L1 BIO 16.01 CIS 2.1.21

Security Contacts Met Owner Rol

📅 2025-10-29
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Beveiligingscontactpersonen moeten notificaties voor de eigenaarrol ingeschakeld hebben, zodat abonnementseigenaren direct worden gewaarschuwd bij kritieke beveiligingswaarschuwingen.

Aanbeveling
IMPLEMENTEER VOOR EIGENAARSNOTIFICATIES
Risico zonder
Medium
Risk Score
6/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Azure

Zonder deze beveiligingsmaatregel kunnen er aanzienlijke beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, nalevingsschendingen en reputatieschade voor de organisatie.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze controle implementeert beveiligingsbest practices via Azure-beleid, ARM-sjablonen of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.

Vereisten

Voor het implementeren van notificaties voor abonnementseigenaren via beveiligingscontactpersonen zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten vormen de basis voor een effectieve beveiligingscommunicatiestructuur binnen Azure-abonnementen en zorgen ervoor dat kritieke informatie tijdig bij de juiste personen terechtkomt. De primaire technische vereiste betreft de configuratie van beveiligingscontactpersonen binnen Azure Defender for Cloud. Deze contactpersonen moeten reeds zijn ingesteld voordat de notificatie-instellingen voor eigenaren kunnen worden geactiveerd. Beveiligingscontactpersonen fungeren als het centrale communicatiepunt tussen Azure Defender en de organisatie, waardoor zij een essentiële rol spelen in het beveiligingsinformatiebeheer. Naast de configuratie van beveiligingscontactpersonen is het noodzakelijk dat de juiste Azure-rollen en -machtigingen zijn toegewezen. Abonnementseigenaren moeten beschikken over de rol van 'Owner' of 'Security Admin' om notificaties te kunnen ontvangen. Deze rolgebaseerde toegangscontrole (RBAC) zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot gevoelige beveiligingsinformatie en dat de verantwoordelijkheden duidelijk zijn gedefinieerd. Een aanvullende vereiste betreft de e-mailconfiguratie binnen de organisatie. De e-mailadressen van abonnementseigenaren moeten geldig zijn en toegankelijk voor het ontvangen van beveiligingswaarschuwingen. Organisaties dienen te zorgen voor een betrouwbare e-mailinfrastructuur die waarschuwingen niet blokkeert of als spam markeert, aangezien dit de effectiviteit van de notificaties zou kunnen verminderen. Vanuit organisatorisch perspectief is het essentieel dat er duidelijke procedures zijn vastgesteld voor het beheren van beveiligingscontactpersonen. Dit omvat het regelmatig bijwerken van contactgegevens wanneer personeelswisselingen plaatsvinden, het definiëren van escalatiepaden voor kritieke waarschuwingen, en het vaststellen van response-tijden voor verschillende typen beveiligingsincidenten. Deze procedures dragen bij aan een gestructureerde aanpak van beveiligingscommunicatie en zorgen ervoor dat incidenten snel en adequaat worden afgehandeld. Compliancevereisten vormen een ander belangrijk aspect. Organisaties die werken volgens frameworks zoals CIS of BIO moeten ervoor zorgen dat hun configuratie voldoet aan de specifieke eisen van deze standaarden. Voor CIS-controle 2.1.21 betekent dit dat waarschuwingen naar beheerders moeten worden verzonden, terwijl BIO-norm 16.01 zich richt op incidentmeldingen. Het is daarom van cruciaal belang dat de configuratie van beveiligingscontactpersonen en eigenaarsnotificaties aansluit bij deze compliance-eisen. Ten slotte vereist een effectieve implementatie dat organisaties beschikken over de juiste monitoring- en auditcapaciteiten. Dit omvat het kunnen verifiëren dat notificaties daadwerkelijk worden verzonden, het bijhouden van wie welke waarschuwingen heeft ontvangen, en het kunnen aantonen van compliance tijdens audits. Deze monitoringcapaciteiten zijn essentieel voor het waarborgen van de continuïteit en effectiviteit van de beveiligingscommunicatie.

Monitoring

Gebruik PowerShell-script security-contacts-owner-role.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van de configuratie voor notificaties naar abonnementseigenaren is een kritieke activiteit binnen het beveiligingsbeheer van Azure-abonnementen. Deze monitoring zorgt ervoor dat beveiligingswaarschuwingen tijdig en betrouwbaar worden doorgegeven aan de verantwoordelijke personen, wat essentieel is voor een effectieve incidentrespons. De monitoring controleert specifiek de instelling 'AlertsToAdmins' binnen de beveiligingscontactpersonen configuratie. Deze instelling bepaalt of abonnementseigenaren automatisch worden geïnformeerd wanneer Azure Defender for Cloud kritieke beveiligingswaarschuwingen detecteert. Het is van groot belang dat deze instelling correct is geconfigureerd, omdat het ontbreken van notificaties kan leiden tot vertragingen in de respons op beveiligingsincidenten. Het monitoringproces omvat verschillende aspecten. Ten eerste wordt gecontroleerd of de beveiligingscontactpersonen daadwerkelijk zijn geconfigureerd binnen het Azure-abonnement. Zonder deze configuratie kunnen er geen notificaties worden verzonden, ongeacht de instellingen voor eigenaarsnotificaties. Vervolgens wordt gecontroleerd of de specifieke instelling voor het waarschuwen van beheerders is ingeschakeld, wat aangeeft dat abonnementseigenaren moeten worden geïnformeerd over beveiligingswaarschuwingen. Een belangrijk onderdeel van de monitoring is het verifiëren van de geldigheid van de geconfigureerde e-mailadressen. Abonnementseigenaren moeten beschikken over actieve en toegankelijke e-mailaccounts om notificaties te kunnen ontvangen. Het monitoringproces kan controleren of deze e-mailadressen correct zijn geconfigureerd en of er geen problemen zijn met de e-maillevering. Daarnaast omvat de monitoring het bijhouden van de status van verzonden notificaties. Dit maakt het mogelijk om te verifiëren dat waarschuwingen daadwerkelijk zijn verzonden en om eventuele problemen met de notificatie-infrastructuur te identificeren. Door deze informatie te monitoren kunnen organisaties proactief problemen oplossen voordat deze leiden tot gemiste beveiligingswaarschuwingen. Het is aanbevolen om de monitoring regelmatig uit te voeren, bijvoorbeeld wekelijks of maandelijks, afhankelijk van de risicoprofiel van de organisatie. Voor organisaties met een hoog beveiligingsrisico of strikte compliance-eisen kan een frequentere monitoring noodzakelijk zijn. Het gebruik van geautomatiseerde monitoringtools, zoals het bijbehorende PowerShell-script, maakt het mogelijk om deze controles efficiënt en consistent uit te voeren. De monitoringresultaten moeten worden gedocumenteerd en bewaard voor auditdoeleinden. Dit omvat informatie over wanneer de monitoring is uitgevoerd, wat de resultaten waren, en welke acties zijn ondernomen als gevolg van de bevindingen. Deze documentatie is essentieel voor het aantonen van compliance met beveiligingsstandaarden en voor het ondersteunen van interne en externe audits. Ten slotte is het belangrijk dat de monitoring wordt geïntegreerd in het bredere beveiligingsbeheerproces van de organisatie. Dit betekent dat bevindingen uit de monitoring moeten worden geëvalueerd in de context van andere beveiligingscontroles en dat eventuele problemen moeten worden geëscaleerd naar de juiste personen of teams voor verdere actie.

Compliance en Auditing

Compliance en auditing vormen essentiële aspecten van het beveiligingsbeheer binnen Azure-omgevingen, met name voor organisaties die werken volgens erkende beveiligingsstandaarden zoals het CIS Microsoft Azure Foundations Benchmark en de Baseline Informatiebeveiliging Overheid (BIO). De configuratie van notificaties voor abonnementseigenaren via beveiligingscontactpersonen speelt een cruciale rol in het voldoen aan deze standaarden. De CIS Microsoft Azure Foundations Benchmark controle 2.1.21 specificeert dat waarschuwingen naar beheerders moeten worden verzonden wanneer beveiligingsincidenten worden gedetecteerd. Deze controle is onderdeel van de monitoring- en loggingrichtlijnen die zijn opgesteld om ervoor te zorgen dat beveiligingsgebeurtenissen tijdig worden geïdentificeerd en gecommuniceerd. Door abonnementseigenaren automatisch te informeren over kritieke beveiligingswaarschuwingen, voldoen organisaties aan deze CIS-vereiste en zorgen zij ervoor dat verantwoordelijke personen direct op de hoogte zijn van potentiële beveiligingsbedreigingen. De Baseline Informatiebeveiliging Overheid (BIO) norm 16.01 richt zich specifiek op incidentmeldingen en vereist dat organisaties procedures hebben voor het melden van beveiligingsincidenten aan de juiste personen binnen de organisatie. Voor Nederlandse overheidsorganisaties is dit van bijzonder belang, omdat zij moeten voldoen aan strikte beveiligings- en privacyvereisten. De configuratie van eigenaarsnotificaties draagt direct bij aan het voldoen aan deze BIO-norm door ervoor te zorgen dat abonnementseigenaren, die vaak verantwoordelijk zijn voor de governance en beveiliging van Azure-abonnementen, direct worden geïnformeerd over beveiligingsincidenten. Naast deze specifieke controles en normen zijn er ook algemene compliance-overwegingen die van toepassing zijn. Veel beveiligingsstandaarden en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), vereisen dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Het tijdig detecteren en reageren op beveiligingsincidenten is een essentieel onderdeel van deze maatregelen, en de configuratie van eigenaarsnotificaties draagt hieraan bij door ervoor te zorgen dat incidenten snel worden geïdentificeerd en geëscaleerd. Auditing vormt een belangrijk onderdeel van compliance, omdat het organisaties in staat stelt om aan te tonen dat zij voldoen aan de gestelde eisen. Voor de configuratie van eigenaarsnotificaties betekent dit dat organisaties moeten kunnen aantonen dat de notificaties correct zijn geconfigureerd, dat zij daadwerkelijk worden verzonden, en dat de ontvangers de juiste personen zijn. Dit vereist het bijhouden van auditlogs die documenteren wanneer configuratiewijzigingen zijn doorgevoerd, wanneer notificaties zijn verzonden, en wie deze notificaties hebben ontvangen. Het is belangrijk dat organisaties regelmatig audits uitvoeren om te verifiëren dat de configuratie nog steeds voldoet aan de compliance-eisen. Dit omvat het controleren of beveiligingscontactpersonen nog steeds correct zijn geconfigureerd, of de notificatie-instellingen nog steeds actief zijn, en of de e-mailadressen van abonnementseigenaren nog steeds geldig zijn. Regelmatige audits helpen organisaties om proactief problemen te identificeren en op te lossen voordat deze leiden tot compliance-schendingen. Voor organisaties die werken in sterk gereguleerde sectoren, zoals de financiële sector of de gezondheidszorg, kunnen er aanvullende compliance-eisen van toepassing zijn. Deze organisaties moeten ervoor zorgen dat hun configuratie van eigenaarsnotificaties niet alleen voldoet aan algemene beveiligingsstandaarden, maar ook aan sectorspecifieke regelgeving. Het is daarom aanbevolen om de compliance-eisen voor de specifieke sector en organisatie te evalueren en ervoor te zorgen dat de configuratie hieraan voldoet. Ten slotte is het belangrijk dat compliance en auditing worden gezien als een continu proces, niet als een eenmalige activiteit. Beveiligingsconfiguraties moeten regelmatig worden geëvalueerd en bijgewerkt om ervoor te zorgen dat zij blijven voldoen aan de actuele compliance-eisen en beveiligingsbest practices. Door dit als een continu proces te benaderen, kunnen organisaties ervoor zorgen dat hun beveiligingspostuur altijd up-to-date is en voldoet aan de gestelde eisen.

Remediatie

Gebruik PowerShell-script security-contacts-owner-role.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie van problemen met de configuratie van notificaties voor abonnementseigenaren is een kritieke activiteit die ervoor zorgt dat beveiligingswaarschuwingen tijdig en betrouwbaar worden doorgegeven aan de verantwoordelijke personen. Wanneer monitoring aangeeft dat de configuratie niet correct is, moet er direct actie worden ondernomen om het probleem op te lossen en de beveiligingspostuur te herstellen. Het remediatieproces begint met het identificeren van het specifieke probleem. Dit kan variëren van ontbrekende beveiligingscontactpersonen tot een uitgeschakelde notificatie-instelling, of problemen met de geconfigureerde e-mailadressen. Het is belangrijk om eerst de exacte oorzaak van het probleem te identificeren voordat er remediatie-acties worden ondernomen, omdat dit ervoor zorgt dat de juiste oplossing wordt toegepast. Voor het geval dat beveiligingscontactpersonen niet zijn geconfigureerd, moet de remediatie beginnen met het instellen van deze contactpersonen. Dit omvat het toevoegen van de juiste e-mailadressen en het configureren van de benodigde instellingen voor notificaties. Het is belangrijk om ervoor te zorgen dat de geconfigureerde contactpersonen daadwerkelijk toegang hebben tot hun e-mailaccounts en dat zij op de hoogte zijn van hun verantwoordelijkheden met betrekking tot het ontvangen en verwerken van beveiligingswaarschuwingen. Wanneer de beveiligingscontactpersonen wel zijn geconfigureerd, maar de notificatie-instelling voor eigenaren is uitgeschakeld, moet deze instelling worden geactiveerd. Dit kan worden gedaan via de Azure-portal, door gebruik te maken van Azure PowerShell-cmdlets, of door gebruik te maken van het bijbehorende remediatiescript. Het is belangrijk om na het activeren van de instelling te verifiëren dat deze correct is geconfigureerd en dat notificaties daadwerkelijk worden verzonden. In sommige gevallen kunnen er problemen zijn met de geconfigureerde e-mailadressen. Dit kan betekenen dat e-mailadressen niet meer geldig zijn, dat zij niet meer toegankelijk zijn, of dat er problemen zijn met de e-maillevering. In deze gevallen moet de remediatie zich richten op het bijwerken van de e-mailadressen naar geldige en toegankelijke alternatieven, en het verifiëren dat de nieuwe e-mailadressen correct zijn geconfigureerd. Na het uitvoeren van de remediatie-acties is het essentieel om te verifiëren dat het probleem daadwerkelijk is opgelost. Dit omvat het opnieuw uitvoeren van de monitoring om te bevestigen dat de configuratie nu correct is, en het testen van de notificatie-functionaliteit om ervoor te zorgen dat waarschuwingen daadwerkelijk worden verzonden. Deze verificatie is cruciaal omdat het ervoor zorgt dat de beveiligingspostuur is hersteld en dat er geen verdere problemen zijn. Het is aanbevolen om alle remediatie-acties te documenteren, inclusief wat het probleem was, welke acties zijn ondernomen om het op te lossen, en wat de resultaten waren. Deze documentatie is belangrijk voor auditdoeleinden en helpt organisaties om te leren van eerdere problemen en om toekomstige problemen sneller op te lossen. Daarnaast kan deze documentatie worden gebruikt om te identificeren of er patronen zijn in de problemen die optreden, wat kan helpen bij het verbeteren van de configuratie en het voorkomen van toekomstige problemen. Voor complexe problemen of situaties waarin de standaard remediatie-acties niet voldoende zijn, kan het nodig zijn om aanvullende ondersteuning in te schakelen. Dit kan betekenen dat er contact moet worden opgenomen met Microsoft-ondersteuning, dat er externe expertise moet worden ingeschakeld, of dat er een meer uitgebreide analyse moet worden uitgevoerd om de onderliggende oorzaak van het probleem te identificeren. Ten slotte is het belangrijk dat remediatie wordt gezien als onderdeel van een continu verbeteringsproces. Door regelmatig te monitoren en problemen proactief op te lossen, kunnen organisaties ervoor zorgen dat hun beveiligingsconfiguratie altijd optimaal is en dat beveiligingswaarschuwingen tijdig en betrouwbaar worden doorgegeven aan de verantwoordelijke personen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Security Contacts Include Subscription Owners .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.28 Controleert dat security contacts subscription owners includeren. .NOTES Filename: security-contacts-owner-role.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.28 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security, Az.Resources [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Security Contacts with Owner Role" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result = @{ Total = $subscriptions.Count; WithOwnerNotification = 0 } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $contacts = Get-AzSecurityContact -ErrorAction SilentlyContinue # Check if owner notifications are configured if ($contacts -and $contacts.AlertsToAdmins -eq 'On') { $result.WithOwnerNotification++ } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.WithOwnerNotification)/$($r.Total)" -ForegroundColor Cyan } else { $r = Test-Compliance Write-Host $(if ($r.WithOwnerNotification -eq $r.Total) { "`n[OK] COMPLIANT" } else { "`n[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.WithOwnerNotification)/$($r.Total)" -ForegroundColor Cyan } else { $r = Test-Compliance Write-Host $(if ($r.WithOwnerNotification -eq $r.Total) { "`n[OK] COMPLIANT" } else { "`n[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Medium: Abonnementseigenaren blijven onwetend over kritieke beveiligingswaarschuwingen op hun resources zonder waarschuwingen naar beheerders. Verantwoordelijkheidskloof - eigenaren zijn zich niet bewust. Compliance: CIS 2.1.21. Het risico is gemiddeld - voornamelijk governance.

Management Samenvatting

Beveiligingscontactpersonen eigenaarsrol: Activeer de optie 'Waarschuw abonnementseigenaren' zodat abonnementseigenaren automatisch Defender-waarschuwingen ontvangen. Complementeert beveiligingsteamwaarschuwingen. Activatie: Defender for Cloud → E-mailnotificaties → Waarschuw abonnementseigenaren. Gratis. Verplicht CIS 2.1.21. Implementatie: 10 minuten. Zorgt voor eigenaarsverantwoordelijkheid.