💼 Management Samenvatting
Waarschuwingen voor beveiligingsincidenten moeten ingeschakeld zijn om beveiligingsteams onmiddellijk te informeren bij ernstige beveiligingsincidenten voor snelle incidentrespons. Deze functionaliteit vormt een kritieke component van een effectief incidentbeheersysteem binnen Azure Defender voor Cloud.
Aanbeveling
IMPLEMENTEER - ZIE email-notifications-enabled.json
Risico zonder
High
Risk Score
8/10
Implementatie
0u
Van toepassing op:
✓ Azure
Zonder geautomatiseerde waarschuwingsmeldingen blijven beveiligingsincidenten vaak uren tot dagen onopgemerkt, waardoor de impact exponentieel toeneemt. Onderzoek toont aan dat de detectietijd zonder geautomatiseerde meldingen kan oplopen van 4 tot 48 uur, terwijl met actieve waarschuwingen deze tijd wordt teruggebracht tot minuten. Ransomware-aanvallen kunnen zich ongemerkt verspreiden door de infrastructuur, waardoor de schade bij ontdekking al onherstelbaar is. De impact van een datalek escaleert exponentieel met elke minuut dat het ongedetecteerd blijft, zowel wat betreft financiële schade als reputatieschade voor de organisatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Security
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Security
Implementatie
Deze controle verifieert dat waarschuwingsmeldingen correct zijn geconfigureerd per Azure-abonnement voor ernstige beveiligingsincidenten. De configuratie wordt uitgevoerd via de Set-AzSecurityContact PowerShell-cmdlet of via de Azure Portal. Deze controle vormt een aanvulling op de email-notificaties controle (CIS 2.1.18) en biedt een alternatieve verificatiemethode voor de configuratie van waarschuwingsmeldingen. Voor volledige implementatiedetails en best practices wordt verwezen naar het gerelateerde artikel over email-notificaties.
Monitoring en Verificatie
Het monitoren van de configuratie van waarschuwingsmeldingen vormt de hoeksteen van een effectief beveiligingsincidentbeheersysteem binnen Azure Defender voor Cloud. Deze functionaliteit is essentieel om ervoor te zorgen dat beveiligingsteams tijdig worden geïnformeerd over kritieke beveiligingsincidenten die zich voordoen in de cloudomgeving. Azure Defender voor Cloud biedt verschillende geavanceerde mechanismen om waarschuwingen te genereren en te distribueren naar de juiste stakeholders, maar deze mechanismen moeten actief worden geconfigureerd en regelmatig worden geverifieerd om hun effectiviteit te waarborgen. Zonder een robuust monitoring- en verificatieproces kunnen organisaties niet garanderen dat kritieke beveiligingsgebeurtenissen daadwerkelijk de aandacht krijgen die ze verdienen.
De verificatie van waarschuwingsmeldingen omvat het grondig controleren van meerdere kritieke configuratieaspecten die gezamenlijk bepalen of het waarschuwingssysteem naar behoren functioneert. Het eerste en meest fundamentele aspect betreft het vaststellen of er een beveiligingscontactpersoon is geconfigureerd voor elk Azure-abonnement binnen de organisatie. Deze contactpersoon fungeert als het primaire aanspreekpunt voor alle beveiligingsgerelateerde meldingen en ontvangt automatisch meldingen wanneer Azure Defender voor Cloud een beveiligingsincident detecteert dat als hoog of kritiek wordt geclassificeerd. De configuratie van deze contactpersoon is niet optioneel maar vormt een absolute vereiste voor een functionerend waarschuwingssysteem. Zonder deze configuratie blijven zelfs de meest ernstige incidenten volledig onopgemerkt totdat ze handmatig worden ontdekt door beveiligingsanalisten, wat in de praktijk vaak betekent dat de schade al is aangericht voordat de organisatie zich bewust wordt van het probleem.
Het tweede kritieke aspect van verificatie betreft het controleren of de meldingsinstellingen correct zijn geconfigureerd voor de juiste ernstniveaus van beveiligingsincidenten. Azure Defender voor Cloud classificeert beveiligingsincidenten systematisch in verschillende ernstniveaus, namelijk laag, gemiddeld, hoog en kritiek, waarbij elk niveau een verschillende mate van urgentie en potentiële impact vertegenwoordigt. Voor effectieve incidentrespons is het sterk aan te raden om minimaal meldingen te ontvangen voor hoog en kritiek geclassificeerde incidenten, omdat deze de grootste bedreiging vormen voor de beveiliging en continuïteit van de organisatie. Het configureren van meldingen voor lagere ernstniveaus kan echter leiden tot meldingsmoeheid, een fenomeen waarbij beveiligingsteams overweldigd raken door de hoeveelheid meldingen en daardoor belangrijke waarschuwingen over het hoofd zien. Daarom is het cruciaal om een balans te vinden tussen volledige dekking en praktische hanteerbaarheid van het meldingssysteem.
Het derde essentiële verificatieaspect betreft het regelmatig testen of de geconfigureerde meldingskanalen daadwerkelijk functioneren zoals bedoeld. Dit kan worden gedaan door periodiek een testmelding te versturen naar de geconfigureerde contactpersonen en te verifiëren dat deze meldingen daadwerkelijk worden ontvangen en correct worden weergegeven. Een veelvoorkomend probleem in de praktijk is dat emailadressen verouderd raken wanneer medewerkers van functie wisselen of de organisatie verlaten, waardoor belangrijke beveiligingsmeldingen in een zwart gat verdwijnen. Daarnaast kunnen spamfilters en emailbeveiligingssystemen legitieme beveiligingsmeldingen ten onrechte blokkeren of naar de spamfolder verwijzen, waardoor ze onopgemerkt blijven. Door regelmatig te testen kunnen organisaties deze problemen tijdig opsporen en oplossen voordat een echt beveiligingsincident plaatsvindt. Het testen moet worden uitgevoerd met een frequentie die past bij de dynamiek van de organisatie, waarbij maandelijkse tests een minimum vormen voor de meeste omgevingen.
Het monitoringproces zelf moet worden geautomatiseerd om consistentie en betrouwbaarheid te waarborgen over alle Azure-abonnementen en omgevingen heen. Handmatige controles zijn inherent foutgevoelig en worden vaak overgeslagen tijdens drukke periodes of wanneer andere prioriteiten de aandacht opeisen. Bovendien zijn handmatige controles schaalbaarheidsproblematisch voor organisaties met tientallen of honderden Azure-abonnementen, waarbij het onmogelijk wordt om alle configuraties regelmatig te verifiëren zonder geautomatiseerde ondersteuning. Door gebruik te maken van geautomatiseerde scripts kunnen organisaties ervoor zorgen dat de configuratie continu wordt gemonitord en dat afwijkingen direct worden gemeld aan de verantwoordelijke beheerders. Het bijbehorende PowerShell-script voert deze verificatie automatisch uit voor alle Azure-abonnementen binnen het bereik van de organisatie en rapporteert de status van de waarschuwingsconfiguratie in een gestructureerd formaat dat geschikt is voor zowel technische als managementrapportage. Deze automatisering vermindert niet alleen de operationele last maar verhoogt ook de betrouwbaarheid en consistentie van het monitoringproces aanzienlijk.
Naast de technische verificatie van configuratie-instellingen is het ook belangrijk om de effectiviteit van het waarschuwingssysteem te monitoren door middel van metrische gegevens en trendanalyses. Organisaties moeten bijhouden hoeveel waarschuwingen worden gegenereerd, hoe snel deze worden opgepakt door beveiligingsteams, en wat de uiteindelijke uitkomsten zijn van de geanalyseerde incidenten. Deze metrische gegevens bieden waardevolle inzichten in de gezondheid van het beveiligingsprogramma en kunnen helpen bij het identificeren van gebieden waar verbetering mogelijk is. Bovendien kunnen deze gegevens worden gebruikt om de configuratie van waarschuwingsdrempels te optimaliseren, waardoor het aantal valse positieven wordt verminderd en de focus wordt gelegd op de meest relevante beveiligingsbedreigingen. Het monitoren van deze effectiviteitsindicatoren vormt een belangrijk onderdeel van een volwassen beveiligingsprogramma en draagt bij aan continue verbetering van de beveiligingspostuur van de organisatie.
Gebruik PowerShell-script notify-alerts-enabled.ps1 (functie Invoke-Monitoring) – Automatische verificatie van waarschuwingsconfiguratie.
Relatie met Andere Controles
Deze controle vormt een strategische aanvulling op de email-notificaties controle die is gedefinieerd in CIS Azure Foundations Benchmark controle 2.1.18, waarbij beide controles gezamenlijk een uitgebreid waarschuwings- en meldingssysteem vormen voor beveiligingsincidenten binnen Azure Defender voor Cloud. Hoewel beide controles de configuratie van email-meldingen voor beveiligingswaarschuwingen verifiëren, benaderen ze de verificatie vanuit verschillende maar complementaire invalshoeken die samen een volledig beeld geven van de gezondheid en effectiviteit van het waarschuwingssysteem. De email-notificaties controle richt zich primair op de gedetailleerde configuratie van email-contactpersonen en hun specifieke instellingen, zoals emailadressen, meldingsvoorkeuren per ernstniveau, en de configuratie van distributielijsten. Deze controle daarentegen richt zich op de algemene waarschuwingsinfrastructuur en de beschikbaarheid en functionaliteit van meldingskanalen, waarbij de focus ligt op het verifiëren dat het systeem als geheel operationeel is en dat waarschuwingen daadwerkelijk kunnen worden gedistribueerd naar de juiste ontvangers.
Het is cruciaal om te begrijpen dat beide controles deel uitmaken van een veel breder en complexer incidentbeheersysteem dat de volledige levenscyclus van beveiligingsincidenten omvat, van detectie tot respons en herstel. Waarschuwingen vormen slechts één component, hoewel een zeer belangrijke, van een effectieve en volwassen beveiligingsstrategie die organisaties in staat stelt om proactief te reageren op bedreigingen voordat deze significante schade kunnen aanrichten. Naast het ontvangen van meldingen moeten organisaties ook beschikken over duidelijke, gedocumenteerde procedures voor het reageren op verschillende typen incidenten, waarbij elk type incident zijn eigen specifieke responsworkflow heeft die is afgestemd op de ernst en aard van de bedreiging. Geautomatiseerde responsmechanismen moeten worden geïmplementeerd waar mogelijk, waarbij gebruik wordt gemaakt van Azure Automation, Logic Apps, of andere orchestratieplatforms om routinematige responsacties automatisch uit te voeren zonder menselijke tussenkomst, waardoor de responssnelheid aanzienlijk wordt verbeterd. Regelmatige training van beveiligingsteams in incidentresponsprocedures is eveneens essentieel, waarbij teams moeten worden voorbereid op verschillende scenario's en moeten beschikken over de kennis en vaardigheden om effectief te reageren wanneer een echt incident plaatsvindt.
Voor volledige implementatiebegeleiding en best practices wordt verwezen naar het gerelateerde artikel over email-notificaties, dat een uitgebreide en gedetailleerde gids biedt voor het opzetten en onderhouden van een effectief waarschuwingssysteem. Dat artikel bevat gedetailleerde stapsgewijze instructies voor het configureren van email-contactpersonen via zowel de Azure Portal als PowerShell, het instellen van meldingsvoorkeuren per ernstniveau en per type beveiligingsbedreiging, en het implementeren van geautomatiseerde workflows voor incidentrespons die kunnen worden geactiveerd wanneer specifieke waarschuwingen worden ontvangen. Het artikel behandelt ook geavanceerde configuratieopties zoals het gebruik van distributielijsten voor teamgebaseerde meldingen, het configureren van verschillende meldingskanalen voor verschillende typen incidenten, en het opzetten van escalatieprocedures voor kritieke incidenten die niet tijdig worden opgepakt. Samen vormen deze artikelen een complete en uitgebreide gids voor het opzetten van een effectief, betrouwbaar en schaalbaar waarschuwings- en meldingssysteem binnen Azure Defender voor Cloud dat voldoet aan de eisen van moderne beveiligingsprogramma's.
Organisaties die beide controles implementeren en regelmatig uitvoeren, creëren een robuust en veerkrachtig systeem met meerdere verificatielagen die elkaar aanvullen en versterken. Deze gelaagde aanpak verhoogt de betrouwbaarheid van het waarschuwingssysteem aanzienlijk door ervoor te zorgen dat problemen worden gedetecteerd door ten minste één van de verificatiemethoden, zelfs als de andere methode tijdelijk niet beschikbaar is of een configuratiefout over het hoofd ziet. Dit vermindert het risico dat kritieke beveiligingsincidenten onopgemerkt blijven aanzienlijk, wat van cruciaal belang is voor organisaties die opereren in omgevingen met hoge beveiligingseisen of compliance-verplichtingen. Bovendien biedt deze aanpak flexibiliteit bij het configureren van verschillende meldingskanalen voor verschillende typen incidenten of verschillende teams binnen de organisatie, waardoor organisaties kunnen afstemmen op hun specifieke operationele behoeften en organisatiestructuur. Bijvoorbeeld kunnen kritieke infrastructurele incidenten worden doorgestuurd naar een 24/7 Security Operations Center, terwijl compliance-gerelateerde waarschuwingen worden doorgestuurd naar het compliance-team tijdens kantooruren.
De integratie tussen deze controle en andere beveiligingscontroles binnen Azure Defender voor Cloud creëert een synergetisch effect waarbij de totale beveiligingspostuur van de organisatie aanzienlijk wordt verbeterd. Wanneer waarschuwingsmeldingen correct zijn geconfigureerd, kunnen ze worden gecombineerd met andere beveiligingsfuncties zoals automatische remediatie, bedreigingsjacht, en security orchestration om een volledig geautomatiseerd beveiligingsprogramma te creëren dat in staat is om bedreigingen te detecteren, analyseren en reageren met minimale menselijke tussenkomst. Deze integratie is vooral waardevol voor organisaties die streven naar een volwassen beveiligingsprogramma dat voldoet aan de eisen van moderne compliance-frameworks en best practices. Door beide controles te implementeren en te onderhouden, positioneren organisaties zichzelf voor succes in hun beveiligingsinitiatieven en creëren ze een solide basis voor continue verbetering en optimalisatie van hun beveiligingsprogramma.
Compliance en Audit
De configuratie van waarschuwingsmeldingen voor beveiligingsincidenten vormt een fundamentele vereiste onder verschillende internationale en nationale compliance-frameworks die de basis vormen voor moderne informatiebeveiligingsprogramma's. Deze controle adresseert specifieke en expliciete eisen uit meerdere erkende standaarden, waaronder de CIS Azure Foundations Benchmark, ISO 27001, en de NIS2-richtlijn, die allemaal op verschillende manieren benadrukken dat organisaties moeten beschikken over effectieve, betrouwbare en geteste mechanismen voor het detecteren en melden van beveiligingsincidenten. Het niet voldoen aan deze vereisten kan leiden tot significante compliance-problemen, financiële boetes, en reputatieschade, waardoor het implementeren van een robuust waarschuwingssysteem niet alleen een best practice is maar ook een wettelijke en contractuele verplichting voor veel organisaties.
De CIS Azure Foundations Benchmark versie 3.0.0 specificeert expliciet in controle 2.1.19 dat waarschuwingsmeldingen moeten zijn ingeschakeld en correct geconfigureerd voor alle Azure-abonnementen. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele en essentiële beveiligingscontrole is die zonder uitzondering moet worden geïmplementeerd in alle omgevingen, ongeacht de grootte, complexiteit of het type van de organisatie. Level 1 controles worden beschouwd als de minimale basisvereisten voor cloudbeveiliging en worden verwacht in elke productieomgeving. De CIS Benchmark wordt wereldwijd erkend als een van de meest gezaghebbende standaarden voor cloudbeveiliging en wordt regelmatig gebruikt als basis voor beveiligingsaudits, assessments, en certificeringsprocessen. Veel organisaties gebruiken de CIS Benchmark als hun primaire referentie voor het opzetten van hun cloudbeveiligingsprogramma, waardoor compliance met deze controle van cruciaal belang is voor het behalen van security certifications en het voldoen aan contractuele verplichtingen met klanten en partners.
ISO 27001, de internationaal erkende standaard voor informatiebeveiligingsmanagementsystemen, adresseert incidentmelding uitgebreid in controle A.16.1.2, getiteld 'Reporting information security events'. Deze controle vereist dat organisaties formele en gedocumenteerde procedures hebben geïmplementeerd voor het melden van beveiligingsgebeurtenissen en dat deze procedures regelmatig worden getest, geëvalueerd en verbeterd als onderdeel van het continue verbeteringsproces dat centraal staat in ISO 27001. Het hebben van geautomatiseerde waarschuwingsmeldingen vormt een praktische en effectieve implementatie van deze vereiste, omdat het ervoor zorgt dat beveiligingsgebeurtenissen tijdig worden gedetecteerd en automatisch worden gemeld aan de juiste personen binnen de organisatie zonder afhankelijkheid van handmatige processen die foutgevoelig en traag kunnen zijn. Tijdens ISO 27001 certificeringsaudits zullen auditors specifiek controleren of deze procedures bestaan, of ze zijn gedocumenteerd, en of er bewijs is van regelmatige testing en evaluatie, waarbij geautomatiseerde waarschuwingssystemen worden beschouwd als een sterke indicator van volwassenheid en effectiviteit van het incidentbeheersysteem.
De NIS2-richtlijn (Network and Information Systems Directive 2) van de Europese Unie, die is geïmplementeerd in Nederlandse wetgeving en van toepassing is op essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg, en digitale dienstverlening, vereist in Artikel 23 expliciet dat organisaties incidenten melden aan de relevante nationale autoriteiten binnen specifieke tijdsframes. Hoewel deze controle zich primair richt op interne meldingen binnen de organisatie, vormt het een fundamentele en onmisbare basis voor het voldoen aan de NIS2-meldingsvereisten, omdat organisaties eerst moeten beschikken over effectieve interne detectie- en meldingsmechanismen voordat ze kunnen voldoen aan hun verplichtingen om incidenten tijdig te melden aan toezichthouders zoals het Nationaal Cyber Security Centrum (NCSC) in Nederland. Zonder effectieve interne detectie- en meldingsmechanismen kunnen organisaties simpelweg niet voldoen aan hun wettelijke verplichtingen, wat kan leiden tot aanzienlijke boetes en andere sancties. De NIS2-richtlijn benadrukt ook het belang van continue monitoring en het snel detecteren van incidenten, waarbij geautomatiseerde waarschuwingssystemen worden beschouwd als een essentiële component van een volwassen cybersecurity-programma.
Voor Nederlandse overheidsorganisaties is compliance met de BIO (Baseline Informatiebeveiliging Overheid) eveneens zeer relevant en vaak verplicht. BIO-controle 16.01.01 richt zich specifiek op incidentbeheer en vereist dat organisaties beschikken over formele procedures en technische systemen voor het detecteren, analyseren, classificeren en reageren op beveiligingsincidenten. Geautomatiseerde waarschuwingsmeldingen vormen een essentieel en onmisbaar onderdeel van deze systemen, omdat ze ervoor zorgen dat incidenten snel worden gedetecteerd door Azure Defender voor Cloud en dat de juiste personen binnen de organisatie onmiddellijk worden geïnformeerd om passende actie te ondernemen volgens de gedefinieerde incidentresponsprocedures. De BIO benadrukt het belang van proactieve detectie en snelle respons, waarbij geautomatiseerde systemen worden beschouwd als een best practice voor het bereiken van deze doelstellingen. Overheidsorganisaties die niet voldoen aan BIO-vereisten kunnen worden geconfronteerd met kritiek van toezichthouders en kunnen problemen ondervinden bij het verkrijgen van goedkeuring voor nieuwe projecten of budgetten.
Tijdens beveiligingsaudits en compliance-assessments, ongeacht welk framework wordt gebruikt, zullen auditors systematisch controleren of waarschuwingsmeldingen correct zijn geconfigureerd volgens de vereisten van het betreffende framework, of er bewijs is van regelmatige verificatie en testen van het systeem, en of de configuratie is gedocumenteerd en wordt onderhouden als onderdeel van het normale beheerproces. Organisaties moeten daarom uitgebreide en actuele documentatie bijhouden van de configuratie van waarschuwingsmeldingen, inclusief welke contactpersonen zijn geconfigureerd, welke ernstniveaus zijn geselecteerd voor meldingen, wanneer de configuratie voor het laatst is gewijzigd, en wie verantwoordelijk is voor het onderhoud van de configuratie. Daarnaast moeten testresultaten worden gedocumenteerd, waarbij wordt vastgelegd wanneer testmeldingen zijn verstuurd, of deze succesvol zijn ontvangen, en welke acties zijn ondernomen om eventuele problemen op te lossen. Deze documentatie moet minimaal zeven jaar worden bewaard, conform de algemene bewaartermijnen voor beveiligingsdocumentatie die worden vereist door de meeste compliance-frameworks, en moet beschikbaar zijn voor auditors tijdens assessments en audits.
Remediatie en Implementatie
Wanneer de verificatie aantoont dat waarschuwingsmeldingen niet correct zijn geconfigureerd of volledig ontbreken, moet onmiddellijk en zonder uitstel actie worden ondernomen om deze kritieke situatie te herstellen. Het ontbreken van geautomatiseerde waarschuwingen betekent dat de organisatie momenteel kwetsbaar is voor onopgemerkte beveiligingsincidenten die zich kunnen voordoen zonder dat beveiligingsteams hiervan op de hoogte worden gesteld, wat een kritiek en onacceptabel beveiligingsrisico vormt dat de volledige beveiligingspostuur van de organisatie compromitteert. In een tijdperk waarin cyberaanvallen steeds geavanceerder worden en de gemiddelde tijd tot detectie van incidenten cruciaal is voor het minimaliseren van schade, kan het ontbreken van een functionerend waarschuwingssysteem leiden tot catastrofale gevolgen, waaronder datalekken, serviceonderbrekingen, financiële verliezen, en onherstelbare reputatieschade. Daarom moet remediatie worden behandeld als een urgentie van het hoogste niveau en moet het proces worden gestart zodra een configuratiefout wordt gedetecteerd.
De remediatie begint met het zorgvuldig identificeren en selecteren van de juiste contactpersonen die waarschuwingen moeten ontvangen, waarbij rekening moet worden gehouden met de organisatiestructuur, verantwoordelijkheden, en beschikbaarheid van verschillende teams. Dit zijn typisch leden van het beveiligingsteam met relevante expertise en autorisaties, zoals de Chief Information Security Officer (CISO) of diens plaatsvervanger, senior security analisten met ervaring in incidentrespons, of het Security Operations Center (SOC) team dat 24/7 monitoring uitvoert. Het is van cruciaal belang om meerdere contactpersonen te configureren om ervoor te zorgen dat meldingen niet worden gemist wanneer een persoon niet beschikbaar is vanwege vakantie, ziekte, of andere verplichtingen, en om redundantie te creëren in het meldingssysteem. Bovendien moeten deze contactpersonen beschikken over de juiste technische autorisaties binnen Azure om direct actie te kunnen ondernemen wanneer een incident wordt gedetecteerd, en moeten ze beschikken over de nodige kennis en training om adequaat en effectief te kunnen reageren op verschillende typen beveiligingsincidenten zonder onnodige vertraging.
De daadwerkelijke configuratie wordt uitgevoerd via de Set-AzSecurityContact PowerShell-cmdlet voor geautomatiseerde en schaalbare implementatie, of via de Azure Portal voor handmatige configuratie wanneer slechts enkele abonnementen moeten worden geconfigureerd. Bij het configureren van contactpersonen moeten organisaties uitgebreide aandacht besteden aan verschillende kritieke aspecten die de effectiviteit en betrouwbaarheid van het waarschuwingssysteem bepalen. Ten eerste moeten de emailadressen actief zijn, regelmatig worden gemonitord door de eigenaren, en moeten ze worden geconfigureerd op apparaten die altijd beschikbaar zijn, zoals werkstations van het SOC-team of gedeelde apparaten. Gebruik van gedeelde mailboxen of distributielijsten kan ervoor zorgen dat meerdere personen tegelijkertijd worden geïnformeerd, wat de betrouwbaarheid en responssnelheid aanzienlijk verhoogt door ervoor te zorgen dat ten minste één persoon de melding ziet en kan reageren, zelfs buiten kantooruren. Ten tweede moeten de meldingsvoorkeuren zorgvuldig worden ingesteld op minimaal 'Hoog' en 'Kritiek' voor effectieve incidentrespons zonder meldingsmoeheid, waarbij organisaties moeten balanceren tussen volledige dekking en praktische hanteerbaarheid van het aantal meldingen dat wordt gegenereerd.
Na het configureren van de waarschuwingsmeldingen moet onmiddellijk en zonder vertraging een testmelding worden verstuurd naar alle geconfigureerde contactpersonen om te verifiëren dat de configuratie correct werkt en dat meldingen daadwerkelijk worden ontvangen op de verwachte locaties. Dit testproces is niet alleen technisch belangrijk maar moet ook worden gedocumenteerd als bewijs voor compliance-doeleinden, waarbij wordt vastgelegd wanneer de test is uitgevoerd, wie de test heeft uitgevoerd, welke contactpersonen de testmelding hebben ontvangen, en of er eventuele problemen zijn geconstateerd die moeten worden opgelost. Bovendien moeten organisaties een regelmatig testregime implementeren, bijvoorbeeld maandelijks of kwartaalijks, waarbij testmeldingen worden verstuurd om ervoor te zorgen dat de configuratie actueel blijft en dat eventuele problemen met email-delivery, zoals spamfiltering of verouderde emailadressen, tijdig worden opgespoord en opgelost voordat een echt incident plaatsvindt. Dit regelmatige testen vormt een best practice en wordt vaak vereist door compliance-frameworks als onderdeel van het continue verbeteringsproces.
Voor organisaties met meerdere Azure-abonnementen, wat de norm is voor de meeste enterprise-omgevingen, moet de configuratie worden toegepast op elk abonnement afzonderlijk om ervoor te zorgen dat waarschuwingen worden ontvangen voor alle omgevingen, ongeacht of het productie-, test-, of ontwikkelomgevingen zijn. Handmatige configuratie van tientallen of honderden abonnementen is niet praktisch en foutgevoelig, waardoor automatisering essentieel is voor een succesvolle implementatie. Dit kan worden bereikt met behulp van Azure Policy, dat automatisch de configuratie toepast op alle nieuwe en bestaande abonnementen binnen een beheergroep, of door gebruik te maken van het bijbehorende PowerShell-script dat de remediatie automatisch uitvoert voor alle abonnementen binnen het opgegeven bereik. Het script controleert eerst de huidige configuratie van elk abonnement om te bepalen of wijzigingen nodig zijn, en past alleen wijzigingen toe waar nodig, waardoor bestaande correcte configuraties niet worden overschreven en onnodige wijzigingen worden voorkomen. Deze aanpak zorgt voor consistentie over alle abonnementen heen en vermindert de operationele last aanzienlijk.
Na de initiële implementatie moet de configuratie worden opgenomen in de standaard security baseline voor nieuwe Azure-abonnementen, zodat elke nieuwe omgeving automatisch wordt geconfigureerd met de juiste waarschuwingsinstellingen vanaf het moment van creatie, zonder dat handmatige interventie vereist is. Dit kan worden bereikt door de configuratie op te nemen in Azure Policy definities of door de configuratie te automatiseren als onderdeel van het abonnementsprovisioning-proces. Bovendien moeten alle wijzigingen in de configuratie, zoals het toevoegen of verwijderen van contactpersonen of het aanpassen van meldingsvoorkeuren, worden gedocumenteerd in een change management systeem en worden gecommuniceerd naar alle betrokken stakeholders, inclusief beveiligingsteams, IT-beheerders, en management, zodat iedereen op de hoogte is van wie waarschuwingen ontvangt, welke typen incidenten worden gemeld, en hoe deze moeten worden behandeld volgens de gedefinieerde incidentresponsprocedures. Deze communicatie is essentieel om verwarring te voorkomen en om ervoor te zorgen dat alle betrokken partijen weten wat ze kunnen verwachten wanneer een beveiligingsincident wordt gedetecteerd.
Het onderhoud van de waarschuwingsconfiguratie is een continu proces dat regelmatige aandacht vereist om ervoor te zorgen dat het systeem effectief blijft functioneren naarmate de organisatie evolueert. Wanneer medewerkers van functie wisselen of de organisatie verlaten, moeten hun emailadressen worden verwijderd uit de configuratie en moeten nieuwe contactpersonen worden toegevoegd indien nodig. Wanneer nieuwe teams worden gevormd of wanneer verantwoordelijkheden worden herverdeeld, moeten de meldingsvoorkeuren mogelijk worden aangepast om ervoor te zorgen dat de juiste personen worden geïnformeerd over relevante incidenten. Regelmatige reviews van de configuratie, bijvoorbeeld kwartaalijks of halfjaarlijks, moeten worden uitgevoerd om te verifiëren dat alle contactpersonen nog actief zijn, dat emailadressen nog geldig zijn, en dat de meldingsvoorkeuren nog steeds aansluiten bij de behoeften van de organisatie. Dit continue onderhoud is essentieel voor het behouden van de effectiviteit van het waarschuwingssysteem op de lange termijn en vormt een belangrijk onderdeel van een volwassen beveiligingsprogramma.
Gebruik PowerShell-script notify-alerts-enabled.ps1 (functie Invoke-Remediation) – Automatische configuratie van waarschuwingsmeldingen.
Compliance & Frameworks
- CIS M365: Control 2.1.19 (L1) - Zorg ervoor dat waarschuwingsmeldingen zijn ingeschakeld
- BIO: 16.01.01 - Incidentbeheer - Waarschuwingsmeldingen
- ISO 27001:2022: A.16.1.2 - Melden van beveiligingsgebeurtenissen
- NIS2: Artikel - Incidentmelding
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Alert Notifications Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 2.1.19
Controleert of alert notifications zijn ingeschakeld.
.NOTES
Filename: notify-alerts-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/defender-cloud/notify-alerts-enabled.json
CIS Control: 2.1.19
.PARAMETER Email
Email adres voor alerts
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Security
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert,
[Parameter()][string]$Email
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Alert Notifications Enabled"
function Connect-RequiredServices {
function Invoke-Revert {
Write-Host "`n⚠️ Alert notifications uitschakelen niet aanbevolen" -ForegroundColor Yellow
}
try {
if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null }
}
catch { throw }
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "notify-alerts-enabled"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
function Invoke-Revert {
Write-Host "`n⚠️ Alert notifications uitschakelen niet aanbevolen" -ForegroundColor Yellow
}
try {
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
$result.TotalResources = $subscriptions.Count
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
$contacts = Get-AzSecurityContact -ErrorAction SilentlyContinue
if ($contacts -and $contacts.AlertNotifications -eq 'On') {
$result.CompliantCount++
$result.Details += "✓ '$($sub.Name)': Alert notifications enabled"
}
else {
$result.NonCompliantCount++
$result.Details += "✗ '$($sub.Name)': Alert notifications DISABLED"
$result.Recommendations += "Enable alert notifications voor '$($sub.Name)'"
}
}
$result.IsCompliant = ($result.NonCompliantCount -eq 0)
}
catch {
$result.Details += "ERROR: $($_.Exception.Message)"
}
return $result
}
function Invoke-Remediation {
Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan
if (-not $Email) {
Write-Host "[FAIL] Email parameter required" -ForegroundColor Red
return
}
function Invoke-Revert {
Write-Host "`n⚠️ Alert notifications uitschakelen niet aanbevolen" -ForegroundColor Yellow
}
try {
$fixed = 0
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
Set-AzSecurityContact -Name "default" -Email $Email -AlertNotifications On -ErrorAction Stop | Out-Null
Write-Host " [OK] Enabled for: $($sub.Name)" -ForegroundColor Green
$fixed++
}
Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
}
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White
Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green
Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' })
if ($result.Details) {
Write-Host "`nDetails:" -ForegroundColor Yellow
$result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray }
}
return $result
}
function Invoke-Revert {
Write-Host "`n⚠️ Alert notifications uitschakelen niet aanbevolen" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow
Write-Host "Zou alert notifications enablen" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan
if ($result.IsCompliant) {
Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
High: Beveiligingsincidenten blijven uren ongedetecteerd zonder waarschuwingsmeldingen. De gemiddelde tijd tot detectie (MTTD) stijgt van minuten naar uren of dagen. Dit leidt tot compliance-problemen met CIS 2.1.19 en NIS2. Het risico is kritiek voor productieomgevingen.
Management Samenvatting
Alternatieve verificatie voor email-meldingen (CIS 2.1.19). Zie email-notifications-enabled.json voor volledige implementatie. Configureert waarschuwingsmeldingen voor ernstige incidenten naar het beveiligingsteam. Geen extra kosten. Implementatietijd: 30 minuten. Verplicht voor productieomgevingen.
- Implementatietijd: 0 uur
- FTE required: 0.1 FTE