Auditlogboekregistratie Voor Objecttoegang

Het registreren van objecttoegang vormt een kritiek onderdeel van elke effectieve beveiligingsstrategie. Zonder adequate logboekregistratie van toegang tot bestanden, mappen en andere objecten kunnen organisaties geen inzicht krijgen in wie toegang heeft gehad tot gevoelige gegevens en wanneer deze toegang heeft plaatsgevonden. Deze instelling is onderdeel van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties en het creëren van een volledige audittrail voor forensisch onderzoek. Objecttoegang logboekregistratie is met name belangrijk voor het detecteren van datalekken, ongeautoriseerde toegang tot gevoelige bestanden, en het traceren van gebruikersactiviteiten op kritieke systemen.

Implementatie

Deze regel configureert auditlogboekregistratie voor objecttoegang via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleidsregels om Windows endpoints te beveiligen volgens beveiligingsbeste praktijken. Het systeem registreert toegang tot bestanden, mappen, registersleutels en andere objecten wanneer deze zijn geconfigureerd met specifieke audit instellingen via System Access Control Lists (SACLs). Deze logboekregistratie maakt het mogelijk om te traceren wie toegang heeft gehad tot welke objecten, wanneer deze toegang heeft plaatsgevonden, en of de toegang succesvol was of werd geweigerd, waardoor beveiligingsteams een compleet beeld krijgen van alle objecttoegang-activiteiten binnen de organisatie.

Vereisten

De implementatie van auditlogboekregistratie voor objecttoegang vereist een zorgvuldige voorbereiding waarbij zowel technische als organisatorische aspecten moeten worden afgewogen. Vanuit technisch perspectief vormt Microsoft Intune de kern van de oplossing, waarbij de organisatie moet beschikken over een geldige licentie voor Microsoft Intune of het bredere Microsoft Endpoint Manager platform. Deze licentievereiste is essentieel omdat auditlogboekregistratie wordt geconfigureerd via apparaatconfiguratiebeleidsregels die alleen beschikbaar zijn binnen een volledig geconfigureerde Intune-omgeving. De Intune-omgeving zelf moet correct zijn ingesteld en naadloos geïntegreerd zijn met Azure Active Directory, aangezien deze integratie de basis vormt voor het toepassen van beveiligingsbeleidsregels op endpoints binnen de organisatie. Zonder een functionerende verbinding tussen Intune en Azure Active Directory kunnen apparaatconfiguratiebeleidsregels niet worden gedistribueerd naar de endpoints, waardoor de auditlogboekregistratie configuratie niet kan worden toegepast. Alle Windows endpoints die beveiligd moeten worden, moeten bovendien actief zijn geregistreerd in Microsoft Intune en beschikken over een stabiele verbinding met de Intune-service. Deze registratie is cruciaal omdat alleen geregistreerde apparaten de configuratiebeleidsregels kunnen ontvangen en toepassen. Voor endpoints die nog niet zijn geregistreerd, moet eerst het registratieproces worden voltooid voordat auditlogboekregistratie kan worden geconfigureerd. Vanuit beheerperspectief is het noodzakelijk dat de IT-beheerder beschikt over de juiste beheerrechten binnen Microsoft Intune. Specifiek zijn de rollen van Intune Service Administrator of Global Administrator vereist om apparaatconfiguratiebeleidsregels te kunnen aanmaken, wijzigen en toepassen. Zonder deze rechten kan de configuratie niet worden geïmplementeerd, wat betekent dat de organisatie eerst de toegangsrechten moet controleren en indien nodig moet aanpassen voordat met de implementatie kan worden begonnen. Organisatorisch gezien moet er een duidelijk en gedocumenteerd beleid zijn vastgesteld dat precies beschrijft welke objecten gelogd moeten worden en voor welke periode deze logs bewaard moeten blijven. Dit beleid vormt de basis voor alle technische configuraties en moet daarom zorgvuldig worden opgesteld met input van verschillende stakeholders, waaronder de CISO, nalevingsfunctionarissen en IT-beheerders. Het beleid moet expliciet aansluiten bij de nalevingsvereisten die van toepassing zijn op de organisatie, zoals de Algemene Verordening Gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO) of ISO 27001. Voor Nederlandse overheidsorganisaties is met name het BIO framework van groot belang, omdat dit specifieke eisen stelt aan logboekregistratie en audittrails. Het beleid moet ook duidelijk maken wie toegang heeft tot de auditlogs en onder welke omstandigheden deze logs mogen worden geraadpleegd, om te voldoen aan privacy- en beveiligingseisen. Vanuit operationeel perspectief is het belangrijk dat er voldoende opslagcapaciteit beschikbaar is voor het bewaren van de auditlogs. Objecttoegang gebeurtenissen kunnen in zeer grote volumes voorkomen, vooral wanneer logboekregistratie is geconfigureerd voor veel bestanden en mappen, waardoor de logbestanden snel kunnen groeien. Organisaties moeten daarom vooraf berekenen hoeveel opslagruimte nodig is op basis van het aantal endpoints, het aantal objecten dat wordt gelogd, het verwachte aantal toegangspogingen per dag, en de gewenste bewaarperiode. Daarnaast moet er een duidelijk gedefinieerd proces zijn voor het configureren van System Access Control Lists (SACLs) op kritieke objecten, omdat auditlogboekregistratie alleen werkt wanneer SACLs zijn geconfigureerd. Dit proces moet beschrijven welke objecten prioriteit hebben voor logboekregistratie, hoe SACLs worden geconfigureerd, en wie verantwoordelijk is voor het beheer van deze configuraties. Beveiligingsteams moeten bovendien adequaat zijn getraind in het interpreteren van objecttoegang gebeurtenissen en het herkennen van verdachte patronen die kunnen wijzen op ongeautoriseerde toegang of beveiligingsincidenten. Deze training is essentieel omdat ongetrainde analisten belangrijke signalen kunnen missen of juist valse alarmen kunnen genereren, wat de effectiviteit van de auditlogboekregistratie ondermijnt.

Implementatie

De implementatie van auditlogboekregistratie voor objecttoegang vereist een gestructureerde aanpak die begint met het opstellen van een duidelijk en gedetailleerd implementatieplan. Dit plan moet rekening houden met de specifieke behoeften, het risicoprofiel en de organisatorische context van de organisatie. Het implementatieplan dient als leidraad voor het gehele proces en moet alle stappen documenteren, van de initiële configuratie tot de uiteindelijke validatie en monitoring. Het eerste cruciale stap in het implementatieproces is het bepalen van welke objecten gelogd moeten worden. Niet alle objecten binnen een organisatie hoeven te worden gelogd, omdat dit zou leiden tot onbeheersbare logvolumes en onnodige overhead. In plaats daarvan moet een risicogebaseerde aanpak worden gevolgd waarbij alleen objecten met gevoelige gegevens of kritieke systemen worden gelogd. Voorbeelden van objecten die prioriteit moeten krijgen voor logboekregistratie zijn bestanden en mappen die persoonsgegevens bevatten, financiële gegevens, intellectueel eigendom, of andere gevoelige informatie. Daarnaast moeten objecten die kritiek zijn voor de bedrijfsvoering, zoals configuratiebestanden, databases, en systeemregistraties, worden gelogd om ongeautoriseerde wijzigingen te kunnen detecteren. Het bepalen van welke objecten moeten worden gelogd vereist een grondige inventarisatie van alle systemen en gegevens binnen de organisatie, waarbij elk object wordt geëvalueerd op basis van zijn gevoeligheid en kritiekheid. Deze inventarisatie moet regelmatig worden bijgewerkt om ervoor te zorgen dat nieuwe objecten die gevoelige gegevens bevatten ook worden geïdentificeerd en gelogd. Na het bepalen van de scope en het vaststellen van welke objecten gelogd moeten worden, moeten System Access Control Lists (SACLs) worden geconfigureerd op deze objecten. SACLs zijn een essentieel onderdeel van de Windows-beveiligingsarchitectuur en bepalen welke toegangspogingen worden gelogd. Voor elk object dat moet worden gelogd, moet een SACL worden geconfigureerd die specificeert welke gebruikers of groepen worden gecontroleerd, welke toegangstypen worden gelogd (bijvoorbeeld lezen, schrijven, verwijderen), en of succesvolle toegang, mislukte toegang, of beide worden gelogd. Het configureren van SACLs kan handmatig worden gedaan via de Windows Verkenner of via Group Policy, maar voor grote omgevingen is het aan te raden om geautomatiseerde tools of scripts te gebruiken die SACLs kunnen configureren op basis van een centraal beheerd beleid. Na het configureren van de SACLs moet het auditbeleid worden geconfigureerd via Microsoft Intune. Dit gebeurt door het aanmaken van een nieuw apparaatconfiguratieprofiel binnen de Intune-portal, waarbij de categorie Beveiligingsinstellingen wordt geselecteerd. Binnen deze categorie bevinden zich verschillende beveiligingsinstellingen die kunnen worden geconfigureerd, waaronder de specifieke beleidsregel voor Audit Object Access. Deze beleidsregel moet worden geactiveerd en geconfigureerd volgens de vereisten die zijn vastgesteld in het implementatieplan. De configuratie omvat het instellen van de auditbeleidsregel voor zowel succesvolle als mislukte gebeurtenissen, wat betekent dat zowel geslaagde als mislukte toegangspogingen tot objecten worden geregistreerd in de Windows Security Event Log. Deze configuratie zorgt ervoor dat een compleet beeld wordt verkregen van alle objecttoegang-activiteiten binnen de organisatie. Tijdens de implementatie is het belangrijk om een gefaseerde aanpak te volgen die risico's minimaliseert en de mogelijkheid biedt om problemen vroegtijdig te identificeren en op te lossen. De eerste fase bestaat uit het configureren van een pilotgroep, bestaande uit een beperkt aantal endpoints en objecten die representatief zijn voor de volledige organisatie. Deze pilotgroep wordt gebruikt om te testen of de logboekregistratie correct werkt, of de configuratie correct wordt toegepast, en of er geen negatieve impact is op de systeemprestaties. Tijdens deze testfase moeten de gegenereerde logs worden gecontroleerd om te verifiëren dat de verwachte gebeurtenissen daadwerkelijk worden vastgelegd. Na succesvolle validatie van de pilotgroep kan de configuratie worden uitgerold naar alle endpoints binnen de organisatie. Deze uitrol moet zorgvuldig worden gepland en uitgevoerd, waarbij rekening wordt gehouden met de beschikbaarheid van endpoints en mogelijke impact op gebruikersactiviteiten. Het is essentieel om tijdens de implementatie continu te monitoren of de logs daadwerkelijk worden gegenereerd en opgeslagen, en of de logvolumes binnen acceptabele marges blijven. Logvolumes die te hoog zijn kunnen wijzen op configuratiefouten of ongewenste activiteiten, terwijl logvolumes die te laag zijn kunnen wijzen op problemen met de logboekregistratie configuratie of SACL configuratie. Tevens moet er aandacht zijn voor het configureren van logretentiebeleid om ervoor te zorgen dat logs voldoende lang bewaard blijven voor nalevingsdoeleinden, maar niet onnodig veel opslagruimte innemen. Het retentiebeleid moet worden afgestemd op de nalevingsvereisten van de organisatie en moet regelmatig worden geëvalueerd om te zorgen dat het nog steeds voldoet aan de actuele vereisten.

Gebruik PowerShell-script audit-object-access.ps1 (functie Invoke-Monitoring) – Monitoren.

Bewaking

Effectieve monitoring van auditlogs voor objecttoegang vormt de kern van een succesvolle beveiligingsstrategie en vereist een gestructureerde en systematische aanpak. Het monitoringproces moet regelmatig worden uitgevoerd om te verifiëren dat de logboekregistratie correct functioneert en om verdachte activiteiten tijdig te kunnen detecteren en reageren. Zonder adequate monitoring blijven auditlogs onbenut en kunnen beveiligingsincidenten onopgemerkt blijven, wat de hele beveiligingsinspanning ondermijnt. Het monitoringproces begint met het fundamentele verifiëren dat de auditbeleidsregel daadwerkelijk actief is op alle endpoints binnen de organisatie. Dit kan worden gecontroleerd via Microsoft Intune door de nalevingsstatus van apparaten te bekijken, waarbij specifiek wordt gecontroleerd of de auditbeleidsregel correct is toegepast en of er geen configuratiefouten zijn opgetreden. Nalevingsstatus geeft inzicht in welke apparaten de configuratie hebben ontvangen en toegepast, en welke apparaten mogelijk problemen ondervinden. Apparaten die niet compliant zijn vereisen onmiddellijke aandacht, omdat dit kan betekenen dat de auditlogboekregistratie niet actief is en dat beveiligingsgebeurtenissen niet worden vastgelegd. Naast het controleren van de nalevingsstatus moet regelmatig worden geverifieerd dat de Windows Event Log daadwerkelijk objecttoegang gebeurtenissen registreert. Dit gebeurt door de Security Event Log te inspecteren op de aanwezigheid van specifieke event ID's die corresponderen met objecttoegang gebeurtenissen. Event ID 4656 wordt gebruikt voor succesvolle toegang tot objecten en bevat belangrijke informatie zoals de gebruikersnaam, het tijdstip van toegang, het type toegang (bijvoorbeeld lezen, schrijven, verwijderen), en het pad naar het object. Event ID 4658 wordt gebruikt voor het openen van een handle naar een object en bevat vergelijkbare informatie. Event ID 4663 wordt gebruikt voor toegang tot een object en bevat details over welke specifieke toegangsrechten zijn gebruikt. Event ID 4660 wordt gebruikt voor verwijdering van objecten en is cruciaal voor het detecteren van ongeautoriseerde verwijdering van bestanden. De aanwezigheid van deze event ID's in de Security Event Log bevestigt dat de auditlogboekregistratie correct functioneert en dat gebeurtenissen worden vastgelegd. Een belangrijk onderdeel van de monitoring is het analyseren van de gegenereerde logs op patronen die kunnen wijzen op beveiligingsincidenten. Deze analyse vereist zowel technische expertise als een goed begrip van normale gebruikersactiviteiten binnen de organisatie. Het identificeren van ongebruikelijke toegangspatronen is bijvoorbeeld cruciaal voor het detecteren van datalekken of ongeautoriseerde toegang tot gevoelige gegevens. Toegang tot gevoelige bestanden buiten kantooruren, tijdens weekenden of tijdens vakantieperiodes kan wijzen op ongeautoriseerde toegang, vooral wanneer deze toegang plaatsvindt vanaf onbekende locaties of door gebruikers die normaal gesproken geen toegang hebben tot deze bestanden. Voor organisaties met een gedistribueerde workforce of medewerkers die regelmatig reizen, is het belangrijk om baseline patronen te definiëren voor normale toegangsactiviteiten, zodat afwijkingen effectief kunnen worden gedetecteerd zonder dat normale activiteiten worden gemarkeerd als verdacht. Herhaalde mislukte toegangspogingen vormen een ander belangrijk signaal dat aandacht vereist. Wanneer meerdere mislukte pogingen worden gedetecteerd voor hetzelfde object of door dezelfde gebruiker, kan dit wijzen op pogingen tot ongeautoriseerde toegang of op een gebruiker die probeert toegang te krijgen tot bestanden waarvoor hij geen rechten heeft. Deze patronen kunnen worden gedetecteerd door het analyseren van de frequentie en het patroon van mislukte toegangspogingen, waarbij specifieke drempelwaarden worden gebruikt om te bepalen wanneer een reeks mislukte pogingen als verdacht moet worden beschouwd. Monitoring van objecttoegang moet ook rekening houden met massale toegangspatronen, waarbij grote aantallen bestanden in korte tijd worden geopend of gewijzigd. Dergelijke patronen kunnen wijzen op ransomware aanvallen, waarbij aanvallers proberen zoveel mogelijk bestanden te versleutelen, of op datalekken waarbij grote hoeveelheden gegevens worden gekopieerd. Het is sterk aan te raden om geautomatiseerde monitoring tools te gebruiken die realtime waarschuwingen kunnen genereren bij verdachte toegangspatronen. Microsoft Sentinel en Azure Monitor zijn voorbeelden van dergelijke tools die kunnen worden geconfigureerd met specifieke detectieregels die automatisch waarschuwingen versturen wanneer bepaalde voorwaarden worden gedetecteerd. Deze detectieregels kunnen bijvoorbeeld worden geconfigureerd om waarschuwingen te genereren wanneer toegang wordt gedetecteerd tot bestanden met gevoelige gegevens buiten normale werkuren, wanneer grote aantallen bestanden worden geopend binnen een korte tijdsperiode, of wanneer toegang wordt gedetecteerd tot bestanden die normaal gesproken niet worden gebruikt. Geautomatiseerde monitoring tools kunnen de werklast van beveiligingsteams aanzienlijk verminderen door routinematige analyses uit te voeren en alleen aandacht te vragen voor gebeurtenissen die daadwerkelijk verdacht zijn. Naast geautomatiseerde monitoring is het belangrijk om periodiek handmatige reviews uit te voeren van de auditlogs, waarbij beveiligingsanalisten de logs analyseren op subtiele patronen die mogelijk niet door geautomatiseerde systemen worden gedetecteerd. Deze handmatige reviews zijn waardevol omdat ze de mogelijkheid bieden om context te begrijpen en patronen te identificeren die complexer zijn dan de eenvoudige regels die geautomatiseerde systemen kunnen implementeren. Beveiligingsanalisten kunnen bijvoorbeeld trends identificeren over langere perioden, verbanden leggen tussen verschillende gebeurtenissen, en begrijpen hoe bepaalde activiteiten passen binnen de bredere context van de organisatie. Deze reviews moeten regelmatig worden uitgevoerd, bijvoorbeeld wekelijks of maandelijks, afhankelijk van de grootte van de organisatie en het volume van objecttoegang gebeurtenissen. Alle reviews moeten worden gedocumenteerd, waarbij de bevindingen, geïdentificeerde patronen en genomen acties worden vastgelegd. Deze documentatie is belangrijk voor nalevingsdoeleinden en voor het opbouwen van kennis binnen het beveiligingsteam. De bevindingen moeten worden gedeeld met relevante stakeholders binnen de organisatie, waaronder de CISO, IT-beheerders en nalevingsfunctionarissen, om ervoor te zorgen dat alle betrokken partijen op de hoogte zijn van de beveiligingsstatus en eventuele risico's.

Gebruik PowerShell-script audit-object-access.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer tijdens monitoring wordt geconstateerd dat auditlogboekregistratie voor objecttoegang niet correct is geconfigureerd of niet functioneert zoals verwacht, moet onmiddellijk en doortastend actie worden ondernomen om de situatie te herstellen. Elke periode waarin auditlogboekregistratie niet functioneert vormt een beveiligingsrisico, omdat beveiligingsincidenten niet kunnen worden gedetecteerd en onderzocht wanneer gebeurtenissen niet worden vastgelegd. Het remediatieproces moet daarom worden gestart zodra een probleem wordt geïdentificeerd, waarbij prioriteit wordt gegeven aan endpoints met een hoog risicoprofiel of endpoints die toegang hebben tot gevoelige gegevens. Het remediatieproces begint met het grondig identificeren van de oorzaak van het probleem, waarbij verschillende mogelijke oorzaken systematisch worden onderzocht. Veelvoorkomende oorzaken zijn configuratiefouten in het Intune-beleid, waarbij de beleidsregel niet correct is geconfigureerd of waarbij er fouten zijn gemaakt tijdens het instellen van de audit instellingen. Endpoints die niet correct zijn geregistreerd in Intune vormen een andere veelvoorkomende oorzaak, omdat alleen geregistreerde apparaten de configuratiebeleidsregels kunnen ontvangen. Lokale group policy instellingen die de Intune-configuratie overschrijven kunnen eveneens problemen veroorzaken, vooral in omgevingen waar zowel Intune als traditionele group policies worden gebruikt. Een andere veelvoorkomende oorzaak is het ontbreken of onjuist configureren van System Access Control Lists (SACLs) op de objecten die moeten worden gelogd. Zonder correct geconfigureerde SACLs worden geen objecttoegang gebeurtenissen gegenereerd, zelfs wanneer de auditbeleidsregel correct is geconfigureerd. In het geval van configuratiefouten moet het Intune apparaatconfiguratieprofiel worden gecontroleerd op nauwkeurigheid en volledigheid. Alle instellingen moeten worden geverifieerd om te zorgen dat ze overeenkomen met de vereisten die zijn vastgesteld in het implementatieplan. Indien nodig moet het profiel worden bijgewerkt met de correcte configuratie, waarbij zorgvuldig moet worden gecontroleerd dat alle wijzigingen correct worden toegepast. Het is belangrijk om te verifiëren dat de beleidsregel correct is toegewezen aan de juiste apparaatgroepen en dat er geen conflicterende beleidsregels zijn die de configuratie kunnen blokkeren of overschrijven. Conflicterende beleidsregels kunnen voorkomen dat de auditlogboekregistratie configuratie wordt toegepast, zelfs wanneer de beleidsregel zelf correct is geconfigureerd. Voor endpoints waar de beleidsregel niet correct wordt toegepast, kunnen verschillende remediatiestappen worden ondernomen. Het forceren van een apparaatsynchronisatie vanuit Intune kan helpen om ervoor te zorgen dat de configuratie opnieuw wordt gedistribueerd naar het endpoint. Deze synchronisatie kan worden geïnitieerd vanuit de Intune-portal of via PowerShell, waarbij het endpoint wordt gedwongen om contact op te nemen met de Intune-service en de nieuwste configuratie op te halen. Handmatige controle van het endpoint op lokale group policy instellingen die mogelijk conflicteren is eveneens belangrijk, omdat lokale beleidsregels de Intune-configuratie kunnen overschrijven. In sommige gevallen kan het nodig zijn om de endpoint opnieuw te registreren in Intune, wat betekent dat het apparaat wordt verwijderd uit Intune en vervolgens opnieuw wordt geregistreerd. Dit proces zorgt ervoor dat alle configuraties opnieuw worden toegepast en dat eventuele problemen met de registratie worden opgelost. Het herinstalleren van de Intune Management Extension kan ook helpen bij het oplossen van problemen met het toepassen van configuraties, vooral wanneer de extensie beschadigd is of niet correct functioneert. Wanneer auditlogboekregistratie wel is geconfigureerd maar geen logs worden gegenereerd, moet een grondige diagnose worden uitgevoerd om de onderliggende oorzaak te identificeren. Het controleren of de Windows Event Log service actief is vormt de eerste stap, omdat deze service verantwoordelijk is voor het vastleggen van alle gebeurtenissen in de Windows Event Log. Als de service niet actief is, moet deze worden gestart en geconfigureerd om automatisch te starten bij het opstarten van het systeem. Het controleren of er voldoende ruimte is in de Security Event Log is eveneens cruciaal, omdat een volle log kan voorkomen dat nieuwe gebeurtenissen worden geregistreerd. Windows heeft standaard limieten voor de grootte van event logs, en wanneer deze limieten worden bereikt, kunnen nieuwe gebeurtenissen niet meer worden vastgelegd. Als de log vol is, moet het logretentiebeleid worden aangepast om ervoor te zorgen dat oude gebeurtenissen worden verwijderd wanneer de log vol raakt, of de loggrootte moet worden vergroot om meer gebeurtenissen te kunnen bevatten. Voordat logs worden gewist, moet ervoor worden gezorgd dat bestaande logs eerst worden geëxporteerd voor archivering, zodat belangrijke beveiligingsinformatie niet verloren gaat. Het controleren of SACLs correct zijn geconfigureerd op de objecten die moeten worden gelogd is essentieel, omdat zonder correct geconfigureerde SACLs geen objecttoegang gebeurtenissen worden gegenereerd. SACLs moeten worden gecontroleerd op elk object dat moet worden gelogd, waarbij wordt geverifieerd dat de juiste gebruikers of groepen zijn geconfigureerd, dat de juiste toegangstypen zijn geselecteerd, en dat zowel succesvolle als mislukte toegangspogingen worden gelogd indien vereist. Voor endpoints waar auditlogboekregistratie is uitgeschakeld of niet correct werkt, moet direct worden overgegaan tot herconfiguratie. Dit kan worden gedaan door het Intune-beleid opnieuw toe te passen, waarbij het endpoint wordt gedwongen om de configuratie opnieuw op te halen en toe te passen. Alternatief kan gebruik worden gemaakt van een remediatiescript dat de auditbeleidsregel direct configureert via group policy of PowerShell. Dergelijke scripts kunnen handig zijn wanneer Intune niet beschikbaar is of wanneer snelle actie vereist is, maar moeten zorgvuldig worden getest om te zorgen dat ze de configuratie correct toepassen zonder ongewenste bijwerkingen. Na het uitvoeren van remediatie-acties is het essentieel om te verifiëren dat de configuratie correct is toegepast door de Security Event Log te controleren op nieuwe objecttoegang gebeurtenissen. Deze verificatie moet worden uitgevoerd binnen een redelijke tijdsperiode na de remediatie, bijvoorbeeld binnen 24 uur, om te zorgen dat de logboekregistratie daadwerkelijk functioneert. Tevens moet worden gemonitord of de remediatie geen negatieve impact heeft gehad op de systeemprestaties of gebruikerservaring, omdat auditlogboekregistratie overhead kan veroorzaken die de prestaties kan beïnvloeden. In het geval van gedetecteerde beveiligingsincidenten, zoals ongeautoriseerde toegang tot gevoelige bestanden of datalekken, moet het remediatieproces worden uitgebreid met aanvullende beveiligingsmaatregelen die verder gaan dan het herstellen van de auditlogboekregistratie configuratie. Het tijdelijk blokkeren van toegang tot gevoelige bestanden kan helpen om verdere ongeautoriseerde toegang te voorkomen, terwijl het resetten van gebruikerswachtwoorden ervoor zorgt dat gecompromitteerde accounts niet langer kunnen worden gebruikt voor ongeautoriseerde toegang. Het uitschakelen van gecompromitteerde accounts totdat de situatie is opgelost is eveneens belangrijk om te voorkomen dat aanvallers verder misbruik kunnen maken van gecompromitteerde accounts. Deze aanvullende maatregelen moeten worden gecoördineerd met het beveiligingsincidentresponseteam en moeten worden gedocumenteerd voor forensische en nalevingsdoeleinden.

Gebruik PowerShell-script audit-object-access.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Audit

Auditlogboekregistratie voor objecttoegang vormt een fundamentele vereiste voor naleving van verschillende beveiligingsframeworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. De implementatie van deze controle draagt direct en substantieel bij aan het voldoen aan de eisen van het Baseline Informatiebeveiliging Overheid (BIO) framework, specifiek controle 16.01 over gebeurtenissen logboekregistratie en audittrails. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen, inclusief toegang tot objecten zoals bestanden en mappen, en dat deze logs voldoende lang worden bewaard voor audit- en forensische doeleinden. Het BIO framework is specifiek ontwikkeld voor Nederlandse overheidsorganisaties en stelt eisen aan informatiebeveiliging die zijn afgestemd op de Nederlandse context en wetgeving. Controle 16.01 benadrukt het belang van uitgebreide logboekregistratie en audittrails, waarbij organisaties moeten kunnen aantonen wie toegang heeft gehad tot systemen en gegevens, wanneer deze toegang heeft plaatsgevonden, en welke acties zijn ondernomen. Auditlogboekregistratie voor objecttoegang vormt een essentieel onderdeel van deze vereiste, omdat toegang tot objecten de basis vormt voor alle andere gebruikersactiviteiten en omdat het cruciaal is voor het detecteren en onderzoeken van beveiligingsincidenten, met name datalekken en ongeautoriseerde toegang tot gevoelige gegevens. Voor ISO 27001:2022 naleving is controle A.12.4.1 van toepassing, die expliciet eist dat logboekregistratie en monitoring mechanismen zijn geïmplementeerd om beveiligingsgebeurtenissen te detecteren, analyseren en reageren op beveiligingsincidenten. Deze controle maakt deel uit van het informatiebeveiligingsbeheersysteem (ISMS) en benadrukt het belang van proactieve monitoring en detectie van beveiligingsincidenten. Auditlogboekregistratie voor objecttoegang vormt een essentieel onderdeel van deze logboekregistratie en monitoring activiteiten, omdat het de basis vormt voor het detecteren van ongeautoriseerde toegang tot gevoelige gegevens en omdat het cruciale informatie levert voor het onderzoeken van beveiligingsincidenten. ISO 27001:2022 is een internationaal erkende standaard voor informatiebeveiligingsmanagement en wordt veel gebruikt door Nederlandse organisaties die hun informatiebeveiligingspraktijken willen verbeteren en certificeren. Daarnaast is auditlogboekregistratie cruciaal voor AVG naleving, waarbij organisaties moeten kunnen aantonen wie toegang heeft gehad tot persoonsgegevens en wanneer deze toegang heeft plaatsgevonden. De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan de bescherming van persoonsgegevens en vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Auditlogboekregistratie vormt een belangrijke technische maatregel die organisaties in staat stelt om toegang tot persoonsgegevens te monitoren en te controleren. Dit is met name relevant voor het voldoen aan de accountability verplichting uit artikel 5 lid 2 van de AVG, waarbij organisaties moeten kunnen aantonen dat zij de AVG naleven en dat zij passende maatregelen hebben genomen om persoonsgegevens te beschermen. Zonder adequate auditlogboekregistratie kunnen organisaties niet aantonen wie toegang heeft gehad tot persoonsgegevens, wat kan leiden tot boetes en andere sancties van de Autoriteit Persoonsgegevens (AP). Voor CIS Security Benchmark naleving is controle 18.9.19.2 van toepassing, die specifiek eist dat auditlogboekregistratie voor objecttoegang is geconfigureerd. De CIS Security Benchmarks zijn gedetailleerde, consensus-gebaseerde configuratie richtlijnen die zijn ontwikkeld door cybersecurity experts en die worden gebruikt door organisaties over de hele wereld om hun systemen te beveiligen. Controle 18.9.19.2 is geclassificeerd als Level 1, wat betekent dat het een basis beveiligingscontrole is die door alle organisaties zou moeten worden geïmplementeerd, ongeacht hun grootte of complexiteit. Deze classificatie benadrukt het fundamentele belang van auditlogboekregistratie voor objecttoegang en maakt duidelijk dat het niet optioneel is voor organisaties die serieus zijn over beveiliging. Om te voldoen aan deze nalevingsvereisten is het belangrijk dat de auditlogboekregistratie correct is geconfigureerd en dat er een duidelijk en gedocumenteerd beleid is dat beschrijft welke objecten worden gelogd, hoe lang deze logs worden bewaard, en wie toegang heeft tot deze logs. Het beleid moet ook beschrijven hoe de logs worden beveiligd tegen ongeautoriseerde toegang en wijziging, en hoe de integriteit van de logs wordt gewaarborgd. Logintegriteit is cruciaal omdat gewijzigde of gemanipuleerde logs niet betrouwbaar zijn voor audit- of forensische doeleinden en omdat ze niet kunnen worden gebruikt als bewijs in juridische procedures. Het beleid moet regelmatig worden geëvalueerd en bijgewerkt om te zorgen dat het nog steeds voldoet aan de actuele nalevingsvereisten en dat het aansluit bij de huidige beveiligingspraktijken van de organisatie. Tijdens audits en nalevingsbeoordelingen moet de organisatie kunnen aantonen dat de auditlogboekregistratie daadwerkelijk functioneert door voorbeelden te tonen van gelogde objecttoegang gebeurtenissen en door te demonstreren dat de logs regelmatig worden gecontroleerd en geanalyseerd. Deze demonstratie moet aantonen dat de logboekregistratie configuratie correct is toegepast, dat gebeurtenissen daadwerkelijk worden vastgelegd, en dat er een proces is voor het analyseren en reageren op gedetecteerde incidenten. Auditors zullen vaak vragen om specifieke voorbeelden van gelogde gebeurtenissen, bewijs van regelmatige loganalyses, en documentatie van gedetecteerde incidenten en genomen acties. Het is daarom belangrijk om deze informatie beschikbaar te hebben en om te kunnen aantonen dat de auditlogboekregistratie niet alleen is geconfigureerd, maar ook actief wordt gebruikt voor beveiligingsdoeleinden. Het is sterk aan te raden om periodiek nalevingsbeoordelingen uit te voeren waarbij wordt gecontroleerd of de auditlogboekregistratie nog steeds correct is geconfigureerd en of deze voldoet aan de actuele nalevingsvereisten. Deze beoordelingen moeten worden uitgevoerd door onafhankelijke auditors of door interne audit afdelingen, en moeten een grondige evaluatie omvatten van de configuratie, de werking, en de effectiviteit van de auditlogboekregistratie. De beoordelingen moeten worden gedocumenteerd, waarbij alle bevindingen, aanbevelingen en genomen acties worden vastgelegd. De resultaten moeten worden gedeeld met relevante stakeholders binnen de organisatie, waaronder de CISO, nalevingsfunctionarissen en interne audit afdeling, om ervoor te zorgen dat alle betrokken partijen op de hoogte zijn van de nalevingsstatus en eventuele verbeterpunten. Deze beoordelingen vormen een belangrijk onderdeel van een continue verbeteringsproces dat ervoor zorgt dat de auditlogboekregistratie configuratie en praktijken blijven voldoen aan de steeds evoluerende nalevingsvereisten en beveiligingsstandaarden.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Schakel auditlogboekregistratie in voor objecttoegang om een complete audit trail te creëren voor alle toegang tot bestanden, mappen en andere objecten binnen de organisatie.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE