarom moet er voorafgaand aan de implementatie een capaciteitsplan worden opgesteld dat rekening houdt met de verwachte groei in logvolume en de benodigde retentieperiode. Dit plan moet regelmatig worden herzien en bijgewerkt om rekening te houden met veranderingen in de omgeving en de groei van de organisatie. Bovendien moet de organisatie beschikken over tools en systemen voor het analyseren en doorzoeken van de auditlogboeken, zodat beveiligingsteams efficiënt kunnen zoeken naar specifieke gebeurtenissen of patronen die kunnen wijzen op beveiligingsincidenten. De beschikbaarheid van gespecialiseerde security information and event management-oplossingen, ook wel SIEM-oplossingen genoemd, kan hierbij van grote waarde zijn, hoewel dit geen absolute vereiste is voor de basisimplementatie. Deze oplossingen bieden geavanceerde analysefuncties die het mogelijk maken om complexe patronen te detecteren en correlaties te leggen tussen verschillende gebeurtenissen, wat essentieel is voor effectieve dreigingsdetectie en respons.
Implementatie
De implementatie van auditlogging voor wijzigingen aan auditbeleid via Microsoft Intune vereist een gestructureerde aanpak die begint met het voorbereiden van de omgeving en het configureren van de benodigde beleidsregels. Het implementatieproces start met het inloggen op de Microsoft Endpoint Manager admin center, waar de beheerder navigeert naar de sectie Apparaatconfiguratie. Deze sectie biedt toegang tot alle apparaatconfiguratiebeleidsregels die binnen de organisatie worden gebruikt om endpoints te beheren en te beveiligen. Hier wordt een nieuw apparaatconfiguratiebeleid aangemaakt specifiek voor Windows 10 en later, waarbij gekozen wordt voor het profieltype Beveiligingsinstellingen. Binnen dit profiel wordt de categorie Audit geselecteerd, waar de specifieke instelling voor het vastleggen van wijzigingen aan auditbeleid kan worden geconfigureerd. De instelling 'Audit wijzigingen aan auditbeleid' moet worden ingesteld op 'Geslaagd' of 'Geslaagd en mislukt', afhankelijk van de beveiligingsvereisten van de organisatie. Het vastleggen van geslaagde gebeurtenissen is essentieel omdat dit inzicht geeft in wie het auditbeleid heeft gewijzigd en wanneer deze wijzigingen hebben plaatsgevonden, wat cruciaal is voor beveiligingsmonitoring en nalevingscontrole. Het vastleggen van mislukte gebeurtenissen kan bovendien waardevol zijn voor het detecteren van pogingen tot onbevoegde wijzigingen aan het auditbeleid. Na het configureren van de instelling wordt het beleid toegewezen aan de relevante groepen van Windows endpoints, waarbij rekening moet worden gehouden met de organisatiestructuur en de verschillende beveiligingsniveaus die mogelijk van toepassing zijn op verschillende afdelingen of locaties. Het is belangrijk om zorgvuldig te overwegen welke endpoints in aanmerking komen voor dit beleid, aangezien niet alle endpoints mogelijk dezelfde beveiligingsvereisten hebben. Het is aan te raden om het beleid eerst te implementeren op een testgroep om te verifiëren dat de configuratie correct werkt en geen onbedoelde gevolgen heeft voor de operationele processen. Deze testgroep moet representatief zijn voor de productie-omgeving en moet verschillende typen endpoints bevatten om te zorgen dat het beleid correct werkt bij verschillende configuraties. Na succesvolle validatie kan het beleid geleidelijk worden uitgerold naar alle productie-endpoints. Deze gefaseerde aanpak maakt het mogelijk om eventuele problemen tijdig te identificeren en op te lossen voordat het beleid volledig wordt uitgerold. Tijdens de implementatie moet er aandacht zijn voor de impact op de Windows Gebeurtenislogboeken, omdat het toevoegen van extra auditlogging kan leiden tot een toename in het aantal gegenereerde loggebeurtenissen. Dit vereist mogelijk aanpassingen aan de logretentie-instellingen en de capaciteitsplanning voor logopslag. Organisaties moeten ervoor zorgen dat voldoende schijfruimte beschikbaar is voor het opslaan van deze logboeken en moeten regelmatig controleren of de logboeken correct worden gegenereerd en opgeslagen. Daarnaast moet er een proces worden ingericht voor het regelmatig controleren van de auditlogboeken om te verifiëren dat de wijzigingen aan auditbeleid correct worden vastgelegd en dat er geen onbevoegde wijzigingen plaatsvinden. Dit proces moet deel uitmaken van de reguliere security operations-activiteiten en moet zorgen voor tijdige detectie en respons op afwijkingen. Het implementatieproces omvat ook het configureren van de juiste rechten en rollen binnen Microsoft Intune, zodat alleen geautoriseerde personen wijzigingen kunnen aanbrengen aan het auditbeleid. Dit vereist dat organisaties duidelijk definiëren wie verantwoordelijk is voor het beheren van auditconfiguraties en welke rechten nodig zijn om wijzigingen aan te brengen. Daarnaast moet er aandacht zijn voor het configureren van de juiste logretentie-instellingen op de endpoints zelf, zodat de auditlogboeken voldoende lang worden bewaard om te voldoen aan compliance-eisen en forensische onderzoeken mogelijk te maken. Deze instellingen moeten worden afgestemd op de organisatorische vereisten en de geldende wet- en regelgeving. Tijdens de implementatie moet er ook rekening worden gehouden met de mogelijke impact op de prestaties van de endpoints, hoewel moderne Windows-versies doorgaans goed zijn geoptimaliseerd voor uitgebreide auditlogging. Organisaties moeten echter blijven monitoren op prestatieproblemen en moeten waar nodig aanpassingen maken. Na de implementatie is het belangrijk om een validatieproces uit te voeren waarbij wordt gecontroleerd of de auditlogboeken daadwerkelijk worden gegenereerd wanneer wijzigingen worden aangebracht aan het auditbeleid, en of deze logboeken de verwachte informatie bevatten. Dit validatieproces moet regelmatig worden herhaald om te zorgen dat de auditlogging blijft functioneren zoals bedoeld.
Gebruik PowerShell-script audit-changes-to-audit-policy-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van auditlogging voor wijzigingen aan auditbeleid is essentieel om te waarborgen dat de beveiligingsmaatregelen correct functioneren en om tijdig te kunnen reageren op potentiële beveiligingsincidenten. Het monitoringproces omvat verschillende aspecten, waaronder het regelmatig controleren van de configuratiestatus van endpoints, het analyseren van de gegenereerde auditlogboeken en het detecteren van afwijkingen of verdachte activiteiten. Deze monitoringactiviteiten moeten deel uitmaken van de dagelijkse security operations routines en moeten zorgen voor continue zichtbaarheid in de beveiligingspostuur van de organisatie. De primaire monitoringactiviteit bestaat uit het verifiëren dat alle Windows endpoints de juiste auditinstelling hebben geconfigureerd en dat deze instelling actief is en wordt afgedwongen door het Intune-beleid. Dit kan worden gerealiseerd door gebruik te maken van de monitoringfuncties binnen Microsoft Endpoint Manager, waar de nalevingsstatus van endpoints wordt weergegeven en waar afwijkingen van het beleid direct zichtbaar zijn. Deze dashboards bieden een overzicht van alle endpoints en hun configuratiestatus, waardoor beheerders snel kunnen identificeren welke endpoints niet voldoen aan het beleid. Daarnaast kunnen PowerShell-scripts worden gebruikt om programmatisch de auditconfiguratie te controleren op individuele endpoints, wat vooral waardevol is voor grootschalige omgevingen met honderden of duizenden endpoints. Deze scripts kunnen worden geautomatiseerd en regelmatig worden uitgevoerd om te zorgen dat alle endpoints blijven voldoen aan de vereisten. Het analyseren van de Windows Beveiligingsgebeurtenislogboeken is een kritiek onderdeel van het monitoringproces, waarbij specifiek gekeken wordt naar Gebeurtenis-ID 4719, dat wordt gegenereerd wanneer er wijzigingen worden aangebracht aan het auditbeleid. Deze gebeurtenissen bevatten belangrijke informatie zoals de gebruiker of het proces dat de wijziging heeft aangebracht, het tijdstip van de wijziging, en de specifieke details van wat er is gewijzigd. Deze informatie is essentieel voor het begrijpen van de context rond wijzigingen aan auditbeleid en voor het kunnen onderzoeken van potentiële beveiligingsincidenten. Beveiligingsteams moeten deze logboeken regelmatig beoordelen om te identificeren of wijzigingen aan auditbeleid legitiem zijn of mogelijk wijzen op onbevoegde toegang of kwaadaardige activiteiten. Deze beoordeling moet plaatsvinden binnen een redelijke tijd na de wijziging om te zorgen dat eventuele problemen tijdig worden gedetecteerd en aangepakt. Geavanceerde monitoringoplossingen zoals Microsoft Sentinel of Azure Monitor kunnen worden geconfigureerd om automatisch waarschuwingen te genereren wanneer er onverwachte wijzigingen aan auditbeleid worden gedetecteerd, bijvoorbeeld wanneer deze wijzigingen plaatsvinden buiten normale werkuren of door gebruikers die normaal gesproken geen rechten hebben om auditbeleid te wijzigen. Deze proactieve monitoringbenadering maakt het mogelijk om snel te reageren op potentiële beveiligingsbedreigingen voordat deze kunnen escaleren tot volledige beveiligingsincidenten. Deze oplossingen kunnen bovendien gebruik maken van machine learning en gedragsanalyse om complexere patronen te detecteren die niet direct zichtbaar zijn in individuele gebeurtenissen. Het monitoringproces moet ook aandacht besteden aan het detecteren van patronen in de auditlogboeken die kunnen wijzen op systematische pogingen om het auditbeleid te wijzigen of te omzeilen. Dit kan bijvoorbeeld het geval zijn wanneer er meerdere mislukte pogingen worden gedetecteerd om het auditbeleid te wijzigen, of wanneer wijzigingen worden aangebracht op ongebruikelijke tijdstippen of door onbekende gebruikersaccounts. Deze patronen kunnen wijzen op geavanceerde persistent threats of insider threats die proberen om hun activiteiten te verbergen door het auditbeleid te wijzigen. Daarnaast moet er regelmatig worden gecontroleerd of de auditlogboeken daadwerkelijk worden gegenereerd en opgeslagen, omdat het falen van de auditlogging zelf een kritiek beveiligingsprobleem kan zijn. Het is daarom aan te raden om automatische controles in te stellen die waarschuwen wanneer er gedurende een bepaalde periode geen auditlogboeken worden gegenereerd, wat kan wijzen op een probleem met de auditconfiguratie of een poging om de auditlogging te omzeilen. Deze controles moeten deel uitmaken van de algehele monitoringstrategie en moeten zorgen voor continue zichtbaarheid in de gezondheid van het auditlogging-systeem.
Gebruik PowerShell-script audit-changes-to-audit-policy-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat endpoints niet voldoen aan de vereiste auditconfiguratie, is het van cruciaal belang om snel en effectief te kunnen remediëren om de beveiligingspostuur van de organisatie te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van de niet-naleving, wat kan variëren van technische problemen zoals verbindingsproblemen tussen de endpoint en Intune, tot configuratiefouten of zelfs opzettelijke wijzigingen door gebruikers of beheerders. Deze identificatie is essentieel omdat de juiste remediatieaanpak afhankelijk is van de onderliggende oorzaak van het probleem. Voor endpoints die niet correct zijn geconfigureerd als gevolg van technische problemen, moet eerst de onderliggende oorzaak worden opgelost, zoals het herstellen van de verbinding met Intune of het oplossen van problemen met de apparaatregistratie. Deze problemen kunnen worden veroorzaakt door verschillende factoren, zoals netwerkproblemen, firewallinstellingen, of problemen met de apparaatregistratie zelf. Het is belangrijk om deze problemen systematisch aan te pakken en te verifiëren dat alle onderliggende oorzaken zijn opgelost voordat met de configuratiereparatie wordt begonnen. Zodra de technische problemen zijn opgelost, kan het Intune-beleid opnieuw worden afgedwongen door het apparaat te synchroniseren met de Intune-service, wat kan worden geactiveerd vanuit de Microsoft Endpoint Manager admin center of door gebruik te maken van PowerShell-cmdlets. Deze synchronisatie zorgt ervoor dat de correcte configuratie wordt toegepast op het endpoint en dat de auditinstellingen worden hersteld naar de vereiste waarden. In gevallen waar de niet-naleving het gevolg is van handmatige wijzigingen aan de auditconfiguratie, moet eerst worden onderzocht wie deze wijzigingen heeft aangebracht en wat de reden hiervan was. Dit onderzoek moet gebruik maken van de auditlogboeken zelf om te identificeren wie de wijzigingen heeft aangebracht en wanneer deze wijzigingen hebben plaatsgevonden. Als de wijzigingen legitiem zijn maar niet in overeenstemming met het organisatiebeleid, moeten deze worden teruggedraaid en moet er worden gecommuniceerd met de betrokken partijen over het belang van het naleven van de beveiligingsrichtlijnen. Deze communicatie moet duidelijk maken waarom de beveiligingsrichtlijnen belangrijk zijn en wat de gevolgen kunnen zijn van het niet naleven van deze richtlijnen. Wanneer er sprake is van onbevoegde wijzigingen of potentiële beveiligingsincidenten, moet het incidentafhandelingsproces worden geactiveerd, waarbij de wijzigingen worden gedocumenteerd, de impact wordt beoordeeld en passende maatregelen worden genomen om verdere schade te voorkomen. Dit proces moet zorgen voor tijdige response en moet ervoor zorgen dat alle relevante informatie wordt verzameld voor verder onderzoek. Het automatisch herstellen van de correcte configuratie kan worden gerealiseerd door gebruik te maken van remediatiescripts die de auditinstellingen programmatisch kunnen aanpassen op basis van de vereisten zoals gedefinieerd in het Intune-beleid. Deze scripts kunnen worden uitgevoerd via Intune's script deployment functionaliteit of via andere remote management tools die beschikbaar zijn binnen de organisatie. Het gebruik van geautomatiseerde remediatie maakt het mogelijk om snel te reageren op niet-naleving en om te zorgen dat endpoints snel worden hersteld naar de correcte configuratie. Het remediatieproces moet ook aandacht besteden aan het voorkomen van toekomstige niet-naleving door het implementeren van aanvullende beveiligingsmaatregelen, zoals het beperken van de rechten om auditbeleid te wijzigen tot alleen geautoriseerde beheerders, en het implementeren van aanvullende monitoring en waarschuwingen voor pogingen om het auditbeleid te wijzigen. Deze maatregelen moeten deel uitmaken van een bredere beveiligingsstrategie die gericht is op het voorkomen van beveiligingsincidenten in plaats van alleen het reageren op deze incidenten. Daarnaast moet er een proces worden ingericht voor het regelmatig controleren en valideren van de remediatie-acties, om te verifiëren dat de endpoints daadwerkelijk zijn hersteld naar de correcte configuratie en dat er geen terugval plaatsvindt. Dit proces moet zorgen voor continue monitoring van de remediatie-effectiviteit en moet zorgen dat eventuele terugval snel wordt gedetecteerd en aangepakt. In gevallen waar de niet-naleving het gevolg is van structurele problemen, zoals onvoldoende training of onduidelijke beveiligingsrichtlijnen, moet er ook aandacht zijn voor het aanpakken van deze onderliggende oorzaken om toekomstige problemen te voorkomen. Dit kan betekenen dat er aanvullende training moet worden gegeven aan IT-personeel of dat beveiligingsrichtlijnen moeten worden herzien en verduidelijkt.
Gebruik PowerShell-script audit-changes-to-audit-policy-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
De implementatie van auditlogging voor wijzigingen aan auditbeleid speelt een cruciale rol in het voldoen aan verschillende nalevings- en controlevereisten die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige informatie. Deze nalevingsvereisten zijn ontworpen om te zorgen dat organisaties voldoende zichtbaarheid hebben in hun beveiligingsactiviteiten en dat zij in staat zijn om te voldoen aan regelgevende eisen en best practices. De BIO Baseline Informatiebeveiliging Overheid vereist specifiek dat organisaties gebeurtenissen loggen en audittrails onderhouden, zoals beschreven in controle 16.01. Deze controle stelt dat alle relevante gebeurtenissen moeten worden vastgelegd, inclusief wijzigingen aan beveiligingsconfiguraties zoals auditbeleid, om te kunnen voldoen aan de eisen voor beveiligingsmonitoring en incidentafhandeling. Het naleven van deze controle is essentieel voor Nederlandse overheidsorganisaties die moeten voldoen aan de BIO-eisen en is vaak een vereiste voor het verkrijgen van certificeringen en het kunnen deelnemen aan overheidsprojecten. Het vastleggen van wijzigingen aan auditbeleid is essentieel omdat deze wijzigingen directe invloed kunnen hebben op welke andere gebeurtenissen worden gelogd, wat betekent dat onbevoegde wijzigingen aan auditbeleid kunnen leiden tot het verlies van kritieke beveiligingsinformatie. Deze wijzigingen kunnen bijvoorbeeld resulteren in het stopzetten van het loggen van bepaalde gebeurtenissen, waardoor beveiligingsteams hun zichtbaarheid verliezen in potentiële beveiligingsincidenten. Vanuit ISO 27001:2022 perspectief valt deze maatregel onder controle A.12.4.1, die betrekking heeft op het loggen van gebeurtenissen en het onderhouden van audittrails. Deze internationale standaard benadrukt het belang van uitgebreide logging voor beveiligingsmonitoring, forensisch onderzoek en nalevingsdoeleinden. Organisaties die ISO 27001-gecertificeerd willen worden of blijven, moeten kunnen aantonen dat zij effectieve logging-processen hebben geïmplementeerd die voldoen aan de eisen van deze standaard. De CIS Security Benchmark controle 18.9.19.2 specificeert bovendien dat organisaties moeten waarborgen dat wijzigingen aan auditbeleid worden vastgelegd, wat aansluit bij de beste praktijken voor Windows-beveiliging. Deze benchmark is een erkende set van security best practices die door veel organisaties wordt gebruikt als richtlijn voor het configureren van hun systemen. Voor Nederlandse organisaties die onder de AVG vallen, is het vastleggen van wijzigingen aan auditbeleid relevant voor het kunnen aantonen van technische en organisatorische maatregelen die zijn genomen om persoonsgegevens te beschermen, zoals vereist in Artikel 32 van de AVG. Dit artikel vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, en het kunnen aantonen van effectieve logging-processen is een belangrijk onderdeel van deze maatregelen. Tijdens audits en nalevingscontroles moeten organisaties kunnen aantonen dat zij een effectief proces hebben voor het monitoren en beheren van auditconfiguraties, en dat zij in staat zijn om wijzigingen te detecteren, te onderzoeken en te reageren op afwijkingen. Dit vereist uitgebreide beleidsdocumentatie die beschrijft hoe auditlogging is geïmplementeerd, wie verantwoordelijk is voor het monitoren van de logboeken, en welke procedures worden gevolgd wanneer er afwijkingen worden gedetecteerd. Deze documentatie moet regelmatig worden bijgewerkt om te zorgen dat deze overeenkomt met de huidige implementatie en moet toegankelijk zijn voor auditors en toezichthouders. De auditlogboeken zelf moeten worden bewaard conform de geldende bewaartermijnen, die typisch minimaal één jaar bedragen, maar kunnen variëren afhankelijk van de specifieke nalevingseisen en de aard van de organisatie. Organisaties moeten ervoor zorgen dat zij beschikken over voldoende opslagcapaciteit om aan deze bewaartermijnen te kunnen voldoen en moeten processen hebben om te zorgen dat logboeken correct worden gearchiveerd en vernietigd wanneer de bewaartermijn verloopt. Organisaties moeten er bovendien voor zorgen dat de auditlogboeken beschermd zijn tegen onbevoegde toegang, wijziging of verwijdering, wat kan worden gerealiseerd door gebruik te maken van eenmalig beschrijfbare opslagoplossingen, cryptografische bescherming en strikte toegangscontroles. Deze bescherming is essentieel om de integriteit van de auditlogboeken te waarborgen en om te zorgen dat zij betrouwbaar kunnen worden gebruikt voor beveiligingsmonitoring en forensisch onderzoek. Tijdens externe audits en certificeringsprocessen moeten organisaties kunnen aantonen dat zij beschikken over een robuust systeem voor het vastleggen en beheren van auditlogboeken, en dat zij in staat zijn om op verzoek historische auditlogboeken te produceren voor onderzoek en analyse. Dit vereist niet alleen technische implementatie, maar ook duidelijke procedures en documentatie die beschrijven hoe de auditlogboeken worden beheerd, wie toegang heeft tot deze logboeken, en hoe wordt omgegaan met verzoeken om auditlogboeken van externe auditors of toezichthouders. Daarnaast moeten organisaties kunnen aantonen dat zij regelmatig controleren of de auditlogging correct functioneert en dat zij proactief reageren op afwijkingen of problemen met de auditlogging, wat een belangrijk onderdeel is van een effectief beveiligingsbeheersysteem. Deze continue verbetering en monitoring is essentieel voor het onderhouden van een effectief beveiligingspostuur en voor het kunnen voldoen aan voortdurende nalevingsvereisten.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Audit Policy Change Success
.DESCRIPTION
CIS - Audit changes to audit policy moet Success loggen.
.NOTES
Filename: audit-policy-change.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Audit Policy Change|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Audit Policy Change"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-policy-change.ps1"; PolicyName = "Audit Policy Change"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Audit Policy Change: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van wijzigingen aan auditbeleid, waardoor onbevoegde wijzigingen onopgemerkt blijven en compliance-eisen niet worden nageleefd.
Management Samenvatting
Schakel auditlogging in voor wijzigingen aan auditbeleid inclusief succesvolle gebeurtenissen om beveiligingsmonitoring en naleving te waarborgen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE