Powershell Script Block Logging

Zonder deze logging moeten SOC-analisten zich baseren op fragmentarische proceslogs en ontbreekt het aan bewijs om misbruik van PowerShell, living-off-the-land-aanvallen of ongeautoriseerde beheersacties snel te herleiden. Door scriptblokken verplicht vast te leggen ontstaat er een forensisch spoor dat voldoet aan de eisen van de Nederlandse Baseline voor Veilige Cloud, de BIO en de AVG, en dat bestuurders zekerheid biedt dat kritieke beheersacties altijd traceerbaar zijn.

Implementatie

Met Microsoft Intune configureer je een centraal beleid dat de registrywaarden voor script block logging afdwingt, valideer je de resultaten via geautomatiseerde scripts en stuur je de verzamelde eventlogs door naar Microsoft Sentinel of een ander SIEM, zodat technische, organisatorische en juridische eisen aan logging in één workflow worden geborgd.

Vereisten

Een succesvolle implementatie van PowerShell script block logging begint bij duidelijk omschreven randvoorwaarden op licentie- en platformniveau. Iedere organisatie heeft minimaal Microsoft Intune licenties nodig die moderne apparaatbeheerfuncties, security baselines en geavanceerde auditing ondersteunen, bij voorkeur via Microsoft 365 E3 of E5 zodat Defender for Endpoint, Microsoft Entra ID P1 en Microsoft Purview beschikbaar zijn. Windows 10 en 11 endpoints moeten draaien op ondersteunde builds die de laatste cumulatieve updates en .NET-versies bevatten zodat loggingproviders stabiel functioneren. Verder moeten beheerde apparaten hybrid-joined of cloud native zijn zodat Intune policies betrouwbaar kunnen worden afgedwongen en diagnostische gegevens versleuteld via TLS 1.2 of hoger naar de gekozen logcollectie stromen. Naast technische licenties zijn voorbereide beveiligings- en netwerkcomponenten noodzakelijk. Endpoint firewalls moeten het uitvoeren van onbeheerde scripts beperken terwijl PowerShell remoting voor beheeraccounts toegestaan blijft, en proxyservers of SSL-inspectie gateways moeten Microsoft logging-endpoints whitelisten zodat script block events zonder vertraging de Microsoft 365 Defender portal en het centrale SIEM bereiken. Configuratiebaselines zoals CIS of de Microsoft Security Baselines moeten al uitgerold zijn zodat overlap tussen instellingen kan worden aangetoond en conflicten worden voorkomen. Zorg dat er een centrale sleutelkluis bestaat voor het opslaan van serviceprincipals en automation accounts die Graph API-calls uitvoeren, en leg vast welke groep binnen de organisatie eigenaar is van deze identiteiten en de bijbehorende roldefinities. Tot slot is organisatorische volwassenheid een harde eis. Er moet een formeel changeproces bestaan dat beveiligingsinstellingen voor productie-endpoints beoordeelt, inclusief een risicobeoordeling wanneer scripting of logging tijdelijk moet worden uitgeschakeld. Betrek privacy officers vroegtijdig om te bevestigen dat de bewaartermijnen voor script block logs overeenkomen met BIO en AVG vereisten en dat gevoelige gegevens geclassificeerd blijven als intern. Service owners moeten kennis hebben van het PowerShell script block logging eventmodel zodat zij ondersteuningsvragen kunnen beantwoorden en rapporten kunnen interpreteren. Zonder deze governance kan de maatregel niet duurzaam worden geborgd en wordt naleving tijdens audits alsnog afgekeurd. Een laatste vereiste is de beschikbaarheid van tooling voor validatie en troubleshooting. Reserveer testapparaten waarop je Intune policies versneld kunt synchroniseren en waarop je zowel evaluate als remediate scenario's uitvoert voordat je organisatiebreed uitrolt. Richt een centraal Log Analytics workspace of een Splunk- of QRadar-connector in die de Windows event logs verzamelt, en definieer querytemplates waarmee SOC-analisten kunnen aantonen dat script block logging actief is. Documenteer de mapping tussen Intune policy namen, GUID's en de corresponderende registrywaarden zodat auditteams precies zien hoe configuraties worden afgedwongen. Wanneer al deze randvoorwaarden zijn ingevuld ontstaat een robuust fundament voor de implementatie en kun je aantonen dat de maatregel niet slechts een technische instelling is maar een integraal onderdeel van de Nederlandse Baseline voor Veilige Cloud. Naast techniek vergt de maatregel investeringen in mensen en processen. Train beheerteams in het interpreteren van PowerShell event ID's, maak duidelijke escalatielijnen richting SOC en leg in het security awareness-programma uit waarom script logging noodzakelijk is. Maak afspraken met externe leveranciers die mogelijk beheer uitvoeren op endpoints zodat zij dezelfde loggingvereisten accepteren en hun tooling hierop aanpassen. Voorzie tenslotte in capaciteit voor periodieke health checks waarin je controleert of alle randvoorwaarden nog actueel zijn; zo voorkom je dat de maatregel na verloop van tijd aan kracht verliest.

Daarnaast is een uitgewerkt rolmodel noodzakelijk. De rollen Intune Service Administrator, Security Administrator en Global Reader dienen beschikbaar te zijn, met strikte toepassing van Privileged Identity Management zodat wijzigingen worden vastgelegd en slechts tijdelijk verhoogde rechten bestaan. Change advisory boards moeten zich bewust zijn van de impact van scriptlogging op privacy en performance, vooraf ingestemde onderhoudsvensters publiceren en het incident response playbook bijwerken voor het scenario waarin logging wordt uitgeschakeld.

Endpoints moeten aantoonbaar voldoen aan aanvullende voorwaarden. Microsoft Defender Antivirus, Microsoft Defender for Endpoint en de laatste cumulatieve Windows-updates moeten al actief zijn, zodat de benodigde loggingdrivers aanwezig zijn. Virtualisatiehosts bewaken dat dezelfde policies doorgegeven worden aan VDI-omgevingen en Windows 365 Cloud PC’s. Applicatiecompatibiliteit wordt gegarandeerd door vooraf Application Control policies te evalueren die scriptuitvoering blokkeren, want logging heeft pas waarde wanneer relevante scriptblokken daadwerkelijk worden uitgevoerd.

Ook de ondersteunende infrastructuur dient gereed te zijn. Er is een Log Analytics-workspace of SIEM-platform nodig met voldoende retentie, gekoppeld via Intune Device Diagnostics of Microsoft Defender for Endpoint, zodat scriptblokken centraal kunnen worden opgeslagen en gecorreleerd. Firewallregels en proxy’s moeten TLS 1.2 of hoger ondersteunen en toestaan dat endpoints gegevens veilig naar ingestiepunten sturen. Daarnaast moeten opslagaccounts voor forensische exports voorzien zijn van key management beleid om gevoelige loggegevens versleuteld en traceerbaar te houden.

Tot slot zijn er procesmatige vereisten. Beheerders moeten getraind zijn in het interpreteren van event ID 4104 en weten hoe persoons- of bedrijfsgevoelige informatie wordt geminimaliseerd voordat data wordt gedeeld met derden. Documentatie over bewaartermijnen, gegevensclassificatie en gegevensminimalisatie moet beschikbaar zijn, omdat scriptinhoud broncode kan bevatten. De Functionaris Gegevensbescherming en de ondernemingsraad dienen akkoord te zijn met de uitbreiding van monitoring. Wanneer aan deze voorwaarden is voldaan, kan de implementatie zonder onzekerheden worden uitgevoerd en blijven auditteams overtuigd van de volwassenheid van de controle.

Naast de technische voorbereidingen vereist de maatregel een volwassen leveranciers- en lifecycleproces. Contracten met hardware- en softwareleveranciers moeten borgen dat nieuwe builds standaard logcomponenten bevatten en dat firmware-updates scriptlogging niet uitschakelen. De organisatie plant kwartaalgewijs health checks waarin gecontroleerd wordt of gold images, Autopilot-profielen en on-premises Active Directory-GPO’s nog in lijn zijn met de Intune-instellingen. Tot slot wordt vastgelegd hoe externe dienstverleners, zoals uitbestede beheerders of SOC-partners, toegang krijgen tot de logs zonder data-residencyregels te overtreden. Door deze afspraken te verankeren in service level agreements en verwerkersovereenkomsten ontstaat een sluitende keten waarin elke stakeholder weet welke verantwoordelijkheid hij draagt.

Verder moeten prestatie- en capaciteitsmetingen beschikbaar zijn om aan te tonen dat endpoints voldoende opslagruimte en rekenkracht hebben voor uitgebreide logging. Deze metingen worden opgenomen in het capacity managementproces zodat groei in het aantal apparaten tijdig leidt tot extra licenties, netwerkbandbreedte of SIEM-capaciteit. Door capaciteitsplanning te koppelen aan de begrotingscyclus wordt voorkomen dat logging wordt uitgezet vanwege resourcebeperkingen en blijft de controle duurzaam bekostigd.

Implementatie

Het implementeren van PowerShell Script Block Logging begint met een gezamenlijke analyse door het Intune-team, het SOC en compliance, waarin het doel architecturaal wordt vastgelegd: elk PowerShell-script dat op beheer- of eindgebruikerssystemen draait, moet reproduceerbaar in centrale logging terechtkomen en gekoppeld worden aan een identificeerbare gebruiker, apparaat en beleidsversie. Deze analyse resulteert in een ontwerpdocument waarin men vastlegt welke device compliance policies worden uitgebreid, welke automatische tagging via dynamische apparaatgroepen nodig is en hoe fallback wordt gerealiseerd voor apparaten die tijdelijk offline staan, zodat er geen beleidsconflicten ontstaan.

Vervolgens wordt binnen het Intune Admin Center een nieuw apparaatconfiguratieprofiel aangemaakt op basis van het Windows 10 en later-sjabloon, categorie Endpoint protection. Hier definieert de beheerder dat de instelling "Turn on PowerShell Script Block Logging" op Enabled staat en vult hij aanvullende diagnostische opties in. Het profiel bevat tevens de verplichting om PowerShell Transcription te activeren, zodat scriptblokken in context worden geïnterpreteerd. Assignments worden opgebouwd uit staged Azure AD-groepen waarbij testapparaten, hoogrisicosystemen en kritieke beheersystemen elk een eigen rolloutgolf krijgen met expliciete deadlines, waarvan de stappen worden vastgelegd in het CAB-dossier.

Automatisering vindt plaats met het meegeleverde PowerShell-script, dat de Microsoft Graph DeviceManagement API benut om beleidsconfiguraties uit te lezen, versies te vergelijken en nieuwe policies te publiceren of bestaande te koppelen aan filterregels. De functie Invoke-Monitoring valideert de Intune-status per apparaat en schrijft bevindingen weg naar zowel console-uitvoer als het centrale logbestand. Door de scriptlogica in een DevOps-pijplijn op te nemen kan dezelfde configuratie reproduceerbaar worden uitgerold naar ontwikkel-, acceptatie- en productieomgevingen zonder dat beheerders handmatig in de portal hoeven te klikken.

Een gecontroleerde uitrol vereist dat elk profiel eerst wordt gevalideerd op een beperkt aantal representatieve devices. Beheerders gebruiken Endpoint analytics om prestatiecijfers te verzamelen en aan te tonen dat het vastleggen van scriptblokken geen merkbare vertraging veroorzaakt. Zodra de meetresultaten akkoord zijn, wordt de deployment uitgebreid naar bredere apparaatgroepen. Tijdens iedere fase wordt een terugvalscenario geactiveerd: bij onverwachte fouten wordt de vorige profielversie automatisch opnieuw toegewezen via de Graph API en krijgen gebruikers een communicatiebericht via het serviceportaal. Eventuele uitzonderingen, zoals OT-systemen, worden apart geregistreerd inclusief compenserende controls.

Na afronding zorgen beheerders voor volledige documentatie in het Configuratie Managementsysteem, inclusief koppelingen naar architectuurdiagrammen, verantwoordingsdocumenten voor de Functionaris Gegevensbescherming en aanpassingen in het Security Operations playbook, zodat analisten weten welke events zij mogen verwachten. Dezelfde documentatie beschrijft hoe nieuwe apparaten automatisch worden toegewezen aan de juiste Intune-groepen via enrollmentfilters. Door release notes, vernieuwde self-servicehandleidingen en training voor servicedeskmedewerkers toe te voegen, blijft de configuratie duurzaam beheersbaar en voldoen audits aantoonbaar aan de eisen.

Parallel hieraan wordt configuratiedrift actief bestreden. Releases van andere beleidssets, zoals Microsoft Security Baselines of Defender Attack Surface Reduction-regels, worden vooraf getoetst op conflicten met scriptblocklogging. Elke wijziging in het Intune-profiel krijgt een semantisch versienummer en geautomatiseerde verificatie zodat afwijkingen onmiddellijk zichtbaar zijn. Door telemetrie te koppelen aan een Power BI-dashboard krijgt het programma dagelijks inzicht in de voortgang van de uitrol en kan het tijdig bijsturen wanneer achterstanden ontstaan binnen specifieke businessunits.

De implementatie wordt bovendien geborgd via het release- en kwaliteitsproces. Iedere wijziging passeert een peer review, een security sign-off en een privacy check voordat deze in productie gaat. Testresultaten, inclusief bewijs van success criteria, worden opgeslagen in een centraal repository zodat toekomstige teams begrijpen waarom keuzes zijn gemaakt. Deze governance zorgt ervoor dat de configuratie niet incidenteel maar structureel deel uitmaakt van de Nederlandse Baseline voor Veilige Cloud.

Gebruik PowerShell-script powershell-script-block-logging.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Monitoring van PowerShell Script Block Logging begint met het bewijzen dat elk endpoint daadwerkelijk events levert aan het gekozen logplatform. Direct na de implementatie wordt via Microsoft Defender for Endpoint en Intune Device diagnostics gecontroleerd of event ID 4104 en 4105 binnen maximaal vijftien minuten na scriptuitvoering verschijnen. Het SOC vergelijkt de binnengekomen events met de lijst van apparaten in Intune om te garanderen dat er geen blinde vlekken bestaan. Indien endpoints ontbreken, wordt nagegaan of zij buiten bereik van het bedrijfsnetwerk vielen, in onderhoud waren of een onjuiste bundel kregen toegewezen.

Wanneer de basisdekking is bevestigd richt het SOC dashboards in binnen Microsoft Sentinel of een andere SIEM-oplossing. Deze dashboards tonen het aantal eventregels per apparaat, de belangrijkste scriptuitvoerders, het percentage gesigneerde versus ongesigneerde scripts en een trendanalyse van afwijkingen. Correlatieregels koppelen scriptblocks aan indicatoren van compromittering, zoals het gebruik van bekende aanvalstools of base64-gecodeerde commando's. Zodra script logging wegvalt wordt binnen vijf minuten een prioriteitsmelding gestart richting de dienstdoende analist.

Voor continue validatie maakt het team gebruik van de functie Invoke-Monitoring uit het script. Deze functie roept Graph-eindpunten aan om policycompliancegegevens op te halen, vergelijkt deze met de ingestroomde logevents en produceert een rapportage waarin per apparaat duidelijk is of zowel de configuratie als de daadwerkelijke eventstroom aanwezig is. Het script draait volgens een geautomatiseerde taakplanning en levert resultaten aan het SOC-ticketingsysteem, waarbij afwijkingen direct als incident worden geregistreerd met de juiste prioriteit en hersteltermijn volgens de BIO.

Daarnaast worden synthetische transacties ingericht: een gecontroleerd script genereert dagelijks een herkenbaar scriptblock dat zowel de logging- als alertketen moet passeren. De aanwezigheid van dit controle-event vormt het bewijs dat de keten end-to-end functioneert. Ontbreekt het event, dan start een runbook waarin netwerkconnectiviteit, Intune-beleid en lokale Windows Event Forwarding worden nagelopen. Tegelijkertijd evalueert het SOC maandelijks de logvolumes om opslagkosten en retentie te optimaliseren zonder zichtbaarheid te verliezen.

De monitoringresultaten worden gedeeld met bestuurders via een kwartaalrapportage waarin KPI's staan zoals het percentage endpoints met scriptlogging, de tijd tot detectie van verdachte scripts en het aantal afgesloten onderzoeken waarin scriptblockdata doorslaggevend was. Door deze transparantie ervaren bestuurders de toegevoegde waarde van de maatregel en blijven middelen beschikbaar voor verdere verfijning, zoals het automatiseren van responsacties op basis van machine learning of het koppelen van logging aan Insider Risk-signalen.

Een volwassen monitoringsaanpak houdt bovendien rekening met gegevenskwaliteit en privacy. Loganalisten voeren steekproeven uit op de verzamelde scriptblocks om te controleren of gevoelige gegevens tijdig geanonimiseerd worden en of de structuur van de events voldoet aan de ingestelde parsingregels. Wanneer discrepanties worden gevonden, bijvoorbeeld doordat lokaal ingestelde taalinstellingen afwijkende datum- of decimaalscheiding genereren, worden normalisatieregels aangepast voordat data de detectieregels voedt. Hierdoor blijft de dataset betrouwbaar genoeg om als juridisch bewijs te dienen en ontstaan er geen hiaten tijdens forensische onderzoeken.

Retentiebeheer vormt de laatste pijler. Het SOC stemt met de Functionaris Gegevensbescherming af hoe lang scriptblocks worden bewaard per classificatie, en zorgt ervoor dat automatische purges aantoonbaar plaatsvinden om oververzameling te voorkomen. Tegelijkertijd worden belangrijke incidenten veiliggesteld in een evidence vault met checksumcontrole, zodat de data ook na jaren bruikbaar blijft. Door retentie, privacy en forensische bewijskracht als één geheel te behandelen blijft monitoring in balans en voldoet de organisatie aan zowel wettelijke verplichtingen als operationele detectiebehoeften.

Gebruik PowerShell-script powershell-script-block-logging.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Remediatie richt zich op het snel herstellen van situaties waarin scriptblocklogging ontbreekt of afwijkend gedrag vertoont. Zodra monitoring een afwijking signaleert wordt automatisch een incident aangemaakt waarin het betrokken apparaat, het toegewezen beleid en de laatst bekende compliant status staan vermeld. Het eerste onderzoek controleert of de Intune-policy nog actief is, of het apparaat recent is hersteld vanaf een image zonder management-extensie of dat een lokale beheerder beleidswijzigingen heeft geforceerd. Het incident blijft geopend totdat wordt bewezen dat nieuwe events opnieuw binnenkomen en het apparaat in scope blijft.

Het meegeleverde commando Invoke-Remediation voert een gefaseerde herstelactie uit. Het script dwingt een synchronisatie met Intune af, herpubliceert de configuratie, controleert of de Windows-eventlogservice juist draait en herstart zonodig de Microsoft Monitoring Agent. Indien het apparaat offline is wordt automatisch een taak klaargezet die bij de eerstvolgende check-in de policy herinstalleert. Alle stappen worden vastgelegd in het changelog zodat auditors precies zien welke wijzigingen zijn toegepast en door wie.

Wanneer het probleem wordt veroorzaakt door onverenigbare software of ontwikkelaars die bewust logging uitschakelen, start een breder hersteltraject. Het securityteam voert samen met applicatie-eigenaren een risicoanalyse uit, identificeert compensatiemaatregelen zoals just-in-time-toegang of Application Control en legt de uitkomst vast in het uitzonderingsregister. Elke uitzondering krijgt een einddatum en een verantwoordelijke eigenaar die verplicht is de blokkade binnen een vooraf afgesproken periode op te heffen.

Bij grootschalige storingen staat communicatie centraal. De servicedesk krijgt een draaiboek waarmee zij gebruikers informeren over tijdelijke performance-impact of aanvullende stappen, zoals het herstarten van endpoints na het opnieuw toepassen van policies. Tegelijkertijd ontvangen beheerders een checklist die hen door de technische validatie leidt: controleren van registrysleutels, validatie van Event Tracing for Windows-instellingen en toetsing van netwerktoegang richting logopslag. Door deze standaardisatie wordt remediatie reproduceerbaar en verkort de gemiddelde oplostijd.

Na elk herstelmoment volgt een post-incidentreview waarin root causes worden vastgelegd, of dat nu een foutieve Intune-scope, een verouderde basisimage of een mislukte Graph-automatisering was. De leerpunten worden verwerkt in het releaseproces, bijvoorbeeld door extra validatiescripts toe te voegen of door verplichte kwaliteitscontroles op nieuwe gold images in te bouwen. Hierdoor verbetert de veerkracht van de organisatie en groeit het vertrouwen dat scriptblocklogging ook bij toekomstige platformwijzigingen intact blijft.

Om herhaling te voorkomen worden remediatieresultaten gekoppeld aan prestatiedoelen. KPI's zoals gemiddelde oplostijd, aantal apparaten dat binnen twintig minuten is hersteld en percentage automatisch opgeloste incidenten worden maandelijks geëvalueerd. Wanneer blijkt dat een structurele oorzaak buiten het bereik van Intune ligt, bijvoorbeeld een foutieve hardening in een masterimage of ontoereikende netwerksegmentatie, wordt een verbeterprogramma gestart met duidelijke eigenaarschap en budget. Zo blijft remediatie geen ad-hocactiviteit, maar een continu verbeterproces dat aansluit op de bredere cyberresilience-strategie.

Samenwerking met derde partijen vormt daarbij een belangrijke succesfactor. Uitbestede werkplekbeheerders en SOC-leveranciers krijgen vooraf vastgelegde herstelvensters, een escalatiematrix en testaccounts om wijzigingen veilig te verifiëren. Trainingen en simulaties zorgen ervoor dat alle betrokkenen de runbooks kennen en dat er geen vertraging ontstaat wanneer meerdere organisaties tegelijk moeten optreden. Door deze ketensamenwerking periodiek te oefenen blijft de organisatie voorbereid op complexe incidenten waarbij scriptblocklogging een cruciale rol speelt.

Gebruik PowerShell-script powershell-script-block-logging.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

PowerShell script block logging ondersteunt rechtstreeks de naleving van meerdere raamwerken. Binnen de CIS Microsoft 365 Foundations Benchmark valt deze maatregel onder controle 18.9.19.2, die vereist dat organisaties de volledige inhoud van uitgevoerde scripts vastleggen om misbruik van PowerShell te detecteren. De Baseline Informatiebeveiliging Overheid artikel 16.01 verlangt dat logging en audittrails toereikend zijn om beveiligingsincidenten te reconstrueren; script block logging levert hierbij de ontbrekende context omdat niet alleen de gebeurtenis maar ook de scriptinhoud wordt vastgelegd. ISO 27001:2022 controle A.12.4.1 vraagt om uitgebreide logging die ongeautoriseerde activiteiten kan identificeren, en het opnemen van scriptblokken maakt het mogelijk om manipulatie door insiders of aanvallers aan te tonen. Documenteer daarom per release welke Intune-profielen zijn gebruikt, welke Graph-rollen toegang hebben tot de data en hoe lang de logs worden bewaard. Bewaar exportbestanden van policy compliance rapporten, Sentinel workbooks en change-requests zodat auditors kunnen verifiëren dat de instelling structureel actief is. Zorg ervoor dat privacy officers kunnen aantonen dat script block logs uitsluitend voor beveiligingsdoeleinden worden gebruikt, dat gevoelige persoonsgegevens worden gemaskeerd voordat ze met externe partijen worden gedeeld en dat bewaartermijnen zijn afgestemd op wettelijke vereisten zoals de Archiefwet en de AVG. Neem deze overwegingen op in het controle-evidencedossier en verwijs expliciet naar de Nederlandse Baseline voor Veilige Cloud zodat auditors direct zien dat de maatregel onderdeel is van het bredere securityprogramma. Combineer dit bewijs met periodieke managementrapportages waarin risico's, uitzonderingen en verbeteracties zijn beschreven; daarmee toon je aan dat de controle niet alleen technisch aanwezig is, maar ook bestuurlijk wordt bewaakt. Voor de BIO en AVG is het eveneens cruciaal om transparant te zijn over verwerkingsverantwoordelijkheid. Leg vast welke functionarissen toegang hebben tot script block logs, welke logging wordt uitgevoerd op het raadplegen van deze data en hoe dat is afgestemd met de FG. Beschrijf in het nalevingsdossier welke juridische grondslag je gebruikt, welke verwerkers zijn ingeschakeld en hoe betrokkenen geïnformeerd worden via privacyverklaringen en gebruikersrichtlijnen. Auditors verwachten bovendien dat bewijs niet alleen technisch wordt opgeslagen, maar ook periodiek wordt gevalideerd. Stel daarom een kalender op voor steekproeven waarbij je Intune-profielversies, Sentinel rulesets en exportbestanden controleert op volledigheid en juistheid. Koppel die steekproeven aan het interne controlesysteem en laat bevindingen terugstromen naar het verbeterregister zodat duidelijk is welke acties zijn genomen. Koppel de controle tevens aan bestaande kaders zoals ENSIA, DigiDec en sectorale audits door een traceerbare mapping te maken die laat zien welke onderdelen van script block logging bijdragen aan specifieke normen. Licht per norm toe welke technische instelling, procesbeschrijving en bewijsset nodig zijn en zorg dat deze mapping wordt bijgewerkt zodra nieuwe eisen worden gepubliceerd. Spreek af dat elke kwartaalrelease een compliance review bevat waarin juridische, security- en operationsvertegenwoordigers de effectiviteit evalueren. In dat overleg bespreek je data minimalisatie, bewaartermijnen, exportbeperkingen en de noodzaak van extra communicatie richting medewerkers. Het verslag van deze review fungeert als auditbaar bewijs dat bestuurders actief toezicht houden op de maatregel. Leg in een Data Protection Impact Assessment vast hoe script block logging persoonsgegevens kan bevatten, welke pseudonimiseringstechnieken worden toegepast en hoe betrokkenen hun rechten kunnen uitoefenen. Benoem ook welke bewaartermijnen voor diverse logplatformen gelden en hoe vernietiging van data wordt aangetoond. Dit onderbouwt richting toezichthouders dat de maatregel evenwichtig is uitgewerkt en dat privacy by design daadwerkelijk wordt toegepast.

Een solide auditspoor vereist meer dan alleen technische configuratie. Beleidsdocumenten beschrijven het doel van scriptblocklogging, bewaartermijnen, toegangscontrole en waarborgen voor integriteit. Evidence bestaat uit exportbestanden uit Intune, SOC-rapportages die aantonen dat events daadwerkelijk binnenkomen en screenshots of API-exporten die de aanwezigheid van event ID 4104 in het logplatform tonen. Auditors verlangen daarnaast een matrix die laat zien hoe deze control bijdraagt aan de BIO-beheersmaatregelen 16.01.01 tot en met 16.01.05, inclusief verwijzingen naar incident response procedures.

Vanuit AVG-perspectief moet de organisatie aantonen dat logging proportioneel is en uitsluitend voor beveiligingsdoeleinden wordt gebruikt. Een Data Protection Impact Assessment legt vast welke persoonsgegevens in scriptblocks kunnen voorkomen en welke technische en organisatorische maatregelen zijn genomen om misbruik te voorkomen, zoals role-based access control, versleuteling tijdens transport en opslag, pseudonimisering waar haalbaar en procedures voor het anonimiseren van logextracten voordat ze met externe partijen worden gedeeld.

Compliance vereist ook dat uitzonderingen worden gedocumenteerd. Wanneer bepaalde systemen, bijvoorbeeld hoogbeveiligde OT-omgevingen, tijdelijk buiten scope vallen, wordt dit opgenomen in het risicoregister inclusief een besluit van het managementteam, de resterende risico's en compenserende maatregelen. Tijdens hercertificeringen kan de auditor steekproefsgewijs endpoints selecteren en via Intune of lokale registries controleren of logging actief is, wat alleen mogelijk is als inventarislijsten actueel blijven en relaties tussen apparaatlabels, beleidsnamen en proceseigenaren duidelijk zijn.

Tot slot wordt de controle ingebed in het bredere verantwoordingsproces. Jaarlijkse interne audits controleren de effectiviteit aan de hand van testplannen: er wordt een script uitgevoerd, de verwachting van het logevent beschreven en de daadwerkelijke uitkomst vergeleken met de norm. Bevindingen worden verwerkt in het verbeterplan van de CISO en besproken in bestuursoverleggen. Door deze cyclus te herhalen kan de organisatie aantonen dat scriptblocklogging niet slechts een technische functie is, maar een volwassen governance-maatregel die de betrouwbaarheid van clouddiensten in de Nederlandse publieke sector ondersteunt.

Bestuurlijke betrokkenheid wordt verder versterkt door de controle op te nemen in het assurance-framework van de organisatie. De interne auditdienst en externe accountant ontvangen periodiek toegang tot een read-only dashboard dat real-time compliancepercentages toont, aangevuld met bewijsstukken zoals beleidsversies en ondertekende goedkeuringsbesluiten. Hiermee wordt aangetoond dat de eerste, tweede en derde verdedigingslinie samenwerken aan dezelfde informatiebron en dat risico’s tijdig worden geëscaleerd naar het auditcomité. Dit verhoogt de betrouwbaarheid van rapportages richting toezichthouders en geeft bestuurders vertrouwen dat de maatregel duurzaam is ingebed.

Bij samenwerking met ketenpartners en leveranciers wordt contractueel vastgelegd dat zij dezelfde loggingvereisten respecteren wanneer zij beheerhandelingen uitvoeren op gedeelde infrastructuur. Shared responsibility-matrices maken duidelijk wie verantwoordelijk is voor het veilig opslaan van scriptblocks, wie de data mag analyseren en hoe rapportages richting toezichthouders worden gecoördineerd. Deze afspraken voorkomen versnippering, versnellen audits en garanderen dat de Nederlandse Baseline voor Veilige Cloud end-to-end wordt toegepast, ook buiten de directe invloedssfeer van de interne IT-organisatie.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Dwing script block logging af via Intune en stuur events 4104 naar je SIEM voor directe detectie en onderzoek.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE