💼 Management Samenvatting
Procescreatie-auditlogging vormt een fundamenteel onderdeel van de beveiligingsmonitoring op Windows endpoints en biedt essentiële zichtbaarheid in welke applicaties en processen worden uitgevoerd op beheerde apparaten.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Zonder procescreatie-auditlogging ontbreekt essentiële zichtbaarheid in endpoint-activiteiten, wat het detecteren van kwaadaardige software, onbevoegde toegang en andere beveiligingsincidenten aanzienlijk bemoeilijkt. De implementatie van deze maatregel is cruciaal voor het voldoen aan compliance-vereisten zoals de Baseline Informatiebeveiliging Overheid (BIO) en ISO 27001:2022.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de auditlogging van procescreatie via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows endpoints te beveiligen volgens beste praktijken voor beveiliging. De configuratie zorgt ervoor dat alle procescreatie-events worden vastgelegd in de Windows Event Log, inclusief informatie over welke processen worden gestart, door welke gebruikers, en vanuit welke locaties. Deze informatie is essentieel voor beveiligingsmonitoring, forensisch onderzoek en compliance-doeleinden.
Vereisten
Voor de implementatie van procescreatie-auditlogging zijn specifieke technische en organisatorische vereisten noodzakelijk. Allereerst dient de organisatie te beschikken over een actief Microsoft Intune-abonnement met de benodigde licenties voor apparaatbeheer. Dit omvat minimaal Microsoft Intune Plan 1 of een licentie die deel uitmaakt van Microsoft 365 E3 of E5 pakketten. Daarnaast is toegang tot de Microsoft Endpoint Manager admin center vereist met beheerdersrechten op het niveau van Intune-beheerder of hoger. De Windows-apparaten die beheerd moeten worden, dienen geregistreerd te zijn in Microsoft Intune en moeten ondersteuning bieden voor moderne beheer via Mobile Device Management (MDM) of Mobile Application Management (MAM). Voor legacy-apparaten die nog via Group Policy Objects (GPO) worden beheerd, is een migratiepad naar Intune noodzakelijk. Organisatorisch dient er een duidelijke verantwoordelijkheidsstructuur te zijn waarbij de IT-afdeling, het beveiligingsteam en compliance officers betrokken zijn bij de implementatie. De organisatie moet beschikken over documentatieprocessen voor het vastleggen van configuratiewijzigingen en auditprocedures. Technisch gezien moeten alle Windows-apparaten minimaal Windows 10 versie 1809 of Windows 11 ondersteunen, omdat oudere versies beperkte ondersteuning bieden voor moderne auditlogging via Intune. De netwerkinfrastructuur moet voldoende bandbreedte bieden voor de configuratie-updates en de apparaten moeten regelmatig verbinding kunnen maken met Microsoft Intune services. Voor organisaties die werken met hybride omgevingen, waarbij zowel on-premises Active Directory als Azure Active Directory worden gebruikt, is aanvullende configuratie vereist om ervoor te zorgen dat auditinstellingen consistent worden toegepast. De implementatie vereist ook dat er een testomgeving beschikbaar is waarin configuratiewijzigingen eerst kunnen worden gevalideerd voordat ze worden uitgerold naar productieomgevingen. Dit minimaliseert het risico op verstoring van bedrijfskritieke systemen tijdens de implementatiefase. Daarnaast is het belangrijk dat organisaties beschikken over voldoende opslagcapaciteit voor de auditlogs, aangezien procescreatie-events zeer frequent kunnen voorkomen. De organisatie moet ook beschikken over processen voor het beheren van logretentie en het archiveren van oude logs voor compliance-doeleinden.
Implementatie
De implementatie van procescreatie-auditlogging via Microsoft Intune vereist een gestructureerde aanpak die begint met een grondige analyse van de huidige omgeving. Voordat de daadwerkelijke configuratie wordt toegepast, dient er een inventarisatie plaats te vinden van alle Windows-apparaten die onder beheer vallen, inclusief hun huidige configuratiestatus en eventuele bestaande auditinstellingen. Deze inventarisatie vormt de basis voor het ontwikkelen van een implementatieplan dat rekening houdt met de specifieke behoeften en risicoprofielen van verschillende afdelingen of gebruikersgroepen binnen de organisatie. De implementatie start met het aanmaken van een nieuw apparaatconfiguratieprofiel in Microsoft Endpoint Manager. Binnen dit profiel wordt de categorie Beveiligingsinstellingen geselecteerd, gevolgd door de specifieke instelling voor procescreatie-auditlogging. Deze instelling maakt deel uit van de Windows-beveiligingsbaseline en kan worden geconfigureerd via de Audit Policy CSP (Configuration Service Provider) die door Intune wordt ondersteund. De configuratie omvat het activeren van de auditlogging voor zowel succesvolle als mislukte procescreatie-events, wat essentieel is voor een volledig beeld van de activiteiten op endpoints. Tijdens de implementatie wordt gebruik gemaakt van het PowerShell-script dat beschikbaar is via de scriptreferentie, waarbij de functie Invoke-Monitoring wordt aangeroepen om de huidige status te controleren voordat wijzigingen worden doorgevoerd. Het implementatieproces verloopt gefaseerd, beginnend met een pilotgroep van testapparaten om te valideren dat de configuratie correct wordt toegepast en geen negatieve impact heeft op de systeemprestaties of gebruikerservaring. Na succesvolle validatie wordt de configuratie uitgerold naar grotere groepen apparaten, waarbij gebruik wordt gemaakt van de doelgroepselectie van Intune om specifieke beveiligingsgroepen of apparaatcategorieën te selecteren. De implementatie omvat ook het configureren van logretentie-instellingen om ervoor te zorgen dat auditlogs voldoende lang worden bewaard voor forensische doeleinden en compliance-vereisten. Organisaties moeten rekening houden met de opslagvereisten die gepaard gaan met uitgebreide auditlogging, aangezien procescreatie-events zeer frequent kunnen voorkomen op actieve systemen. De implementatie wordt afgerond met documentatie van de configuratie-instellingen, het testen van de logverzameling en het valideren dat logs correct worden opgeslagen in de Windows Event Log en eventueel worden doorgestuurd naar centrale SIEM-systemen voor analyse. Het is belangrijk om tijdens de implementatie ook aandacht te besteden aan de configuratie van event forwarding, zodat logs automatisch worden doorgestuurd naar centrale logging-systemen voor gecentraliseerde analyse en opslag.
Gebruik PowerShell-script audit-process-creation.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van procescreatie-auditlogging is cruciaal voor het waarborgen van de beveiligingspostuur van de organisatie en het tijdig detecteren van verdachte activiteiten. De monitoringstrategie omvat zowel technische controles als organisatorische processen die ervoor zorgen dat de auditlogging correct functioneert en dat gegenereerde logs worden geanalyseerd op potentiële beveiligingsincidenten. De technische monitoring begint met regelmatige verificatie dat de auditlogging-configuratie daadwerkelijk actief is op alle beheerde endpoints. Dit wordt gerealiseerd door middel van het PowerShell-monitoringscript dat periodiek wordt uitgevoerd om de configuratiestatus te controleren en eventuele afwijkingen te detecteren. Het script controleert of de auditinstellingen correct zijn toegepast via Intune-beleid en of er geen lokale configuratiewijzigingen hebben plaatsgevonden die de beoogde instellingen kunnen hebben overschreven. Naast configuratiemonitoring is het essentieel om de daadwerkelijke loggeneratie te monitoren om te verifiëren dat gebeurtenissen correct worden vastgelegd. Dit omvat het controleren van het Windows Gebeurtenissenlogboek voor procescreatie-gebeurtenissen in het Beveiligingslogboek, waarbij aandacht wordt besteed aan zowel de hoeveelheid gegenereerde logs als de kwaliteit van de vastgelegde informatie. Organisaties moeten alert zijn op situaties waarin loggeneratie plotseling stopt of significant afneemt, wat kan wijzen op problemen met de auditconfiguratie of mogelijk kwaadaardige activiteiten waarbij aanvallers proberen logging te omzeilen. De monitoring omvat ook het analyseren van logpatronen om afwijkend gedrag te identificeren, zoals ongebruikelijke processen die worden gestart, processen die worden uitgevoerd vanuit onverwachte locaties, of processen die worden gestart door gebruikers of systemen die normaal gesproken geen procescreatie-activiteiten uitvoeren. Voor effectieve monitoring is integratie met een Security Information and Event Management (SIEM) systeem aanbevolen, waardoor logs centraal kunnen worden verzameld, geanalyseerd en gecorreleerd met andere beveiligingsgebeurtenissen. De monitoringprocessen moeten worden gedocumenteerd in een runbook dat beschrijft welke controles worden uitgevoerd, hoe vaak deze plaatsvinden, wie verantwoordelijk is voor de monitoring, en welke acties moeten worden ondernomen bij het detecteren van afwijkingen. Regelmatige reviews van de monitoringresultaten door het beveiligingsteam zorgen ervoor dat de effectiviteit van de auditlogging continu wordt geëvalueerd en dat verbeteringen kunnen worden doorgevoerd waar nodig. Daarnaast is het belangrijk om trendanalyses uit te voeren om langetermijnpatronen te identificeren en om proactief te kunnen reageren op veranderingen in de beveiligingsomgeving. De monitoring moet ook aandacht besteden aan de prestaties van het logging-systeem zelf, aangezien overbelasting van het logging-systeem kan leiden tot het verlies van kritieke beveiligingsgebeurtenissen. Organisaties moeten daarom regelmatig de capaciteit en prestaties van hun logging-infrastructuur evalueren en waar nodig uitbreiden om te voldoen aan de groeiende behoeften van uitgebreide auditlogging.
Gebruik PowerShell-script audit-process-creation.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat procescreatie-auditlogging niet correct is geconfigureerd of niet actief is, moet er direct actie worden ondernomen om de beveiligingspostuur te herstellen. Het remediatieproces begint met een grondige analyse van de oorzaak van de configuratieafwijking, waarbij onderscheid wordt gemaakt tussen technische problemen, onbedoelde configuratiewijzigingen, en mogelijk kwaadaardige activiteiten waarbij aanvallers auditlogging proberen uit te schakelen. Voor apparaten waarop de auditlogging-configuratie ontbreekt of incorrect is, wordt het remediatiescript uitgevoerd dat de correcte instellingen opnieuw toepast via Microsoft Intune. Het script maakt gebruik van de Invoke-Remediation functie die de huidige configuratie controleert en indien nodig de auditinstellingen herstelt naar de gewenste staat. Het remediatieproces verloopt gestructureerd, waarbij eerst wordt gecontroleerd of het apparaat nog steeds verbonden is met Microsoft Intune en of er geen onderliggende connectiviteitsproblemen zijn die de configuratie-update kunnen blokkeren. Indien het apparaat niet meer verbonden is met Intune, moet eerst de verbinding worden hersteld voordat remediatie kan plaatsvinden. Voor apparaten waarop lokale configuratiewijzigingen de Intune-beleidsinstellingen hebben overschreven, wordt naast het opnieuw toepassen van de Intune-configuratie ook onderzocht hoe deze lokale wijzigingen hebben kunnen plaatsvinden en welke maatregelen nodig zijn om te voorkomen dat dit in de toekomst opnieuw gebeurt. Dit kan het implementeren van aanvullende beveiligingsmaatregelen omvatten, zoals het beperken van lokale beheerdersrechten of het implementeren van aanvullende Group Policy-instellingen die lokale wijzigingen aan auditconfiguraties blokkeren. Na het uitvoeren van de remediatie wordt de configuratie opnieuw geverifieerd om te bevestigen dat de auditlogging correct is hersteld en actief is. Het remediatieproces wordt gedocumenteerd in een incidentlog, inclusief de gedetecteerde afwijking, de uitgevoerde acties, en de verificatie van de herstelde configuratie. Voor terugkerende problemen wordt een oorzaakanalyse uitgevoerd om structurele oorzaken te identificeren en permanente oplossingen te implementeren. Organisaties moeten ook overwegen om geautomatiseerde remediatie in te stellen waarbij configuratieafwijkingen automatisch worden gedetecteerd en gecorrigeerd, wat de tijd tussen detectie en herstel aanzienlijk verkort en de beveiligingspostuur verbetert. Het is belangrijk dat het remediatieproces wordt geïntegreerd met het incident response proces van de organisatie, zodat beveiligingsincidenten die verband houden met uitgeschakelde auditlogging snel worden geëscaleerd naar het beveiligingsteam voor verdere analyse.
Gebruik PowerShell-script audit-process-creation.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Procescreatie-auditlogging speelt een cruciale rol in het voldoen aan diverse compliance- en auditvereisten die van toepassing zijn op Nederlandse overheidsorganisaties en andere publieke sector entiteiten. De implementatie van deze beveiligingsmaatregel draagt direct bij aan het voldoen aan de vereisten van de Baseline Informatiebeveiliging Overheid (BIO), specifiek controle 16.01 die betrekking heeft op gebeurtenissenlogging en audittrails. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen en bewaren voor analyse, forensisch onderzoek en compliance-doeleinden. Procescreatie-gebeurtenissen vormen een essentieel onderdeel van deze gebeurtenissenlogging, aangezien ze inzicht bieden in welke applicaties en scripts worden uitgevoerd op endpoints, wat cruciaal is voor het detecteren van kwaadaardige activiteiten en het uitvoeren van beveiligingsincidentrespons. Naast BIO-vereisten draagt de implementatie ook bij aan het voldoen aan ISO 27001:2022 controle A.12.4.1, die specifiek betrekking heeft op logging en monitoring van beveiligingsgebeurtenissen. Deze internationale standaard vereist dat organisaties een uitgebreid logging- en monitoringprogramma implementeren dat alle relevante beveiligingsgebeurtenissen vastlegt, inclusief procesactiviteiten die kunnen wijzen op beveiligingsincidenten. Voor organisaties die werken met persoonsgegevens is procescreatie-auditlogging ook relevant in de context van de Algemene Verordening Gegevensbescherming (AVG), waarbij logging kan bijdragen aan het aantonen van technische en organisatorische maatregelen die zijn genomen om persoonsgegevens te beschermen, zoals vereist in artikel 32 van de AVG. De CIS Security Benchmark controle 18.9.19.2 specificeert expliciet dat procescreatie-auditlogging moet worden ingeschakeld op Windows-systemen, wat deze implementatie direct ondersteunt. Tijdens externe audits en compliance-assessments moeten organisaties kunnen aantonen dat procescreatie-auditlogging correct is geconfigureerd en actief is op alle relevante endpoints. Dit vereist uitgebreide documentatie van de configuratie-instellingen, de implementatiemethodologie, en de monitoringprocessen die worden gebruikt om de effectiviteit te waarborgen. Auditdocumentatie moet ook bevatten hoe logs worden bewaard, wie toegang heeft tot deze logs, en hoe logs worden beschermd tegen ongeautoriseerde wijzigingen of verwijdering. Organisaties moeten regelmatig zelfassessments uitvoeren om te verifiëren dat de auditlogging nog steeds voldoet aan de compliance-vereisten en dat eventuele wijzigingen in regelgeving of standaarden worden opgevolgd. De documentatie moet worden bijgewerkt wanneer configuratiewijzigingen worden doorgevoerd en moet beschikbaar zijn voor interne en externe auditors tijdens compliance-reviews. Voor Nederlandse overheidsorganisaties is het ook belangrijk om te voldoen aan de vereisten van de Wet digitale overheid en de Europese Cybersecurity Act, die beide specifieke eisen stellen aan logging en monitoring van beveiligingsgebeurtenissen. Procescreatie-auditlogging vormt een fundamenteel onderdeel van deze compliance-vereisten en draagt bij aan het waarborgen van de digitale veiligheid van overheidsdiensten en de bescherming van burgergegevens. Organisaties moeten daarom zorgvuldig documenteren hoe procescreatie-auditlogging bijdraagt aan het voldoen aan deze specifieke Nederlandse en Europese regelgeving, en moeten kunnen aantonen dat de implementatie voldoet aan de hoogste standaarden voor informatiebeveiliging en privacybescherming.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Process Creation
.DESCRIPTION
CIS - Audit process creation Success voor forensics.
.NOTES
Filename: audit-process-creation.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Process Creation|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Process Creation"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "process-creation.ps1"; PolicyName = "Process Creation"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Process Creation: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder procescreatie-auditlogging ontbreekt essentiële zichtbaarheid in welke applicaties en processen worden uitgevoerd op endpoints, wat het detecteren van kwaadaardige activiteiten en het uitvoeren van forensisch onderzoek aanzienlijk bemoeilijkt.
Management Samenvatting
Schakel procescreatie-auditlogging in via Microsoft Intune om alle procesactiviteiten te loggen voor beveiligingsmonitoring, beveiligingsincidentrespons en compliance-doeleinden.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE