L1 BIO 12.04.01 ISO A.12.4.1 CIS 2.1.2

Mailbox Auditing Ingeschakeld Voor Alle Mailboxes

📅 2025-10-30
⏱️ 6 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Mailbox auditing logt alle mailbox access events (owner, delegate, admin actions) en is essentieel voor security investigations, compliance vereisten, en forensische analyse bij beveiligingsincidenten.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
M365
Exchange Online

Zonder mailbox auditing ontbreekt cruciale visibility in mailbox activiteiten waardoor: compromised mailboxes niet kunnen worden geïnvestigeerd (geen logging van unauthorized access), data exfiltration onopgemerkt blijft (welke emails werden gelezen/geforward), insider threats niet detecteerbaar zijn (welke admin heeft mailbox access gehad), compliance schendingen optreden (AVG, NIS2, BIO vereisen audittrails), e-discovery niet volledig is (missing context over email handling), en forensische analyse na incidents onmogelijk wordt (no evidence trail). Mailbox auditing logt drie categorieën events: Owner actions (user's eigen acties: send, delete, move items, update calendar), Delegeer actions (acties door users met Delegeer machtigingen: send-as, send-on-behalf), en Admin actions (Exchange admins met mailbox access: search, export, modify machtigingen). Deze logt zijn essentieel voor incidentrespons bij Business Email Compromise (BEC), account takeovers, en insider threats. Voor AVG/GDPR compliance is auditing ook vereist om data processing activities aan te tonen.

PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

Mailbox auditing is standaard ingeschakeld voor alle M365 tenants sinds januari 2019 (automatisch door Microsoft). Deze control verifieert dat auditing NIET is uitgeschakeld via de tenant-level setting. De verificatie gebeurt via: Get-OrganizationConfig | Select-Object AuditDisabled (moet zijn: False). Indien AuditDisabled is True, dan is auditing uitgeschakeld en moet worden ingeschakeld via: Set-OrganizationConfig -AuditDisabled $false. Per-mailbox auditing wordt automatisch ingeschakeld, maar kan per mailbox worden gecontroleerd via: Get-Mailbox | Select Name, AuditEnabled. Audit logt worden bewaard voor 90 dagen (standaard) of 1 jaar voor E5 Licenties. Voor langere retention kan Microsoft Purview audit loggen retentiebeleid worden geconfigureerd (tot 10 jaar).

Vereisten

Voor mailbox auditing zijn de volgende voorwaarden vereist:

  1. Exchange Online mailboxes (onderdeel van M365)
  2. Exchange Administrator of Globale beheerder rechtenistrator rol voor configuratie
  3. Compliance Administrator of Security Reader voor audit loggen access
  4. Microsoft 365 E3/E5 of Exchange Online Plan 1/2 licentie
  5. Voor extended retention (1 year): E5 of E5 Compliance add-on licentie
  6. Voor 10-year retention: E5 Compliance add-on + Audit (Premium) licentie
  7. PowerShell 5.1+ met ExchangeOnlineManagement module
  8. Purview Compliance portal access voor audit loggen search
  9. SIEM integration (optioneel) voor centralized loggen management

Implementatie

Mailbox auditing is Standaard ingeschakeld, maar verificatie is essentieel:

Gebruik PowerShell-script mailbox-auditing-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor validatie van mailbox auditing status.

Verificatie via PowerShell:

  1. Connect-ExchangeOnline
  2. Controleer tenant-wide status: Get-OrganizationConfig | Select AuditDisabled
  3. Expected: AuditDisabled is False (auditing ingeschakeld)
  4. If True: Set-OrganizationConfig -AuditDisabled $false
  5. Verifieer per-mailbox (sample check): Get-Mailbox -ResultSize 10 | Select Name, AuditEnabled
  6. Expected: AuditEnabled is True voor alle mailboxes

Audit loggen retention configureren (optioneel, voor extended retention):

  1. Microsoft Purview compliance portal → Audit → retentiebeleid
  2. Maak aan audit loggen retentiebeleid
  3. retentieperiode: 1 year (E5) of 10 years (E5 Compliance add-on)
  4. Scope: Exchange mailbox activities
  5. Priority: Set priority voor overlapping beleidsregels
  6. Apply to: alle gebruikers of specific groeps

Audit loggen search (voor investigations):

  1. Purview compliance portal → Audit → Search
  2. Filter: Activities (MailboxLogin, SendAs, Send, Update, etc.)
  3. Date range, User, Mailbox
  4. Export results voor forensische analyse
  5. via PowerShell: Search-UnifiedAuditLog -StartDate -EndDate -Operations 'MailboxLogin'

monitoring

Gebruik PowerShell-script mailbox-auditing-enabled.ps1 (functie Invoke-Monitoring) – Dagelijkse/wekelijkse compliance Controleer van auditing status.

Proactive monitoring van audit events:

  1. monitor suspicious mailbox activities:
  2. - MailboxLogin van unusual locations (impossible travel)
  3. - SendAs operations (mogelijk compromised account)
  4. - Hard deletes (data destruction, insider threat)
  5. - Mailbox machtiging changes (privilege escalation)
  6. - Export/move operations (data exfiltration)
  7. Microsoft 365 Defender → Incidents → Email-related incidents
  8. Purview compliance portal → Audit loggen trends en anomalies
  9. SIEM integration: Forward audit logt naar Sentinel/Splunk voor geavanceerd analytics
  10. Baseline normal behavior en alert op deviations

Compliance en Auditing

Mailbox auditing is verplicht voor naleving van meerdere frameworks: CIS Microsoft 365 Foundations Benchmark - control 2.1.2 (Zorg ervoor dat mailbox auditing is ingeschakeld), BIO Thema 12.04.01 (Gebeurtenisregistratie - Logging van gebruikersactiviteiten en uitzonderingen), ISO 27001:2022 A.12.4.1 (Gebeurtenissen logging en audittrails - Security event recording), ISO 27001:2022 A.12.4.2 (bescherming of loggen information), AVG/GDPR Artikel 32 (Security of processing - Logging capabilities), NIS2 Artikel 21 (Incident detectie en logging), en voor legal hold/e-discovery requirements in litigation scenarios. Mailbox auditing is baseline requirement voor bijna alle compliance frameworks.

Remediatie

Gebruik PowerShell-script mailbox-auditing-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Mailbox Auditing Enabled .DESCRIPTION Ensures mailbox auditing is enabled organization-wide in Exchange Online. This is critical for security monitoring and compliance. .NOTES Filename: mailbox-auditing-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud .EXAMPLE .\mailbox-auditing-enabled.ps1 -Monitoring Check if mailbox auditing is enabled .EXAMPLE .\mailbox-auditing-enabled.ps1 -Remediation Enable mailbox auditing #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Mailbox Auditing Enabled" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Write-Host "Connecting to Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Checking organization-wide auditing..." -ForegroundColor Gray $orgConfig = Get-OrganizationConfig $isEnabled = $orgConfig.AuditDisabled -eq $false if ($isEnabled) { Write-Host " Organization-wide Auditing: ENABLED" -ForegroundColor Green Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host " Organization-wide Auditing: DISABLED" -ForegroundColor Red Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red exit 1 } } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { try { Write-Host "Connecting to Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Enabling mailbox auditing..." -ForegroundColor Gray Set-OrganizationConfig -AuditDisabled $false -ErrorAction Stop Write-Host "`n[OK] Mailbox auditing enabled" -ForegroundColor Green exit 0 } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { try { Write-Host "⚠️ WARNING: Disabling mailbox auditing reduces security!" -ForegroundColor Yellow Write-Host "Connecting to Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Set-OrganizationConfig -AuditDisabled $true -ErrorAction Stop Write-Host " Mailbox auditing disabled" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Use: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Hoog risico op ondetectable beveiligingsincidenten: zonder mailbox auditing kunnen account compromises, data exfiltration, insider threats, en BEC fraud onopgemerkt blijven. Bij beveiligingsincidenten ontbreekt forensische evidence voor incident scope bepaling. compliance schendingen bij AVG, NIS2, BIO audits zonder adequate logging. Legal hold en e-discovery incomplete zonder audittrails. Mailbox auditing is GRATIS (included in M365) en heeft geen performance impact - er is GEEN reden om dit niet ingeschakeld te hebben.

Management Samenvatting

Verifieer dat mailbox auditing ingeschakeld is (standaard sinds 2019). Controleer via Get-OrganizationConfig dat AuditDisabled is False. logt alle mailbox access voor security en compliance. 90-day retention default, 1-10 jaar mogelijk met E5. Voldoet aan CIS 2.1.2 (L1), BIO 12.04, ISO 27001 A.12.4.1, AVG. Verificatietijd: 15 minuten. GRATIS security control - ALTIJD ingeschakeld houden.