💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van auditlogging voor systeemintegriteit op Windows endpoints, waardoor organisaties inzicht krijgen in wijzigingen die de beveiligingsstatus van het besturingssysteem kunnen beïnvloeden.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Systeemintegriteit vormt de kern van elke beveiligingsstrategie. Wanneer kwaadwillenden wijzigingen aanbrengen in kritieke systeemcomponenten, kan dit leiden tot compromittering van de volledige omgeving. Door zowel succesvolle als mislukte pogingen tot wijziging van systeemintegriteit te loggen, kunnen beveiligingsteams vroegtijdig detecteren wanneer aanvallers proberen systeeminstellingen te manipuleren. Deze instelling is onderdeel van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van uitgebreide auditlogging. Zonder deze logging blijven wijzigingen aan systeemintegriteit onzichtbaar, waardoor incidentresponseteams geen spoor hebben wanneer een aanval plaatsvindt of wanneer legitieme wijzigingen onbedoeld de beveiligingspostuur verzwakken.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de systeemaudit voor systeemintegriteit zodat zowel succesvolle als mislukte gebeurtenissen worden vastgelegd via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid. Dit zorgt ervoor dat Windows endpoints worden beveiligd volgens beveiligingsbest practices en dat alle wijzigingen aan systeemintegriteit volledig traceerbaar zijn voor forensische analyse en nalevingsdoeleinden. De implementatie maakt gebruik van Intune-beleid om deze auditinstelling centraal te beheren en te handhaven over alle endpoints binnen de organisatie.
Vereisten
De implementatie van systeemaudit voor systeemintegriteit vereist een grondige voorbereiding waarbij zowel technische als organisatorische aspecten zorgvuldig moeten worden geëvalueerd voordat met de daadwerkelijke implementatie wordt begonnen. Deze voorbereiding is essentieel omdat een ondoordachte implementatie kan leiden tot operationele problemen, nalevingsproblemen, of beveiligingslekken die de effectiviteit van de maatregel kunnen ondermijnen. Organisaties moeten daarom een gestructureerde aanpak volgen waarbij alle relevante aspecten worden geanalyseerd en geadresseerd voordat de implementatie wordt gestart. Vanuit technisch perspectief moet de organisatie beschikken over Microsoft Intune met de juiste licentieovereenkomsten voor apparaatbeheer. Deze licentievereisten zijn fundamenteel omdat zonder de juiste licenties de functionaliteit voor apparaatconfiguratie niet beschikbaar is, waardoor de implementatie van deze beveiligingsmaatregel onmogelijk wordt. Organisaties moeten daarom eerst verifiëren dat ze beschikken over de benodigde Intune-licenties, zoals Microsoft 365 E3, E5, of specifieke Intune-licenties, afhankelijk van hun licentieovereenkomst. Deze verificatie moet worden uitgevoerd door de licentiebeheerder of IT-beheerder die verantwoordelijk is voor licentiebeheer binnen de organisatie. Naast licentievereisten moeten alle Windows endpoints zijn geregistreerd in Microsoft Intune en onder beheer staan via een apparaatconfiguratieprofiel. Deze registratie is cruciaal omdat alleen geregistreerde apparaten kunnen worden beheerd en geconfigureerd via Intune-beleid, wat betekent dat niet-geregistreerde apparaten buiten de scope van de beveiligingsmaatregel vallen. Organisaties moeten daarom een volledig overzicht hebben van alle Windows endpoints binnen hun omgeving en moeten ervoor zorgen dat alle relevante apparaten correct zijn geregistreerd in Intune voordat de implementatie wordt gestart. Deze registratie kan worden uitgevoerd via verschillende methoden, zoals automatische registratie via Azure Active Directory join, of handmatige registratie via de Intune-portal. Beheerdersrechten vormen een andere kritieke vereiste voor de implementatie. Organisaties moeten beschikken over de benodigde beheerdersrechten om beleidsregels te maken, toe te wijzen en te beheren binnen de Intune-omgeving. Deze rechten omvatten typisch de rol van Intune-beheerder of globale beheerder, afhankelijk van de organisatorische structuur en beveiligingsvereisten. Het is belangrijk om te begrijpen dat verschillende rollen verschillende niveaus van toegang hebben, en dat organisaties moeten zorgen dat de juiste personen de juiste rechten hebben om de implementatie succesvol uit te voeren zonder onnodige beveiligingsrisico's te creëren door te brede toegangsrechten. Vanuit technisch perspectief moeten de Windows endpoints ondersteuning bieden voor geavanceerde auditlogging, wat standaard het geval is voor Windows 10 versie 1809 en hoger, evenals Windows 11. Voor oudere versies van Windows kunnen aanvullende configuraties nodig zijn, of kan het nodig zijn om endpoints te upgraden naar ondersteunde versies. Deze versievereisten zijn belangrijk omdat moderne beveiligingsfuncties zoals uitgebreide auditlogging alleen beschikbaar zijn op recentere versies van het besturingssysteem. Organisaties moeten daarom een inventarisatie uitvoeren van alle Windows endpoints en moeten bepalen welke apparaten mogelijk moeten worden geüpgraded voordat de implementatie kan worden gestart. Deze upgrade-investering kan aanzienlijk zijn voor organisaties met veel oudere endpoints, en moet daarom worden meegenomen in de planning en budgettering van het project. Organisatorisch gezien moet er een duidelijk en gedocumenteerd proces zijn voor het beheren van auditlogs, inclusief opslag, retentie en analyse. Dit proces moet beschrijven hoe logs worden verzameld, waar ze worden opgeslagen, hoe lang ze worden bewaard, en wie toegang heeft tot deze logs. De logopslag moet voldoen aan beveiligingsvereisten zoals encryptie in rust en gecontroleerde toegang, terwijl de retentieperiode moet aansluiten bij compliance-vereisten zoals de BIO Baseline Informatiebeveiliging Overheid, die vereist dat logs minimaal één jaar worden bewaard. Deze logbeheerprocessen zijn essentieel omdat zonder adequate logopslag en retentie de gegenereerde auditlogs niet bruikbaar zijn voor beveiligingsdoeleinden of compliance-audits. Beveiligingsteams moeten getraind zijn in het interpreteren van systeemintegriteit-gebeurtenissen en moeten beschikken over tools voor loganalyse, zoals Security Information and Event Management systemen, ook wel SIEM-systemen genoemd, of gespecialiseerde loganalyseplatforms. Deze tools zijn essentieel omdat handmatige analyse van grote hoeveelheden logdata onpraktisch is en geautomatiseerde detectie van verdachte patronen veel effectiever is dan menselijke beoordeling van individuele gebeurtenissen. Organisaties moeten daarom investeren in de juiste tools en training voor hun beveiligingsteams om ervoor te zorgen dat de gegenereerde logs daadwerkelijk worden gebruikt voor beveiligingsdoeleinden. Bovendien moet er een gedocumenteerde incidentresponseprocedure zijn die beschrijft hoe te handelen wanneer verdachte wijzigingen aan systeemintegriteit worden gedetecteerd. Deze procedure moet duidelijk maken wie verantwoordelijk is voor het onderzoeken van verdachte gebeurtenissen, welke stappen moeten worden ondernomen, en hoe incidenten moeten worden geëscaleerd. De procedure moet ook beschrijven hoe snel er moet worden gereageerd op verschillende soorten waarschuwingen en welke escalatiepaden beschikbaar zijn voor kritieke incidenten. Deze procedures zijn essentieel omdat zonder duidelijke procedures beveiligingsteams mogelijk niet weten hoe te reageren op gedetecteerde bedreigingen, wat kan leiden tot vertragingen in de respons of gemiste kansen om aanvallen te stoppen voordat ze schade veroorzaken. De implementatie vereist ook coördinatie tussen verschillende teams, waaronder IT-beheer, beveiligingsoperaties en naleving, om ervoor te zorgen dat de logging voldoet aan zowel beveiligings- als nalevingsvereisten. Deze coördinatie is essentieel omdat verschillende teams verschillende perspectieven en vereisten hebben die allemaal moeten worden aangepakt in de uiteindelijke implementatie. IT-beheer is bijvoorbeeld verantwoordelijk voor de technische implementatie en het waarborgen dat de logging geen negatieve impact heeft op systeemprestaties, beveiligingsoperaties voor de monitoring en analyse van de gegenereerde logs, en naleving voor het waarborgen dat de implementatie voldoet aan relevante frameworks en regelgeving zoals de BIO Baseline Informatiebeveiliging Overheid en ISO 27001:2022.
Implementatie
De implementatie van systeemaudit voor systeemintegriteit vereist een gestructureerde en methodische aanpak waarbij elke stap zorgvuldig wordt uitgevoerd om ervoor te zorgen dat de configuratie correct wordt toegepast op alle relevante endpoints binnen de organisatie. Deze gestructureerde aanpak is essentieel omdat een onzorgvuldige implementatie kan leiden tot configuratiefouten, niet-nalevende apparaten, of beveiligingslekken die de effectiviteit van de maatregel kunnen ondermijnen. Organisaties moeten daarom een duidelijk implementatieplan ontwikkelen dat alle relevante stappen beschrijft en dat rekening houdt met de specifieke omgeving en vereisten van de organisatie. De implementatie begint met het maken van een nieuw apparaatconfiguratieprofiel in Microsoft Intune, wat de basis vormt voor de configuratie van de auditlogging. Binnen de Intune-portal navigeert de beheerder naar de sectie Apparaatconfiguratie en selecteert het maken van een nieuw profiel, waarbij aandacht moet worden besteed aan het kiezen van het juiste profieltype en de juiste configuratie-opties. Het profieltype moet worden ingesteld op Windows 10 en later, wat betekent dat het profiel van toepassing is op alle moderne Windows-versies die door de organisatie worden gebruikt. Het profiel moet worden geconfigureerd als een Endpoint Protection-beleid, wat specifieke beveiligingsinstellingen activeert die nodig zijn voor geavanceerde auditlogging en die niet beschikbaar zijn in standaard apparaatconfiguratieprofielen. Binnen de beveiligingsinstellingen van het Endpoint Protection-beleid moet de beheerder de auditinstellingen uitbreiden en specifiek de optie voor systeemintegriteit activeren. Dit betekent dat de beheerder moet navigeren naar de juiste sectie binnen de beveiligingsinstellingen, die typisch wordt aangeduid als Audit-instellingen of Security Audit Settings, en de specifieke optie voor systeemintegriteit moet vinden en inschakelen. Deze optie kan worden aangeduid als System Integrity Audit of Audit System Integrity, afhankelijk van de versie van Intune die wordt gebruikt. De beheerder moet ervoor zorgen dat de juiste optie wordt geselecteerd, omdat er meerdere auditinstellingen beschikbaar zijn en het selecteren van de verkeerde optie kan leiden tot onvolledige logging. De instelling moet worden geconfigureerd om zowel succesvolle als mislukte gebeurtenissen vast te leggen, wat betekent dat beide opties moeten worden ingeschakeld om volledige zichtbaarheid te krijgen in alle wijzigingen aan systeemintegriteit, ongeacht of deze succesvol zijn of niet. Deze dubbele logging is cruciaal omdat mislukte pogingen tot wijziging vaak indicatoren zijn van aanvallen of ongeautoriseerde toegangspogingen, en omdat deze informatie waardevol kan zijn voor het detecteren van bedreigingen en het uitvoeren van forensische onderzoeken. Organisaties die alleen succesvolle gebeurtenissen loggen, missen belangrijke informatie over aanvallen die zijn mislukt, wat kan leiden tot onvolledige beveiligingsinzichten en gemiste kansen om bedreigingen vroegtijdig te detecteren. Na het configureren van het profiel moet dit worden toegewezen aan de relevante apparaatgroepen, waarbij rekening wordt gehouden met de organisatorische structuur en beveiligingsvereisten. Deze toewijzing is cruciaal omdat alleen apparaten die lid zijn van de toegewezen groepen het beleid zullen ontvangen en toepassen, wat betekent dat niet-toegewezen apparaten buiten de scope van de beveiligingsmaatregel vallen. Organisaties moeten zorgvuldig nadenken over welke apparaatgroepen moeten worden opgenomen, waarbij rekening wordt gehouden met factoren zoals de gevoeligheid van de data op verschillende apparaten, de gebruikersgroepen die toegang hebben tot deze apparaten, en de compliance-vereisten die van toepassing zijn op verschillende delen van de organisatie. Deze overwegingen zijn belangrijk omdat verschillende delen van de organisatie mogelijk verschillende beveiligingsvereisten hebben, en omdat het toepassen van hetzelfde beleid op alle apparaten mogelijk niet geschikt is voor alle scenario's. Voor productieomgevingen wordt sterk aanbevolen om eerst een proefimplementatie uit te voeren met een beperkte groep apparaten om te verifiëren dat de logging correct werkt en geen negatieve impact heeft op de systeemprestaties. Deze proeffase is essentieel omdat het organisaties in staat stelt om eventuele problemen te identificeren en op te lossen voordat het beleid wordt uitgerold naar alle endpoints, wat het risico op verstoring van kritieke systemen minimaliseert. Tijdens de proefperiode moeten beveiligingsteams de gegenereerde logs monitoren om te bevestigen dat gebeurtenissen correct worden vastgelegd, dat de logvolumes beheersbaar zijn, en dat er geen onverwachte negatieve impact is op systeemprestaties of gebruikerservaring. Deze monitoring moet plaatsvinden gedurende een periode van minimaal één week om ervoor te zorgen dat alle relevante scenario's worden getest en dat eventuele problemen worden geïdentificeerd voordat de volledige implementatie wordt gestart. Deze monitoring moet regelmatig plaatsvinden en moet zowel technische als organisatorische aspecten omvatten, zoals het controleren van logkwaliteit, het analyseren van logvolumes, en het evalueren van de impact op systeemprestaties. Technische monitoring omvat het controleren of gebeurtenissen daadwerkelijk worden vastgelegd, of de gebeurtenis-ID's correct zijn, en of de logdata compleet en accuraat is. Organisatorische monitoring omvat het evalueren van de impact op systeemprestaties, het beoordelen van de logvolumes en het bepalen of de gegenereerde data bruikbaar is voor beveiligingsdoeleinden. Deze monitoring moet worden uitgevoerd door zowel IT-beheer als beveiligingsoperaties om ervoor te zorgen dat alle relevante aspecten worden geëvalueerd. Na succesvolle validatie kan het beleid worden uitgerold naar alle endpoints binnen de organisatie, waarbij een gefaseerde aanpak wordt aanbevolen om eventuele problemen snel te kunnen identificeren en op te lossen. Een gefaseerde aanpak betekent dat het beleid eerst wordt uitgerold naar een beperkte groep apparaten, gevolgd door een evaluatieperiode waarin wordt gecontroleerd of alles correct werkt, en vervolgens uitbreiding naar aanvullende groepen. Deze aanpak minimaliseert het risico op grootschalige problemen en stelt organisaties in staat om snel te reageren op eventuele onverwachte uitdagingen die kunnen optreden tijdens de implementatie. Elke fase moet worden gevolgd door een evaluatieperiode waarin wordt gecontroleerd of de implementatie succesvol was en of er aanpassingen nodig zijn voordat de volgende fase wordt gestart. Het is belangrijk om te documenteren welke apparaten onder het beleid vallen en wanneer de implementatie heeft plaatsgevonden voor auditdoeleinden. Dit betekent dat organisaties een gedetailleerd overzicht moeten bijhouden van alle geconfigureerde apparaten, de datum van implementatie, en eventuele wijzigingen die zijn aangebracht aan de configuratie. Deze documentatie is essentieel voor compliance-audits en stelt organisaties in staat om te demonstreren dat de logging correct is geconfigureerd en actief wordt beheerd. De documentatie moet ook beschrijven hoe de implementatie is uitgevoerd, welke uitdagingen zijn tegengekomen, en hoe deze zijn opgelost, wat waardevol kan zijn voor toekomstige implementaties of voor het verbeteren van de implementatieprocessen.
Gebruik PowerShell-script system-audit-system-integrity-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van systeemintegriteit-auditlogs vormt de kern van een succesvolle beveiligingsstrategie en vereist een gestructureerde en uitgebreide aanpak waarbij regelmatig wordt gecontroleerd of de logging correct functioneert en of er verdachte activiteiten worden gedetecteerd. Deze monitoring is essentieel omdat zonder adequate monitoring de gegenereerde auditlogs niet worden gebruikt voor beveiligingsdoeleinden, wat betekent dat de implementatie van de loggingmaatregel weinig waarde heeft voor de organisatie. Organisaties moeten daarom een uitgebreid monitoringprogramma ontwikkelen dat zowel technische als organisatorische aspecten omvat en dat beschrijft wie verantwoordelijk is voor monitoring, hoe vaak monitoring plaatsvindt, welke tools worden gebruikt, en welke acties moeten worden ondernomen wanneer verdachte activiteiten worden gedetecteerd. Het monitoringprogramma moet beginnen met het definiëren van duidelijke verantwoordelijkheden en rollen voor de verschillende betrokken partijen. Beveiligingsoperatieteams zijn typisch verantwoordelijk voor de dagelijkse monitoring van de auditlogs, terwijl IT-beheer verantwoordelijk is voor het waarborgen dat de logging correct functioneert en dat er geen technische problemen zijn. Nalevingsteams zijn verantwoordelijk voor het waarborgen dat de monitoring voldoet aan compliance-vereisten en dat er adequate rapportages worden gegenereerd voor auditdoeleinden. Deze duidelijke verdeling van verantwoordelijkheden is essentieel omdat zonder duidelijke verantwoordelijkheden monitoring mogelijk niet consistent wordt uitgevoerd, wat kan leiden tot gemiste bedreigingen of nalevingsproblemen. Beveiligingsoperatieteams moeten dagelijks de Windows-beveiligingsgebeurtenislogboeken controleren op gebeurtenissen met gebeurtenis-ID 4611, wat staat voor systeemintegriteit-wijzigingen en een cruciale indicator is voor potentiële beveiligingsincidenten. Deze gebeurtenissen bevatten cruciale informatie zoals welke processen of gebruikers wijzigingen hebben aangebracht, wanneer deze wijzigingen plaatsvonden, wat de exacte aard van de wijziging was, en welke systeemcomponenten zijn beïnvloed. Deze informatie stelt beveiligingsanalisten in staat om gedetailleerde inzichten te krijgen in alle activiteiten die betrekking hebben op systeemintegriteit, wat essentieel is voor het detecteren van aanvallen en het uitvoeren van forensische onderzoeken. De dagelijkse controle moet worden uitgevoerd door getrainde beveiligingsanalisten die begrijpen hoe ze deze gebeurtenissen moeten interpreteren en wanneer ze moeten escaleren naar het incidentresponseteam. Monitoring moet niet alleen reactief zijn, waarbij wordt gereageerd op gedetecteerde gebeurtenissen, maar ook proactief door gebruik te maken van Security Information and Event Management systemen, ook wel SIEM-systemen genoemd, die automatisch waarschuwingen genereren wanneer verdachte patronen worden gedetecteerd. Deze SIEM-systemen zijn essentieel voor moderne beveiligingsoperaties omdat ze organisaties in staat stellen om grote hoeveelheden logdata te analyseren en automatisch te reageren op potentiële bedreigingen zonder dat menselijke analisten elke individuele gebeurtenis handmatig hoeven te beoordelen. SIEM-systemen kunnen complexe correlatieregels gebruiken om patronen te detecteren die wijzen op aanvallen, zoals meerdere mislukte pogingen tot wijziging van systeemintegriteit binnen een korte tijdspanne, wijzigingen die plaatsvinden buiten normale werkuren, of wijzigingen die worden uitgevoerd door onbekende of verdachte processen. Deze geautomatiseerde detectie is veel effectiever dan handmatige analyse omdat SIEM-systemen kunnen analyseren hoeveelheden data die voor menselijke analisten onpraktisch zijn om handmatig te verwerken. Bijvoorbeeld, wanneer meerdere systeemintegriteit-wijzigingen plaatsvinden binnen een korte tijdspanne, of wanneer wijzigingen worden gedetecteerd buiten normale werkuren, moet dit onmiddellijk worden geëscaleerd naar het incidentresponseteam. Dit betekent dat organisaties duidelijke procedures moeten hebben voor het escaleren van verdachte gebeurtenissen en het snel reageren op potentiële beveiligingsincidenten. Deze procedures moeten beschrijven welke gebeurtenissen als verdacht worden beschouwd, wie verantwoordelijk is voor het initiëren van een incidentresponse, en welke stappen moeten worden ondernomen om de impact van een incident te minimaliseren. De procedures moeten ook beschrijven hoe snel er moet worden gereageerd op verschillende soorten waarschuwingen, waarbij kritieke waarschuwingen mogelijk onmiddellijke respons vereisen, terwijl minder kritieke waarschuwingen mogelijk kunnen wachten op normale werkuren. Deze escalatieprocedures zijn essentieel omdat zonder duidelijke procedures beveiligingsteams mogelijk niet weten hoe te reageren op gedetecteerde bedreigingen, wat kan leiden tot vertragingen in de respons of gemiste kansen om aanvallen te stoppen voordat ze schade veroorzaken. Organisaties moeten ook regelmatig nalevingsrapportages genereren die aantonen dat de auditlogging actief is en dat er geen configuratiedrift heeft plaatsgevonden. Dit betekent dat beheerders regelmatig moeten controleren of de configuratie nog steeds correct is toegepast op alle endpoints en of er geen ongeautoriseerde wijzigingen zijn aangebracht. Configuratiedrift treedt op wanneer apparaten geleidelijk afwijken van de beoogde configuratie, bijvoorbeeld door handmatige wijzigingen, door conflicterende beleidsregels, of door software-updates die de configuratie kunnen wijzigen. Deze drift kan de effectiviteit van de beveiligingsmaatregelen verminderen en moet daarom regelmatig worden gedetecteerd en gecorrigeerd. De nalevingsrapportages moeten worden gegenereerd op een regelmatige basis, bijvoorbeeld maandelijks of kwartaal, en moeten worden gedeeld met relevante stakeholders, waaronder beveiligingsmanagement, IT-beheer, en nalevingsteams. Dit kan worden geautomatiseerd door gebruik te maken van PowerShell-scripts die de configuratie van endpoints controleren en rapporteren over de nalevingsstatus. Deze scripts stellen organisaties in staat om snel te identificeren welke apparaten niet voldoen aan de vereisten en welke acties moeten worden ondernomen om de naleving te herstellen. Geautomatiseerde nalevingscontroles zijn essentieel voor grote organisaties met honderden of duizenden endpoints, omdat handmatige controles onpraktisch en foutgevoelig zijn. De scripts moeten regelmatig worden uitgevoerd, bijvoorbeeld wekelijks of maandelijks, en moeten gedetailleerde rapportages genereren die beschrijven welke apparaten niet-nalevend zijn, wat de oorzaak van de niet-naleving is, en welke acties moeten worden ondernomen om de naleving te herstellen. Daarnaast moeten er procedures zijn voor het beheren van logretentie, waarbij logs minimaal één jaar worden bewaard conform BIO-vereisten, maar langer indien nodig voor lopende forensische onderzoeken. Deze retentieprocedures moeten duidelijk beschrijven hoe logs worden opgeslagen, waar ze worden bewaard, wie toegang heeft tot deze logs, en onder welke omstandigheden logs langer moeten worden bewaard dan de standaard retentieperiode. Logopslag moet voldoen aan beveiligingsvereisten zoals encryptie in rust en gecontroleerde toegang, terwijl de retentieperiode moet aansluiten bij compliance-vereisten en de behoeften van forensische onderzoeken. Organisaties moeten ook procedures hebben voor het veilig verwijderen van logs na het verstrijken van de retentieperiode, waarbij wordt gewaarborgd dat logs niet per ongeluk worden verwijderd wanneer ze nog nodig zijn voor lopende onderzoeken of compliance-audits. Organisaties moeten ook regelmatig evalueren of de monitoringprocessen effectief zijn en of er verbeteringen kunnen worden aangebracht om de detectie van beveiligingsincidenten te verbeteren en de responsetijden te verkorten. Deze evaluatie moet plaatsvinden op basis van metrics zoals de tijd tussen detectie en respons, het aantal valse positieven, de effectiviteit van de gedetecteerde incidenten, en de algehele kwaliteit van de monitoringprocessen. Op basis van deze evaluatie kunnen organisaties hun monitoringprocessen verbeteren door bijvoorbeeld betere correlatieregels te ontwikkelen, aanvullende monitoringtools te implementeren, training te verzorgen voor beveiligingsanalisten, of hun SIEM-configuratie te optimaliseren. Deze continue verbetering is essentieel omdat de bedreigingsomgeving constant verandert en omdat monitoringprocessen moeten worden aangepast om effectief te blijven tegen nieuwe bedreigingen en aanvalsmethoden.
Gebruik PowerShell-script system-audit-system-integrity-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat systeemaudit voor systeemintegriteit niet correct is geconfigureerd op een of meer endpoints, moet er onmiddellijk worden overgegaan tot remediatie om ervoor te zorgen dat de beveiligingspostuur van de organisatie niet wordt aangetast door niet-nalevende apparaten. Deze onmiddellijke remediatie is essentieel omdat niet-nalevende apparaten een significant beveiligingsrisico vormen omdat ze niet de vereiste logging genereren, waardoor beveiligingsteams geen zicht hebben op wijzigingen aan systeemintegriteit op deze apparaten. Dit gebrek aan zichtbaarheid kan leiden tot onopgemerkte aanvallen waarbij aanvallers systeeminstellingen manipuleren zonder dat beveiligingsteams hiervan op de hoogte zijn, en bemoeilijkt forensische onderzoeken na een incident omdat er geen auditlogs beschikbaar zijn om te analyseren. Organisaties moeten daarom een gestructureerd remediatieproces hebben dat snel kan worden uitgevoerd wanneer niet-naleving wordt gedetecteerd. Het remediatieproces begint met het identificeren van de oorzaak van de niet-naleving, wat een systematische en methodische aanpak vereist waarbij verschillende mogelijke oorzaken worden onderzocht en geëvalueerd voordat wordt overgegaan tot remediatie. Deze systematische aanpak is essentieel omdat het toepassen van de verkeerde remediatie kan leiden tot verdere problemen, kan maskeren wat de werkelijke oorzaak is, of kan tijd verspillen aan het oplossen van symptomen in plaats van de onderliggende oorzaak. De niet-naleving kan verschillende redenen hebben, zoals een mislukte beleidstoewijzing, een endpoint dat niet correct is geregistreerd in Intune, handmatige wijzigingen aan de lokale auditconfiguratie, conflicterende beleidsregels, of technische problemen met de Intune Management Extension. Beheerders moeten een grondige analyse uitvoeren om de exacte oorzaak te identificeren voordat ze overgaan tot remediatie, waarbij alle mogelijke oorzaken worden onderzocht en geëvalueerd. De eerste stap in het identificeren van de oorzaak is het verifiëren of het Intune-beleid correct is toegewezen aan de betreffende apparaatgroep en of het apparaat daadwerkelijk lid is van deze groep. Dit betekent dat beheerders de toewijzingen moeten controleren in de Intune-portal en moeten verifiëren dat het apparaat daadwerkelijk lid is van de juiste apparaatgroep. Apparaatgroepen kunnen complex zijn in grote organisaties met honderden of duizenden apparaten, en het is mogelijk dat een apparaat per ongeluk is toegevoegd aan de verkeerde groep, is verwijderd uit de juiste groep, of is verplaatst naar een andere groep zonder dat het nieuwe beleid is toegewezen. Deze verificatie moet worden uitgevoerd door de beheerder die verantwoordelijk is voor apparaatgroepen en beleidstoewijzingen, en moet worden gedocumenteerd voor auditdoeleinden. Vervolgens moet worden gecontroleerd of het apparaat actief is verbonden met Intune en of er geen synchronisatieproblemen zijn. Dit betekent dat beheerders moeten controleren of het apparaat recent heeft gesynchroniseerd met Intune, of er geen foutmeldingen zijn die wijzen op synchronisatieproblemen, en of de Intune Management Extension correct functioneert. Synchronisatieproblemen kunnen optreden wanneer apparaten niet regelmatig verbinding maken met Intune, bijvoorbeeld omdat ze niet verbonden zijn met het netwerk, omdat er problemen zijn met de Intune Management Extension, of omdat er netwerkproblemen zijn die de communicatie met Intune blokkeren. Deze controle moet worden uitgevoerd door zowel de Intune-portal te raadplegen als door de apparaatstatus te controleren, waarbij wordt gekeken naar synchronisatiegeschiedenis, foutmeldingen, en de status van de Intune Management Extension. Als het beleid wel is toegewezen maar niet wordt toegepast, kan het nodig zijn om het apparaat te dwingen om opnieuw te synchroniseren met Intune, of om het beleid opnieuw toe te wijzen. Beheerders kunnen verschillende technieken gebruiken om de synchronisatie te forceren, zoals het uitvoeren van een synchronisatiecommando vanuit de Intune-portal, het opnieuw starten van de Intune Management Extension op het apparaat, of het uitvoeren van een PowerShell-commando op het apparaat om de synchronisatie te forceren. In sommige gevallen kan het nodig zijn om het apparaat opnieuw te registreren in Intune of om de Intune Management Extension opnieuw te installeren, wat meer tijdrovend is maar soms noodzakelijk wanneer de synchronisatie persistent niet werkt. Deze acties moeten worden gedocumenteerd en moeten worden gevolgd door verificatie om te bevestigen dat de synchronisatie nu correct werkt. In gevallen waar lokale configuraties de Intune-instellingen overschrijven, moet worden onderzocht of er Group Policy-objecten of andere beheertools actief zijn die conflicteren met het Intune-beleid. Dit betekent dat beheerders moeten controleren of er lokale groepsbeleidsregels zijn geconfigureerd die de Intune-instellingen overschrijven, of dat er andere beheertools zijn die de auditconfiguratie kunnen beïnvloeden, zoals Configuration Manager, lokale beveiligingsbeleidsregels, of handmatige configuraties. In hybride omgevingen waar zowel Group Policy als Intune worden gebruikt, kunnen conflicterende beleidsregels leiden tot onvoorspelbaar gedrag, waarbij de ene of de andere configuratie wordt toegepast afhankelijk van de volgorde van toepassing. In deze gevallen moeten beheerders de conflicterende beleidsregels identificeren en oplossen, bijvoorbeeld door Group Policy-objecten te wijzigen of te verwijderen, of door de prioriteit van beleidsregels aan te passen. Na het oplossen van de onderliggende oorzaak moet het apparaat opnieuw worden gecontroleerd om te verifiëren dat de remediatie succesvol was. Dit betekent dat beheerders moeten wachten tot het apparaat opnieuw heeft gesynchroniseerd met Intune, wat typisch binnen enkele minuten tot een uur plaatsvindt, en vervolgens moeten controleren of de configuratie nu correct is toegepast. Deze verificatie is essentieel omdat het bevestigt dat de remediatie daadwerkelijk heeft gewerkt en dat het apparaat nu voldoet aan de vereisten. De verificatie moet worden uitgevoerd door zowel de Intune-portal te raadplegen om te controleren of het beleid correct is toegepast, als door de lokale configuratie op het apparaat te controleren om te bevestigen dat de auditinstellingen correct zijn geconfigureerd. Voor endpoints die persistent niet-nalevend blijven ondanks herhaalde remediatiepogingen, kan het nodig zijn om handmatige interventie uit te voeren door lokaal in te loggen op het apparaat en de auditinstellingen direct te configureren via de lokale beveiligingsbeleidsregels of via PowerShell-commando's. Deze handmatige interventie moet worden gedocumenteerd en moet worden gevolgd door een grondig onderzoek om te begrijpen waarom het Intune-beleid niet wordt toegepast. Dit kan wijzen op dieperliggende problemen met de Intune-configuratie of de apparaatregistratie, zoals problemen met de apparaatidentiteit, problemen met de Intune Management Extension, problemen met de netwerkconnectiviteit, of problemen met de apparaatregistratie zelf. Deze problemen moeten worden opgelost om te voorkomen dat andere apparaten dezelfde problemen ondervinden, en om ervoor te zorgen dat de Intune-configuratie correct functioneert voor alle apparaten binnen de organisatie. Organisaties moeten ook procedures ontwikkelen voor het voorkomen van toekomstige niet-naleving, zoals regelmatige controles van apparaatconfiguraties en het implementeren van aanvullende monitoring om configuratiedrift vroegtijdig te detecteren. Deze preventieve maatregelen zijn essentieel omdat ze organisaties in staat stellen om problemen te detecteren voordat ze leiden tot niet-naleving, wat veel effectiever is dan reactieve remediatie. Regelmatige controles kunnen worden geautomatiseerd met PowerShell-scripts die regelmatig worden uitgevoerd, bijvoorbeeld wekelijks of maandelijks, en die rapporteren over de nalevingsstatus van alle apparaten. Deze scripts kunnen ook worden geïntegreerd met monitoringtools om automatisch waarschuwingen te genereren wanneer niet-naleving wordt gedetecteerd, waardoor beheerders snel kunnen reageren voordat de niet-naleving leidt tot beveiligingsrisico's. Daarnaast kunnen deze controles worden uitgevoerd als onderdeel van periodieke compliance-audits, waarbij zowel de nalevingsstatus als de effectiviteit van de remediatieprocessen worden geëvalueerd.
Gebruik PowerShell-script system-audit-system-integrity-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Naleving
De implementatie van systeemaudit voor systeemintegriteit draagt direct en substantieel bij aan naleving van verschillende compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties, waardoor deze maatregel niet alleen een technische beveiligingsmaatregel is, maar ook een essentiële en onmisbare component van de nalevingsstrategie van de organisatie. Compliance is een kritieke overweging voor Nederlandse overheidsorganisaties, die verplicht zijn om te voldoen aan verschillende frameworks en regelgeving die zijn ontwikkeld om de beveiliging en privacy van overheidsdata te waarborgen. Deze frameworks omvatten onder andere de BIO Baseline Informatiebeveiliging Overheid, die specifiek is ontwikkeld voor Nederlandse overheidsorganisaties, ISO 27001:2022, een internationaal erkend framework voor informatiebeveiligingsmanagement, en de CIS Security Benchmark, een reeks best practices voor beveiligingsconfiguratie. Elke organisatie moet daarom zorgvuldig evalueren welke frameworks van toepassing zijn en moet ervoor zorgen dat de implementatie van deze maatregel bijdraagt aan naleving van alle relevante frameworks. Binnen de BIO Baseline Informatiebeveiliging Overheid valt deze maatregel onder controle 16.01, welke expliciet vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle relevante beveiligingsgebeurtenissen. Dit betekent dat Nederlandse overheidsorganisaties verplicht zijn om uitgebreide logging te implementeren voor alle relevante beveiligingsgebeurtenissen, waarbij systeemintegriteit-wijzigingen als een van de meest kritieke gebeurtenissen worden beschouwd. De BIO Baseline is specifiek ontwikkeld voor Nederlandse overheidsorganisaties en beschrijft minimale beveiligingsvereisten die alle overheidsorganisaties moeten implementeren om de beveiliging en privacy van overheidsdata te waarborgen. Controle 16.01 is een fundamentele controle die vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen en deze logs bewaren voor auditdoeleinden, waarbij de retentieperiode minimaal één jaar moet zijn, maar langer indien nodig voor lopende forensische onderzoeken of compliance-audits. Door zowel succesvolle als mislukte pogingen tot wijziging van systeemintegriteit te loggen, voldoet de organisatie volledig aan de vereiste om alle relevante beveiligingsgebeurtenissen vast te leggen, wat een fundamenteel aspect is van de BIO Baseline controle 16.01. Dit betekent dat organisaties niet alleen moeten loggen wanneer wijzigingen succesvol zijn, maar ook wanneer pogingen tot wijziging mislukken, omdat deze informatie waardevol kan zijn voor het detecteren van aanvallen en het begrijpen van de bedreigingsomgeving. Mislukte pogingen tot wijziging kunnen bijvoorbeeld wijzen op aanvallen waarbij aanvallers proberen systeeminstellingen te manipuleren, op ongeautoriseerde toegangspogingen door interne gebruikers, of op kwaadaardige software die probeert systeemconfiguraties te wijzigen. Deze informatie is essentieel voor beveiligingsteams om bedreigingen vroegtijdig te detecteren en om passende maatregelen te nemen om aanvallen te voorkomen of te stoppen. Voor ISO 27001:2022 naleving valt deze maatregel onder controle A.12.4.1, welke expliciet betrekking heeft op logging en monitoring van systemen en welke vereist dat organisaties uitgebreide logging en monitoring implementeren voor alle relevante systemen. Dit betekent dat organisaties die ISO 27001:2022 certificering nastreven, deze maatregel moeten implementeren om te voldoen aan de vereisten van het informatiebeveiligingsmanagementsysteem, wat een essentieel onderdeel is van de certificering. ISO 27001:2022 is een internationaal erkend framework voor informatiebeveiligingsmanagement dat wordt gebruikt door organisaties wereldwijd om hun informatiebeveiligingsprocessen te structureren en te verbeteren, en controle A.12.4.1 is een van de belangrijkste controles binnen dit framework. De uitgebreide logging van systeemintegriteit-wijzigingen stelt organisaties in staat om te voldoen aan de vereisten voor gebeurtenissenlogging en het detecteren van afwijkingen, wat essentieel is voor het waarborgen van de beveiliging van informatie en systemen. Dit betekent dat organisaties niet alleen moeten loggen, maar ook moeten kunnen analyseren en reageren op de gegenereerde logdata om daadwerkelijk te voldoen aan de compliance-vereisten van ISO 27001:2022. Logging alleen is niet voldoende voor compliance; organisaties moeten ook kunnen aantonen dat ze de gegenereerde logs daadwerkelijk gebruiken voor beveiligingsdoeleinden, zoals het detecteren van aanvallen, het uitvoeren van forensische onderzoeken, en het monitoren van de beveiligingsstatus van systemen. Deze actieve gebruik van logs is essentieel omdat het aantoont dat de organisatie niet alleen voldoet aan de technische vereisten voor logging, maar ook daadwerkelijk gebruik maakt van de gegenereerde data om de beveiliging te verbeteren en bedreigingen te detecteren. Tijdens ISO 27001:2022 audits zullen auditors vragen naar hoe organisaties de gegenereerde logs gebruiken en zullen ze bewijs willen zien van actieve monitoring en analyse van logdata. Daarnaast is deze instelling ook onderdeel van de CIS Security Benchmark aanbevelingen, specifiek controle 18.9.19.2 op niveau L1, wat aangeeft dat dit een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte of sector. De CIS Security Benchmark is een reeks best practices voor beveiligingsconfiguratie die wordt ontwikkeld door het Center for Internet Security, een non-profit organisatie die zich richt op het verbeteren van cybersecurity wereldwijd. Niveau L1 bevat de meest fundamentele beveiligingsmaatregelen die alle organisaties moeten implementeren, ongeacht hun specifieke omgeving of vereisten, en controle 18.9.19.2 specificeert expliciet dat systeemaudit voor systeemintegriteit moet worden ingeschakeld voor zowel succesvolle als mislukte gebeurtenissen. Deze aanbeveling is gebaseerd op uitgebreid onderzoek en praktijkervaring en wordt beschouwd als een van de meest effectieve maatregelen voor het detecteren van aanvallen en het waarborgen van systeemintegriteit. Voor auditdoeleinden moet de organisatie kunnen aantonen dat deze logging actief is geconfigureerd op alle relevante endpoints en dat er procedures zijn voor het beheren, analyseren en bewaren van de gegenereerde logs. Dit betekent dat organisaties gedetailleerde documentatie moeten hebben die beschrijft hoe de logging is geconfigureerd, welke apparaten onder de logging vallen, hoe de logs worden beheerd en bewaard, en wie toegang heeft tot deze logs. Deze documentatie is essentieel voor externe audits, waarbij auditors moeten kunnen verifiëren dat de logging correct is geconfigureerd en actief wordt beheerd, en waarbij ze bewijs willen zien van regelmatige controles en evaluaties van de loggingprocessen. De documentatie moet ook beschrijven hoe de organisatie omgaat met niet-nalevende apparaten en hoe remediatie wordt uitgevoerd wanneer problemen worden gedetecteerd. Beleidsdocumentatie moet duidelijk en uitgebreid beschrijven waarom deze logging noodzakelijk is, hoe deze wordt geïmplementeerd, wie verantwoordelijk is voor monitoring, en hoe lang logs worden bewaard. Dit betekent dat organisaties niet alleen technische documentatie moeten hebben, maar ook beleidsdocumentatie die de zakelijke rationale voor de logging beschrijft, de organisatorische verantwoordelijkheden duidelijk maakt, en uitlegt hoe de logging bijdraagt aan de algehele beveiligingsstrategie van de organisatie. Beleidsdocumentatie helpt organisaties om te communiceren waarom bepaalde beveiligingsmaatregelen noodzakelijk zijn en wie verantwoordelijk is voor het beheren en monitoren van deze maatregelen, wat essentieel is voor het waarborgen van continue naleving en voor het verkrijgen van steun van management en stakeholders voor de beveiligingsmaatregelen. Tijdens externe audits moeten beheerders kunnen demonstreren dat de configuratie centraal wordt beheerd via Intune en dat er regelmatige controles plaatsvinden om te verifiëren dat de logging actief blijft en dat er geen configuratiedrift heeft plaatsgevonden. Dit betekent dat organisaties niet alleen moeten kunnen aantonen dat de logging is geconfigureerd, maar ook dat er processen zijn om te verifiëren dat de logging blijft functioneren en dat er geen ongeautoriseerde wijzigingen zijn aangebracht aan de configuratie. Centraal beheer via Intune maakt het mogelijk om consistent beleid toe te passen over alle endpoints en om regelmatig te controleren of de configuratie nog steeds correct is, wat essentieel is voor het waarborgen van continue naleving. Auditors zullen vragen naar deze processen en zullen bewijs willen zien van regelmatige controles en evaluaties, zoals rapportages die aantonen dat alle apparaten nalevend zijn en dat er geen configuratiedrift heeft plaatsgevonden. Organisaties moeten ook kunnen aantonen dat de gegenereerde logs daadwerkelijk worden gebruikt voor beveiligingsdoeleinden en dat er procedures zijn voor het analyseren en reageren op de logdata. Dit betekent dat compliance niet alleen gaat om het hebben van logging, maar ook om het effectief gebruiken van de gegenereerde logdata voor beveiligingsdoeleinden, wat essentieel is voor het waarborgen van echte beveiligingswaarde in plaats van alleen technische naleving. Organisaties moeten kunnen demonstreren dat ze de logs regelmatig analyseren, dat ze procedures hebben voor het reageren op verdachte gebeurtenissen, en dat ze de logs gebruiken voor het verbeteren van hun beveiligingspostuur. Tijdens audits zullen auditors vragen naar voorbeelden van hoe logs zijn gebruikt om bedreigingen te detecteren, hoe incidenten zijn onderzocht met behulp van logs, en hoe de organisatie haar beveiligingsprocessen heeft verbeterd op basis van inzichten uit loganalyse. Deze demonstratie van actief gebruik van logs is essentieel voor het aantonen van echte compliance en voor het verkrijgen van vertrouwen van auditors en stakeholders.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: System Integrity Audit
.DESCRIPTION
CIS - System integrity Success and Failure.
.NOTES
Filename: sys-integrity-audit.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: System Integrity|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "System Integrity"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "sys-int-audit.ps1"; PolicyName = "System Integrity Audit"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "System Integrity: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze auditlogging ontbreekt het inzicht in wijzigingen aan systeemintegriteit, waardoor beveiligingsteams niet kunnen detecteren wanneer aanvallers of kwaadaardige software kritieke systeemcomponenten manipuleren. Dit verhoogt het risico op onopgemerkte compromittering en bemoeilijkt forensische onderzoeken na een incident.
Management Samenvatting
Schakel systeemaudit voor systeemintegriteit in via Microsoft Intune om zowel succesvolle als mislukte wijzigingen aan systeemintegriteit te loggen. Dit biedt essentiële zichtbaarheid voor beveiligingsteams en is vereist voor compliance met BIO, ISO 27001 en CIS Security Benchmark.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE