💼 Management Samenvatting
Audit logging voor privilegegebruik vormt een essentieel onderdeel van de beveiligingsarchitectuur voor Windows endpoints binnen Nederlandse overheidsorganisaties. Deze beveiligingscontrole waarborgt de correcte configuratie van beveiligingsinstellingen die het gebruik van bevoorrechte accounts en rechten monitoren en vastleggen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Het monitoren van privilegegebruik is cruciaal voor het detecteren van misbruik, het voldoen aan compliance-eisen zoals de BIO-normen en ISO 27001, en het bieden van forensische mogelijkheden bij beveiligingsincidenten. Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties en het creëren van een volledige audittrail voor alle bevoorrechte acties.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze controle configureert audit logging voor privilegegebruik via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows endpoints te beveiligen volgens beveiligingsbest practices. Het systeem registreert wanneer gebruikers of processen bevoorrechte rechten gebruiken, zoals het wijzigen van systeeminstellingen, het installeren van software, of het uitvoeren van administratieve taken.
Vereisten
Voor de implementatie van audit logging voor privilegegebruik zijn verschillende technische en organisatorische vereisten noodzakelijk die zorgvuldig moeten worden geëvalueerd voordat met de implementatie wordt begonnen. De technische vereisten vormen de basis waarop de hele beveiligingsoplossing rust, terwijl de organisatorische vereisten ervoor zorgen dat de implementatie past binnen de bredere beveiligingsstrategie van de organisatie. Ten eerste moet de organisatie beschikken over Microsoft Intune via apparaatconfiguratiebeleidsregels. Dit betekent dat er een actief Intune-abonnement moet zijn met de juiste licenties, zoals Microsoft 365 E3 of E5, of een standalone Intune-licentie. De Intune-omgeving moet correct zijn geconfigureerd en verbonden met Azure Active Directory, waarbij alle benodigde synchronisatie-instellingen correct zijn ingesteld. Zonder een goed functionerende Intune-omgeving is het onmogelijk om de audit logging configuratie centraal te beheren en te monitoren. Daarnaast is het essentieel dat alle Windows endpoints die beveiligd moeten worden, zijn geregistreerd in Microsoft Intune. Dit kan via verschillende methoden worden bereikt, zoals automatische registratie via Azure AD join, hybride Azure AD join, of handmatige registratie. De keuze voor een specifieke registratiemethode hangt af van de bestaande infrastructuur en de beveiligingsvereisten van de organisatie. De endpoints moeten minimaal Windows 10 versie 1809 of hoger draaien, of Windows 11, om volledige ondersteuning te hebben voor de moderne audit logging functionaliteiten. Oudere versies van Windows ondersteunen mogelijk niet alle geavanceerde audit logging functies die nodig zijn voor een complete beveiligingsoplossing. Vanuit organisatorisch perspectief moet er een duidelijk beleid zijn opgesteld over welke privileges gemonitord moeten worden en hoe lang audit logs bewaard moeten blijven. Dit beleid moet aansluiten bij de compliance-eisen van de organisatie, zoals de BIO-normen voor overheidsorganisaties of ISO 27001 voor andere sectoren. Het beleid moet specifiek zijn over welke soorten privilegegebruik worden gemonitord, zoals het gebruik van administratorrechten, het wijzigen van systeeminstellingen, of het installeren van software. Daarnaast moet het beleid duidelijk maken hoe lang de logs bewaard moeten blijven, wat meestal minimaal één jaar is voor compliance doeleinden, maar kan variëren afhankelijk van de specifieke eisen van de organisatie. Er moet ook een proces zijn voor het regelmatig beoordelen van audit logs en het escaleren van verdachte activiteiten. Dit proces moet duidelijk definiëren wie verantwoordelijk is voor het beoordelen van de logs, hoe vaak deze beoordeling plaatsvindt, en welke criteria worden gebruikt om te bepalen of een activiteit verdacht is. Het escalatieproces moet duidelijk maken naar wie verdachte activiteiten worden gemeld en binnen welke tijdsperiode dit moet gebeuren. Dit proces is essentieel voor het effectief detecteren en reageren op potentiële beveiligingsincidenten. Technisch gezien moet de IT-afdeling beschikken over de juiste rechten in Microsoft Intune om apparaatconfiguratiebeleid te kunnen maken en toewijzen. Dit vereist meestal de rol van Intune Administrator of Global Administrator, afhankelijk van de specifieke configuratievereisten. Deze rechten zijn noodzakelijk om de audit logging configuratie te kunnen implementeren en te beheren. Daarnaast moet er voldoende opslagcapaciteit zijn voor het opslaan van audit logs, zowel lokaal op de endpoints als centraal in een SIEM-systeem of logaggregatieplatform. De lokale opslagcapaciteit moet groot genoeg zijn om logs te bewaren totdat ze zijn verzameld door het centrale systeem, terwijl het centrale systeem voldoende capaciteit moet hebben om logs voor de volledige bewaarperiode op te slaan. Tot slot is het belangrijk dat er een monitoring- en waarschuwingsinfrastructuur aanwezig is om de gegenereerde audit logs te kunnen analyseren. Dit kan bestaan uit Microsoft Sentinel, Azure Monitor, of een ander Security Information and Event Management (SIEM) systeem dat in staat is om Windows Event Logs te verzamelen en te analyseren. Deze infrastructuur moet in staat zijn om grote hoeveelheden logdata te verwerken en te analyseren, en moet geavanceerde analysefuncties hebben om patronen en afwijkingen te kunnen detecteren. Zonder een goede monitoring-infrastructuur is het onmogelijk om de gegenereerde logs effectief te gebruiken voor beveiligingsdoeleinden.
Implementatie
De implementatie van audit logging voor privilegegebruik begint met het opstellen van een duidelijk implementatieplan dat rekening houdt met de specifieke behoeften van de organisatie. Dit plan moet een gedetailleerde tijdlijn bevatten, duidelijke verantwoordelijkheden toewijzen, en rekening houden met de impact op de dagelijkse operaties. Het is belangrijk om eerst een inventarisatie te maken van alle Windows endpoints die beveiligd moeten worden, inclusief hun huidige configuratiestatus en eventuele bestaande audit logging instellingen. Deze inventarisatie helpt bij het identificeren van potentiële conflicten en het bepalen van de beste aanpak voor de implementatie. Tijdens de inventarisatiefase moet er aandacht worden besteed aan verschillende aspecten van de endpoints. Allereerst moet worden gecontroleerd welke versie van Windows op elk endpoint draait, omdat verschillende versies verschillende audit logging mogelijkheden hebben. Daarnaast moet worden gecontroleerd of er al bestaande audit logging configuraties zijn, bijvoorbeeld via Groepsbeleid of lokale beveiligingsbeleid. Deze bestaande configuraties kunnen conflicteren met de nieuwe Intune-configuratie en moeten worden geëvalueerd voordat de implementatie begint. Vervolgens wordt er in Microsoft Intune een nieuw apparaatconfiguratieprofiel aangemaakt specifiek voor audit logging. Dit profiel wordt geconfigureerd met de juiste Windows Beveiligingsauditbeleid instellingen, waarbij specifiek het 'Audit Privilege Use' beleid wordt ingeschakeld. Dit beleid kan worden geconfigureerd om zowel succesvolle als mislukte pogingen tot privilegegebruik te loggen, afhankelijk van de beveiligingsvereisten van de organisatie. Voor de meeste organisaties is het aan te raden om beide te loggen, omdat dit de meest complete audittrail oplevert. Succesvolle privilegegebruik events kunnen helpen bij het identificeren van legitiem gebruik, terwijl mislukte pogingen kunnen wijzen op pogingen tot misbruik of aanvallen. De configuratie van het profiel moet zorgvuldig worden afgestemd op de specifieke behoeften van de organisatie. Dit betekent dat er moet worden nagedacht over welke specifieke privileges moeten worden gemonitord, hoe gedetailleerd de logging moet zijn, en welke aanvullende instellingen nodig zijn. Het is belangrijk om een balans te vinden tussen voldoende detail voor beveiligingsdoeleinden en het voorkomen van logverzadiging die de prestaties kan beïnvloeden. Tijdens de implementatie is het cruciaal om te testen op een beperkte groep endpoints voordat de configuratie wordt uitgerold naar de volledige organisatie. Deze testfase moet worden uitgevoerd op een representatieve groep endpoints die verschillende configuraties en gebruikspatronen vertegenwoordigen. Dit stelt de IT-afdeling in staat om te verifiëren dat de audit logging correct werkt en dat er geen negatieve impact is op de prestaties van de endpoints. Het testen moet ook controleren of de gegenereerde logs correct worden verzameld door het monitoring systeem en of alle verwachte events worden vastgelegd. De testfase moet verschillende scenario's omvatten om te verifiëren dat de audit logging correct functioneert onder verschillende omstandigheden. Dit omvat het testen van verschillende soorten privilegegebruik, zoals het uitvoeren van administratieve taken, het installeren van software, en het wijzigen van systeeminstellingen. Daarnaast moet worden getest of de logs correct worden verzameld door het centrale monitoring systeem en of er geen problemen zijn met de logoverdracht. Na succesvolle tests wordt het beleid gefaseerd uitgerold, beginnend met kritieke systemen en servers, gevolgd door werkstations. Deze gefaseerde aanpak minimaliseert het risico op problemen en maakt het mogelijk om eventuele issues snel te identificeren en op te lossen voordat ze een grote impact hebben. Tijdens de rollout moet er continue monitoring plaatsvinden om eventuele problemen snel te kunnen identificeren en op te lossen. Het is aan te raden om een terugdraaplan klaar te hebben voor het geval er onverwachte problemen optreden die de normale operaties kunnen verstoren. De gefaseerde rollout moet worden gepland in overleg met de verschillende afdelingen en gebruikersgroepen binnen de organisatie. Dit helpt bij het minimaliseren van verstoringen en zorgt ervoor dat alle betrokkenen op de hoogte zijn van de wijzigingen. Tijdens elke fase van de rollout moet er continue monitoring plaatsvinden om te verifiëren dat alles correct functioneert en om eventuele problemen snel te kunnen identificeren. De implementatie wordt ondersteund door het PowerShell script dat beschikbaar is via de script reference. Dit script automatiseert het configureren van de audit logging instellingen en kan worden gebruikt voor zowel nieuwe implementaties als het bijwerken van bestaande configuraties. Het script zorgt ervoor dat alle benodigde instellingen consistent worden toegepast op alle endpoints, wat essentieel is voor het handhaven van een uniforme beveiligingsconfiguratie. Het gebruik van geautomatiseerde scripts vermindert ook het risico op menselijke fouten en zorgt ervoor dat de configuratie reproduceerbaar is.
Gebruik PowerShell-script audit-privilege-use.ps1 (functie Invoke-Monitoring) – Het implementatiescript kan worden gebruikt om de audit logging configuratie te monitoren en te verifiëren dat deze correct is toegepast op alle endpoints..
Monitoring
Effectieve monitoring van audit logging voor privilegegebruik vereist een gestructureerde aanpak waarbij zowel technische als organisatorische aspecten worden bewaakt. De technische monitoring richt zich op het verifiëren dat de audit logging correct functioneert en dat alle relevante gebeurtenissen worden vastgelegd, terwijl de organisatorische monitoring zich richt op het analyseren van de gegenereerde logs en het identificeren van potentiële beveiligingsrisico's. Deze tweeledige aanpak zorgt ervoor dat de audit logging niet alleen technisch correct functioneert, maar ook daadwerkelijk bijdraagt aan de beveiliging van de organisatie. Allereerst moet er regelmatig worden gecontroleerd of de audit logging configuratie nog actief is op alle endpoints. Dit kan worden gedaan door het uitvoeren van compliance checks in Microsoft Intune, waarbij wordt gecontroleerd of alle endpoints nog steeds voldoen aan het geconfigureerde beleid. Deze compliance checks moeten regelmatig worden uitgevoerd, idealiter dagelijks of wekelijks, afhankelijk van de grootte van de organisatie en de beveiligingsvereisten. Eventuele afwijkingen moeten direct worden onderzocht en gecorrigeerd, omdat een niet-functionerende audit logging configuratie een significant beveiligingsrisico vormt. De compliance checks moeten verschillende aspecten controleren, waaronder of de audit logging configuratie nog actief is, of de configuratie correct is toegepast, en of er geen conflicten zijn met andere beveiligingsbeleid. Eventuele afwijkingen moeten worden gedocumenteerd en geëscaleerd naar het beveiligingsteam voor verdere analyse. Het is belangrijk om niet alleen te controleren of de configuratie aanwezig is, maar ook of deze daadwerkelijk functioneert zoals bedoeld. Daarnaast is het belangrijk om te monitoren of de audit logs daadwerkelijk worden gegenereerd en verzameld. Dit vereist het regelmatig controleren van de Windows Event Logs op de endpoints, specifiek de Security log waar de privilege use events worden opgeslagen. Het is essentieel om te verifiëren dat logs niet worden overschreven voordat ze zijn verzameld door het centrale logging systeem. Dit vereist een goede configuratie van de logrotatie-instellingen en een betrouwbare verbinding tussen de endpoints en het centrale logging systeem. De logverzameling moet worden gemonitord om te verifiëren dat alle logs correct worden overgedragen naar het centrale systeem. Dit omvat het controleren van de verbindingsstatus tussen endpoints en het centrale systeem, het verifiëren van de logoverdracht, en het controleren of er geen logs verloren gaan tijdens de overdracht. Eventuele problemen met de logverzameling moeten direct worden opgelost om te voorkomen dat belangrijke beveiligingsgebeurtenissen verloren gaan. Vanuit een beveiligingsperspectief moet er continue monitoring plaatsvinden van de gegenereerde audit logs om verdachte activiteiten te detecteren. Dit omvat het analyseren van patronen in privilegegebruik, zoals ongebruikelijk veel mislukte pogingen, privilegegebruik buiten normale werkuren, of privilegegebruik door accounts die normaal gesproken geen bevoorrechte rechten zouden moeten gebruiken. Deze analyse moet worden uitgevoerd met behulp van geavanceerde SIEM-tools die in staat zijn om patronen te detecteren en waarschuwingen te genereren wanneer verdachte activiteiten worden geïdentificeerd. De analyse van audit logs moet verschillende soorten verdachte activiteiten kunnen detecteren, waaronder pogingen tot privilege escalation, misbruik van bevoorrechte accounts, en ongebruikelijke patronen in privilegegebruik. Deze detectie moet worden ondersteund door machine learning en gedragsanalyse om ook nieuwe en onbekende bedreigingen te kunnen identificeren. De gegenereerde waarschuwingen moeten worden geëvalueerd door beveiligingsanalisten die de context kunnen beoordelen en bepalen of er daadwerkelijk sprake is van een beveiligingsincident. Het monitoring proces moet ook aandacht besteden aan de kwaliteit en volledigheid van de logs. Dit betekent dat er regelmatig moet worden gecontroleerd of alle relevante gebeurtenissen worden vastgelegd en of er geen gaten zitten in de audittrail. Eventuele ontbrekende logs kunnen wijzen op configuratiefouten of mogelijk beveiligingsincidenten waarbij logs zijn gewist. Het is belangrijk om deze gaten te identificeren en te onderzoeken, omdat ze kunnen wijzen op pogingen tot het verbergen van kwaadaardige activiteiten. De kwaliteitscontrole moet verschillende aspecten omvatten, waaronder de volledigheid van de logs, de nauwkeurigheid van de timestamps, en de consistentie van de logformaten. Eventuele afwijkingen moeten worden onderzocht om te bepalen of ze wijzen op technische problemen of beveiligingsincidenten. Daarnaast moet er regelmatig worden gecontroleerd of de logs voldoen aan de compliance-vereisten en of ze geschikt zijn voor forensische doeleinden. Organisatorisch gezien moet er een proces zijn voor het regelmatig beoordelen van audit logs door beveiligingsanalisten. Dit beoordelingsproces moet duidelijk gedefinieerde criteria hebben voor wat als verdacht wordt beschouwd en hoe verschillende soorten incidenten moeten worden geëscaleerd. De resultaten van deze beoordelingen moeten worden gedocumenteerd en gebruikt voor het verbeteren van de beveiligingspositie van de organisatie. Het proces moet ook regelmatig worden geëvalueerd en bijgewerkt om ervoor te zorgen dat het effectief blijft in het detecteren van nieuwe bedreigingen.
Gebruik PowerShell-script audit-privilege-use.ps1 (functie Invoke-Monitoring) – Het monitoring script biedt geautomatiseerde controles om te verifiëren dat de audit logging correct functioneert en dat alle endpoints voldoen aan de geconfigureerde instellingen..
Remediatie
Wanneer monitoring of compliance checks aangeven dat de audit logging configuratie niet correct is toegepast of niet meer actief is, moet er direct actie worden ondernomen om de situatie te herstellen. De remediatie procedure moet duidelijk gedefinieerd zijn en snel kunnen worden uitgevoerd om de beveiligingspositie van de organisatie te behouden. Elke vertraging in de remediatie kan leiden tot een periode waarin de organisatie kwetsbaar is voor beveiligingsincidenten die niet worden gedetecteerd of vastgelegd. Daarom is het essentieel dat er een goed gedefinieerd en getest remediatieproces is dat snel kan worden uitgevoerd wanneer problemen worden geïdentificeerd. Het eerste stap in de remediatie procedure is het identificeren van de oorzaak van het probleem. Dit kan variëren van een simpele configuratiefout tot een meer complex probleem zoals een conflict met andere beveiligingsbeleid of een wijziging in de endpoint configuratie die de audit logging heeft uitgeschakeld. Het is belangrijk om de hoofdoorzaak te identificeren voordat er corrigerende maatregelen worden genomen, omdat het alleen oplossen van de symptomen zonder de onderliggende oorzaak aan te pakken kan leiden tot herhaalde problemen. De identificatie van de oorzaak moet worden uitgevoerd door ervaren IT-professionals die de technische kennis hebben om verschillende scenario's te kunnen analyseren. De analyse van het probleem moet verschillende aspecten omvatten, waaronder de configuratiestatus van het endpoint, eventuele conflicten met andere beleid, en mogelijke wijzigingen in de endpoint configuratie. Deze analyse moet worden gedocumenteerd om te helpen bij het identificeren van patronen en het voorkomen van vergelijkbare problemen in de toekomst. Daarnaast moet de analyse snel worden uitgevoerd om de tijd tussen het identificeren van het probleem en het oplossen ervan te minimaliseren. Voor endpoints waar de audit logging configuratie ontbreekt of incorrect is, moet het Intune beleid opnieuw worden toegepast. Dit kan handmatig worden gedaan door het beleid opnieuw toe te wijzen aan de betreffende endpoints, of automatisch via het remediatie script. Het script controleert de huidige configuratie en past deze aan waar nodig om te zorgen dat de audit logging correct is ingeschakeld. Het gebruik van geautomatiseerde scripts heeft verschillende voordelen, waaronder snelheid, consistentie, en het verminderen van het risico op menselijke fouten. Daarnaast kunnen scripts worden geconfigureerd om automatisch te worden uitgevoerd wanneer problemen worden gedetecteerd, wat de reactietijd aanzienlijk kan verkorten. De hertoepassing van het beleid moet worden uitgevoerd met zorg om te voorkomen dat er nieuwe problemen worden geïntroduceerd. Dit betekent dat er moet worden gecontroleerd of het beleid nog steeds correct is geconfigureerd en of er geen conflicten zijn met andere beleid. Daarnaast moet er worden gecontroleerd of de endpoints nog steeds voldoen aan de vereisten voor het toepassen van het beleid, zoals de juiste Windows versie en de juiste registratiestatus in Intune. In gevallen waar de audit logging is uitgeschakeld door lokale wijzigingen of groepsbeleid conflicten, moet eerst worden onderzocht waarom deze wijzigingen zijn doorgevoerd. Als het legitieme wijzigingen zijn, moet het Intune beleid worden aangepast om deze te accommoderen zonder de beveiligingsvereisten te schenden. Dit vereist een zorgvuldige balans tussen het accommoderen van legitieme behoeften en het handhaven van de beveiligingsvereisten. Als het ongeautoriseerde wijzigingen zijn, moet dit worden behandeld als een beveiligingsincident en moeten aanvullende maatregelen worden genomen, waaronder het onderzoeken van hoe de wijzigingen zijn doorgevoerd en het identificeren van de verantwoordelijke partij. De behandeling van ongeautoriseerde wijzigingen moet worden uitgevoerd volgens het incident response proces van de organisatie. Dit omvat het isoleren van het betrokken endpoint, het verzamelen van forensische bewijzen, en het onderzoeken van de omvang en impact van het incident. Daarnaast moeten er maatregelen worden genomen om te voorkomen dat vergelijkbare incidenten in de toekomst plaatsvinden, zoals het versterken van de beveiligingscontroles of het verbeteren van de monitoring. Na het herstellen van de configuratie moet er verificatie plaatsvinden om te bevestigen dat de audit logging weer correct functioneert. Dit omvat het controleren van de Windows Event Logs om te verifiëren dat privilege use events worden gegenereerd, en het verifiëren dat deze events correct worden verzameld door het centrale logging systeem. Alleen na succesvolle verificatie kan de remediatie als voltooid worden beschouwd. De verificatie moet worden uitgevoerd door onafhankelijke IT-professionals die niet betrokken waren bij de remediatie, om te zorgen voor objectiviteit en volledigheid. De verificatie moet verschillende aspecten omvatten, waaronder het controleren of de configuratie correct is toegepast, of de audit logging daadwerkelijk functioneert, en of de logs correct worden verzameld. Daarnaast moet er worden gecontroleerd of er geen negatieve impact is op de prestaties of functionaliteit van het endpoint. Eventuele problemen die tijdens de verificatie worden geïdentificeerd, moeten direct worden opgelost voordat de remediatie als voltooid wordt beschouwd. Het is belangrijk om na elke remediatie actie te documenteren wat het probleem was, welke stappen zijn ondernomen om het op te lossen, en wat de resultaten waren. Deze documentatie helpt bij het identificeren van patronen en het voorkomen van vergelijkbare problemen in de toekomst. Daarnaast kan deze informatie waardevol zijn voor compliance audits en beveiligingsbeoordelingen. De documentatie moet worden opgeslagen in een centraal systeem dat toegankelijk is voor alle relevante stakeholders en moet regelmatig worden geëvalueerd om te identificeren of er verbeteringen kunnen worden aangebracht aan het remediatieproces.
Gebruik PowerShell-script audit-privilege-use.ps1 (functie Invoke-Remediation) – Het remediatie script automatiseert het herstellen van de audit logging configuratie op endpoints waar deze ontbreekt of incorrect is geconfigureerd..
Compliance en Audit
Audit logging voor privilegegebruik speelt een cruciale rol in het voldoen aan verschillende compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De implementatie van deze controle draagt direct bij aan het voldoen aan de BIO-normen, ISO 27001, en andere relevante beveiligingsstandaarden. Deze frameworks stellen specifieke eisen aan het loggen en monitoren van beveiligingsgebeurtenissen, en audit logging voor privilegegebruik is een essentieel onderdeel van het voldoen aan deze eisen. Zonder adequate audit logging is het onmogelijk om te voldoen aan de compliance-vereisten en kunnen organisaties worden geconfronteerd met boetes, reputatieschade, en andere negatieve gevolgen. Voor de BIO Baseline Informatiebeveiliging Overheid is controle 16.01 specifiek gericht op gebeurtenissen logging en audittrails. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen, inclusief het gebruik van bevoorrechte accounts en rechten. De audit logging voor privilegegebruik voldoet aan deze eis door het vastleggen van alle privilege use events, waardoor er een complete audittrail ontstaat die kan worden gebruikt voor forensische doeleinden en compliance verificatie. Deze audittrail is essentieel voor het kunnen aantonen dat de organisatie voldoet aan de BIO-normen en voor het kunnen verantwoorden van beveiligingsbeslissingen tijdens audits. De BIO-normen stellen specifieke eisen aan de kwaliteit en volledigheid van de logs, en aan de manier waarop deze worden bewaard en beschermd. De audit logging configuratie moet daarom worden afgestemd op deze eisen, waarbij er aandacht moet zijn voor aspecten zoals de bewaarperiode, de bescherming tegen wijziging of verwijdering, en de toegankelijkheid voor geautoriseerde auditors. Daarnaast moet er regelmatig worden gecontroleerd of de logs voldoen aan de BIO-vereisten en of ze geschikt zijn voor gebruik tijdens audits. Vanuit ISO 27001 perspectief valt audit logging onder controle A.12.4.1, die eist dat er logging en monitoring plaatsvindt van alle relevante beveiligingsgebeurtenissen. De implementatie van privilege use auditing zorgt ervoor dat organisaties kunnen aantonen dat ze voldoen aan deze eis door het genereren van gedetailleerde logs van alle bevoorrechte acties. Deze logs moeten worden bewaard voor een periode die overeenkomt met de compliance-vereisten van de organisatie, meestal minimaal één jaar. De ISO 27001 standaard stelt ook eisen aan de kwaliteit van de logs, zoals de nauwkeurigheid van timestamps, de volledigheid van de informatie, en de bescherming tegen wijziging. De ISO 27001 certificering vereist dat organisaties kunnen aantonen dat hun beveiligingsmaatregelen effectief zijn en dat ze voldoen aan alle relevante controles. Audit logging voor privilegegebruik is een essentieel onderdeel van deze aantoonbaarheid, omdat het bewijs levert van de implementatie en effectiviteit van beveiligingsmaatregelen. Tijdens ISO 27001 audits moeten organisaties kunnen aantonen dat de audit logging correct is geconfigureerd, dat deze daadwerkelijk functioneert, en dat de gegenereerde logs geschikt zijn voor beveiligingsdoeleinden. Voor compliance doeleinden is het essentieel dat er duidelijke documentatie beschikbaar is over hoe de audit logging is geconfigureerd, welke gebeurtenissen worden vastgelegd, en hoe deze logs worden bewaard en beschermd. Deze documentatie moet regelmatig worden bijgewerkt om te reflecteren op wijzigingen in de configuratie of de organisatorische vereisten. De documentatie moet ook duidelijk maken hoe de logs kunnen worden gebruikt voor compliance audits en beveiligingsbeoordelingen. Goede documentatie is essentieel voor het kunnen aantonen van compliance en voor het kunnen uitleggen van beveiligingsbeslissingen tijdens audits. De documentatie moet verschillende aspecten omvatten, waaronder de technische configuratie van de audit logging, de organisatorische processen rondom het beheren en monitoren van logs, en de procedures voor het gebruiken van logs tijdens audits. Daarnaast moet de documentatie duidelijk maken hoe de logs worden beschermd tegen wijziging of verwijdering, en hoe de toegang tot logs wordt beheerd. Deze documentatie moet toegankelijk zijn voor alle relevante stakeholders en moet regelmatig worden geëvalueerd om te zorgen dat deze actueel en compleet blijft. Tijdens compliance audits moeten organisaties kunnen aantonen dat de audit logging daadwerkelijk functioneert en dat de gegenereerde logs beschikbaar zijn voor beoordeling. Dit vereist dat er regelmatig tests worden uitgevoerd om te verifiëren dat de logging correct werkt, en dat er processen zijn voor het bewaren en beschermen van de logs tegen wijziging of verwijdering. De logs moeten ook toegankelijk zijn voor geautoriseerde auditors zonder dat dit de beveiliging van het systeem compromitteert. Tijdens audits moeten organisaties kunnen demonstreren dat de audit logging correct is geconfigureerd, dat deze daadwerkelijk functioneert, en dat de gegenereerde logs geschikt zijn voor beveiligingsdoeleinden. De voorbereiding op compliance audits moet regelmatig plaatsvinden, niet alleen vlak voor een audit. Dit betekent dat er regelmatig moet worden gecontroleerd of de audit logging nog steeds voldoet aan de compliance-vereisten, of de documentatie actueel is, en of de processen correct worden uitgevoerd. Deze regelmatige controle helpt bij het identificeren van problemen voordat ze worden geïdentificeerd tijdens een audit, en zorgt ervoor dat de organisatie altijd klaar is voor een audit. Naast het voldoen aan externe compliance-vereisten, draagt audit logging ook bij aan interne governance en risicobeheer. Door het monitoren van privilegegebruik kunnen organisaties proactief risico's identificeren en mitigeren voordat ze escaleren tot beveiligingsincidenten. De gegenereerde logs kunnen ook worden gebruikt voor het analyseren van trends en het verbeteren van de algehele beveiligingspositie van de organisatie. Deze proactieve aanpak helpt bij het voorkomen van beveiligingsincidenten en bij het verbeteren van de beveiligingscultuur binnen de organisatie. De interne governance moet gebruik maken van de gegenereerde audit logs om inzicht te krijgen in het gebruik van bevoorrechte accounts en rechten, en om te identificeren waar verbeteringen kunnen worden aangebracht. Dit kan bijvoorbeeld leiden tot het aanscherpen van toegangscontroles, het verbeteren van beveiligingsprocessen, of het verhogen van het bewustzijn over beveiligingsrisico's. Door regelmatig gebruik te maken van audit logs voor interne governance, kunnen organisaties hun beveiligingspositie continu verbeteren en proactief reageren op nieuwe bedreigingen.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Privilege Use
.DESCRIPTION
CIS - Audit sensitive privilege use Success and Failure.
.NOTES
Filename: audit-priv-use.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Sensitive Privilege Use|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Sensitive Privilege Use"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "priv-use.ps1"; PolicyName = "Privilege Use"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "Privilege Use: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder audit logging voor privilegegebruik is er geen zichtbaarheid in het gebruik van bevoorrechte accounts en rechten, wat het detecteren van misbruik en het voldoen aan compliance-eisen onmogelijk maakt.
Management Samenvatting
Schakel audit logging in voor privilegegebruik om volledige zichtbaarheid te krijgen in bevoorrechte acties en te voldoen aan compliance-vereisten.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE