Aanmeldgebeurtenissen Logboekregistratie

Het registreren van aanmeldgebeurtenissen vormt de basis van elke effectieve beveiligingsstrategie. Zonder adequate logboekregistratie van aanmeldpogingen kunnen organisaties geen inzicht krijgen in wie wanneer en vanaf welke locatie toegang heeft gekregen tot systemen. Deze instelling is onderdeel van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties en het creëren van een volledige audittrail voor forensisch onderzoek.

Implementatie

Deze regel configureert auditlogboekregistratie voor aanmeldgebeurtenissen via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleidsregels om Windows endpoints te beveiligen volgens beveiligingsbeste praktijken. Het systeem registreert zowel succesvolle als mislukte aanmeldpogingen, inclusief interactieve aanmeldingen, netwerkaanmeldingen en service-account aanmeldingen, waardoor beveiligingsteams een compleet beeld krijgen van alle authenticatie-activiteiten binnen de organisatie.

Vereisten

De implementatie van auditlogboekregistratie voor aanmeldgebeurtenissen vereist een zorgvuldige voorbereiding waarbij zowel technische als organisatorische aspecten moeten worden afgewogen. Vanuit technisch perspectief vormt Microsoft Intune de kern van de oplossing, waarbij de organisatie moet beschikken over een geldige licentie voor Microsoft Intune of het bredere Microsoft Endpoint Manager platform. Deze licentievereiste is essentieel omdat auditlogboekregistratie wordt geconfigureerd via apparaatconfiguratiebeleidsregels die alleen beschikbaar zijn binnen een volledig geconfigureerde Intune-omgeving. De Intune-omgeving zelf moet correct zijn ingesteld en naadloos geïntegreerd zijn met Azure Active Directory, aangezien deze integratie de basis vormt voor het toepassen van beveiligingsbeleidsregels op endpoints binnen de organisatie. Zonder een functionerende verbinding tussen Intune en Azure Active Directory kunnen apparaatconfiguratiebeleidsregels niet worden gedistribueerd naar de endpoints, waardoor de auditlogboekregistratie configuratie niet kan worden toegepast. Alle Windows endpoints die beveiligd moeten worden, moeten bovendien actief zijn geregistreerd in Microsoft Intune en beschikken over een stabiele verbinding met de Intune-service. Deze registratie is cruciaal omdat alleen geregistreerde apparaten de configuratiebeleidsregels kunnen ontvangen en toepassen. Voor endpoints die nog niet zijn geregistreerd, moet eerst het registratieproces worden voltooid voordat auditlogboekregistratie kan worden geconfigureerd. Vanuit beheerperspectief is het noodzakelijk dat de IT-beheerder beschikt over de juiste beheerrechten binnen Microsoft Intune. Specifiek zijn de rollen van Intune Service Administrator of Global Administrator vereist om apparaatconfiguratiebeleidsregels te kunnen aanmaken, wijzigen en toepassen. Zonder deze rechten kan de configuratie niet worden geïmplementeerd, wat betekent dat de organisatie eerst de toegangsrechten moet controleren en indien nodig moet aanpassen voordat met de implementatie kan worden begonnen. Organisatorisch gezien moet er een duidelijk en gedocumenteerd beleid zijn vastgesteld dat precies beschrijft welke aanmeldgebeurtenissen gelogd moeten worden en voor welke periode deze logs bewaard moeten blijven. Dit beleid vormt de basis voor alle technische configuraties en moet daarom zorgvuldig worden opgesteld met input van verschillende stakeholders, waaronder de CISO, nalevingsfunctionarissen en IT-beheerders. Het beleid moet expliciet aansluiten bij de nalevingsvereisten die van toepassing zijn op de organisatie, zoals de Algemene Verordening Gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO) of ISO 27001. Voor Nederlandse overheidsorganisaties is met name het BIO framework van groot belang, omdat dit specifieke eisen stelt aan logboekregistratie en audittrails. Het beleid moet ook duidelijk maken wie toegang heeft tot de auditlogs en onder welke omstandigheden deze logs mogen worden geraadpleegd, om te voldoen aan privacy- en beveiligingseisen. Vanuit operationeel perspectief is het belangrijk dat er voldoende opslagcapaciteit beschikbaar is voor het bewaren van de auditlogs. Aanmeldgebeurtenissen kunnen in grote volumes voorkomen, vooral in organisaties met veel gebruikers en endpoints, waardoor de logbestanden snel kunnen groeien. Organisaties moeten daarom vooraf berekenen hoeveel opslagruimte nodig is op basis van het aantal endpoints, het verwachte aantal aanmeldgebeurtenissen per dag, en de gewenste bewaarperiode. Daarnaast moet er een duidelijk gedefinieerd proces zijn voor het regelmatig controleren en analyseren van deze logs. Dit proces moet beschrijven wie verantwoordelijk is voor de loganalyse, hoe vaak deze analyses worden uitgevoerd, en welke acties worden ondernomen wanneer verdachte activiteiten worden gedetecteerd. Beveiligingsteams moeten bovendien adequaat zijn getraind in het interpreteren van aanmeldgebeurtenissen en het herkennen van verdachte patronen die kunnen wijzen op ongeautoriseerde toegangspogingen of beveiligingsincidenten. Deze training is essentieel omdat ongetrainde analisten belangrijke signalen kunnen missen of juist valse alarmen kunnen genereren, wat de effectiviteit van de auditlogboekregistratie ondermijnt.

Implementatie

De implementatie van auditlogboekregistratie voor aanmeldgebeurtenissen vereist een gestructureerde aanpak die begint met het opstellen van een duidelijk en gedetailleerd implementatieplan. Dit plan moet rekening houden met de specifieke behoeften, het risicoprofiel en de organisatorische context van de organisatie. Het implementatieplan dient als leidraad voor het gehele proces en moet alle stappen documenteren, van de initiële configuratie tot de uiteindelijke validatie en monitoring. Het eerste cruciale stap in het implementatieproces is het bepalen van welke typen aanmeldgebeurtenissen gelogd moeten worden. Windows ondersteunt verschillende soorten aanmeldingen, elk met hun eigen karakteristieken en beveiligingsimplicaties. Interactieve aanmeldingen vinden plaats wanneer gebruikers direct inloggen op een werkstation, bijvoorbeeld door in te loggen op een desktop computer of laptop. Deze aanmeldingen zijn van groot belang omdat ze directe toegang verlenen tot het systeem en vaak de primaire manier zijn waarop gebruikers toegang krijgen tot bedrijfsresources. Netwerkaanmeldingen daarentegen vinden plaats wanneer gebruikers toegang krijgen via het netwerk, bijvoorbeeld door verbinding te maken met gedeelde mappen, printers of andere netwerkresources. Deze aanmeldingen zijn belangrijk voor het detecteren van ongeautoriseerde netwerktoegang en het traceren van gebruikersactiviteiten over het netwerk. Service-account aanmeldingen vormen een derde categorie waarbij services en applicaties automatisch inloggen zonder directe gebruikersinteractie. Deze aanmeldingen zijn cruciaal voor het begrijpen van systeemactiviteiten en het detecteren van mogelijke misbruik van service accounts, wat een veelvoorkomende aanvalsvector is. Voor een complete beveiligingsdekking is het sterk aan te raden om alle typen aanmeldingen te loggen, waarbij zowel succesvolle als mislukte pogingen worden vastgelegd. Succesvolle aanmeldingen zijn belangrijk voor het traceren van normale gebruikersactiviteiten en het opbouwen van een baseline van verwacht gedrag. Door succesvolle aanmeldingen te loggen kunnen beveiligingsteams patronen identificeren in gebruikersgedrag, zoals gebruikelijke aanmeldtijden en locaties, wat vervolgens kan worden gebruikt om afwijkingen te detecteren. Het detecteren van ongeautoriseerde toegang op ongebruikelijke tijden of vanaf onbekende locaties is bijvoorbeeld alleen mogelijk wanneer succesvolle aanmeldingen worden gelogd en geanalyseerd. Mislukte aanmeldpogingen zijn eveneens cruciaal en vormen vaak de eerste indicatie van een beveiligingsincident. Deze pogingen zijn essentieel voor het identificeren van brute-force aanvallen, waarbij aanvallers systematisch proberen in te loggen door verschillende wachtwoordcombinaties te proberen. Credential stuffing pogingen, waarbij gestolen inloggegevens worden gebruikt om toegang te krijgen, kunnen ook worden gedetecteerd door mislukte aanmeldpogingen te analyseren. Andere vormen van ongeautoriseerde toegangspogingen, zoals woordenboekaanvallen of wachtwoordspraying, worden eveneens zichtbaar door het loggen van mislukte aanmeldpogingen. Na het bepalen van de scope en het vaststellen van welke gebeurtenissen gelogd moeten worden, moet het auditbeleid worden geconfigureerd via Microsoft Intune. Dit gebeurt door het aanmaken van een nieuw apparaatconfiguratieprofiel binnen de Intune-portal, waarbij de categorie Beveiligingsinstellingen wordt geselecteerd. Binnen deze categorie bevinden zich verschillende beveiligingsinstellingen die kunnen worden geconfigureerd, waaronder de specifieke beleidsregel voor Audit Logon Events. Deze beleidsregel moet worden geactiveerd en geconfigureerd volgens de vereisten die zijn vastgesteld in het implementatieplan. De configuratie omvat het instellen van de auditbeleidsregel voor zowel succesvolle als mislukte gebeurtenissen, wat betekent dat zowel geslaagde als mislukte aanmeldpogingen worden geregistreerd in de Windows Security Event Log. Deze configuratie zorgt ervoor dat een compleet beeld wordt verkregen van alle authenticatie-activiteiten binnen de organisatie. Tijdens de implementatie is het belangrijk om een gefaseerde aanpak te volgen die risico's minimaliseert en de mogelijkheid biedt om problemen vroegtijdig te identificeren en op te lossen. De eerste fase bestaat uit het configureren van een pilotgroep, bestaande uit een beperkt aantal endpoints die representatief zijn voor de volledige organisatie. Deze pilotgroep wordt gebruikt om te testen of de logboekregistratie correct werkt, of de configuratie correct wordt toegepast, en of er geen negatieve impact is op de systeemprestaties. Tijdens deze testfase moeten de gegenereerde logs worden gecontroleerd om te verifiëren dat de verwachte gebeurtenissen daadwerkelijk worden vastgelegd. Na succesvolle validatie van de pilotgroep kan de configuratie worden uitgerold naar alle endpoints binnen de organisatie. Deze uitrol moet zorgvuldig worden gepland en uitgevoerd, waarbij rekening wordt gehouden met de beschikbaarheid van endpoints en mogelijke impact op gebruikersactiviteiten. Het is essentieel om tijdens de implementatie continu te monitoren of de logs daadwerkelijk worden gegenereerd en opgeslagen, en of de logvolumes binnen acceptabele marges blijven. Logvolumes die te hoog zijn kunnen wijzen op configuratiefouten of ongewenste activiteiten, terwijl logvolumes die te laag zijn kunnen wijzen op problemen met de logboekregistratie configuratie. Tevens moet er aandacht zijn voor het configureren van logretentiebeleid om ervoor te zorgen dat logs voldoende lang bewaard blijven voor nalevingsdoeleinden, maar niet onnodig veel opslagruimte innemen. Het retentiebeleid moet worden afgestemd op de nalevingsvereisten van de organisatie en moet regelmatig worden geëvalueerd om te zorgen dat het nog steeds voldoet aan de actuele vereisten.

Gebruik PowerShell-script audit-logon-events.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Effectieve monitoring van auditlogs voor aanmeldgebeurtenissen vormt de kern van een succesvolle beveiligingsstrategie en vereist een gestructureerde en systematische aanpak. Het monitoringproces moet regelmatig worden uitgevoerd om te verifiëren dat de logboekregistratie correct functioneert en om verdachte activiteiten tijdig te kunnen detecteren en reageren. Zonder adequate monitoring blijven auditlogs onbenut en kunnen beveiligingsincidenten onopgemerkt blijven, wat de hele beveiligingsinspanning ondermijnt. Het monitoringproces begint met het fundamentele verifiëren dat de auditbeleidsregel daadwerkelijk actief is op alle endpoints binnen de organisatie. Dit kan worden gecontroleerd via Microsoft Intune door de nalevingsstatus van apparaten te bekijken, waarbij specifiek wordt gecontroleerd of de auditbeleidsregel correct is toegepast en of er geen configuratiefouten zijn opgetreden. Nalevingsstatus geeft inzicht in welke apparaten de configuratie hebben ontvangen en toegepast, en welke apparaten mogelijk problemen ondervinden. Apparaten die niet compliant zijn vereisen onmiddellijke aandacht, omdat dit kan betekenen dat de auditlogboekregistratie niet actief is en dat beveiligingsgebeurtenissen niet worden vastgelegd. Naast het controleren van de nalevingsstatus moet regelmatig worden geverifieerd dat de Windows Event Log daadwerkelijk aanmeldgebeurtenissen registreert. Dit gebeurt door de Security Event Log te inspecteren op de aanwezigheid van specifieke event ID's die corresponderen met aanmeldgebeurtenissen. Event ID 4624 wordt gebruikt voor succesvolle aanmeldingen en bevat belangrijke informatie zoals de gebruikersnaam, het tijdstip van aanmelding, het IP-adres van waaruit de aanmelding plaatsvond, en het type aanmelding. Event ID 4625 wordt gebruikt voor mislukte aanmeldpogingen en bevat vergelijkbare informatie, maar met aanvullende details over de reden van de mislukking, wat waardevol kan zijn voor het begrijpen van de aard van de mislukte poging. De aanwezigheid van deze event ID's in de Security Event Log bevestigt dat de auditlogboekregistratie correct functioneert en dat gebeurtenissen worden vastgelegd. Een belangrijk onderdeel van de monitoring is het analyseren van de gegenereerde logs op patronen die kunnen wijzen op beveiligingsincidenten. Deze analyse vereist zowel technische expertise als een goed begrip van normale gebruikersactiviteiten binnen de organisatie. Het identificeren van ongebruikelijke aanmeldtijden is bijvoorbeeld cruciaal voor het detecteren van accountcompromittering. Aanmeldingen buiten kantooruren, tijdens weekenden of tijdens vakantieperiodes kunnen wijzen op ongeautoriseerde toegang, vooral wanneer deze aanmeldingen plaatsvinden vanaf onbekende locaties of IP-adressen. Voor organisaties met een gedistribueerde workforce of medewerkers die regelmatig reizen, is het belangrijk om baseline patronen te definiëren voor normale aanmeldactiviteiten, zodat afwijkingen effectief kunnen worden gedetecteerd zonder dat normale activiteiten worden gemarkeerd als verdacht. Herhaalde mislukte aanmeldpogingen vormen een ander belangrijk signaal dat aandacht vereist. Wanneer meerdere mislukte pogingen worden gedetecteerd vanaf hetzelfde IP-adres of voor hetzelfde gebruikersaccount, kan dit wijzen op brute-force aanvallen waarbij aanvallers systematisch proberen toegang te krijgen door verschillende wachtwoordcombinaties te proberen. Deze aanvallen kunnen worden gedetecteerd door het analyseren van de frequentie en het patroon van mislukte aanmeldpogingen, waarbij specifieke drempelwaarden worden gebruikt om te bepalen wanneer een reeks mislukte pogingen als verdacht moet worden beschouwd. Monitoring van aanmeldgebeurtenissen moet ook rekening houden met geografische anomalieën, waarbij aanmeldingen vanaf onbekende locaties of landen worden geïdentificeerd. Voor organisaties met een internationale aanwezigheid of medewerkers die regelmatig reizen, is het belangrijk om verwachte geografische patronen te definiëren, zodat alleen werkelijk ongebruikelijke locaties worden gemarkeerd als verdacht. Geografische anomalieën kunnen wijzen op accountcompromittering, vooral wanneer een account wordt gebruikt vanaf meerdere geografische locaties binnen een onrealistische tijdsperiode, wat fysiek onmogelijk zou zijn. Het is sterk aan te raden om geautomatiseerde monitoring tools te gebruiken die realtime waarschuwingen kunnen genereren bij verdachte aanmeldpatronen. Microsoft Sentinel en Azure Monitor zijn voorbeelden van dergelijke tools die kunnen worden geconfigureerd met specifieke detectieregels die automatisch waarschuwingen versturen wanneer bepaalde voorwaarden worden gedetecteerd. Deze detectieregels kunnen bijvoorbeeld worden geconfigureerd om waarschuwingen te genereren wanneer meerdere mislukte aanmeldpogingen worden gedetecteerd binnen een korte tijdsperiode, wanneer een account wordt gebruikt vanaf meerdere geografische locaties binnen een onrealistische tijdsperiode, of wanneer aanmeldingen plaatsvinden buiten normale werkuren vanaf onbekende locaties. Geautomatiseerde monitoring tools kunnen de werklast van beveiligingsteams aanzienlijk verminderen door routinematige analyses uit te voeren en alleen aandacht te vragen voor gebeurtenissen die daadwerkelijk verdacht zijn. Naast geautomatiseerde monitoring is het belangrijk om periodiek handmatige reviews uit te voeren van de auditlogs, waarbij beveiligingsanalisten de logs analyseren op subtiele patronen die mogelijk niet door geautomatiseerde systemen worden gedetecteerd. Deze handmatige reviews zijn waardevol omdat ze de mogelijkheid bieden om context te begrijpen en patronen te identificeren die complexer zijn dan de eenvoudige regels die geautomatiseerde systemen kunnen implementeren. Beveiligingsanalisten kunnen bijvoorbeeld trends identificeren over langere perioden, verbanden leggen tussen verschillende gebeurtenissen, en begrijpen hoe bepaalde activiteiten passen binnen de bredere context van de organisatie. Deze reviews moeten regelmatig worden uitgevoerd, bijvoorbeeld wekelijks of maandelijks, afhankelijk van de grootte van de organisatie en het volume van aanmeldgebeurtenissen. Alle reviews moeten worden gedocumenteerd, waarbij de bevindingen, geïdentificeerde patronen en genomen acties worden vastgelegd. Deze documentatie is belangrijk voor nalevingsdoeleinden en voor het opbouwen van kennis binnen het beveiligingsteam. De bevindingen moeten worden gedeeld met relevante stakeholders binnen de organisatie, waaronder de CISO, IT-beheerders en nalevingsfunctionarissen, om ervoor te zorgen dat alle betrokken partijen op de hoogte zijn van de beveiligingsstatus en eventuele risico's.

Gebruik PowerShell-script audit-logon-events.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer tijdens monitoring wordt geconstateerd dat auditlogboekregistratie voor aanmeldgebeurtenissen niet correct is geconfigureerd of niet functioneert zoals verwacht, moet onmiddellijk en doortastend actie worden ondernomen om de situatie te herstellen. Elke periode waarin auditlogboekregistratie niet functioneert vormt een beveiligingsrisico, omdat beveiligingsincidenten niet kunnen worden gedetecteerd en onderzocht wanneer gebeurtenissen niet worden vastgelegd. Het remediatieproces moet daarom worden gestart zodra een probleem wordt geïdentificeerd, waarbij prioriteit wordt gegeven aan endpoints met een hoog risicoprofiel of endpoints die toegang hebben tot gevoelige gegevens. Het remediatieproces begint met het grondig identificeren van de oorzaak van het probleem, waarbij verschillende mogelijke oorzaken systematisch worden onderzocht. Veelvoorkomende oorzaken zijn configuratiefouten in het Intune-beleid, waarbij de beleidsregel niet correct is geconfigureerd of waarbij er fouten zijn gemaakt tijdens het instellen van de audit instellingen. Endpoints die niet correct zijn geregistreerd in Intune vormen een andere veelvoorkomende oorzaak, omdat alleen geregistreerde apparaten de configuratiebeleidsregels kunnen ontvangen. Lokale group policy instellingen die de Intune-configuratie overschrijven kunnen eveneens problemen veroorzaken, vooral in omgevingen waar zowel Intune als traditionele group policies worden gebruikt. In het geval van configuratiefouten moet het Intune apparaatconfiguratieprofiel worden gecontroleerd op nauwkeurigheid en volledigheid. Alle instellingen moeten worden geverifieerd om te zorgen dat ze overeenkomen met de vereisten die zijn vastgesteld in het implementatieplan. Indien nodig moet het profiel worden bijgewerkt met de correcte configuratie, waarbij zorgvuldig moet worden gecontroleerd dat alle wijzigingen correct worden toegepast. Het is belangrijk om te verifiëren dat de beleidsregel correct is toegewezen aan de juiste apparaatgroepen en dat er geen conflicterende beleidsregels zijn die de configuratie kunnen blokkeren of overschrijven. Conflicterende beleidsregels kunnen voorkomen dat de auditlogboekregistratie configuratie wordt toegepast, zelfs wanneer de beleidsregel zelf correct is geconfigureerd. Voor endpoints waar de beleidsregel niet correct wordt toegepast, kunnen verschillende remediatiestappen worden ondernomen. Het forceren van een apparaatsynchronisatie vanuit Intune kan helpen om ervoor te zorgen dat de configuratie opnieuw wordt gedistribueerd naar het endpoint. Deze synchronisatie kan worden geïnitieerd vanuit de Intune-portal of via PowerShell, waarbij het endpoint wordt gedwongen om contact op te nemen met de Intune-service en de nieuwste configuratie op te halen. Handmatige controle van het endpoint op lokale group policy instellingen die mogelijk conflicteren is eveneens belangrijk, omdat lokale beleidsregels de Intune-configuratie kunnen overschrijven. In sommige gevallen kan het nodig zijn om de endpoint opnieuw te registreren in Intune, wat betekent dat het apparaat wordt verwijderd uit Intune en vervolgens opnieuw wordt geregistreerd. Dit proces zorgt ervoor dat alle configuraties opnieuw worden toegepast en dat eventuele problemen met de registratie worden opgelost. Het herinstalleren van de Intune Management Extension kan ook helpen bij het oplossen van problemen met het toepassen van configuraties, vooral wanneer de extensie beschadigd is of niet correct functioneert. Wanneer auditlogboekregistratie wel is geconfigureerd maar geen logs worden gegenereerd, moet een grondige diagnose worden uitgevoerd om de onderliggende oorzaak te identificeren. Het controleren of de Windows Event Log service actief is vormt de eerste stap, omdat deze service verantwoordelijk is voor het vastleggen van alle gebeurtenissen in de Windows Event Log. Als de service niet actief is, moet deze worden gestart en geconfigureerd om automatisch te starten bij het opstarten van het systeem. Het controleren of er voldoende ruimte is in de Security Event Log is eveneens cruciaal, omdat een volle log kan voorkomen dat nieuwe gebeurtenissen worden geregistreerd. Windows heeft standaard limieten voor de grootte van event logs, en wanneer deze limieten worden bereikt, kunnen nieuwe gebeurtenissen niet meer worden vastgelegd. Als de log vol is, moet het logretentiebeleid worden aangepast om ervoor te zorgen dat oude gebeurtenissen worden verwijderd wanneer de log vol raakt, of de loggrootte moet worden vergroot om meer gebeurtenissen te kunnen bevatten. Voordat logs worden gewist, moet ervoor worden gezorgd dat bestaande logs eerst worden geëxporteerd voor archivering, zodat belangrijke beveiligingsinformatie niet verloren gaat. Voor endpoints waar auditlogboekregistratie is uitgeschakeld of niet correct werkt, moet direct worden overgegaan tot herconfiguratie. Dit kan worden gedaan door het Intune-beleid opnieuw toe te passen, waarbij het endpoint wordt gedwongen om de configuratie opnieuw op te halen en toe te passen. Alternatief kan gebruik worden gemaakt van een remediatiescript dat de auditbeleidsregel direct configureert via group policy of PowerShell. Dergelijke scripts kunnen handig zijn wanneer Intune niet beschikbaar is of wanneer snelle actie vereist is, maar moeten zorgvuldig worden getest om te zorgen dat ze de configuratie correct toepassen zonder ongewenste bijwerkingen. Na het uitvoeren van remediatie-acties is het essentieel om te verifiëren dat de configuratie correct is toegepast door de Security Event Log te controleren op nieuwe aanmeldgebeurtenissen. Deze verificatie moet worden uitgevoerd binnen een redelijke tijdsperiode na de remediatie, bijvoorbeeld binnen 24 uur, om te zorgen dat de logboekregistratie daadwerkelijk functioneert. Tevens moet worden gemonitord of de remediatie geen negatieve impact heeft gehad op de systeemprestaties of gebruikerservaring, omdat auditlogboekregistratie overhead kan veroorzaken die de prestaties kan beïnvloeden. In het geval van gedetecteerde beveiligingsincidenten, zoals brute-force aanvallen of accountcompromittering, moet het remediatieproces worden uitgebreid met aanvullende beveiligingsmaatregelen die verder gaan dan het herstellen van de auditlogboekregistratie configuratie. Het tijdelijk blokkeren van verdachte IP-adressen kan helpen om verdere aanvallen te voorkomen, terwijl het resetten van gecompromitteerde wachtwoorden ervoor zorgt dat aanvallers geen toegang meer hebben tot gecompromitteerde accounts. Het uitschakelen van gecompromitteerde accounts totdat de situatie is opgelost is eveneens belangrijk om te voorkomen dat aanvallers verder misbruik kunnen maken van gecompromitteerde accounts. Deze aanvullende maatregelen moeten worden gecoördineerd met het beveiligingsincidentresponseteam en moeten worden gedocumenteerd voor forensische en nalevingsdoeleinden.

Gebruik PowerShell-script audit-logon-events.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Naleving

Auditlogboekregistratie voor aanmeldgebeurtenissen vormt een fundamentele vereiste voor naleving van verschillende beveiligingsframeworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. De implementatie van deze controle draagt direct en substantieel bij aan het voldoen aan de eisen van het Baseline Informatiebeveiliging Overheid (BIO) framework, specifiek controle 16.01 over gebeurtenissen logboekregistratie en audittrails. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen, inclusief authenticatiegebeurtenissen, en dat deze logs voldoende lang worden bewaard voor audit- en forensische doeleinden. Het BIO framework is specifiek ontwikkeld voor Nederlandse overheidsorganisaties en stelt eisen aan informatiebeveiliging die zijn afgestemd op de Nederlandse context en wetgeving. Controle 16.01 benadrukt het belang van uitgebreide logboekregistratie en audittrails, waarbij organisaties moeten kunnen aantonen wie toegang heeft gehad tot systemen en gegevens, wanneer deze toegang heeft plaatsgevonden, en welke acties zijn ondernomen. Auditlogboekregistratie voor aanmeldgebeurtenissen vormt een essentieel onderdeel van deze vereiste, omdat aanmeldgebeurtenissen de basis vormen voor alle andere gebruikersactiviteiten en omdat ze cruciaal zijn voor het detecteren en onderzoeken van beveiligingsincidenten. Voor ISO 27001:2022 naleving is controle A.12.4.1 van toepassing, die expliciet eist dat logboekregistratie en monitoring mechanismen zijn geïmplementeerd om beveiligingsgebeurtenissen te detecteren, analyseren en reageren op beveiligingsincidenten. Deze controle maakt deel uit van het informatiebeveiligingsbeheersysteem (ISMS) en benadrukt het belang van proactieve monitoring en detectie van beveiligingsincidenten. Auditlogboekregistratie voor aanmeldgebeurtenissen vormt een essentieel onderdeel van deze logboekregistratie en monitoring activiteiten, omdat het de basis vormt voor het detecteren van ongeautoriseerde toegangspogingen en omdat het cruciale informatie levert voor het onderzoeken van beveiligingsincidenten. ISO 27001:2022 is een internationaal erkende standaard voor informatiebeveiligingsmanagement en wordt veel gebruikt door Nederlandse organisaties die hun informatiebeveiligingspraktijken willen verbeteren en certificeren. Daarnaast is auditlogboekregistratie cruciaal voor AVG naleving, waarbij organisaties moeten kunnen aantonen wie toegang heeft gehad tot persoonsgegevens en wanneer deze toegang heeft plaatsgevonden. De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan de bescherming van persoonsgegevens en vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Auditlogboekregistratie vormt een belangrijke technische maatregel die organisaties in staat stelt om toegang tot persoonsgegevens te monitoren en te controleren. Dit is met name relevant voor het voldoen aan de accountability verplichting uit artikel 5 lid 2 van de AVG, waarbij organisaties moeten kunnen aantonen dat zij de AVG naleven en dat zij passende maatregelen hebben genomen om persoonsgegevens te beschermen. Zonder adequate auditlogboekregistratie kunnen organisaties niet aantonen wie toegang heeft gehad tot persoonsgegevens, wat kan leiden tot boetes en andere sancties van de Autoriteit Persoonsgegevens (AP). Voor CIS Security Benchmark naleving is controle 18.9.19.2 van toepassing, die specifiek eist dat auditlogboekregistratie voor aanmeldgebeurtenissen is geconfigureerd. De CIS Security Benchmarks zijn gedetailleerde, consensus-gebaseerde configuratie richtlijnen die zijn ontwikkeld door cybersecurity experts en die worden gebruikt door organisaties over de hele wereld om hun systemen te beveiligen. Controle 18.9.19.2 is geclassificeerd als Level 1, wat betekent dat het een basis beveiligingscontrole is die door alle organisaties zou moeten worden geïmplementeerd, ongeacht hun grootte of complexiteit. Deze classificatie benadrukt het fundamentele belang van auditlogboekregistratie voor aanmeldgebeurtenissen en maakt duidelijk dat het niet optioneel is voor organisaties die serieus zijn over beveiliging. Om te voldoen aan deze nalevingsvereisten is het belangrijk dat de auditlogboekregistratie correct is geconfigureerd en dat er een duidelijk en gedocumenteerd beleid is dat beschrijft welke gebeurtenissen worden gelogd, hoe lang deze logs worden bewaard, en wie toegang heeft tot deze logs. Het beleid moet ook beschrijven hoe de logs worden beveiligd tegen ongeautoriseerde toegang en wijziging, en hoe de integriteit van de logs wordt gewaarborgd. Logintegriteit is cruciaal omdat gewijzigde of gemanipuleerde logs niet betrouwbaar zijn voor audit- of forensische doeleinden en omdat ze niet kunnen worden gebruikt als bewijs in juridische procedures. Het beleid moet regelmatig worden geëvalueerd en bijgewerkt om te zorgen dat het nog steeds voldoet aan de actuele nalevingsvereisten en dat het aansluit bij de huidige beveiligingspraktijken van de organisatie. Tijdens audits en nalevingsbeoordelingen moet de organisatie kunnen aantonen dat de auditlogboekregistratie daadwerkelijk functioneert door voorbeelden te tonen van gelogde aanmeldgebeurtenissen en door te demonstreren dat de logs regelmatig worden gecontroleerd en geanalyseerd. Deze demonstratie moet aantonen dat de logboekregistratie configuratie correct is toegepast, dat gebeurtenissen daadwerkelijk worden vastgelegd, en dat er een proces is voor het analyseren en reageren op gedetecteerde incidenten. Auditors zullen vaak vragen om specifieke voorbeelden van gelogde gebeurtenissen, bewijs van regelmatige loganalyses, en documentatie van gedetecteerde incidenten en genomen acties. Het is daarom belangrijk om deze informatie beschikbaar te hebben en om te kunnen aantonen dat de auditlogboekregistratie niet alleen is geconfigureerd, maar ook actief wordt gebruikt voor beveiligingsdoeleinden. Het is sterk aan te raden om periodiek nalevingsbeoordelingen uit te voeren waarbij wordt gecontroleerd of de auditlogboekregistratie nog steeds correct is geconfigureerd en of deze voldoet aan de actuele nalevingsvereisten. Deze beoordelingen moeten worden uitgevoerd door onafhankelijke auditors of door interne audit afdelingen, en moeten een grondige evaluatie omvatten van de configuratie, de werking, en de effectiviteit van de auditlogboekregistratie. De beoordelingen moeten worden gedocumenteerd, waarbij alle bevindingen, aanbevelingen en genomen acties worden vastgelegd. De resultaten moeten worden gedeeld met relevante stakeholders binnen de organisatie, waaronder de CISO, nalevingsfunctionarissen en interne audit afdeling, om ervoor te zorgen dat alle betrokken partijen op de hoogte zijn van de nalevingsstatus en eventuele verbeterpunten. Deze beoordelingen vormen een belangrijk onderdeel van een continue verbeteringsproces dat ervoor zorgt dat de auditlogboekregistratie configuratie en praktijken blijven voldoen aan de steeds evoluerende nalevingsvereisten en beveiligingsstandaarden.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Schakel auditlogboekregistratie in voor aanmeldgebeurtenissen om een complete audit trail te creëren voor alle authenticatie-activiteiten binnen de organisatie.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE