Security Event Log Grootte

Het Security Event Log vormt de kern van beveiligingsmonitoring en forensisch onderzoek op Windows-systemen. Wanneer dit logbestand te klein is geconfigureerd, worden oudere gebeurtenissen automatisch overschreven voordat security analisten de kans hebben gehad om ze te analyseren. Dit leidt tot verlies van cruciale auditinformatie die essentieel is voor het detecteren van beveiligingsincidenten, het uitvoeren van forensisch onderzoek en het voldoen aan compliance-vereisten. Door een adequate loggrootte te configureren, kunnen organisaties een langere retentieperiode realiseren voor beveiligingsgebeurtenissen, wat van onschatbare waarde is bij het traceren van aanvalspatronen en het reconstrueren van gebeurtenissen na een incident. Deze instelling is onderdeel van de Windows Security Baseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties die voldoen aan industriestandaarden en overheidsrichtlijnen zoals de BIO Baseline Informatiebeveiliging Overheid.

Implementatie

Deze beveiligingsregel configureert de grootte van het Security Event Log via Microsoft Intune apparaatconfiguratiebeleid of compliance policies om Windows endpoints te beveiligen volgens beveiligingsbest practices. De configuratie zorgt ervoor dat het logbestand voldoende capaciteit heeft om beveiligingsgebeurtenissen gedurende een adequate periode vast te leggen, zonder dat belangrijke informatie verloren gaat door automatische overschrijving. Dit stelt security teams in staat om uitgebreide audit trails te behouden die essentieel zijn voor detectie, respons en naleving van regelgeving.

Vereisten

Voor de implementatie van deze beveiligingsregel zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst is Microsoft Intune vereist als Mobile Device Management (MDM) oplossing, waarbij de organisatie beschikt over de benodigde licentie en toegangsrechten om apparaatconfiguratiebeleidsregels te kunnen maken en implementeren. De Intune-omgeving moet correct zijn geconfigureerd met de juiste tenant-instellingen en de beheerders moeten beschikken over de vereiste rollen, zoals Intune Service Administrator of Global Administrator, om wijzigingen door te kunnen voeren.

Vanuit technisch perspectief moeten alle Windows endpoints die onder beheer vallen, verbonden zijn met Microsoft Intune via de Microsoft Intune Management Extension of via moderne MDM-registratie. Dit betekent dat apparaten moeten zijn geregistreerd in Azure Active Directory of Hybrid Azure AD Join moeten hebben uitgevoerd. Voor apparaten die nog niet via moderne MDM worden beheerd, kan een migratiestrategie nodig zijn om de overstap te maken van traditionele Group Policy Object (GPO) beheer naar Intune-based management.

De Windows-versies die worden ondersteund voor deze configuratie omvatten Windows 10 versie 1809 en hoger, evenals alle versies van Windows 11. Voor oudere versies van Windows 10 kan aanvullende configuratie of een upgrade vereist zijn. Het is belangrijk om te verifiëren dat de doelapparaten beschikken over voldoende schijfruimte om de geconfigureerde loggrootte te ondersteunen, aangezien een groter logbestand meer opslagcapaciteit vereist.

Vanuit organisatorisch perspectief is het essentieel dat er duidelijke afspraken zijn gemaakt over de gewenste retentieperiode voor beveiligingsgebeurtenissen. Deze beslissing moet worden genomen in overleg met de security operations center (SOC), compliance officers en eventueel externe auditors. De retentieperiode moet aansluiten bij de compliance-vereisten van de organisatie, zoals vastgelegd in de BIO Baseline Informatiebeveiliging Overheid of andere relevante normenkaders zoals ISO 27001.

Daarnaast moet er een proces zijn ingericht voor het regelmatig monitoren en archiveren van logbestanden. Wanneer logbestanden vol raken, moeten er procedures zijn voor het veilig archiveren van historische gegevens voordat ze worden overschreven. Dit kan worden gerealiseerd door middel van log forwarding naar een gecentraliseerd Security Information and Event Management (SIEM) systeem, of door periodieke back-ups van logbestanden naar beveiligde opslaglocaties.

Tot slot is het belangrijk dat de IT-afdeling beschikt over de benodigde kennis en vaardigheden om Intune-configuratiebeleidsregels te kunnen beheren en troubleshooten. Indien nodig moet er training worden georganiseerd of externe expertise worden ingeschakeld om een succesvolle implementatie te waarborgen.

Implementatie

De implementatie van de Security Event Log grootte configuratie via Microsoft Intune vereist een gestructureerde aanpak die begint met het bepalen van de optimale loggrootte voor de organisatie. De standaard grootte van het Security Event Log in Windows bedraagt 20 megabyte, wat voor de meeste organisaties onvoldoende is om een adequate retentieperiode te realiseren. Microsoft beveelt aan om minimaal 300 megabyte te configureren voor productieomgevingen, waarbij grotere organisaties of omgevingen met hoge gebeurtenisvolumes kunnen overwegen om 512 megabyte of zelfs 1 gigabyte te configureren.

De implementatie start met het aanmaken van een nieuw apparaatconfiguratieprofiel in Microsoft Intune. Navigeer naar de Intune admin center en selecteer Devices, gevolgd door Configuration profiles. Kies voor het aanmaken van een nieuw profiel en selecteer Windows 10 en later als platform. Als profieltype kiest u voor Templates en vervolgens voor Administrative Templates, wat toegang geeft tot de volledige set van Windows-beleidsinstellingen die ook beschikbaar zijn via Group Policy.

Binnen het Administrative Template profiel zoekt u naar de categorie Windows Components en vervolgens naar Event Log Service. Hier vindt u de specifieke instelling voor Maximum Security log size. Activeer deze instelling en configureer de gewenste grootte in kilobytes. Het is belangrijk om te realiseren dat de waarde in kilobytes moet worden opgegeven, dus voor 300 megabyte dient u 307200 kilobytes in te voeren (300 × 1024).

Naast de loggrootte is het ook aan te raden om de bijbehorende instellingen te configureren voor het beheer van volle logbestanden. Configureer de instelling Security: Retain security log voor een periode die aansluit bij uw compliance-vereisten, en stel Security: Shut down system immediately if unable to log security audits in op Enabled indien uw organisatie een zero-tolerance beleid hanteert voor het verlies van auditgegevens. Let op dat deze laatste instelling kan leiden tot onverwachte systeemuitval wanneer het logbestand vol raakt, dus dit moet zorgvuldig worden overwogen.

Wijs het configuratieprofiel toe aan de juiste groepen apparaten of gebruikers. Het is aan te raden om te beginnen met een pilotgroep van testapparaten om te verifiëren dat de configuratie correct wordt toegepast en geen onverwachte gevolgen heeft. Na succesvolle verificatie kan het profiel worden uitgerold naar de volledige organisatie. Gebruik de targeting-functionaliteit in Intune om specifieke security groepen te selecteren, waarbij u rekening houdt met verschillende behoeften per afdeling of locatie.

Na de implementatie is het cruciaal om te verifiëren dat de configuratie daadwerkelijk is toegepast op de doelapparaten. Dit kan worden gerealiseerd door middel van het monitoring script dat beschikbaar is in de code repository. Het script controleert de huidige configuratie van het Security Event Log op elk apparaat en rapporteert afwijkingen ten opzichte van het gewenste beleid. Voer het script regelmatig uit, vooral in de eerste weken na implementatie, om eventuele configuratiefouten tijdig te detecteren en te corrigeren.

Gebruik PowerShell-script security-event-log-size.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Effectieve monitoring van de Security Event Log grootte configuratie is essentieel om te waarborgen dat het beveiligingsbeleid consistent wordt toegepast op alle endpoints in de organisatie. Monitoring moet worden uitgevoerd op meerdere niveaus: technische verificatie van de configuratie-instellingen, operationele monitoring van logbestandgebruik, en compliance-verificatie om te voldoen aan auditvereisten.

Op technisch niveau moet regelmatig worden gecontroleerd of de geconfigureerde loggrootte daadwerkelijk is toegepast op alle doelapparaten. Dit kan worden gerealiseerd door middel van het beschikbare PowerShell monitoring script, dat de huidige configuratie van elk apparaat verifieert en afwijkingen rapporteert. Het script controleert de MaximumLogSize waarde in het Windows Registry en vergelijkt deze met de gewenste waarde zoals geconfigureerd in het Intune-beleid. Apparaten die niet voldoen aan het beleid worden geïdentificeerd en kunnen worden geremedieerd via automatische correctie of handmatige interventie.

Naast configuratieverificatie is het belangrijk om de daadwerkelijke gebruikspatronen van het Security Event Log te monitoren. Dit omvat het bijhouden van hoe snel logbestanden vol raken, welke typen gebeurtenissen het meest voorkomen, en of er periodes zijn waarin de logcapaciteit ontoereikend blijkt. Deze informatie kan worden gebruikt om de loggrootte te optimaliseren of om aanvullende maatregelen te nemen, zoals het implementeren van log forwarding naar een SIEM-systeem om de retentie te verlengen zonder de lokale loggrootte verder te vergroten.

Microsoft Intune biedt ingebouwde rapportagefunctionaliteit waarmee de compliance status van apparaten kan worden gemonitord. In de Intune admin center kunt u navigeren naar Devices, gevolgd door Monitor, waar u compliance rapporten kunt bekijken die aangeven hoeveel apparaten voldoen aan het geconfigureerde beleid en hoeveel apparaten afwijkingen vertonen. Deze rapporten kunnen worden geëxporteerd voor verdere analyse of voor het documenteren van compliance tijdens audits.

Voor geavanceerde monitoring kan de organisatie overwegen om een gecentraliseerd monitoring dashboard in te richten dat real-time inzicht biedt in de status van alle endpoints. Dit kan worden gerealiseerd door de monitoring script resultaten te integreren met een SIEM-systeem of door gebruik te maken van Azure Monitor en Azure Log Analytics. Door loggegevens te centraliseren, kunnen security analisten niet alleen de configuratiestatus monitoren, maar ook trends analyseren en proactief reageren op potentiële problemen voordat ze kritiek worden.

Het is aan te raden om minimaal wekelijks een compliance check uit te voeren, waarbij alle apparaten worden gescand op correcte configuratie. Voor kritieke omgevingen of organisaties met strikte compliance-vereisten kan dagelijkse monitoring worden overwogen. Daarnaast moet er een proces zijn voor het onderzoeken en oplossen van afwijkingen, waarbij duidelijk is wie verantwoordelijk is voor het uitvoeren van remediatie en binnen welke tijdsperiode dit moet gebeuren.

Monitoring moet ook aandacht besteden aan de prestaties van endpoints. Hoewel moderne Windows-systemen zonder problemen grote logbestanden kunnen beheren, kan in uitzonderlijke gevallen een zeer grote loggrootte invloed hebben op systeemprestaties, vooral bij het archiveren of legen van logbestanden. Door prestatiemetrics te monitoren, kunnen eventuele negatieve effecten tijdig worden gedetecteerd en aangepakt.

Gebruik PowerShell-script security-event-log-size.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring aangeeft dat apparaten niet voldoen aan het geconfigureerde Security Event Log grootte beleid, moet er een gestructureerd remediatieproces worden gevolgd om de configuratie te corrigeren. Remediatie kan op verschillende manieren worden uitgevoerd, afhankelijk van de oorzaak van de afwijking en de beschikbare automatisering in de organisatie.

De primaire remediatiemethode is het gebruik van het beschikbare PowerShell remediatie script, dat automatisch de correcte loggrootte kan configureren op apparaten die afwijken van het beleid. Het script werkt door de MaximumLogSize waarde in het Windows Registry te wijzigen naar de gewenste waarde, waarbij het rekening houdt met de benodigde conversie van megabytes naar kilobytes. Het script voert ook verificatie uit na de wijziging om te bevestigen dat de configuratie correct is toegepast.

Voor apparaten die via Microsoft Intune worden beheerd, kan Intune zelf automatische remediatie uitvoeren wanneer het detecteert dat een apparaat niet voldoen aan het configuratiebeleid. Dit gebeurt tijdens de reguliere policy evaluation cycles, waarbij Intune de huidige configuratie vergelijkt met het gewenste beleid en automatisch correcties doorvoert. Het kan echter enige tijd duren voordat deze automatische remediatie plaatsvindt, afhankelijk van de configuratie van de policy refresh intervals.

In gevallen waarin automatische remediatie niet succesvol is of niet beschikbaar is, kan handmatige interventie nodig zijn. Dit begint met het identificeren van de oorzaak van de afwijking. Mogelijke oorzaken zijn onder meer lokale Group Policy instellingen die het Intune-beleid overschrijven, applicaties of scripts die de loggrootte wijzigen, of configuratiefouten in het Intune-beleid zelf. Door de Windows Event Viewer te raadplegen en de relevante registry keys te inspecteren, kan de exacte oorzaak worden vastgesteld.

Wanneer lokale Group Policy instellingen conflicteren met het Intune-beleid, moet worden onderzocht welke GPO's actief zijn op het betreffende apparaat. In hybride omgevingen waar zowel on-premises Active Directory als Azure AD worden gebruikt, kunnen GPO's die via Active Directory worden toegepast voorrang hebben op Intune-beleid. In dergelijke gevallen moet de Group Policy worden aangepast of verwijderd, of moet worden overwogen om de apparaten volledig te migreren naar moderne MDM-beheer via Intune.

Voor apparaten die regelmatig terugkeren naar een niet-compliant status ondanks remediatie, kan het nodig zijn om dieper onderzoek te doen naar de onderliggende oorzaak. Dit kan wijzen op malware die de configuratie wijzigt, onbevoegde toegang tot het systeem, of problemen met de Intune-agent die de configuratie niet correct kan handhaven. In dergelijke gevallen moet een security incident response procedure worden gevolgd om de integriteit van het systeem te waarborgen.

Na succesvolle remediatie moet altijd verificatie worden uitgevoerd om te bevestigen dat de configuratie correct is toegepast en blijft behouden. Het monitoring script moet opnieuw worden uitgevoerd om te verifiëren dat het apparaat nu voldoet aan het beleid. Daarnaast moet worden gemonitord of het apparaat binnen een redelijke tijdsperiode opnieuw afwijkt, wat kan wijzen op een onderliggend probleem dat aanvullende aandacht vereist.

Het is belangrijk om een remediatie logboek bij te houden waarin wordt gedocumenteerd welke apparaten zijn gecorrigeerd, wanneer dit is gebeurd, wat de oorzaak van de afwijking was, en welke acties zijn ondernomen. Deze documentatie is waardevol voor het identificeren van patronen, het verbeteren van het beveiligingsbeleid, en het voldoen aan auditvereisten. Het logboek kan ook worden gebruikt om te analyseren of bepaalde typen apparaten of gebruikersgroepen vaker afwijkingen vertonen, wat kan leiden tot gerichte verbeteringen in het beleid of de implementatie.

Gebruik PowerShell-script security-event-log-size.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

De configuratie van de Security Event Log grootte is van cruciaal belang voor het voldoen aan diverse compliance-vereisten en normenkaders die van toepassing zijn op Nederlandse overheidsorganisaties. Deze beveiligingsmaatregel draagt direct bij aan het waarborgen van adequate audit trails en logging capabilities die essentieel zijn voor verantwoording, transparantie en forensisch onderzoek.

Binnen het kader van de BIO Baseline Informatiebeveiliging Overheid valt deze maatregel onder controle 16.01, die betrekking heeft op gebeurtenissen logging en audittrails. Deze controle vereist dat organisaties adequate logging implementeren voor alle relevante gebeurtenissen, waarbij de loggegevens voldoende lang moeten worden bewaard om te voldoen aan operationele en juridische vereisten. Door een adequate Security Event Log grootte te configureren, kunnen organisaties ervoor zorgen dat beveiligingsgebeurtenissen niet verloren gaan door automatische overschrijving voordat ze kunnen worden geanalyseerd of gearchiveerd.

De ISO 27001:2022 norm, specifiek controle A.12.4.1, stelt eisen aan event logging en monitoring. Deze controle vereist dat organisaties logging implementeren voor alle relevante gebeurtenissen, gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. De loggegevens moeten worden beschermd tegen manipulatie en onbevoegde toegang, en moeten voldoende lang worden bewaard om te voldoen aan operationele, juridische en regelgevingsvereisten. Een adequaat geconfigureerde Security Event Log grootte is een fundamentele voorwaarde voor het voldoen aan deze eisen.

Het CIS Security Benchmark, controle 18.9.19.2, specificeert dat de Security Event Log een minimale grootte moet hebben om adequate retentie te waarborgen. Hoewel het exacte minimum kan variëren afhankelijk van de omgeving en het gebeurtenisvolume, beveelt het CIS Benchmark aan om minimaal 300 megabyte te configureren voor productieomgevingen. Organisaties die streven naar CIS Level 1 of Level 2 compliance moeten deze aanbeveling opvolgen en kunnen worden geaudit op de correcte implementatie.

Voor Nederlandse overheidsorganisaties zijn er ook specifieke AVG (Algemene Verordening Gegevensbescherming) overwegingen. Hoewel de AVG primair gericht is op privacy en gegevensbescherming, vereist artikel 32 dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Adequate logging van beveiligingsgebeurtenissen, inclusief toegangscontroles en gegevenslekken, is een belangrijk onderdeel van deze maatregelen. Wanneer loggegevens verloren gaan door onvoldoende loggrootte, kan dit leiden tot niet-naleving van de AVG-vereisten.

Tijdens externe audits en compliance verificaties zullen auditors controleren of de Security Event Log correct is geconfigureerd en of de organisatie kan aantonen dat beveiligingsgebeurtenissen adequaat worden vastgelegd en bewaard. Het is daarom essentieel om uitgebreide documentatie bij te houden van het beleid, de implementatie, en de monitoring resultaten. Deze documentatie moet duidelijk maken welke loggrootte is geconfigureerd, waarom deze grootte is gekozen, hoe de configuratie wordt gemonitord, en welke maatregelen worden genomen wanneer afwijkingen worden gedetecteerd.

Naast de technische configuratie moet de organisatie ook organisatorische maatregelen treffen om compliance te waarborgen. Dit omvat het opstellen van een duidelijk beleidsdocument dat de vereisten voor Security Event Log configuratie vastlegt, het trainen van IT-personeel in het beheren en monitoren van logconfiguraties, en het instellen van regelmatige compliance checks. Het is aan te raden om minimaal kwartaalijks een compliance review uit te voeren, waarbij wordt gecontroleerd of alle apparaten nog steeds voldoen aan het beleid en of het beleid zelf nog steeds aansluit bij de actuele vereisten en best practices.

Voor het documenteren van compliance tijdens audits is het belangrijk om rapportages te kunnen genereren die aantonen dat de configuratie consistent wordt toegepast op alle endpoints in de organisatie. Microsoft Intune biedt hiervoor ingebouwde rapportagefunctionaliteit, maar het kan ook waardevol zijn om periodieke exports te maken van de monitoring script resultaten. Deze rapportages moeten worden bewaard voor de duur die is vastgelegd in het audit evidence retention beleid van de organisatie, typisch minimaal één jaar maar mogelijk langer afhankelijk van specifieke compliance-vereisten.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Configureer een adequate grootte voor het Security Event Log via Microsoft Intune om te waarborgen dat beveiligingsgebeurtenissen voldoende lang worden bewaard voor monitoring, forensisch onderzoek en compliance-vereisten.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE