💼 Management Samenvatting
Deze maatregel borgt dat audit logging voor systeemintegriteit consequent wordt afgedwongen op alle beheerde Windows-eindpunten, zodat afwijkingen in de kern van het besturingssysteem direct zichtbaar zijn.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Zonder fijnmazige logging op het niveau van kern- en driverevenementen ontstaat een blinde vlek voor manipulaties van systeembestanden, opstartcomponenten of beveiligingsinstellingen. Aanvallers maken juist van die onzichtbaarheid gebruik om persistente toegang te behouden, virtuele machines te gijzelen of bewijsmateriaal weg te poetsen. Door de auditprovider voor systeemintegriteit expliciet te activeren en de logretentie te organiseren, krijgen securityteams aantoonbare controle over Windows, voldoen zij aan BIO- en AVG-eisen omtrent traceerbaarheid en kunnen forensische onderzoeken sneller worden uitgevoerd.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
De regel beschrijft hoe Microsoft Intune wordt ingezet om uniforme policies met de instelling Audit System Integrity te pushen, hoe die policies aansluiten op change- en monitoringprocessen en hoe de gegenereerde Windows Security events (zoals 4611, 5038 en 6281) veilig in het SIEM-landschap landen. Daarmee ontstaat een keten waarin detectie, analyse en remediatie elkaar versterken en waarin beheerders precies weten welke stappen nodig zijn om elke wijziging aan kritieke systeemobjecten te registreren, te beoordelen en waar nodig terug te draaien.
Vereisten
Een duurzame invoering van audit logging voor systeemintegriteit begint met een volledig gelicentieerde Microsoft Intune tenant die gekoppeld is aan Microsoft Entra ID en waarin de juiste workloadbevoegdheden zijn toegewezen. Organisaties hebben minimaal Microsoft 365 E3 of Enterprise Mobility + Security E3 nodig om de Endpoint Security-profielen te kunnen inzetten die deze auditinstelling afdwingen. De Windows-eindpunten dienen Windows 10 1809 of hoger of Windows 11 te draaien, omdat oudere builds de eventprovider voor systeemintegriteit slechts gedeeltelijk ondersteunen. Voor elke beheerder die policies bouwt moet de rol Intune Administrator of hoger zijn toegewezen, terwijl security-operators doorgaans genoeg hebben aan de rol Security Reader met aanvullende toegang tot Log Analytics of Microsoft Sentinel. In hybride scenario's is een stabiele Azure AD Connect-synchronisatie onmisbaar zodat apparaatobjecten en gebruikersgroepen gelijk lopen en policies nauwkeurig kunnen worden gericht.
Naast licenties zijn de technische fundamenten bepalend voor succes. Apparaten moeten tijdens onboarding voorzien zijn van de Intune Management Extension, een consistente Windows Update-stand van zaken en een betrouwbare verbinding met de Microsoft Endpoint Manager-service endpoints. Het netwerk moet de poorten en URL's toestaan die Intune en de Windows Event Forwarding-component gebruiken, waarbij proxy's of SSL-inspectie expliciet moeten zijn geconfigureerd zodat auditlogboeken niet worden geblokkeerd. Wie werkt met co-management of Configuration Manager dient de workload Endpoint Protection volledig naar Intune te verschuiven of duidelijke grenzen te definiëren om tegengestelde instellingen te voorkomen. Verder moeten organisaties een landingszone hebben voor auditlogs, bijvoorbeeld een Log Analytics-workspace met minimaal dertig dagen warme opslag en de mogelijkheid om bij hoge volumes automatisch door te stromen naar Azure Storage met immutable policies.
Rollen en verantwoordelijkheden moeten vooraf zijn gedocumenteerd. Het change advisory board moet weten dat elke wijziging aan systeemintegriteitinstellingen een hoog risico heeft en dus alleen via gestandaardiseerde Intune-policies mag plaatsvinden. Het SOC heeft procedures nodig om event-ID's 4611, 5038, 6281 en 6416 direct te analyseren, terwijl het forensisch team toegang moet hebben tot originele logbestanden die met hashing zijn geborgd. Daarnaast zijn er organisatorische vereisten om incidentcommunicatie met lijnmanagers, juridische teams en privacy officers te stroomlijnen, omdat auditlogs regelmatig persoonsgegevens bevatten en binnen de AVG als bijzondere categorie kunnen worden beschouwd.
Tot slot hoort bij de randvoorwaarden een gedocumenteerde retentiestrategie waarin staat hoe lang logs in primaire opslag blijven, wanneer ze worden gearchiveerd naar WORM-opslag en welke encryptie-eisen gelden om te voldoen aan de BIO- en ISO 27001-controles. Het beveiligingshandboek moet beschrijven hoe uitzonderingen worden aangevraagd, hoe test- en productieomgevingen van elkaar zijn gescheiden en hoe lessons learned periodiek worden verwerkt in de baseline. Pas wanneer aan al deze technische en organisatorische voorwaarden is voldaan, kan de implementatiefase starten zonder dat het project wordt vertraagd door ontbrekende randvoorwaarden of onduidelijkheid over verantwoordelijkheden.
Implementatie
De implementatiefase start met het inventariseren van alle Windows-apparaten die binnen scope vallen, inclusief servers die via Intune worden beheerd, laptops van mobiele teams en werkplekken die binnenkort worden gemigreerd. Op basis van deze inventarisatie worden Azure AD-groepen ontworpen die logisch aansluiten op afdelingen, beveiligingsniveaus en uitrolgolven. Het projectteam legt per groep vast welk change-venster geldt, welke fallback beschikbaar is en hoe testresultaten worden teruggekoppeld aan het change board. Tegelijkertijd worden dependency's in kaart gebracht, zoals EDR-agents, vulnerability scanners en line-of-business applicaties die mogelijk extra logging genereren zodra systeemintegriteit wordt gemonitord.
Daarna wordt in het Microsoft Intune admin center een nieuw Endpoint Security-profiel aangemaakt binnen de categorie Audit. De instelling Audit System Integrity wordt ingesteld op Success and Failure, aangevuld met logboekvergrotingen en retentiesettings die voorkomen dat gebeurtenissen worden overschreven voordat ze het SIEM bereiken. Het beleid wordt versiebeheerd in een Git-repository of het centrale configuratiehandboek, inclusief beschrijvingen van aangeraakte registrypaden en koppelingen naar BIO 16.01 en CIS 18.9.19.2. Door deze documentatie direct te creëren, kan het team achteraf eenvoudig aantonen waarom keuzes zijn gemaakt en hoe rollback of varianten voor specifieke businessunits kunnen worden opgebouwd.
Met de pilotfase wordt het beleid toegewezen aan een kleine, gecontroleerde groep apparaten die zijn voorzien van een aparte scope tag. Het SOC volgt real-time of event-ID's 4611, 4612 en 5038 verschijnen, terwijl beheerders het script `code/intune/audit-logging/audit-system-integrity.ps1` draaien om lokaal te controleren of de auditinstelling is weggeschreven. Bij conflicten met on-premises Group Policy wordt een remediation plan opgesteld waarin staat welke instelling leidend is en hoe de aanpassing wordt doorgevoerd zonder de productie te verstoren. Apparaten zonder continue cloudconnectiviteit worden tijdelijk via VPN of een staged internetverbinding verbonden zodat zij de policy alsnog ontvangen.
Na validatie wordt de uitrol opgeschaald via phased deployments. Dashboards in Microsoft Sentinel tonen per businessunit de adoptiegraad, terwijl change advisory boards elke fase formeel goedkeuren. Alle stappen worden vastgelegd in het beveiligingshandboek, inclusief rollbackprocedures, verantwoordelijken en koppelingen naar het Intune audit trail. Tot slot worden automation runbooks in Azure Automation of Logic Apps ingericht die dagelijks controleren of apparaten nog compliant zijn en waar nodig het script opnieuw starten of een ticket openen. Deze werkwijze maakt de implementatie reproduceerbaar, aantoonbaar en eenvoudig te auditen.
Gebruik PowerShell-script audit-system-integrity.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Monitoring begint met een duidelijke usecase-catalogus waarin per scenario staat beschreven welke event-ID's relevant zijn, hoe drempelwaarden worden bepaald en hoe correlatie met andere telemetrie plaatsvindt. Voor systeemintegriteit ligt de nadruk op gebeurtenissen die wijzigingen aan kerncomponenten, bootconfiguraties of beveiligingsservices beschrijven. Het SOC richt in Microsoft Sentinel of een ander SIEM analytic rules in die deze events koppelen aan context, zoals recente softwaredeployments, changeverzoeken of kwetsbaarheden uit Threat Intelligence-feeds. Door deze context al in de detectie mee te nemen, worden false positives beperkt en ziet de analist direct welke businessapplicatie of welk onderhoudsvenster bij een wijziging hoort.
Automatisering wordt gecombineerd met periodieke handmatige reviews. Dagelijkse dashboards tonen het volume aan systeemintegriteitsevents per businessunit en markeren uitschieters die duiden op massale wijzigingen. Wekelijks voert het SOC een deep dive uit waarbij logboeken naast changerecords worden gelegd om te bevestigen dat elke wijziging vooraf is goedgekeurd. Rootkitdetectie krijgt extra aandacht door YARA-regels en EDR-signalen te koppelen aan de auditlogboeken, zodat een wijziging aan kernelmodules direct wordt verrijkt met informatie over geladen drivers, processen en hashwaarden. Waar mogelijk wordt Microsoft Defender for Endpoint geïntegreerd zodat een high-severity alert automatisch een jachtquery start die de laatste 48 uur aan systeemintegriteitsevents ophaalt.
Opslag en retentie zijn cruciaal. Auditlogs worden direct na binnenkomst gehasht en opgeslagen in een Log Analytics-workspace met role-based access control, waarna ze via diagnostic settings worden doorgestuurd naar een Azure Storage-account met immutable opslag voor minimaal twaalf maanden. Voor langdurige onderzoeken kan de retentie worden verlengd naar cold storage, mits dit is vastgelegd in de datascheidingsrichtlijn en afgestemd met de functionaris gegevensbescherming. Toegang tot deze opslag wordt gelogd en geautomatiseerde alerts geven een seintje wanneer iemand probeert de retentie-instelling aan te passen.
Tot slot bevat het monitoringsproces duidelijke escalatietrappen. Een event dat duidt op het uitschakelen van audit logging of het wijzigen van een bootloader wordt direct als P1 geclassificeerd en binnen tien minuten geëscaleerd naar de dienstdoende incident commander. Oefeningen, zoals purple-team-sessies, toetsen elk kwartaal of detecties daadwerkelijk aanslaan en of de runbooks begrijpelijk zijn voor nieuwe analisten. De resultaten van deze oefeningen worden gedeeld met het CISO-office en leiden tot updates van detectieregels, rapportagesjablonen en awarenessmateriaal voor beheerders.
Gebruik PowerShell-script audit-system-integrity.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie begint zodra monitoring aangeeft dat een apparaat de Intune-policy niet naleeft of wanneer het SIEM constateert dat er langer dan vier uur geen systeemintegriteitsevents zijn geregistreerd. Het incident wordt vastgelegd in het ticketsysteem, waarna de first responder controleert of het apparaat nog ingeschreven staat in Intune en of de laatste synchronisatie recenter is dan 24 uur. Zo niet, dan wordt de gebruiker of beheerafdeling geïnstrueerd om een geforceerde sync uit te voeren of het apparaat opnieuw te laten registreren. Tegelijkertijd valideert een script de netwerkconnectiviteit met de Intune endpoints, Microsoft Defender-services en het SIEM. Het doel van deze fase is het onderscheiden van beleidsproblemen, clientgezondheidsissues en mogelijke sabotage.
Wanneer het beleid wel is toegewezen maar niet wordt toegepast, krijgt het probleem de status configuration drift. De Intune-beheerder vergelijkt dan de policy met eventuele lokale Group Policies, ConfigMgr-baselines of hardeningtools die op het apparaat actief zijn. Indien een GPO de instelling overschrijft, wordt met het Windows securityteam afgestemd welke configuratie leidend is en wordt een wijzigingsverzoek ingediend om de GPO aan te passen. Voor apparaten die doelbewust zijn gemanipuleerd, bijvoorbeeld door het uitschakelen van de Local Security Authority, wordt het incident opgeschaald naar het CSIRT en volgt een forensisch onderzoek naar herkomst en impact.
Na een technische fix wordt altijd gecontroleerd of het gewenste eventvolume terugkeert. Het script `code/intune/audit-logging/audit-system-integrity.ps1` kan een on-demand check uitvoeren die zowel de lokale registrywaarde uitleest als testevents genereert die binnen dertig minuten in de SIEM-dashboards moeten verschijnen. Pas wanneer zowel de lokale controle als de centrale logging succesvol is, wordt het ticket voorzien van een voorlopige closure. Apparaten met hoge gevoeligheid, zoals beheerderslaptops of servers met staatsgeheimen, ondergaan aanvullend een herinstallatie of vervanging van de system drive om residuele manipulaties uit te sluiten.
Het afsluitende onderdeel van remediatie is kennisborging. Elke afwijking wordt toegevoegd aan een oorzaak-gevolgregister waarin trends zichtbaar worden; denk aan terugkerende problemen bij een specifieke hardwarelijn of door een bepaalde installatieworkflow. Op basis hiervan worden preventieve maatregelen ontworpen, zoals het aanpassen van het onboarding-script of het aanscherpen van changecontroles voor beheeraccounts. Door remediatieresultaten structureel te evalueren, groeit de organisatie van reactief herstel naar voorspellend onderhoud van haar auditloggingketen en kan zij aantonen dat lessons learned daadwerkelijk leiden tot verbeterde controles.
Gebruik PowerShell-script audit-system-integrity.ps1 (functie Invoke-Remediation) – Herstellen.
Naleving en Auditing
Audit logging voor systeemintegriteit is rechtstreeks gekoppeld aan controle 16.01 van de BIO, waarin wordt geëist dat belangrijke systeemgebeurtenissen worden vastgelegd, beschermd en regelmatig geanalyseerd. Deze maatregel geeft invulling aan die eis doordat hij laat zien hoe Windows-eindpunten uniform dezelfde loggingconfiguratie ontvangen, hoe logs minimaal twaalf maanden onveranderbaar worden opgeslagen en hoe afwijkingen worden onderzocht. Tijdens audits kan het team met dashboards aantonen welk percentage apparaten compliant is, welke uitzonderingen zijn goedgekeurd en hoe incidenten rondom systeemintegriteit zijn behandeld.
Ook internationale standaarden worden rechtstreeks geraakt. ISO 27001:2022 controle A.12.4.1 verlangt dat organisaties logging en monitoring inzetten om beveiligingsincidenten tijdig te detecteren. De beschreven aanpak, met Intune als configuratiemechanisme en Sentinel als analyseplatform, levert tastbaar bewijs van deze controle. De CIS Microsoft 365 Benchmark (18.9.19.2) beschouwt het activeren van System Integrity auditing als een Level 1-best practice. Door dit beleid centraal te beheren en te monitoren, toont de organisatie aan dat zij de benchmark volgt en dat afwijkingen direct worden gerapporteerd aan het risicocomité.
De Algemene Verordening Gegevensbescherming (AVG) legt organisaties bovendien een verantwoordingsplicht op (artikel 5, lid 2) en vereist passende technische maatregelen (artikel 32). Audit logging van systeemintegriteit valt daaronder omdat manipulaties van het besturingssysteem directe impact hebben op de vertrouwelijkheid en integriteit van persoonsgegevens. Door gedetailleerde logboeken bij te houden en RBAC toe te passen op de SIEM-omgeving kan de functionaris gegevensbescherming aantonen dat er zicht is op ongeoorloofde wijzigingen en dat incidenten tijdig worden gemeld aan de Autoriteit Persoonsgegevens wanneer dat nodig is.
Voor audit evidence gelden duidelijke spelregels. Inspecteurs verwachten configuratiebewijzen (zoals exports van het Intune-profiel), voorbeeldlogs met event-ID's, procedures voor monitoring en incidentrespons en rapportages die laten zien dat het proces periodiek wordt getoetst. Deze artefacten moeten consistent worden opgeslagen in het kwaliteitsmanagementsysteem zodat ze direct beschikbaar zijn tijdens externe audits of Woo-verzoeken. Door deze documentatie structureel bij te houden, voorkomt de organisatie dat compliance-inspanningen ad hoc gebeuren en wordt het eenvoudiger om verbeterpunten te signaleren en door te voeren.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: System Integrity
.DESCRIPTION
CIS - Audit system integrity Success and Failure.
.NOTES
Filename: audit-sys-integrity.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: System Integrity|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "System Integrity"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "sys-integrity.ps1"; PolicyName = "System Integrity"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "System Integrity: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder audit logging voor systeemintegriteit is er geen mogelijkheid om wijzigingen aan kritieke systeemcomponenten te traceren, wat leidt tot onzichtbaarheid van potentiële kwaadaardige activiteiten en verhoogd risico op gecompromitteerde systemen.
Management Samenvatting
Schakel audit logging in voor systeemintegriteit om alle wijzigingen aan kritieke systeemcomponenten te registreren en te monitoren voor beveiligings- en compliance doeleinden.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE