Systeemgebeurtenissenlogboekgrootte

Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Zonder voldoende logboekcapaciteit kunnen kritieke beveiligingsgebeurtenissen verloren gaan, waardoor detectie en respons op incidenten worden belemmerd. Voor Nederlandse overheidsorganisaties is dit van cruciaal belang voor het voldoen aan BIO-normen en AVG-verplichtingen.

Implementatie

Deze regeling configureert de grootte van het systeemgebeurtenissenlogboek via Microsoft Intune apparaatconfiguratiebeleid of compliance policies om Windows endpoints te beveiligen volgens beveiligingsbest practices. Het zorgt ervoor dat voldoende opslagruimte beschikbaar is voor het vastleggen van alle relevante systeemgebeurtenissen die nodig zijn voor beveiligingsmonitoring en auditdoeleinden.

Vereisten

Voor de succesvolle implementatie van deze beveiligingsregeling dienen verschillende technische en organisatorische vereisten te worden vervuld. De fundamentele basis voor deze implementatie wordt gevormd door Microsoft Intune als Mobile Device Management oplossing voor het gecentraliseerde beheer van Windows endpoints binnen de organisatie. Een geldig Microsoft 365 licentiepakket dat Intune omvat is onontbeerlijk, waarbij organisaties typisch kiezen voor Microsoft 365 E3, E5 of vergelijkbare enterprise licentiepakketten die de benodigde beheersfunctionaliteiten bieden. Alle Windows endpoints moeten daarnaast correct zijn ingeschreven in Microsoft Intune, hetgeen kan plaatsvinden via device configuratiebeleidsregels of via automatische enrollment tijdens de initiële configuratie van het apparaat. Deze enrollment vormt de basis voor het kunnen toepassen van beveiligingsconfiguraties en het monitoren van de compliance status van endpoints.

Vanuit technisch perspectief stelt deze configuratie specifieke eisen aan de Windows endpoints die binnen de organisatie worden gebruikt. De endpoints moeten minimaal Windows 10 versie 1809 of hoger draaien, of beschikken over Windows 11 als besturingssysteem. Voor oudere versies van Windows 10 kunnen aanvullende configuratiemethoden nodig zijn, zoals Group Policy Objects via Active Directory, hoewel dergelijke implementaties buiten de scope van deze Intune-specifieke aanpak vallen. De endpoints moeten bovendien beschikken over een betrouwbare verbinding met het internet of via een beveiligde verbinding toegang hebben tot de Microsoft Intune service. Deze connectiviteit is essentieel voor het ontvangen van configuratiewijzigingen en het verzenden van statusrapportages die nodig zijn voor compliance monitoring en beheer.

Organisatorisch gezien vereist deze beveiligingsregeling een duidelijke verantwoordelijkheidsverdeling en goed gedefinieerde rollen binnen de organisatie. De Intune-beheerder draagt de primaire verantwoordelijkheid voor het configureren en toepassen van de policies die de logboekgrootte bepalen. De beveiligingsfunctionaris monitort de compliance en effectiviteit van de implementatie, waarbij regelmatige evaluaties worden uitgevoerd om te waarborgen dat de configuratie voldoet aan de beveiligingsdoelstellingen. De IT-beheerder beheert de operationele aspecten, waaronder het oplossen van technische problemen en het waarborgen van de beschikbaarheid van de benodigde infrastructuur. Daarnaast moeten er procedures zijn vastgelegd voor het reageren op compliance-afwijkingen, waarbij duidelijk is wie verantwoordelijk is voor welke acties en binnen welke termijnen deze moeten worden uitgevoerd. Periodieke beoordelingen van de logboekconfiguratie zijn eveneens essentieel om te waarborgen dat deze blijft voldoen aan de huidige beveiligingsvereisten en compliance-standaarden zoals de BIO-normen en ISO 27001.

Vanuit compliance-perspectief moet de organisatie kunnen aantonen dat de logboekconfiguratie volledig voldoet aan de relevante normen en standaarden die van toepassing zijn. Voor Nederlandse overheidsorganisaties betekent dit specifiek dat de configuratie moet voldoen aan BIO-controle 16.01 voor gebeurtenissen logging en audittrails. Deze controle vereist dat organisaties adequate logging configureren met voldoende capaciteit om alle relevante gebeurtenissen vast te leggen. De organisatie moet kunnen documenteren welke logboekgrootte is geconfigureerd, welke overwegingen hebben geleid tot deze keuze, en hoe wordt gewaarborgd dat er voldoende capaciteit beschikbaar is voor het vastleggen van alle relevante gebeurtenissen. Dit vereist vaak een uitgebreide risicoanalyse waarbij wordt gekeken naar het verwachte volume aan gebeurtenissen op basis van historische data en verwachte groei, de retentietijd die nodig is voor compliance-doeleinden en forensisch onderzoek, en de beschikbare opslagcapaciteit op de endpoints. Deze analyse moet regelmatig worden herzien om te waarborgen dat de configuratie blijft aansluiten bij de werkelijke behoeften van de organisatie.

Tot slot is het van cruciaal belang dat er adequate monitoring en alerting is geconfigureerd om proactief te waarschuwen wanneer endpoints niet voldoen aan de geconfigureerde logboekinstellingen. Deze monitoring kan worden gerealiseerd via Intune compliance policies die automatisch de status van endpoints evalueren en meldingen genereren wanneer afwijkingen worden gedetecteerd. De organisatie moet beschikken over een goed gedefinieerd proces voor het reageren op deze meldingen, waarbij duidelijk is wie verantwoordelijk is voor het onderzoeken van afwijkingen, het uitvoeren van remediatieacties, en het verifiëren dat de configuratie is hersteld. Dit proces moet worden gedocumenteerd en regelmatig worden getest om te waarborgen dat het effectief functioneert wanneer daadwerkelijk een afwijking wordt gedetecteerd. De combinatie van technische configuratie, organisatorische processen, en adequate monitoring vormt de basis voor een succesvolle implementatie die bijdraagt aan de beveiligingspostuur en compliance van de organisatie.

Implementatie

De implementatie van de systeemgebeurtenissenlogboekgrootte configuratie via Microsoft Intune vereist een zorgvuldig geplande en gestructureerde aanpak waarbij verschillende kritieke stappen systematisch worden doorlopen. De implementatie begint met een grondige voorbereiding van de Intune-omgeving en een uitgebreide analyse om de juiste logboekgrootte voor de organisatie te bepalen. Deze analyse moet rekening houden met het verwachte volume aan gebeurtenissen op basis van historische data en verwachte groei, de gewenste retentietijd die nodig is voor compliance-doeleinden en forensisch onderzoek, en de beschikbare opslagcapaciteit op de verschillende typen endpoints binnen de organisatie. Voor de meeste organisaties wordt een minimumgrootte van 20 MB aanbevolen als uitgangspunt, maar voor endpoints met hoge activiteit, zoals servers of werkstations die intensief worden gebruikt voor beveiligingskritieke taken, of voor endpoints met specifieke compliance-vereisten die langere retentietijden vereisen, kan een aanzienlijk grotere capaciteit nodig zijn. Deze capaciteitsplanning vormt de basis voor een effectieve implementatie die voldoet aan zowel operationele als compliance-vereisten.

De daadwerkelijke technische configuratie wordt uitgevoerd via een Intune Device Configuration Policy die specifiek gericht is op Windows Security Settings. Binnen deze policy wordt de instelling voor de systeemgebeurtenissenlogboekgrootte geconfigureerd volgens de specificaties die zijn vastgesteld tijdens de voorbereidingsfase. Het is belangrijk om te begrijpen dat deze instelling deel uitmaakt van de bredere Windows Security Settings die kunnen worden beheerd via Intune Administrative Templates of via Custom OMA-URI settings, afhankelijk van de specifieke vereisten en de beschikbare configuratie-opties. De implementatie vereist dat de policy wordt toegewezen aan de juiste groepen endpoints, waarbij zorgvuldig rekening wordt gehouden met verschillende scenario's en omgevingen. Testomgevingen kunnen bijvoorbeeld andere configuraties vereisen dan productieomgevingen, en verschillende typen endpoints zoals werkstations versus servers kunnen verschillende logboekgroottes nodig hebben op basis van hun specifieke gebruik en beveiligingsvereisten. Deze differentiatie waarborgt dat de configuratie optimaal is afgestemd op de werkelijke behoeften van elk type endpoint.

Tijdens de implementatie is het cruciaal om een gefaseerde rollout strategie te hanteren die risico's minimaliseert en de mogelijkheid biedt om problemen vroegtijdig te identificeren en op te lossen. Deze aanpak begint met het configureren van een beperkte groep endpoints, typisch bestaande uit een representatieve selectie van verschillende typen endpoints en gebruikers, om te valideren dat de configuratie correct wordt toegepast en geen negatieve impact heeft op de functionaliteit, prestaties of gebruikerservaring van de endpoints. Deze testfase moet minimaal één tot twee weken duren om voldoende tijd te hebben voor het monitoren van de effecten, het verzamelen van feedback van gebruikers en IT-personeel, en het identificeren van eventuele problemen of onverwachte gedragingen. Gedurende deze periode moeten regelmatige evaluaties worden uitgevoerd om te bepalen of de configuratie de beoogde doelen bereikt en of er aanpassingen nodig zijn voordat de implementatie wordt uitgebreid. Pas na succesvolle validatie in de testomgeving en na het oplossen van eventuele geïdentificeerde problemen wordt de configuratie uitgerold naar de volledige productieomgeving, waarbij de rollout opnieuw gefaseerd kan worden om de risico's verder te minimaliseren.

De implementatie omvat ook het configureren van uitgebreide monitoring en compliance policies die automatisch en continu controleren of endpoints voldoen aan de geconfigureerde logboekinstellingen. Deze compliance policies vormen een essentieel onderdeel van de implementatie omdat ze proactief afwijkingen detecteren en meldingen genereren wanneer endpoints niet voldoen aan de vereisten. Dit stelt de organisatie in staat om snel te reageren op problemen voordat deze kunnen leiden tot beveiligingsincidenten of compliance-schendingen. De monitoring moet worden geconfigureerd om regelmatig, bij voorkeur dagelijks of zelfs real-time voor kritieke endpoints, de status van alle endpoints te evalueren en rapportages te genereren die inzicht geven in de compliance status van de organisatie. Daarnaast moet er een duidelijk gedefinieerd proces zijn voor het documenteren van de implementatie, waarbij wordt vastgelegd welke endpoints zijn geconfigureerd, wanneer de configuratie is toegepast, welke specifieke instellingen zijn gebruikt, en wie verantwoordelijk is voor het beheer en onderhoud van de configuratie. Deze documentatie is essentieel voor compliance-verificatie, auditdoeleinden, en voor het waarborgen van continuïteit wanneer personeelswisselingen plaatsvinden.

Voor de technische uitvoering van de implementatie kan gebruik worden gemaakt van het bijbehorende PowerShell script dat de configuratie automatiseert en de status van endpoints monitort. Dit script faciliteert zowel de initiële implementatie door het automatisch toepassen van de configuratie op meerdere endpoints tegelijk, als het continue monitoren van de compliance status door regelmatig te controleren of endpoints nog steeds voldoen aan de geconfigureerde instellingen. Het gebruik van geautomatiseerde scripts verhoogt niet alleen de efficiëntie van de implementatie, maar vermindert ook het risico op menselijke fouten en zorgt voor consistentie in de configuratie over alle endpoints heen. Het is echter belangrijk dat de personen die het script uitvoeren beschikken over de juiste Intune-beheerrechten en voldoende kennis hebben van zowel de configuratie als de scriptfunctionaliteit. Daarnaast moet het script worden uitgevoerd in een beveiligde omgeving met voldoende logging van alle uitgevoerde acties voor auditdoeleinden, waarbij wordt vastgelegd wie welke acties heeft uitgevoerd, wanneer deze zijn uitgevoerd, en wat de resultaten waren. Deze audit logging is essentieel voor compliance en voor het kunnen traceren van wijzigingen in de configuratie.

Gebruik PowerShell-script system-event-log-size.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Effectieve monitoring van de systeemgebeurtenissenlogboekgrootte configuratie vormt een cruciaal onderdeel van de beveiligingsstrategie en is essentieel om te waarborgen dat alle endpoints continu blijven voldoen aan de beveiligingsvereisten en dat eventuele afwijkingen tijdig worden gedetecteerd en aangepakt voordat deze kunnen leiden tot beveiligingsincidenten of compliance-schendingen. De monitoring moet zowel proactief als reactief zijn, waarbij regelmatige geautomatiseerde controles worden uitgevoerd en automatische alerting wordt geconfigureerd voor afwijkingen, maar waarbij ook ruimte is voor reactieve respons wanneer onverwachte situaties zich voordoen. Deze combinatie van proactieve en reactieve monitoring waarborgt dat problemen snel worden geïdentificeerd en opgelost, terwijl tegelijkertijd wordt gewaarborgd dat de monitoring zelf effectief functioneert en blijft aansluiten bij de werkelijke behoeften van de organisatie.

De primaire monitoring vindt plaats via Microsoft Intune compliance policies die continu en automatisch de status van endpoints evalueren en rapporteren of de geconfigureerde logboekinstellingen correct zijn toegepast en worden gehandhaafd. Deze compliance policies vormen het fundament van de monitoringstrategie omdat ze een geautomatiseerde en schaalbare manier bieden om de compliance status van grote aantallen endpoints te evalueren zonder dat hiervoor handmatige interventie nodig is. De compliance policies kunnen worden geconfigureerd om automatisch meldingen te genereren wanneer endpoints niet voldoen aan de vereisten, waarbij verschillende niveaus van alerting kunnen worden geconfigureerd op basis van de ernst van de afwijking en de kritikaliteit van het betreffende endpoint. Dit stelt de IT-afdeling in staat om direct te worden geïnformeerd over eventuele problemen, waardoor snelle respons mogelijk is. Het is aanbevolen om deze compliance checks minimaal dagelijks uit te voeren voor alle endpoints, hoewel real-time monitoring mogelijk en aanbevolen is voor kritieke endpoints zoals servers die kritieke diensten hosten of werkstations die toegang hebben tot gevoelige informatie. Deze frequentie waarborgt dat afwijkingen snel worden gedetecteerd terwijl de monitoring overhead binnen acceptabele grenzen blijft.

Naast de automatische compliance monitoring is het belangrijk om periodiek handmatige controles uit te voeren die dieper ingaan op de details van de monitoring en die validatie bieden dat de geautomatiseerde monitoring correct functioneert. Deze handmatige controles bieden ook de mogelijkheid om trends te identificeren in de compliance status die mogelijk niet direct zichtbaar zijn in de automatische rapportages, en om de effectiviteit van de monitoring zelf te evalueren. Deze handmatige controles moeten minimaal wekelijks worden uitgevoerd door ervaren IT-personeel of beveiligingsfunctionarissen die voldoende kennis hebben van zowel de technische configuratie als de compliance-vereisten. Tijdens deze controles wordt gekeken naar het percentage endpoints dat compliant is en naar trends in dit percentage over tijd, eventuele patronen in non-compliance zoals specifieke groepen endpoints of geografische locaties die consistent problemen vertonen, en de effectiviteit van eerder uitgevoerde remediatieacties om te bepalen of deze succesvol zijn geweest of dat aanvullende maatregelen nodig zijn. Alle bevindingen van deze handmatige controles moeten worden gedocumenteerd voor auditdoeleinden, waarbij wordt vastgelegd wat is gecontroleerd, welke bevindingen zijn gedaan, en welke acties zijn ondernomen als gevolg van deze bevindingen.

De monitoring omvat ook het analyseren van de daadwerkelijke logboekgebruik op endpoints om te bepalen of de geconfigureerde grootte voldoende is voor de werkelijke behoeften of dat aanpassingen nodig zijn om te waarborgen dat alle relevante gebeurtenissen kunnen worden vastgelegd. Deze analyse is belangrijk omdat een logboekconfiguratie die theoretisch voldoet aan de vereisten maar in de praktijk regelmatig vol raakt, niet effectief is en kan leiden tot het verlies van belangrijke beveiligingsgebeurtenissen. Wanneer logboeken regelmatig vol raken voordat oude entries worden overschreven volgens het geconfigureerde retentiebeleid, kan dit wijzen op een te kleine configuratie die niet aansluit bij het werkelijke volume aan gebeurtenissen, of op een toename in het volume aan gebeurtenissen die niet was voorzien tijdens de initiële planning. In dergelijke gevallen moet worden overwogen om de logboekgrootte te verhogen om voldoende capaciteit te waarborgen, of om aanvullende maatregelen te nemen zoals het configureren van logboekarchivering naar een centrale locatie waar logboekdata kan worden opgeslagen voor langere retentietijden zonder de lokale opslagcapaciteit te belasten. Deze aanpassingen moeten worden gedocumenteerd en de effectiviteit ervan moet worden gemonitord om te waarborgen dat ze de beoogde doelen bereiken.

Voor de technische uitvoering van de monitoring kan gebruik worden gemaakt van het bijbehorende PowerShell script dat automatisch de status van endpoints controleert en gedetailleerde rapportages genereert die inzicht geven in de compliance status van de organisatie. Dit script kan worden geïntegreerd in bestaande monitoring workflows en kan worden geconfigureerd om automatisch te worden uitgevoerd volgens een vastgesteld schema, bijvoorbeeld dagelijks of wekelijks, afhankelijk van de behoeften van de organisatie. De integratie met bestaande workflows waarborgt dat de monitoring naadloos aansluit bij de andere beveiligings- en compliance monitoring activiteiten, waardoor een holistisch beeld ontstaat van de beveiligingspostuur van de organisatie. De resultaten van de monitoring moeten worden opgeslagen in een beveiligde locatie en bewaard voor compliance- en auditdoeleinden, waarbij rekening wordt gehouden met de relevante retentievereisten zoals vastgelegd in het audit evidence beleid van de organisatie. Deze retentievereisten variëren typisch tussen één en zeven jaar, afhankelijk van de specifieke compliance-vereisten en de aard van de organisatie, en moeten worden nageleefd om te waarborgen dat audit evidence beschikbaar is wanneer dit nodig is voor compliance-verificatie of forensisch onderzoek.

Tot slot moet de monitoring ook aandacht besteden aan de impact van de logboekconfiguratie op de prestaties en opslagcapaciteit van endpoints, omdat een configuratie die theoretisch voldoet aan de compliance-vereisten maar in de praktijk negatieve impact heeft op de functionaliteit of prestaties van endpoints, niet duurzaam is. Hoewel moderne endpoints over het algemeen voldoende capaciteit hebben voor adequate logboekconfiguraties zonder merkbare impact op de prestaties, kan het in specifieke scenario's zoals endpoints met beperkte opslagcapaciteit of endpoints die zeer intensief worden gebruikt, nodig zijn om de configuratie aan te passen op basis van de beschikbare resources. De monitoring moet daarom niet alleen kijken naar compliance met de geconfigureerde instellingen, maar ook naar de operationele impact van deze instellingen en naar indicatoren die kunnen wijzen op de noodzaak voor eventuele optimalisaties. Deze holistische benadering van monitoring waarborgt dat de configuratie niet alleen voldoet aan compliance-vereisten, maar ook praktisch haalbaar en duurzaam is voor de organisatie op de lange termijn.

Gebruik PowerShell-script system-event-log-size.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring aangeeft dat endpoints niet voldoen aan de geconfigureerde systeemgebeurtenissenlogboekgrootte instellingen, is het van cruciaal belang om snel en effectief te reageren om de beveiligingspostuur te herstellen en compliance te waarborgen voordat de non-compliance kan leiden tot beveiligingsincidenten of compliance-schendingen. De remediatie moet worden uitgevoerd volgens een goed gedefinieerd en gestructureerd proces dat waarborgt dat alle relevante aspecten worden aangepakt en dat de remediatie effectief en duurzaam is. Dit proces begint met een grondige analyse om te bepalen wat de exacte oorzaak is van de non-compliance, waarbij wordt gekeken naar zowel technische als organisatorische factoren die mogelijk hebben bijgedragen aan het probleem. Vervolgens wordt op basis van deze analyse bepaald welke remediatieactie het meest geschikt is voor de specifieke situatie, waarbij rekening wordt gehouden met de ernst van de afwijking, de kritikaliteit van het betreffende endpoint, en de beschikbare resources voor remediatie. Tot slot wordt gecontroleerd of de remediatie succesvol is geweest door de configuratie te verifiëren en de compliance status opnieuw te evalueren, waarbij wordt gewaarborgd dat het probleem niet opnieuw zal optreden.

De meest voorkomende oorzaken van non-compliance kunnen worden gecategoriseerd in verschillende scenario's die elk specifieke remediatiebenaderingen vereisen. Ten eerste zijn er endpoints die niet correct zijn geconfigureerd tijdens de initiële implementatie, hetgeen kan gebeuren wanneer de policy niet correct wordt toegepast, wanneer er fouten optreden tijdens de configuratie, of wanneer endpoints niet correct zijn ingeschreven in Intune. Ten tweede zijn er endpoints waar de configuratie handmatig is gewijzigd door gebruikers of lokale beheerders, hetgeen kan gebeuren wanneer gebruikers proberen de configuratie aan te passen voor hun eigen doeleinden of wanneer lokale beheerders wijzigingen maken zonder zich bewust te zijn van de beveiligingsimplicaties. Ten derde zijn er endpoints waar de Intune policy niet correct is toegepast vanwege technische problemen zoals connectiviteitsproblemen die voorkomen dat de policy wordt gedownload, synchronisatiefouten die voorkomen dat de configuratie wordt toegepast, of problemen met de Intune client zelf die moeten worden opgelost voordat de configuratie kan worden hersteld. Voor elk van deze scenario's zijn specifieke remediatieacties nodig die zijn afgestemd op de onderliggende oorzaak, waarbij het belangrijk is om niet alleen de symptomen aan te pakken maar ook de oorzaak om te voorkomen dat het probleem opnieuw optreedt.

Voor endpoints waar de configuratie simpelweg niet is toegepast tijdens de initiële implementatie of waar de configuratie verloren is gegaan, kan de remediatie bestaan uit het opnieuw toepassen van de Intune policy of het forceren van een policy synchronisatie die ervoor zorgt dat de configuratie opnieuw wordt gedownload en toegepast. Dit kan worden gedaan via de Intune console door de policy opnieuw toe te wijzen aan het betreffende endpoint of aan de groep waarvan het endpoint deel uitmaakt, of door gebruik te maken van het bijbehorende PowerShell script dat automatisch de configuratie kan herstellen voor meerdere endpoints tegelijk. Het is belangrijk om na de remediatie te verifiëren dat de configuratie correct is toegepast door de logboekinstellingen op het endpoint te controleren en door de compliance status opnieuw te evalueren via de Intune compliance policies. Deze verificatie waarborgt dat de remediatie succesvol is geweest en dat het endpoint weer volledig compliant is met de beveiligingsvereisten. Indien de configuratie na de remediatie nog steeds niet correct is, moet worden onderzocht of er andere onderliggende problemen zijn die moeten worden opgelost voordat de configuratie kan worden hersteld.

Wanneer de non-compliance wordt veroorzaakt door handmatige wijzigingen aan de configuratie door gebruikers of lokale beheerders, is het belangrijk om niet alleen de configuratie te herstellen naar de juiste instellingen, maar ook om te onderzoeken waarom de wijziging is gemaakt en om maatregelen te nemen om te voorkomen dat dit in de toekomst opnieuw gebeurt. Dit onderzoek moet inzicht geven in de motivatie achter de wijziging, of deze nu was bedoeld om een technisch probleem op te lossen, om de functionaliteit aan te passen, of om andere redenen. Op basis van deze inzichten kunnen verschillende maatregelen worden genomen, afhankelijk van de situatie. Als de wijziging werd gemaakt omdat gebruikers of lokale beheerders niet begrijpen waarom de configuratie belangrijk is, kan gebruikersvoorlichting en training helpen om bewustwording te creëren en toekomstige wijzigingen te voorkomen. Als de wijziging werd gemaakt omdat lokale beheerders te veel rechten hebben, kunnen lokale beheerrechten worden beperkt om te voorkomen dat configuraties handmatig kunnen worden gewijzigd. Als de wijziging werd gemaakt omdat er technische problemen waren die gebruikers probeerden op te lossen, moeten deze onderliggende problemen worden aangepakt om te voorkomen dat gebruikers in de toekomst opnieuw proberen de configuratie aan te passen. In alle gevallen moeten aanvullende technische maatregelen worden overwogen om te voorkomen dat configuraties handmatig kunnen worden gewijzigd, zoals het gebruik van Group Policy settings die lokale wijzigingen blokkeren of het configureren van Intune policies die automatisch wijzigingen terugdraaien.

Voor endpoints waar technische problemen de oorzaak zijn van de non-compliance, zoals connectiviteitsproblemen, synchronisatiefouten, of problemen met de Intune client, moet eerst het onderliggende technische probleem worden opgelost voordat de beveiligingsconfiguratie opnieuw kan worden toegepast. Dit vereist vaak samenwerking met de IT-afdeling of met Microsoft support om de technische problemen te diagnosticeren en op te lossen. Connectiviteitsproblemen kunnen bijvoorbeeld worden veroorzaakt door firewallregels die de communicatie met de Intune service blokkeren, door netwerkconfiguratieproblemen, of door proxy-instellingen die niet correct zijn geconfigureerd. Deze problemen moeten worden opgelost door de netwerkinfrastructuur aan te passen of door de endpoint configuratie te corrigeren. Synchronisatiefouten kunnen worden veroorzaakt door problemen met de Intune client zelf, door conflicterende policies, of door problemen met de Intune service. Deze problemen kunnen vaak worden opgelost door de Intune client bij te werken of te herstellen, door conflicterende policies op te lossen, of door de synchronisatie handmatig te forceren. Andere technische interventies die mogelijk nodig zijn, kunnen het opnieuw inschrijven van het endpoint in Intune omvatten, het resetten van de Intune client configuratie, of het oplossen van problemen met de Windows Event Log service zelf. Pas nadat deze technische problemen zijn opgelost en de connectiviteit en functionaliteit zijn hersteld, kan de beveiligingsconfiguratie opnieuw worden toegepast en kan worden geverifieerd dat deze correct wordt gehandhaafd.

De remediatie moet worden gedocumenteerd voor auditdoeleinden en voor het leren van ervaringen om toekomstige problemen te voorkomen. Deze documentatie moet omvatten welke endpoints zijn gerepareerd, wanneer de remediatie is uitgevoerd, wat de exacte oorzaak was van de non-compliance zoals geïdentificeerd tijdens de analyse, welke specifieke acties zijn ondernomen om het probleem op te lossen, en wat de resultaten waren van de verificatie na de remediatie. Deze documentatie is belangrijk voor compliance-verificatie omdat auditors moeten kunnen zien dat de organisatie proactief reageert op compliance-afwijkingen en dat er een gestructureerd proces is voor het oplossen van problemen. Daarnaast is de documentatie belangrijk voor het identificeren van trends of patronen die kunnen wijzen op systematische problemen die aanvullende aandacht vereisen, zoals endpoints in een specifieke locatie die consistent problemen vertonen, of een bepaald type endpoint dat vaker problemen heeft dan andere. Het bijbehorende PowerShell script kan worden gebruikt om de remediatie te automatiseren voor meerdere endpoints tegelijk, en om automatisch documentatie te genereren van alle uitgevoerde acties, waardoor de efficiëntie wordt verhoogd en de consistentie van de documentatie wordt gewaarborgd. Deze geautomatiseerde documentatie kan vervolgens worden gebruikt voor rapportage, voor auditdoeleinden, en voor het analyseren van trends in compliance-afwijkingen om de beveiligingsstrategie continu te verbeteren.

Gebruik PowerShell-script system-event-log-size.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Audit

De configuratie van de systeemgebeurtenissenlogboekgrootte is van cruciaal belang voor het voldoen aan verschillende compliance-vereisten en beveiligingsframeworks die van toepassing zijn op Nederlandse overheidsorganisaties, waarbij adequate logging niet alleen een technische vereiste is maar ook een fundamenteel onderdeel van de beveiligings- en compliance strategie. De implementatie moet worden ondersteund door uitgebreide documentatie en gedetailleerde audittrails die kunnen worden gebruikt om aan te tonen dat de organisatie volledig voldoet aan de relevante normen en standaarden, en die kunnen dienen als bewijs tijdens audits en compliance-verificaties. Deze documentatie en audittrails vormen de basis voor het kunnen demonstreren van due diligence en voor het waarborgen van transparantie en verantwoordingsplicht in het beheer van beveiligingsconfiguraties. Zonder adequate documentatie en audittrails kan de organisatie niet effectief aantonen dat de configuratie correct is geïmplementeerd en wordt gehandhaafd, hetgeen kan leiden tot compliance-schendingen en mogelijke juridische of financiële gevolgen.

Voor Nederlandse overheidsorganisaties is de belangrijkste compliance-vereiste de BIO Baseline Informatiebeveiliging Overheid, specifiek controle 16.01 voor gebeurtenissen logging en audittrails, die een fundamentele vereiste vormt voor alle organisaties die werken met gevoelige informatie of kritieke systemen. Deze controle vereist dat organisaties adequate logging configureren voor alle relevante systemen en dat deze logging voldoende capaciteit heeft om alle belangrijke gebeurtenissen vast te leggen zonder dat gebeurtenissen verloren gaan door onvoldoende opslagruimte. De configuratie van de systeemgebeurtenissenlogboekgrootte is een directe en essentiële implementatie van deze vereiste, omdat zonder voldoende logboekcapaciteit de logging niet effectief kan zijn en belangrijke gebeurtenissen kunnen verloren gaan. Tijdens audits en compliance-verificaties moet de organisatie kunnen aantonen dat de logboekgrootte is geconfigureerd volgens de vereisten, dat deze configuratie wordt gehandhaafd, en dat er adequate monitoring is om te waarborgen dat endpoints compliant blijven. Deze verificatie vereist niet alleen technische bewijsstukken zoals configuratieschermafbeeldingen of compliance rapportages, maar ook documentatie die uitlegt waarom de gekozen configuratie adequaat is en hoe wordt gewaarborgd dat deze blijft voldoen aan de vereisten.

Daarnaast is de configuratie relevant voor ISO 27001:2022 controle A.12.4.1 voor gebeurtenissen logging, die een internationale standaard vormt voor informatiebeveiligingsmanagement en die wordt gebruikt door organisaties wereldwijd om hun beveiligingspostuur te verbeteren en te demonstreren. Deze controle vereist dat organisaties logging configureren voor alle relevante gebeurtenissen die belangrijk zijn voor beveiligingsmonitoring, incidentdetectie, en forensisch onderzoek, en dat deze logging adequaat wordt beheerd en beschermd tegen ongeautoriseerde toegang of wijziging. De juiste configuratie van de logboekgrootte is essentieel om te waarborgen dat alle relevante gebeurtenissen kunnen worden vastgelegd zonder dat oude gebeurtenissen verloren gaan voordat ze kunnen worden geanalyseerd, en dat er voldoende historische data beschikbaar is voor beveiligingsmonitoring en incidentrespons. Voor incidentrespons is het bijvoorbeeld belangrijk dat er voldoende historische logboekdata beschikbaar is om te kunnen analyseren wat er is gebeurd voor, tijdens en na een beveiligingsincident, hetgeen essentieel is voor het begrijpen van de aanval, het identificeren van de impact, en het voorkomen van toekomstige incidenten. Zonder adequate logboekcapaciteit kan deze historische data verloren gaan, waardoor incidentrespons wordt belemmerd en de organisatie kwetsbaar blijft voor vergelijkbare aanvallen.

Voor de CIS Security Benchmark is controle 18.9.19.2 van toepassing, die specifieke aanbevelingen doet voor de configuratie van Windows event logging op basis van best practices die zijn ontwikkeld door beveiligingsexperts en die worden gebruikt door organisaties wereldwijd. Deze benchmark wordt vaak gebruikt als referentie voor beveiligingsbest practices en kan worden gebruikt om de configuratie te valideren tegen industrie-standaarden en om te demonstreren dat de organisatie een sterke beveiligingspostuur heeft. De implementatie van deze regeling draagt direct bij aan het voldoen aan deze benchmark en aan het demonstreren van due diligence in het beheer van beveiligingsconfiguraties. Organisaties die voldoen aan de CIS Security Benchmark kunnen dit gebruiken om aan te tonen aan stakeholders, partners, en klanten dat zij serieus omgaan met beveiliging en dat zij industrie-standaard best practices volgen. Dit kan belangrijk zijn voor het verkrijgen van certificeringen, voor het winnen van contracten, en voor het opbouwen van vertrouwen met partners en klanten die verwachten dat hun data adequaat wordt beschermd.

De compliance-documentatie moet uitgebreid zijn en omvatten welke specifieke logboekgrootte is geconfigureerd voor verschillende typen endpoints, welke overwegingen en analyses hebben geleid tot deze keuze, hoe de configuratie wordt beheerd en gemonitord om te waarborgen dat deze blijft voldoen aan de vereisten, en hoe wordt gewaarborgd dat alle endpoints compliant blijven door middel van geautomatiseerde monitoring en handmatige controles. Deze documentatie moet regelmatig worden bijgewerkt wanneer wijzigingen worden gemaakt aan de configuratie, wanneer nieuwe inzichten worden verkregen over de effectiviteit van de implementatie, of wanneer nieuwe compliance-vereisten worden geïntroduceerd die aanpassingen aan de configuratie of documentatie vereisen. De documentatie moet beschikbaar zijn voor auditors en compliance officers en moet kunnen worden gebruikt om aan te tonen dat de organisatie proactief werkt aan het waarborgen van adequate logging en dat er een gestructureerd proces is voor het beheer en onderhoud van de configuratie. Deze proactieve benadering is belangrijk omdat auditors niet alleen kijken naar of de configuratie technisch correct is, maar ook naar of de organisatie een volwassen proces heeft voor het beheer van beveiligingsconfiguraties en of er adequate governance is om te waarborgen dat de configuratie blijft voldoen aan de vereisten.

Voor auditdoeleinden is het van cruciaal belang dat er uitgebreide audittrails zijn die aantonen wanneer de configuratie is geïmplementeerd, wanneer wijzigingen zijn gemaakt aan de configuratie, wie verantwoordelijk was voor deze acties, en wat de reden was voor eventuele wijzigingen. Deze audittrails vormen het bewijs dat de organisatie de configuratie adequaat beheert en dat er een proces is voor het maken en documenteren van wijzigingen, hetgeen essentieel is voor compliance-verificatie en voor het kunnen traceren van wijzigingen in de configuratie over tijd. De audittrails moeten worden bewaard voor de periode zoals vastgelegd in het audit evidence beleid van de organisatie, wat typisch minimaal één jaar is maar kan variëren afhankelijk van de specifieke compliance-vereisten en de aard van de organisatie. Voor organisaties die werken met zeer gevoelige informatie of die onderworpen zijn aan strenge compliance-vereisten, kunnen langere retentietijden nodig zijn, bijvoorbeeld drie tot zeven jaar. De audittrails moeten beschermd zijn tegen wijziging door gebruik te maken van technische maatregelen zoals write-once storage, digitale handtekeningen, of andere mechanismen die de integriteit van de data waarborgen. Deze bescherming is essentieel omdat audittrails die kunnen worden gewijzigd niet betrouwbaar zijn als bewijs tijdens audits en omdat wijzigingen aan audittrails zelf indicatoren kunnen zijn van beveiligingsincidenten of compliance-schendingen. De audittrails moeten kunnen worden gebruikt om de integriteit van de configuratie te verifiëren tijdens audits door te demonstreren dat de configuratie consistent is geïmplementeerd en gehandhaafd, en dat eventuele wijzigingen zijn gedocumenteerd en goedgekeurd volgens de juiste processen.

Tot slot moet de organisatie kunnen aantonen dat de configuratie niet alleen technisch correct is maar ook effectief is en dat deze daadwerkelijk bijdraagt aan de beveiligingsdoelstellingen van de organisatie. Dit kan worden gedaan door regelmatig te rapporteren over de compliance status en over trends in compliance-afwijkingen, door te documenteren hoe de logging wordt gebruikt voor beveiligingsmonitoring en incidentrespons, en door te demonstreren dat de configuratie voldoet aan de operationele behoeften van de organisatie zonder negatieve impact op functionaliteit of prestaties. Deze informatie is belangrijk voor zowel interne als externe audits omdat het aantoont dat de organisatie niet alleen voldoet aan de technische vereisten, maar ook dat de configuratie daadwerkelijk waarde toevoegt aan de beveiligingspostuur. Voor interne audits kan deze informatie worden gebruikt om te identificeren waar verbeteringen mogelijk zijn en om de beveiligingsstrategie continu te verbeteren. Voor externe audits kan deze informatie worden gebruikt om aan te tonen aan auditors, certificeringsinstanties, en andere stakeholders dat de organisatie een volwassen en effectieve aanpak heeft voor beveiligingsmanagement. Deze demonstratie van effectiviteit is essentieel voor het opbouwen van vertrouwen en voor het waarborgen dat de organisatie kan blijven voldoen aan compliance-vereisten op de lange termijn, zelfs wanneer nieuwe bedreigingen ontstaan of wanneer compliance-vereisten evolueren.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Configureer de systeemgebeurtenissenlogboekgrootte via Microsoft Intune om te waarborgen dat voldoende capaciteit beschikbaar is voor het vastleggen van alle relevante gebeurtenissen die nodig zijn voor beveiligingsmonitoring en compliance.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE