Audit Logging Voor Overige Systeemgebeurtenissen Ingesteld Op Succes En Fout

Deze instelling vormt een essentieel onderdeel van de Windows-beveiligingsbaseline en beschermt organisaties tegen bekende aanvalsvectoren door het afdwingen van uitgebreide audit logging configuraties. Zonder adequate logging van overige systeemgebeurtenissen missen beveiligingsteams cruciale informatie over systeemwijzigingen, configuratieaanpassingen en potentiële beveiligingsincidenten die niet door de standaard audit categorieën worden gedekt. Deze logging is van onschatbare waarde voor forensisch onderzoek na een beveiligingsincident, compliance verificatie en proactieve dreigingsdetectie.

Implementatie

Deze regel configureert de Windows audit policy voor 'Other System Events' op zowel succesvolle als mislukte gebeurtenissen via Microsoft Intune apparaatconfiguratiebeleid of compliance policies. Deze configuratie zorgt ervoor dat Windows endpoints alle overige systeemgebeurtenissen vastleggen die niet expliciet onder andere audit categorieën vallen, waardoor organisaties een compleet beeld krijgen van alle systeemactiviteiten. De implementatie via Intune garandeert consistente toepassing van deze beveiligingsinstellingen op alle beheerde Windows devices, in overeenstemming met beveiligingsbest practices en compliance vereisten zoals BIO, ISO 27001 en CIS benchmarks.

Vereisten

De succesvolle implementatie van audit logging voor overige systeemgebeurtenissen vereist een grondige voorbereiding waarbij zowel technische als organisatorische aspecten zorgvuldig moeten worden overwogen. De basis voor deze configuratie wordt gevormd door Microsoft Intune, dat functioneert als het centrale Mobile Device Management platform binnen de Microsoft 365 omgeving. Intune speelt een cruciale rol als distributie- en handhavingsmechanisme voor alle apparaatconfiguratiebeleidsregels die worden toegepast op Windows endpoints binnen de organisatie. Zonder een volledig operationele en correct geconfigureerde Intune omgeving is het onmogelijk om deze audit instellingen centraal te beheren, te monitoren en te handhaven op schaal. Deze centrale beheeromgeving vormt de ruggengraat van het hele implementatieproces en bepaalt in grote mate het succes van de configuratie. Organisaties moeten daarom eerst investeren in het opzetten en optimaliseren van hun Intune omgeving voordat zij beginnen met het implementeren van specifieke audit logging configuraties. Dit omvat het valideren van de netwerkconnectiviteit tussen endpoints en de Intune service, het controleren van de synchronisatiestatus van alle beheerde apparaten, en het verifiëren dat alle benodigde Intune functies correct zijn geactiveerd en geconfigureerd.

Een fundamentele vereiste voor de implementatie is dat alle Windows endpoints binnen de organisatie correct zijn ingeschreven in Microsoft Intune en beschikken over een stabiele en actieve verbinding met de Intune service. Dit inschrijvingsproces vereist dat endpoints zijn geregistreerd in Azure Active Directory, dat recentelijk is hernoemd naar Microsoft Entra ID, en dat zij voldoen aan alle basisvereisten die Microsoft stelt voor Intune apparaatinschrijving. Voor organisaties die werken met hybride omgevingen, waarbij endpoints gelijktijdig gebruik maken van zowel on-premises Active Directory als Azure AD, is aanvullende configuratie en planning noodzakelijk. Deze hybride configuraties vereisen specifieke aandacht voor de synchronisatie tussen on-premises en cloud omgevingen, en voor het beheer van Group Policy Object conflicten die kunnen ontstaan wanneer Intune policies worden toegepast naast traditionele on-premises GPO's. Het inschrijvingsproces zelf moet zorgvuldig worden beheerd en gemonitord om te garanderen dat alle endpoints succesvol worden geregistreerd en dat er geen endpoints buiten de beheeromgeving vallen. Endpoints die niet correct zijn ingeschreven vormen een significant beveiligingsrisico omdat zij niet kunnen profiteren van de centrale beveiligingsconfiguraties en daarom kwetsbaar zijn voor aanvallen en niet voldoen aan compliance vereisten.

Vanuit licentieperspectief is het essentieel dat de organisatie beschikt over de juiste Microsoft 365 licentieconfiguratie die Intune apparaatbeheer omvat. De beschikbare licentieopties variëren aanzienlijk, van Microsoft 365 Business Premium voor kleinere organisaties tot Enterprise licentiepakketten zoals Microsoft 365 E3 of E5 voor grotere organisaties met uitgebreide beveiligingsvereisten. De keuze voor een specifieke licentieconfiguratie hangt af van verschillende factoren, waaronder de omvang van de organisatie, het aantal endpoints dat moet worden beheerd, en de specifieke beveiligings- en compliance vereisten. Zonder de juiste licenties kunnen endpoints niet worden beheerd via Intune, wat betekent dat deze audit configuratie niet kan worden geïmplementeerd en dat organisaties niet kunnen voldoen aan de compliance vereisten die worden gesteld door frameworks zoals BIO, ISO 27001 en CIS benchmarks. Organisaties moeten daarom een grondige licentieaudit uitvoeren om te verifiëren dat alle benodigde licenties aanwezig zijn en correct zijn toegewezen aan de juiste gebruikers of apparaten. Het is belangrijk om te begrijpen dat licentievereisten kunnen veranderen wanneer nieuwe functies worden toegevoegd of wanneer de organisatie groeit, en dat regelmatige licentiecontroles noodzakelijk zijn om te garanderen dat de organisatie altijd beschikt over de benodigde licenties voor alle beheeractiviteiten.

Technisch gezien moeten alle Windows endpoints binnen de organisatie ondersteuning bieden voor de Group Policy Object instellingen die door Intune worden geconverteerd naar moderne MDM policies. Moderne Windows versies, waaronder Windows 10 vanaf versie 1809 en alle versies van Windows 11, bieden volledige en native ondersteuning voor deze configuraties zonder aanvullende aanpassingen. Deze moderne Windows versies zijn volledig geoptimaliseerd voor cloud-gebaseerd apparaatbeheer en ondersteunen alle audit policy instellingen die via Intune kunnen worden geconfigureerd. Voor organisaties die nog werken met oudere Windows versies, zoals Windows 10 versies vóór 1809 of zelfs Windows 7 of 8.1, is aanvullende configuratie of migratie naar nieuwere versies noodzakelijk. Deze migratie is niet alleen belangrijk voor de ondersteuning van audit logging configuraties, maar ook voor algemene beveiliging, omdat oudere Windows versies vaak niet langer worden ondersteund met beveiligingsupdates en patches. Het migratieproces moet zorgvuldig worden gepland en uitgevoerd om te voorkomen dat endpoints tijdelijk zonder beveiligingsconfiguraties komen te staan. Organisaties moeten een duidelijk migratieplan ontwikkelen dat rekening houdt met de specifieke uitdagingen van hun omgeving en dat voldoende tijd inbouwt voor testen en validatie voordat endpoints worden gemigreerd naar productie omgevingen.

Organisatorisch gezien is het van cruciaal belang dat de IT-afdeling beschikt over de benodigde beheerrechten en rollen binnen zowel Microsoft Intune als Azure AD. De minimale vereiste rol voor het configureren van apparaatbeleidsregels is de rol van Intune Administrator, hoewel organisaties er vaak voor kiezen om deze configuraties uit te voeren met behulp van hogere rollen zoals Global Administrator of een aangepaste rol met specifieke Intune rechten. Naast de technische rechten is het belangrijk dat er een duidelijk en gedocumenteerd proces bestaat voor het testen van nieuwe policies in een gecontroleerde pilot omgeving voordat deze worden uitgerold naar productie endpoints. Dit testproces helpt om configuratiefouten te identificeren en te corrigeren voordat deze de operationele continuïteit kunnen verstoren, en het zorgt ervoor dat de audit logging configuratie correct functioneert zoals bedoeld. Het testproces moet ook aandacht besteden aan de impact op systeemprestaties, omdat uitgebreide audit logging kan leiden tot verhoogde log volumes en mogelijke performance overhead op endpoints. Organisaties moeten daarom een gestructureerd testproces ontwikkelen dat verschillende scenario's omvat, waaronder endpoints met verschillende configuraties, verschillende netwerkomgevingen, en verschillende workloads, om te garanderen dat de audit logging configuratie robuust is en correct functioneert onder alle omstandigheden. Dit testproces moet worden gedocumenteerd en regelmatig worden herhaald wanneer wijzigingen worden doorgevoerd of wanneer nieuwe endpoints worden toegevoegd aan de omgeving.

Implementatie

De implementatie van audit logging voor overige systeemgebeurtenissen vereist een methodische en gestructureerde aanpak waarbij elk aspect van de configuratie zorgvuldig wordt overwogen en uitgevoerd. Het implementatieproces begint met een grondige voorbereiding van de Intune omgeving, waarbij wordt gecontroleerd of alle benodigde componenten correct zijn geconfigureerd en operationeel zijn. Deze voorbereidingsfase omvat het valideren van de Intune licentieconfiguratie, het controleren van de connectiviteit tussen endpoints en de Intune service, en het verifiëren dat alle benodigde beheerrechten aanwezig zijn. Na deze voorbereiding kan het configuratieproces worden gestart met het aanmaken en configureren van het juiste device configuration policy template dat de specifieke audit instellingen bevat die nodig zijn voor het vastleggen van overige systeemgebeurtenissen. Deze voorbereidingsfase is van cruciaal belang omdat eventuele problemen die tijdens deze fase worden geïdentificeerd veel gemakkelijker kunnen worden opgelost voordat het beleid wordt geïmplementeerd, wat tijd en moeite bespaart en voorkomt dat endpoints worden geconfigureerd met onjuiste instellingen. Organisaties moeten daarom voldoende tijd inbouwen voor deze voorbereidingsfase en ervoor zorgen dat alle aspecten grondig worden gecontroleerd voordat zij doorgaan naar de daadwerkelijke configuratiefase.

Binnen Microsoft Intune wordt deze configuratie geïmplementeerd via een Apparaatconfiguratiebeleid dat gebruik maakt van de Administrative Templates of Security Settings functionaliteit, afhankelijk van de beschikbare opties in de specifieke Intune versie die door de organisatie wordt gebruikt. De specifieke beleidsinstelling die moet worden geconfigureerd is 'Audit Other System Events', die zich bevindt binnen de Local Policies Security Options sectie van de Windows Security Settings. Deze instelling moet expliciet worden ingesteld op 'Success and Failure' om ervoor te zorgen dat zowel geslaagde als mislukte gebeurtenissen worden vastgelegd in de audit logs. Deze dubbele logging is essentieel voor volledige zichtbaarheid in de systeemactiviteiten en vormt de basis voor effectief forensisch onderzoek wanneer beveiligingsincidenten optreden. Zonder logging van zowel succesvolle als mislukte gebeurtenissen zouden beveiligingsteams een onvolledig beeld hebben van wat er gebeurt binnen hun omgeving. Het is belangrijk om te begrijpen dat succesvolle gebeurtenissen net zo belangrijk zijn als mislukte gebeurtenissen voor beveiligingsdoeleinden, omdat succesvolle gebeurtenissen kunnen wijzen op geslaagde aanvallen of ongeautoriseerde toegang, terwijl mislukte gebeurtenissen kunnen wijzen op pogingen tot aanvallen die zijn afgewezen. Beide typen gebeurtenissen zijn daarom essentieel voor een compleet beveiligingsbeeld.

Het configuratieproces begint formeel met het aanmaken van een nieuw Apparaatconfiguratiebeleid binnen de Microsoft Endpoint Manager admin center, dat de centrale beheerinterface vormt voor alle Intune configuraties. Om dit te doen, navigeert de beheerder naar de Devices sectie binnen Endpoint Manager, selecteert vervolgens Configuration profiles, en klikt op 'Create profile' om een nieuw beleid aan te maken. Tijdens het aanmaken van het profiel moet het juiste platform worden geselecteerd, waarbij de keuze valt tussen 'Windows 10 and later' of 'Windows 11', afhankelijk van de specifieke Windows versies die binnen de organisatie worden gebruikt. Vervolgens moet het profieltype worden gekozen, waarbij de opties 'Administrative Templates' of 'Settings catalog' beschikbaar zijn, afhankelijk van de Intune versie en licentieconfiguratie. De Settings catalog optie biedt vaak meer gedetailleerde configuratiemogelijkheden, terwijl Administrative Templates een meer traditionele aanpak bieden die vergelijkbaar is met on-premises Group Policy configuraties. De keuze tussen deze opties hangt af van de specifieke behoeften van de organisatie en de beschikbare Intune functies. Organisaties moeten zorgvuldig overwegen welke optie het beste past bij hun omgeving en hun beheerprocessen, waarbij rekening wordt gehouden met factoren zoals de complexiteit van de configuratie, de behoefte aan gedetailleerde controle, en de voorkeur voor traditionele versus moderne configuratiemethoden.

Binnen het geselecteerde beleidstemplate moet de specifieke instelling 'Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit Other System Events' worden geconfigureerd met de juiste parameters. Deze configuratie vereist dat de instelling wordt ingesteld op 'Define this policy setting', wat aangeeft dat de organisatie expliciet wil bepalen hoe deze audit policy wordt geconfigureerd, in plaats van deze over te laten aan de standaard Windows instellingen. Vervolgens moeten zowel 'Success' als 'Failure' worden geselecteerd in de beschikbare checkbox opties, wat ervoor zorgt dat alle overige systeemgebeurtenissen, ongeacht of ze succesvol zijn voltooid of zijn mislukt, worden vastgelegd in de Windows Security Event Log. Deze uitgebreide logging zorgt voor een compleet audit trail dat van onschatbare waarde is voor beveiligingsanalisten die onderzoek doen naar potentiële incidenten of die proactief zoeken naar tekenen van compromittering. Het is belangrijk om te begrijpen dat deze configuratie niet alleen technisch correct moet zijn, maar ook moet worden gedocumenteerd en gecommuniceerd naar alle relevante stakeholders, zodat iedereen begrijpt waarom deze configuratie is geïmplementeerd en wat de verwachte resultaten zijn. Deze documentatie en communicatie helpen om draagvlak te creëren voor de configuratie en zorgen ervoor dat eventuele vragen of zorgen vroegtijdig kunnen worden aangepakt.

Na het configureren van de beleidsinstellingen zelf, moet het beleid worden toegewezen aan de juiste groepen endpoints binnen de organisatie. Deze toewijzing kan op verschillende manieren worden uitgevoerd, waarbij de meest voorkomende aanpak het gebruik van directe toewijzing aan Azure AD security groups is. Deze security groups kunnen handmatig worden samengesteld of kunnen worden geconfigureerd als dynamische apparaatgroepen die automatisch endpoints toevoegen op basis van specifieke criteria zoals apparaattype, besturingssysteem versie, organisatorische eenheid, of andere kenmerken die relevant zijn voor de organisatie. Het gebruik van dynamische groepen biedt het voordeel dat nieuwe endpoints automatisch worden toegevoegd aan de juiste groepen wanneer zij voldoen aan de gedefinieerde criteria, wat de administratieve last vermindert en ervoor zorgt dat alle relevante endpoints consistent worden beheerd. Ongeacht de gekozen toewijzingsmethode, is het sterk aanbevolen om eerst een pilot groep te selecteren met een beperkt aantal test endpoints om te verifiëren dat de configuratie correct werkt en geen onbedoelde negatieve gevolgen heeft voordat de configuratie wordt uitgerold naar de volledige organisatie. Deze pilot fase is essentieel voor het identificeren en oplossen van eventuele problemen voordat de configuratie wordt toegepast op alle endpoints, wat het risico op wijdverspreide problemen aanzienlijk vermindert. Tijdens de pilot fase moeten organisaties verschillende scenario's testen, waaronder endpoints met verschillende configuraties, verschillende netwerkomgevingen, en verschillende workloads, om te garanderen dat de configuratie robuust is en correct functioneert onder alle omstandigheden.

De implementatie kan aanzienlijk worden versneld en verbeterd door gebruik te maken van geautomatiseerde PowerShell scripts die gebruik maken van de Microsoft Graph API of de gespecialiseerde Intune PowerShell modules. Deze scripts kunnen verschillende aspecten van de implementatie automatiseren, waaronder het valideren van de beleidsconfiguratie om te verifiëren dat alle instellingen correct zijn geconfigureerd, het controleren van de toewijzingen om te garanderen dat het beleid is toegewezen aan de juiste groepen, en het monitoren van de compliance status van endpoints om te identificeren welke endpoints het beleid correct hebben ontvangen en geïmplementeerd. Het gebruik van geautomatiseerde scripts biedt aanzienlijke voordelen ten opzichte van handmatige configuratie, waaronder verhoogde snelheid van implementatie, verbeterde consistentie tussen verschillende omgevingen, en reproduceerbaarheid van de configuratie wanneer deze moet worden toegepast in nieuwe omgevingen of wanneer wijzigingen moeten worden doorgevoerd. Bovendien kunnen deze scripts worden geïntegreerd in bestaande DevOps of infrastructure as code workflows, wat zorgt voor versiebeheer en gecontroleerde wijzigingsbeheerprocessen. Organisaties moeten echter voorzichtig zijn bij het gebruik van geautomatiseerde scripts en ervoor zorgen dat deze scripts grondig worden getest voordat zij worden gebruikt in productie omgevingen. Scripts moeten ook worden gedocumenteerd en onder versiebeheer worden geplaatst om te garanderen dat wijzigingen kunnen worden getraceerd en teruggedraaid indien nodig.

Gebruik PowerShell-script system-audit-other-system-events-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Het bijbehorende PowerShell script biedt geautomatiseerde functionaliteit voor het monitoren van de implementatie status en compliance van deze audit logging configuratie op alle beheerde Windows endpoints..

Monitoring

Effectieve en continue monitoring van de audit logging configuratie voor overige systeemgebeurtenissen vormt een kritieke component van een robuuste beveiligingsstrategie, omdat het garandeert dat de geconfigureerde instellingen daadwerkelijk correct worden toegepast en actief blijven op alle Windows endpoints binnen de organisatie. Monitoring is geen eenmalige activiteit maar een continu proces dat meerdere aspecten omvat, waaronder het valideren van de beleidscompliance status om te verifiëren dat endpoints de configuratie correct hebben ontvangen en geïmplementeerd, en het analyseren van de gegenereerde audit logs om te detecteren of de logging daadwerkelijk functioneert zoals bedoeld en of de logs de verwachte informatie bevatten. Zonder adequate monitoring kunnen configuratiedrift optreden, waarbij endpoints na verloop van tijd afwijken van de gewenste configuratie, of kunnen problemen met de audit logging onopgemerkt blijven totdat zij worden ontdekt tijdens een beveiligingsincident of compliance audit, wat te laat is voor proactieve actie. Deze monitoring moet daarom worden beschouwd als een fundamenteel onderdeel van het beveiligingsbeheerproces en moet worden geïntegreerd in de dagelijkse operationele activiteiten van de beveiligingsteams. Organisaties moeten een gestructureerd monitoringproces ontwikkelen dat verschillende aspecten van de audit logging configuratie omvat en dat regelmatig wordt uitgevoerd om te garanderen dat de configuratie effectief blijft functioneren.

Binnen Microsoft Endpoint Manager biedt het platform uitgebreide mogelijkheden voor het monitoren van de compliance status van het audit beleid via de gespecialiseerde Apparaatconfiguratiebeleid compliance rapporten. Deze rapporten bieden gedetailleerde inzichten per endpoint, waarbij wordt getoond of het beleid correct is toegepast, of er conflicten zijn met andere policies die de configuratie kunnen beïnvloeden, en of endpoints het beleid daadwerkelijk hebben ontvangen en geïmplementeerd zoals bedoeld. Deze rapporten maken het mogelijk om snel te identificeren welke endpoints niet voldoen aan de vereiste configuratie, wat de eerste stap is in het remediatieproces. Regelmatige controle van deze compliance rapporten, bijvoorbeeld wekelijks of maandelijks afhankelijk van de organisatorische vereisten en de omvang van de endpoint omgeving, helpt om snel te reageren wanneer endpoints niet meer voldoen aan de vereiste configuratie en voorkomt dat problemen zich opstapelen of onopgemerkt blijven. Voor grotere organisaties met duizenden endpoints kan geautomatiseerde monitoring en alerting worden geconfigureerd om automatisch meldingen te genereren wanneer het compliance percentage onder een bepaalde drempelwaarde daalt. Deze geautomatiseerde alerting helpt om ervoor te zorgen dat problemen snel worden geïdentificeerd en aangepakt, zelfs in grote omgevingen waar handmatige monitoring onpraktisch zou zijn. Organisaties moeten daarom investeren in het opzetten van geautomatiseerde monitoring en alerting systemen die kunnen helpen bij het handhaven van hoge compliance niveaus.

Naast het monitoren van beleidscompliance is het essentieel om de daadwerkelijke audit logs te analyseren om te verifiëren dat gebeurtenissen daadwerkelijk worden vastgelegd en dat de logs de verwachte informatie bevatten. De Windows Security Event Log bevat de specifieke audit events voor overige systeemgebeurtenissen onder Event ID 4616, die expliciet is gereserveerd voor 'Other System Events' zoals gedefinieerd in de Windows audit policy configuratie. Beveiligingsteams moeten regelmatig controleren of deze events worden gegenereerd op endpoints, of zij de verwachte detailniveaus bevatten, en of de timing en frequentie van de events overeenkomen met de verwachte systeemactiviteit. Het ontbreken van deze events, of een significante afname in het aantal gegenereerde events zonder een corresponderende afname in systeemactiviteit, kan duiden op een probleem met de audit configuratie, op endpoints die het beleid niet correct hebben ontvangen, of op een poging om audit logging te omzeilen, wat op zichzelf een potentieel beveiligingsincident kan zijn. Daarom is het analyseren van audit logs niet alleen een verificatieactiviteit maar ook een beveiligingsactiviteit die kan helpen bij het detecteren van potentiële bedreigingen. Deze analyse moet worden uitgevoerd door getrainde beveiligingsanalisten die bekend zijn met de verschillende typen events en die kunnen identificeren wanneer events afwijken van het verwachte patroon. Organisaties moeten daarom investeren in training en tools die beveiligingsteams helpen bij het effectief analyseren van audit logs.

Voor geavanceerde monitoring en analyse kunnen Security Information and Event Management systemen worden geconfigureerd om de audit logs centraal te verzamelen van alle endpoints binnen de organisatie en deze te analyseren met behulp van geavanceerde correlatie- en detectie-algoritmen. Deze SIEM oplossingen maken het mogelijk om trends te identificeren over langere perioden, anomalieën te detecteren die kunnen wijzen op ongebruikelijke of verdachte activiteiten, en correlaties te leggen tussen verschillende gebeurtenissen die individueel onschuldig lijken maar samen kunnen wijzen op een geavanceerde aanval of compromittering. Moderne SIEM oplossingen zoals Microsoft Sentinel, Azure Monitor, of on-premises oplossingen zoals Splunk of QRadar kunnen worden geconfigureerd om automatisch waarschuwingen te genereren wanneer specifieke patronen worden gedetecteerd die kunnen wijzen op beveiligingsincidenten, zoals een plotselinge toename in mislukte systeemgebeurtenissen, ongebruikelijke timing van events, of combinaties van events die overeenkomen met bekende aanvalstechnieken. Deze geautomatiseerde detectie maakt het mogelijk om snel te reageren op potentiële bedreigingen voordat zij kunnen escaleren tot volledige beveiligingsincidenten. Organisaties moeten daarom overwegen om SIEM oplossingen te implementeren als onderdeel van hun beveiligingsstrategie, omdat deze oplossingen aanzienlijke voordelen bieden ten opzichte van handmatige log analyse. Deze voordelen omvatten snellere detectie van bedreigingen, betere correlatie tussen gebeurtenissen, en geautomatiseerde respons op bekende bedreigingspatronen.

Geautomatiseerde monitoring scripts kunnen worden ingezet om periodiek de audit configuratie te valideren op endpoints, waarbij wordt gecontroleerd of de registry keys of Group Policy instellingen correct zijn geconfigureerd en of zij overeenkomen met de verwachte waarden zoals gedefinieerd in het Intune beleid. Deze scripts kunnen op verschillende manieren worden uitgevoerd, waarbij de keuze afhangt van de organisatorische voorkeuren en bestaande infrastructure. Scripts kunnen lokaal worden uitgevoerd via Group Policy of centraal via Intune scripts, waarbij de centrale aanpak het voordeel biedt van gecentraliseerd beheer en monitoring. Dergelijke scripts kunnen ook worden geïntegreerd in bestaande monitoring frameworks en infrastructure management tools om compliance dashboards te voeden met real-time informatie over de configuratiestatus, en om automatische waarschuwingen te genereren bij afwijkingen van de verwachte configuratie. Deze geautomatiseerde monitoring vermindert de administratieve last voor beveiligingsteams en zorgt ervoor dat problemen snel worden geïdentificeerd en aangepakt voordat zij kunnen leiden tot compliance issues of beveiligingsincidenten. Organisaties moeten daarom investeren in het ontwikkelen en onderhouden van geautomatiseerde monitoring scripts die kunnen helpen bij het handhaven van consistente configuraties en het snel identificeren van problemen. Deze scripts moeten regelmatig worden getest en bijgewerkt om te garanderen dat zij correct functioneren en dat zij blijven voldoen aan de veranderende behoeften van de organisatie.

Het is belangrijk om monitoring niet alleen te beperken tot technische compliance maar ook te kijken naar de kwaliteit en bruikbaarheid van de gegenereerde logs, omdat logs die technisch correct zijn gegenereerd maar onvoldoende detail bevatten of niet correct worden getimed weinig waarde hebben voor beveiligingsanalisten of forensisch onderzoekers. Logs moeten voldoende detail bevatten om forensisch onderzoek mogelijk te maken, waarbij alle relevante informatie beschikbaar is om te begrijpen wat er is gebeurd, wanneer het is gebeurd, en wie of wat verantwoordelijk was voor de gebeurtenis. Logs moeten correct worden getimed met nauwkeurige timestamps die zijn gesynchroniseerd met een betrouwbare tijdserver, omdat timing informatie cruciaal is voor het leggen van correlaties tussen gebeurtenissen en het reconstrueren van de volgorde van gebeurtenissen tijdens een beveiligingsincident. Bovendien moeten logs voldoen aan de retentievereisten zoals gespecificeerd in het audit evidence beleid van de organisatie, waarbij logs worden bewaard voor de vereiste periode om te voldoen aan compliance vereisten en om forensisch onderzoek mogelijk te maken na incidenten. Regelmatige audits van de log kwaliteit, waarbij wordt gecontroleerd of logs de verwachte informatie bevatten, of zij correct worden getimed, en of zij voldoen aan de retentievereisten, helpen om te garanderen dat de logging daadwerkelijk bijdraagt aan de beveiligingsdoelstellingen van de organisatie en niet alleen een technische checkbox is die wordt aangevinkt zonder echte waarde. Deze kwaliteitsaudits moeten worden uitgevoerd door getrainde beveiligingsprofessionals die kunnen beoordelen of logs voldoen aan de vereisten voor forensisch onderzoek en compliance doeleinden.

Gebruik PowerShell-script system-audit-other-system-events-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Het monitoring script biedt geautomatiseerde functionaliteit voor het controleren van de compliance status en het valideren van de audit logging configuratie op alle beheerde endpoints..

Remediatie

Wanneer monitoring activiteiten aangeven dat endpoints niet voldoen aan de vereiste audit logging configuratie, moet een gestructureerd en systematisch remediatieproces worden gevolgd om de configuratie te herstellen en te garanderen dat alle endpoints weer voldoen aan de beveiligingsvereisten. Remediatie is geen eenvoudige activiteit maar een complex proces dat begint met het grondig identificeren van de onderliggende oorzaak van de niet-naleving, gevolgd door het selecteren en toepassen van de juiste correctieve maatregelen die zijn afgestemd op de specifieke oorzaak, en eindigt met uitgebreide verificatie dat de configuratie succesvol is hersteld en dat de endpoint daadwerkelijk weer compliant is. Het is belangrijk om te begrijpen dat niet alle niet-naleving hetzelfde is, en dat verschillende oorzaken verschillende remediatiestrategieën vereisen. Daarom moet het remediatieproces altijd beginnen met een grondige diagnose van het probleem voordat correctieve acties worden ondernomen, om te voorkomen dat tijd wordt verspild aan het toepassen van oplossingen die niet geschikt zijn voor het specifieke probleem. Deze diagnose moet worden uitgevoerd door ervaren IT-professionals die bekend zijn met de verschillende oorzaken van niet-naleving en die de juiste diagnostische tools en technieken kunnen gebruiken om de onderliggende oorzaak te identificeren. Organisaties moeten daarom investeren in training en tools die IT-teams helpen bij het effectief diagnosticeren en oplossen van compliance problemen.

De meest voorkomende oorzaken van niet-naleving kunnen worden gecategoriseerd in drie hoofdgroepen, elk met hun eigen specifieke kenmerken en remediatievereisten. De eerste groep omvat endpoints die het Intune beleid simpelweg niet hebben ontvangen, wat kan gebeuren om verschillende redenen zoals netwerkproblemen, inschrijvingsproblemen, of toewijzingsproblemen waarbij het endpoint niet is opgenomen in de juiste security groups. De tweede groep omvat situaties waarbij conflicterende Group Policy Object instellingen de Intune configuratie overschrijven, wat vaak voorkomt in hybride omgevingen waar zowel on-premises GPO's als cloud-based Intune policies worden gebruikt. De derde groep omvat endpoints die niet correct zijn ingeschreven in Intune, wat kan gebeuren wanneer het inschrijvingsproces is onderbroken, wanneer er problemen zijn met de netwerkconnectiviteit, of wanneer er configuratiefouten zijn gemaakt tijdens het initiële inschrijvingsproces. Voor elk van deze scenario's zijn specifieke en gerichte remediatiestappen vereist om het probleem effectief op te lossen, en het is belangrijk om de juiste remediatiestrategie te kiezen op basis van de geïdentificeerde oorzaak. Organisaties moeten daarom een gestructureerd diagnostisch proces ontwikkelen dat helpt bij het snel identificeren van de onderliggende oorzaak en het selecteren van de juiste remediatiestrategie. Dit proces moet worden gedocumenteerd en regelmatig worden bijgewerkt op basis van ervaringen en nieuwe inzichten.

Wanneer een endpoint het beleid niet heeft ontvangen, moet het diagnostische proces beginnen met het controleren of het endpoint correct is ingeschreven in Intune en of het deel uitmaakt van de juiste Azure AD security groups waaraan het beleid is toegewezen. Deze verificatie kan worden uitgevoerd via de Microsoft Endpoint Manager admin center, waar de inschrijvingsstatus en groepslidmaatschappen kunnen worden gecontroleerd. Als het endpoint correct is ingeschreven en deel uitmaakt van de juiste groepen, kan het probleem liggen in de synchronisatie tussen het endpoint en de Intune service. In dergelijke gevallen kan het endpoint worden geforceerd om opnieuw te synchroniseren met Intune door de Intune Management Extension te herstarten, wat kan worden gedaan via de Intune console of lokaal op het endpoint. Alternatief kan het endpoint handmatig worden getriggerd om beleidsupdates op te halen door het uitvoeren van specifieke PowerShell commando's of door het gebruik van de Intune sync functionaliteit in de Windows instellingen. In sommige gevallen, wanneer deze methoden niet succesvol zijn, kan het nodig zijn om het endpoint volledig opnieuw in te schrijven in Intune om de verbinding te herstellen en ervoor te zorgen dat het endpoint weer correct communiceert met de Intune service. Deze herinschrijving moet zorgvuldig worden uitgevoerd om te voorkomen dat bestaande configuraties verloren gaan of dat het endpoint tijdelijk zonder beveiligingsconfiguraties komt te staan. Organisaties moeten daarom een duidelijk proces ontwikkelen voor het herinschrijven van endpoints dat rekening houdt met deze risico's en dat voldoende tijd inbouwt voor verificatie na de herinschrijving.

Bij conflicterende Group Policy Object instellingen moet een grondig onderzoek worden uitgevoerd om te identificeren welke specifieke on-premises GPO's de audit instellingen overschrijven en waarom deze conflicten optreden. In hybride omgevingen hebben on-premises GPO's vaak voorrang boven Intune MDM policies vanwege de manier waarop Windows de policy precedence bepaalt, waarbij on-premises GPO's worden toegepast na MDM policies en daarom de laatste instellingen overschrijven. De remediatie voor deze situatie vereist het aanpassen van de conflicterende GPO's om ervoor te zorgen dat zij niet langer de audit instellingen overschrijven, of het configureren van de Group Policy precedence om ervoor te zorgen dat Intune policies de juiste prioriteit krijgen en niet worden overschreven door on-premises configuraties. Dit kan worden bereikt door het aanpassen van de GPO configuratie om specifieke instellingen niet te definiëren, waardoor Intune policies de controle kunnen overnemen, of door het gebruik van Group Policy filtering om ervoor te zorgen dat conflicterende GPO's niet worden toegepast op endpoints die via Intune worden beheerd. Alternatief kan worden gekozen voor een volledige migratie naar cloud-only management waarbij on-premises GPO's geleidelijk worden vervangen door Intune policies, wat een meer langetermijnoplossing biedt maar wel een uitgebreid migratieproject vereist. Deze migratie moet zorgvuldig worden gepland en uitgevoerd om te voorkomen dat endpoints tijdelijk zonder beveiligingsconfiguraties komen te staan of dat bestaande configuraties verloren gaan. Organisaties moeten daarom een duidelijk migratieplan ontwikkelen dat rekening houdt met deze risico's en dat voldoende tijd inbouwt voor testen en validatie.

Voor endpoints die niet correct zijn ingeschreven in Intune moet het volledige inschrijvingsproces opnieuw worden doorlopen, waarbij wordt gecontroleerd of alle stappen correct worden uitgevoerd en of er geen fouten optreden tijdens het proces. Dit kan betekenen dat het endpoint opnieuw moet worden toegevoegd aan Azure AD, waarbij wordt gecontroleerd of het endpoint correct is geregistreerd en of alle benodigde attributen correct zijn geconfigureerd. Het kan ook betekenen dat de Intune Management Extension opnieuw moet worden geïnstalleerd, wat de component is die verantwoordelijk is voor de communicatie tussen het endpoint en de Intune service. Daarnaast moeten eventuele problemen met de netwerkconnectiviteit worden opgelost, omdat endpoints een stabiele verbinding met de Intune service nodig hebben om policies te ontvangen en te synchroniseren. Na succesvolle herinschrijving moet uitgebreide verificatie worden uitgevoerd om te garanderen dat het endpoint het beleid daadwerkelijk ontvangt en correct toepast, waarbij wordt gecontroleerd of de configuratie correct is geïmplementeerd en of de endpoint compliance status wordt bijgewerkt in de Intune console. Deze verificatie moet worden uitgevoerd door ervaren IT-professionals die bekend zijn met de verschillende aspecten van Intune inschrijving en die kunnen identificeren wanneer het inschrijvingsproces niet correct is voltooid. Organisaties moeten daarom investeren in training en tools die IT-teams helpen bij het effectief uitvoeren van herinschrijvingen en verificaties.

Geautomatiseerde remediatie scripts kunnen worden gebruikt om veelvoorkomende problemen automatisch op te lossen zonder handmatige interventie, wat de efficiëntie van het remediatieproces aanzienlijk kan verbeteren en ervoor zorgt dat problemen snel worden opgelost zonder dat beveiligingsteams tijd hoeven te besteden aan repetitieve handmatige taken. Deze scripts kunnen de audit configuratie direct op het endpoint aanpassen via registry wijzigingen, waarbij de benodigde registry keys worden aangepast om de audit instellingen te configureren zoals bedoeld, of door het opnieuw toepassen van het Intune beleid, waarbij het endpoint wordt geforceerd om het beleid opnieuw op te halen en toe te passen. Het is echter van cruciaal belang dat dergelijke scripts eerst uitgebreid worden getest in een gecontroleerde testomgeving voordat zij worden uitgerold naar productie endpoints, om te voorkomen dat onbedoelde wijzigingen worden doorgevoerd die kunnen leiden tot systeeminstabiliteit, beveiligingsproblemen, of andere onvoorziene negatieve gevolgen. Tijdens het testen moeten verschillende scenario's worden getest, waaronder endpoints met verschillende configuraties, endpoints met verschillende Windows versies, en endpoints in verschillende netwerkomgevingen, om te garanderen dat de scripts robuust zijn en correct functioneren onder verschillende omstandigheden. Organisaties moeten daarom een gestructureerd testproces ontwikkelen dat verschillende scenario's omvat en dat voldoende tijd inbouwt voor grondig testen voordat scripts worden uitgerold naar productie omgevingen. Dit testproces moet worden gedocumenteerd en regelmatig worden herhaald wanneer scripts worden bijgewerkt of wanneer nieuwe scenario's worden geïdentificeerd.

Na het toepassen van remediatiemaatregelen moet altijd uitgebreide verificatie worden uitgevoerd om te garanderen dat de configuratie correct is hersteld en dat de endpoint daadwerkelijk weer compliant is met de beveiligingsvereisten. Deze verificatie moet meerdere aspecten omvatten, waaronder het controleren van de Intune compliance status om te verifiëren dat het endpoint nu wordt gerapporteerd als compliant in de Intune console, het valideren van de lokale audit beleidsinstellingen op het endpoint zelf om te verifiëren dat de configuratie daadwerkelijk is toegepast op het besturingssysteem niveau, en het verifiëren dat audit events daadwerkelijk worden gegenereerd in de Windows Security Event Log om te bevestigen dat de logging functioneert zoals bedoeld. Alleen wanneer alle verificatiestappen succesvol zijn en er geen indicaties zijn van resterende problemen, kan de remediatie als voltooid worden beschouwd. Het is belangrijk om deze verificatie niet over te slaan of te haasten, omdat onvolledige remediatie kan leiden tot endpoints die technisch compliant lijken te zijn maar in werkelijkheid nog steeds problemen hebben die kunnen worden ontdekt tijdens een beveiligingsincident of compliance audit, wat kan leiden tot ernstige gevolgen voor de organisatie. Organisaties moeten daarom een gestructureerd verificatieproces ontwikkelen dat verschillende aspecten van de configuratie omvat en dat wordt uitgevoerd door ervaren IT-professionals die bekend zijn met de verschillende verificatiemethoden en die kunnen identificeren wanneer verificatiestappen niet succesvol zijn. Dit verificatieproces moet worden gedocumenteerd en regelmatig worden herhaald om te garanderen dat het effectief blijft functioneren.

Gebruik PowerShell-script system-audit-other-system-events-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Het remediatie script biedt geautomatiseerde functionaliteit voor het herstellen van de audit logging configuratie op niet-conforme endpoints..

Compliance en Auditing

De implementatie van audit logging voor overige systeemgebeurtenissen draagt direct en significant bij aan de naleving van verschillende compliance frameworks en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties, waarbij deze configuratie een essentiële rol speelt in het kunnen aantonen van compliance tijdens audits en certificeringsprocessen. Deze configuratie is fundamenteel voor het voldoen aan de specifieke vereisten die worden gesteld door het BIO (Baseline Informatiebeveiliging Overheid), ISO 27001:2022, en CIS Security Benchmarks, die allemaal uitgebreide en specifieke eisen stellen aan logging en audit trails als onderdeel van een robuuste informatiebeveiligingsstrategie. Zonder adequate audit logging kunnen organisaties niet voldoen aan deze compliance vereisten, wat kan leiden tot het niet verkrijgen of verliezen van certificeringen, het ontvangen van negatieve audit bevindingen, en potentiële juridische of financiële gevolgen wanneer compliance vereisten niet worden nageleefd. Organisaties moeten daarom deze configuratie beschouwen als een fundamenteel onderdeel van hun compliance strategie en moeten ervoor zorgen dat de configuratie correct wordt geïmplementeerd en onderhouden om te garanderen dat zij kunnen voldoen aan de vereisten van verschillende compliance frameworks. Deze configuratie is niet alleen belangrijk voor het behalen van certificeringen, maar ook voor het handhaven van certificeringen en het voorkomen van compliance problemen die kunnen leiden tot reputatieschade of financiële gevolgen.

Binnen het BIO framework, dat specifiek is ontwikkeld voor Nederlandse overheidsorganisaties en dient als de nationale baseline voor informatiebeveiliging, valt deze audit configuratie onder controle 16.01 'Gebeurtenissen logging en audittrails', die expliciet vereist dat organisaties alle relevante gebeurtenissen loggen die van belang zijn voor informatiebeveiliging en die kunnen bijdragen aan het detecteren, analyseren en reageren op beveiligingsincidenten. De logging van overige systeemgebeurtenissen zorgt ervoor dat organisaties een compleet en uitgebreid beeld hebben van alle systeemactiviteiten die plaatsvinden binnen hun IT-omgeving, inclusief gebeurtenissen die niet expliciet onder andere audit categorieën vallen maar wel van belang kunnen zijn voor beveiliging en compliance. Dit complete beeld is van cruciaal belang voor het kunnen uitvoeren van grondig forensisch onderzoek na beveiligingsincidenten, waarbij beveiligingsteams moeten kunnen reconstrueren wat er is gebeurd, wanneer het is gebeurd, en wie of wat verantwoordelijk was voor de gebeurtenissen. Bovendien is dit complete audit trail essentieel voor het kunnen aantonen van compliance tijdens audits, waarbij auditors moeten kunnen verifiëren dat organisaties adequate logging mechanismen hebben geïmplementeerd en dat deze mechanismen daadwerkelijk functioneren zoals bedoeld. Voor Nederlandse overheidsorganisaties is compliance met het BIO framework verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten en compliance problemen die kunnen resulteren in reputatieschade of financiële gevolgen. Organisaties moeten daarom deze configuratie beschouwen als een verplicht onderdeel van hun beveiligingsstrategie en moeten ervoor zorgen dat de configuratie correct wordt geïmplementeerd en onderhouden.

ISO 27001:2022 controle A.12.4.1 'Event logging' vereist dat organisaties gebeurtenissen loggen, produceren, opslaan, archiveren en analyseren om informatiebeveiligingsincidenten te detecteren en te reageren op potentiële bedreigingen voordat deze kunnen escaleren tot volledige incidenten. Deze controle maakt deel uit van het informatiebeveiligingsmanagementsysteem (ISMS) en is essentieel voor het behalen en behouden van ISO 27001 certificering. De configuratie van audit logging voor overige systeemgebeurtenissen op zowel succesvolle als mislukte gebeurtenissen draagt direct en meetbaar bij aan het voldoen aan deze vereiste, omdat het zorgt voor uitgebreide logging van alle relevante systeemactiviteiten. Organisaties die ISO 27001 certificering nastreven of behouden moeten kunnen aantonen dat zij beschikken over adequate logging mechanismen die alle relevante gebeurtenissen vastleggen, en de implementatie van deze audit policy is een concrete en verifieerbare maatregel om hieraan te voldoen. Tijdens ISO 27001 audits zullen auditors specifiek vragen naar de logging configuratie, de dekking van de logging, en de manier waarop logs worden gebruikt voor beveiligingsdoeleinden, en de implementatie van deze audit configuratie biedt het benodigde bewijs om aan te tonen dat de organisatie voldoet aan de vereisten. Organisaties moeten daarom deze configuratie beschouwen als een essentieel onderdeel van hun ISO 27001 compliance strategie en moeten ervoor zorgen dat de configuratie correct wordt geïmplementeerd en onderhouden om te garanderen dat zij kunnen voldoen aan de vereisten van ISO 27001 audits. Het niet voldoen aan deze vereisten kan leiden tot het niet behalen of verliezen van ISO 27001 certificering, wat kan resulteren in reputatieschade of het verlies van klanten die ISO 27001 certificering vereisen.

CIS Security Benchmark controle 18.9.19.2 specificeert expliciet en gedetailleerd dat het 'Audit Other System Events' beleid moet worden geconfigureerd om zowel succesvolle als mislukte gebeurtenissen te loggen, waarbij deze specificatie geen ruimte laat voor interpretatie of gedeeltelijke implementatie. Deze controle maakt deel uit van de Level 1 (L1) aanbevelingen binnen het CIS framework, wat betekent dat deze als essentieel wordt beschouwd voor basisbeveiliging en dat organisaties die de CIS benchmarks volgen deze configuratie moeten implementeren om te voldoen aan de aanbevolen beveiligingspraktijken. L1 controles zijn ontworpen om te worden geïmplementeerd zonder significante impact op functionaliteit of gebruikerservaring, wat betekent dat deze configuratie kan worden toegepast zonder negatieve gevolgen voor de operationele continuïteit. Organisaties die de CIS benchmarks gebruiken als basis voor hun beveiligingsconfiguratie, wat veel Nederlandse overheidsorganisaties doen, moeten deze specifieke controle implementeren om te kunnen aantonen dat zij voldoen aan de aanbevolen beveiligingspraktijken en om hun beveiligingspostuur te verbeteren in vergelijking met organisaties die deze configuratie niet hebben geïmplementeerd. Het niet implementeren van deze controle kan leiden tot een lagere CIS compliance score, wat kan resulteren in reputatieschade of het verlies van klanten die CIS compliance vereisen. Organisaties moeten daarom deze configuratie beschouwen als een essentieel onderdeel van hun CIS compliance strategie en moeten ervoor zorgen dat de configuratie correct wordt geïmplementeerd en onderhouden.

Voor Nederlandse overheidsorganisaties is compliance met de AVG (Algemene Verordening Gegevensbescherming) ook relevant en belangrijk, hoewel deze regelgeving primair gericht is op privacybescherming en de bescherming van persoonsgegevens in plaats van algemene informatiebeveiliging. Adequate audit logging kan echter aanzienlijk bijdragen aan het kunnen aantonen van compliance met AVG vereisten, met name wanneer het gaat om het kunnen verantwoorden van verwerkingen van persoonsgegevens en het kunnen reageren op verzoeken van betrokkenen die vragen om inzicht in hoe hun persoonsgegevens worden verwerkt. Audit logs kunnen dienen als bewijs dat organisaties passende technische en organisatorische maatregelen hebben getroffen om persoonsgegevens te beschermen, wat een vereiste is onder AVG Artikel 32, en kunnen worden gebruikt om aan te tonen dat organisaties voldoen aan de accountability vereisten die worden gesteld door de AVG. Wanneer betrokkenen vragen om inzicht in de verwerking van hun persoonsgegevens, kunnen audit logs worden gebruikt om te documenteren welke acties zijn ondernomen met betrekking tot hun gegevens, wanneer deze acties hebben plaatsgevonden, en wie verantwoordelijk was voor deze acties, wat essentieel is voor het kunnen voldoen aan AVG Artikel 15 dat het inzagerecht regelt. Organisaties moeten daarom deze configuratie beschouwen als een essentieel onderdeel van hun AVG compliance strategie en moeten ervoor zorgen dat de configuratie correct wordt geïmplementeerd en onderhouden om te garanderen dat zij kunnen voldoen aan de vereisten van de AVG. Het niet voldoen aan deze vereisten kan leiden tot boetes of andere juridische gevolgen die kunnen resulteren in aanzienlijke financiële schade of reputatieschade.

Tijdens compliance audits, of deze nu worden uitgevoerd door interne audit teams, externe auditors, of certificeringsinstanties, moeten organisaties uitgebreid kunnen aantonen dat de audit logging configuratie correct is geïmplementeerd en actief is op alle relevante endpoints binnen de organisatie. Dit vereist gedocumenteerd en verifieerbaar bewijs van verschillende aspecten van de implementatie, waaronder gedetailleerde documentatie van de beleidsconfiguratie die beschrijft welke instellingen zijn geconfigureerd en waarom, compliance rapporten uit Microsoft Endpoint Manager die aantonen dat endpoints daadwerkelijk voldoen aan de configuratie en dat de compliance status regelmatig wordt gemonitord, en concrete voorbeelden van gegenereerde audit logs die bewijzen dat de logging daadwerkelijk functioneert en dat logs worden gegenereerd zoals bedoeld. Beleidsdocumentatie moet duidelijk en uitgebreid beschrijven waarom deze configuratie is geïmplementeerd, hoe deze bijdraagt aan de compliance doelstellingen van de organisatie, welke compliance frameworks worden ondersteund door deze configuratie, en hoe de configuratie wordt gemonitord en onderhouden om te garanderen dat deze actief blijft en effectief blijft functioneren. Deze documentatie vormt de basis voor audit bewijs en moet worden bijgewerkt wanneer wijzigingen worden doorgevoerd of wanneer nieuwe compliance vereisten worden geïdentificeerd. Organisaties moeten daarom investeren in het ontwikkelen en onderhouden van uitgebreide documentatie die kan worden gebruikt als bewijs tijdens audits en die kan helpen bij het aantonen van compliance met verschillende frameworks. Deze documentatie moet regelmatig worden gereviewd en bijgewerkt om te garanderen dat deze actueel blijft en dat deze nog steeds voldoet aan de vereisten van verschillende compliance frameworks.

Het is belangrijk om regelmatig en systematisch compliance verificaties uit te voeren om te garanderen dat de configuratie blijft voldoen aan de vereisten en dat er geen configuratiedrift optreedt die kan leiden tot niet-naleving zonder dat dit wordt opgemerkt. Deze verificaties moeten meerdere aspecten omvatten, waaronder periodieke reviews van de beleidsconfiguratie om te verifiëren dat deze nog steeds correct is geconfigureerd en dat er geen onbedoelde wijzigingen zijn doorgevoerd, uitgebreide validatie van de compliance status van endpoints om te identificeren welke endpoints niet voldoen aan de vereisten en waarom, en grondige verificatie dat audit logs correct worden gegenereerd en opgeslagen volgens de gespecificeerde retentievereisten zoals gedefinieerd in het audit evidence beleid van de organisatie. Dergelijke verificaties moeten worden uitgevoerd volgens een vastgesteld schema, bijvoorbeeld maandelijks of driemaandelijks afhankelijk van de organisatorische vereisten en de omvang van de endpoint omgeving, en moeten worden gedocumenteerd met gedetailleerde rapporten die beschrijven wat is gecontroleerd, wat de bevindingen zijn, en welke acties zijn ondernomen om geïdentificeerde problemen op te lossen. Deze verificatierapporten kunnen worden gebruikt als bewijs tijdens externe audits of certificeringsprocessen om aan te tonen dat de organisatie proactief werkt aan het handhaven van compliance en dat er processen zijn geïmplementeerd om te garanderen dat de configuratie effectief blijft functioneren. Organisaties moeten daarom een gestructureerd verificatieproces ontwikkelen dat verschillende aspecten van de configuratie omvat en dat regelmatig wordt uitgevoerd om te garanderen dat de configuratie effectief blijft functioneren en dat eventuele problemen snel worden geïdentificeerd en aangepakt.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Implementeer audit logging voor overige systeemgebeurtenissen op zowel succesvolle als mislukte gebeurtenissen via Microsoft Intune om volledige zichtbaarheid te krijgen op alle systeemactiviteiten en te voldoen aan compliance vereisten voor logging en audit trails.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE