πΌ Management Samenvatting
Het configureren van een waarschuwingsdrempel voor het Security Event Log zorgt ervoor dat beheerders tijdig worden gewaarschuwd wanneer het log vol dreigt te raken, wat essentieel is voor het behoud van audit trails en incident response capaciteit.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
β Windows 10
β Windows 11
β Windows Server
β Windows 11
β Windows Server
Het Security Event Log is cruciaal voor security monitoring, incident response en forensische analyse. Wanneer dit log vol raakt, worden nieuwe security events niet meer gelogd, wat leidt tot verlies van audit trail data, gemiste security incidents, compliance overtredingen (BIO en AVG vereisen complete audit trails), en onmogelijkheid om aanvallen te detecteren en te onderzoeken. Door een waarschuwingsdrempel in te stellen op 90% of lager, krijgen beheerders tijdig notificatie om actie te ondernemen voordat het log vol is. Dit voorkomt data loss en garandeert continue security monitoring. De waarschuwing geeft tijd om het log te archiveren, de grootte aan te passen, of oude events op te schonen volgens retention policy.
PowerShell Modules Vereist
Primary API: Microsoft Intune / Group Policy
Connection:
Required Modules: Windows PowerShell 5.1 of hoger
Connection:
Windows RegistryRequired Modules: Windows PowerShell 5.1 of hoger
Implementatie
Deze control configureert de MSS (Microsoft Security Solutions) registry instelling WarningLevel in het pad HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel. De waarde wordt ingesteld op 90 (of lager), wat betekent dat het systeem een waarschuwing genereert wanneer het Security Event Log 90% vol is. Dit geeft beheerders 10% buffer om actie te ondernemen voordat het log vol is en events verloren gaan. De waarschuwing verschijnt in de Event Viewer en kan worden gemonitord via SIEM-systemen of monitoring tools.
Vereisten
Voor implementatie van deze control zijn de volgende voorwaarden vereist:
Windows 10, Windows 11 of Windows Server (alle versies)
Administrator rechten voor registry wijzigingen
Microsoft Intune of Group Policy voor gecentraliseerde deployment
Event log grootte geconfigureerd (minimaal 1 GB aanbevolen voor Security log)
Monitoring systeem voor het detecteren van log warnings (SIEM of System Center)
Implementatie
Implementatie via Microsoft Intune:
Intune admin center β Devices β Configuration profiles
Maak profile β Platform: Windows 10 en later
Profile type: Settings catalog
Zoek naar: Event Log settings
Configureer: Security Event Log Warning Level is 90 (percentage)
Wijs toe aan alle Windows devices
Gebruik PowerShell-script mss-warninglevel-percentage-threshold-for-the-security-event-log-at-which-the-system-will-generate-a-warning-is-set-to-enabled-90-or-less.ps1 (functie Invoke-Remediation) β Automatische configuratie van de WarningLevel registry waarde op 90% voor het Security Event Log.
Monitoring
Gebruik PowerShell-script mss-warninglevel-percentage-threshold-for-the-security-event-log-at-which-the-system-will-generate-a-warning-is-set-to-enabled-90-or-less.ps1 (functie Invoke-Monitoring) β Controleert of de WarningLevel correct is ingesteld op 90% of lager en rapporteert compliance status.
Monitoring aspecten:
Registry verificatie: WarningLevel <= 90
Event Viewer controle op warning events (Event ID 1104)
Actual log usage percentage monitoring
SIEM alerting bij log warning events
Preventieve monitoring: alert bij 80% om vroeg te kunnen ingrijpen
Remediatie
Wanneer het Security Event Log de waarschuwingsdrempel bereikt:
Archiveer het huidige Security Event Log (.evtx export)
Vergroot de maximum log grootte (1-4 GB afhankelijk van audit volume)
Configureer log archivering via SIEM of log collector
Overweeg log forwarding naar centrale logging server
Review retention policy: overwrite as needed vs archive Wanneer full
Gebruik PowerShell-script mss-warninglevel-percentage-threshold-for-the-security-event-log-at-which-the-system-will-generate-a-warning-is-set-to-enabled-90-or-less.ps1 (functie Invoke-Remediation) β Herstelt de WarningLevel configuratie naar de vereiste 90% of lager.
Compliance en Auditing
Deze control draagt bij aan compliance met de volgende frameworks:
CIS Microsoft Windows Benchmark - Control 18.9.19.2 (Level 1): MSS WarningLevel moet ingesteld zijn op 90% of lager
BIO Themagebied 16.01 - Verantwoordelijkheden en procedures voor informatiebeveiligingsincidentenbeheer: Complete audit trails vereist
ISO 27001:2022 A.12.4.1 - Event logging: Continue beschikbaarheid van logging capaciteit
AVG Artikel 32 - Beveiliging van verwerking: Audit logs moeten beschikbaar blijven voor incident detectie
NIS2 Artikel 23 - Reporting obligations: Complete logging voor incident rapportage
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - MSS: (WarningLevel) Percentage threshold for de security event log bij welke de system will generate een warning - moet ingesteld zijn op 90% of minder
- BIO: 16.01.1, 16.01.2 - Informatiebeveiligingsincidentenbeheer - Continue beschikbaarheid van audit logging
- ISO 27001:2022: A.12.4.1, A.12.4.2 - Event logging en bescherming van log informatie - Logging capaciteit beheer
- NIS2: Artikel - Reporting obligations - Complete audit trails voor incident rapportage
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Security Log Warning Level 90%
.DESCRIPTION
CIS - Security log warning bij 90% of minder.
.NOTES
Filename: sec-log-warning.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel|Expected: 90
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security"; $RegName = "WarningLevel"; $ExpectedValue = 90
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "sec-warn.ps1"; PolicyName = "Security Log Warning"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "$ExpectedValue%"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -le $ExpectedValue) { $r.IsCompliant = $true; $r.CurrentValue = "$($v.$RegName)%"; $r.Details += "Warning at $($v.$RegName)%" }else { $r.Details += "Warning level niet OK" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Security log warning: $ExpectedValue%" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Hoog risico op verlies van security audit data wanneer het Security Event Log onverwacht vol raakt. Zonder waarschuwing kunnen kritieke security events verloren gaan, wat incident detectie onmogelijk maakt en leidt tot compliance overtredingen. Bij security incidenten kan forensische analyse niet worden uitgevoerd zonder complete audit trail.
Management Samenvatting
Configureer Security Event Log warning op 90% of minder om tijdig gewaarschuwd te worden voordat het log vol raakt. Voorkomt verlies van security audit data. Voldoet aan CIS 18.9.19.2 Level 1, BIO 16.01, ISO 27001 A.12.4.1, NIS2 Artikel 23. Implementatie: 1-2 uur. Essentieel voor incident response en compliance.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE