💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van Azure Policy waarschuwingen en beschermt organisaties tegen beveiligingsrisico's die ontstaan wanneer beleidstoewijzingen worden gewijzigd zonder adequate monitoring.
Aanbeveling
IMPLEMENTEER WAARSCHUWINGEN VOOR POLICY-TOEWIJZINGEN
Risico zonder
Medium
Risk Score
5/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige Azure-omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Wanneer Azure Policy-toewijzingen worden aangemaakt of gewijzigd zonder dat dit wordt gemonitord, kunnen onbevoegde wijzigingen aan de governance-structuur onopgemerkt blijven, wat kan leiden tot verzwakte beveiligingscontroles en compliance-problemen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Monitor
Connection:
Connect-AzAccountRequired Modules: Az.Monitor
Implementatie
Deze waarschuwing monitort de activiteit Microsoft.Authorization/policyAssignments/write, wat betekent dat elke keer dat een Azure Policy-toewijzing wordt aangemaakt, gewijzigd of verwijderd, er een waarschuwing wordt gegenereerd. Dit stelt beveiligingsteams in staat om governance-wijzigingen tijdig te detecteren en te reageren op mogelijke onbevoegde aanpassingen aan het beveiligingsbeleid.
Vereisten
Voordat u waarschuwingen voor Azure Policy-toewijzingen kunt configureren, moet u ervoor zorgen dat aan bepaalde technische en organisatorische vereisten wordt voldaan. Deze vereisten zijn essentieel om ervoor te zorgen dat de monitoring effectief werkt en dat uw organisatie in staat is om tijdig te reageren op governance-wijzigingen. Het niet voldoen aan deze vereisten kan ertoe leiden dat de waarschuwingsconfiguratie niet correct functioneert of dat belangrijke beveiligingsgebeurtenissen onopgemerkt blijven, wat kan resulteren in verzwakte beveiligingscontroles en potentiële compliance-problemen.
De primaire technische vereiste is dat activiteitenlogboeken moeten worden doorgestuurd naar een Log Analytics Workspace (LAW). Dit is een fundamentele voorwaarde omdat Azure Monitor waarschuwingen afhankelijk zijn van de gegevens die in het activiteitenlogboek worden vastgelegd. Zonder deze logboekregistratie kunnen er geen waarschuwingen worden gegenereerd wanneer policy-toewijzingen worden aangemaakt of gewijzigd. Het activiteitenlogboek fungeert als de primaire bron van waarheid voor alle beheeractiviteiten in Azure, en het is daarom cruciaal dat deze logboeken correct worden geconfigureerd en doorgestuurd naar een centrale locatie waar ze kunnen worden geanalyseerd en gebruikt voor waarschuwingsdoeleinden.
Het activiteitenlogboek bevat alle schrijfacties die worden uitgevoerd op Azure-resources, inclusief het aanmaken, wijzigen of verwijderen van policy-toewijzingen. Door deze logboeken naar een Log Analytics Workspace te sturen, creëert u een gecentraliseerde locatie waar alle governance-activiteiten worden opgeslagen en waarop u queries en waarschuwingen kunt baseren. Deze centralisatie is essentieel voor effectieve monitoring omdat het beveiligingsteams in staat stelt om alle governance-wijzigingen op één locatie te bekijken, wat het detecteren van patronen en afwijkingen vergemakkelijkt. Bovendien maakt het gebruik van een Log Analytics Workspace het mogelijk om geavanceerde query's uit te voeren en historische gegevens te analyseren, wat waardevol is voor forensische doeleinden en compliance-rapportage.
Naast de technische vereiste voor logboekregistratie, zijn er ook organisatorische overwegingen. U moet beschikken over de juiste Azure-machtigingen om waarschuwingen te configureren. Dit vereist typisch de rol van Monitoring Contributor of een aangepaste rol met specifieke machtigingen voor het beheren van waarschuwingsregels. Daarnaast moet uw organisatie een duidelijk proces hebben voor het reageren op waarschuwingen wanneer deze worden gegenereerd. Dit proces moet definiëren wie verantwoordelijk is voor het onderzoeken van waarschuwingen, welke acties moeten worden ondernomen wanneer een waarschuwing wordt gegenereerd, en hoe incidenten moeten worden gedocumenteerd en geëscaleerd indien nodig. Zonder een duidelijk proces kan het zijn dat waarschuwingen worden gegenereerd maar niet adequaat worden opgevolgd, wat de effectiviteit van de monitoring ondermijnt.
Een andere belangrijke vereiste is dat u toegang moet hebben tot de Azure Monitor-service en dat diagnostische instellingen correct zijn geconfigureerd voor uw abonnementen. Zonder deze configuratie worden activiteiten mogelijk niet correct vastgelegd in het activiteitenlogboek, waardoor waarschuwingen niet betrouwbaar kunnen functioneren. De diagnostische instellingen bepalen welke activiteiten worden vastgelegd en waar deze worden opgeslagen, en het is daarom essentieel dat deze instellingen correct zijn geconfigureerd voor alle relevante abonnementen en beheergroepen. Bovendien moet u ervoor zorgen dat de Log Analytics Workspace waar de logboeken naartoe worden gestuurd, voldoende retentie heeft om te voldoen aan compliance-vereisten, die typisch minimaal zeven jaar zijn voor Nederlandse overheidsorganisaties.
Tot slot is het belangrijk om te overwegen dat de implementatie van waarschuwingen voor policy-toewijzingen deel uitmaakt van een bredere governance-strategie. Dit betekent dat u moet nadenken over hoe deze waarschuwingen passen binnen uw algehele beveiligingsarchitectuur en hoe ze worden geïntegreerd met andere monitoring- en waarschuwingssystemen. U moet ook overwegen hoe deze waarschuwingen worden gebruikt voor compliance-doeleinden en hoe ze bijdragen aan het voldoen aan specifieke controles binnen frameworks zoals CIS en BIO. Door deze bredere context te begrijpen, kunt u ervoor zorgen dat de waarschuwingsconfiguratie optimaal wordt benut en dat deze bijdraagt aan de algehele beveiligingsdoelstellingen van uw organisatie.
Implementatie
Gebruik PowerShell-script alert-policy-assignment-create.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van waarschuwingen voor Azure Policy-toewijzingen is een gestructureerd proces dat zorgvuldige configuratie vereist om ervoor te zorgen dat alle relevante governance-wijzigingen worden gedetecteerd. Het implementatieproces begint met het verifiëren dat alle vereisten zijn vervuld, met name de configuratie van activiteitenlogboekregistratie naar een Log Analytics Workspace. Deze verificatie is cruciaal omdat zonder correct geconfigureerde logboekregistratie de waarschuwingen niet kunnen functioneren. U moet controleren dat de diagnostische instellingen zijn geconfigureerd voor alle relevante abonnementen en beheergroepen, en dat de logboeken daadwerkelijk worden doorgestuurd naar het Log Analytics Workspace. Dit kan worden geverifieerd door een testactiviteit uit te voeren en te controleren of deze wordt vastgelegd in het Log Analytics Workspace.
De kern van de implementatie bestaat uit het aanmaken van een waarschuwingsregel die specifiek monitort op de activiteit Microsoft.Authorization/policyAssignments/write. Deze activiteit wordt geregistreerd in het Azure-activiteitenlogboek telkens wanneer een policy-toewijzing wordt aangemaakt, gewijzigd of verwijderd. De waarschuwingsregel moet worden geconfigureerd om te reageren op deze specifieke gebeurtenis en moet worden gekoppeld aan een actiegroep die de juiste personen of systemen waarschuwt wanneer een dergelijke wijziging wordt gedetecteerd. Het is belangrijk om te begrijpen dat deze activiteit alle wijzigingen aan policy-toewijzingen omvat, ongeacht of het gaat om het aanmaken van een nieuwe toewijzing, het wijzigen van een bestaande toewijzing, of het verwijderen van een toewijzing. Dit betekent dat de waarschuwing wordt gegenereerd voor alle governance-wijzigingen, wat essentieel is voor het handhaven van een volledig overzicht van alle wijzigingen aan de beveiligingsconfiguratie.
Bij het configureren van de waarschuwingsregel is het belangrijk om de juiste scope te definiëren. Afhankelijk van uw organisatiestructuur kunt u ervoor kiezen om waarschuwingen te configureren op abonnementsniveau, beheergroepniveau of zelfs op tenantniveau. Voor de meeste organisaties is het aanbevolen om waarschuwingen te configureren op het hoogste niveau waar policy-toewijzingen kunnen worden beheerd, zodat alle wijzigingen worden gedetecteerd ongeacht waar ze plaatsvinden. Dit betekent dat als uw organisatie gebruik maakt van beheergroepen, u de waarschuwing moet configureren op beheergroepniveau om ervoor te zorgen dat alle wijzigingen worden gedetecteerd, zelfs als ze plaatsvinden in verschillende abonnementen. Als uw organisatie echter alleen gebruik maakt van abonnementen zonder beheergroepen, dan is abonnementsniveau voldoende. Het is belangrijk om de scope correct te configureren omdat een te beperkte scope kan leiden tot gemiste waarschuwingen, terwijl een te brede scope kan leiden tot onnodige waarschuwingen.
De waarschuwingsregel moet worden geconfigureerd met een duidelijke naam en beschrijving die aangeven dat deze specifiek is bedoeld voor het monitoren van policy-toewijzingen. Deze naam en beschrijving zijn belangrijk voor toekomstig onderhoud en voor het begrijpen van het doel van de waarschuwing wanneer deze wordt gegenereerd. Daarnaast moet u een actiegroep configureren die bepaalt wie wordt gewaarschuwd wanneer een waarschuwing wordt gegenereerd. Deze actiegroep kan e-mailmeldingen, SMS-berichten, webhooks of andere meldingsmechanismen bevatten, afhankelijk van de behoeften van uw organisatie. Het is belangrijk om ervoor te zorgen dat de juiste personen worden gewaarschuwd, zoals beveiligingsanalisten, compliance-officers, of andere relevante stakeholders. Bovendien moet u overwegen om meerdere meldingskanalen te gebruiken om ervoor te zorgen dat waarschuwingen niet worden gemist, bijvoorbeeld door zowel e-mail als SMS te gebruiken voor kritieke waarschuwingen.
Na het aanmaken van de waarschuwingsregel is het essentieel om de configuratie te testen. Dit kan worden gedaan door een test policy-toewijzing aan te maken en te verifiëren dat de waarschuwing correct wordt gegenereerd. Deze test moet worden uitgevoerd in een testomgeving of met een policy-toewijzing die geen impact heeft op de productieomgeving. Het is belangrijk om te verifiëren dat de waarschuwing niet alleen wordt gegenereerd, maar ook dat deze de juiste informatie bevat, zoals de naam van de policy, het scope waar de toewijzing is gemaakt, en de gebruiker die de wijziging heeft aangebracht. Bovendien moet u verifiëren dat de actiegroep correct functioneert en dat de meldingen daadwerkelijk worden verzonden naar de geconfigureerde ontvangers. Na succesvolle verificatie kan de waarschuwingsregel als operationeel worden beschouwd, maar het is aanbevolen om periodiek te testen om ervoor te zorgen dat de configuratie nog steeds correct functioneert.
Het is ook belangrijk om documentatie bij te houden van de geïmplementeerde waarschuwingsregel, inclusief de configuratieparameters, de scope van de monitoring en de procedures voor het reageren op waarschuwingen. Deze documentatie is essentieel voor toekomstig onderhoud en voor auditdoeleinden. De documentatie moet informatie bevatten over wanneer de waarschuwing is geïmplementeerd, wie verantwoordelijk is voor het onderhoud, welke actiegroep is geconfigureerd, en hoe de waarschuwing moet worden gebruikt. Bovendien moet de documentatie procedures bevatten voor het reageren op waarschuwingen, inclusief wie moet worden gecontacteerd wanneer een waarschuwing wordt gegenereerd, welke acties moeten worden ondernomen, en hoe incidenten moeten worden gedocumenteerd. Deze documentatie helpt niet alleen bij het onderhoud van de waarschuwing, maar ook bij het aantonen van compliance tijdens audits.
Tot slot is het belangrijk om te overwegen hoe de waarschuwingsregel wordt geïntegreerd met andere beveiligingssystemen en processen. Dit kan betekenen dat de waarschuwingen worden geïntegreerd met een Security Information and Event Management (SIEM) systeem, of dat ze worden gebruikt als input voor andere beveiligingsprocessen. Bovendien moet u overwegen hoe de waarschuwingen worden gebruikt voor compliance-rapportage en hoe ze bijdragen aan het algehele beveiligingspostuur van uw organisatie. Door deze integratie te overwegen, kunt u ervoor zorgen dat de waarschuwingen optimaal worden benut en dat ze bijdragen aan de algehele beveiligingsdoelstellingen van uw organisatie.
Compliance en Auditing
Het implementeren van waarschuwingen voor Azure Policy-toewijzingen is niet alleen een best practice voor beveiliging, maar ook een vereiste voor naleving van verschillende compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties. Deze waarschuwingen dragen bij aan het voldoen aan specifieke controles binnen het CIS Azure Foundations Benchmark en het BIO-kader. Compliance is een kritiek aspect van informatiebeveiliging voor overheidsorganisaties, en het niet voldoen aan deze vereisten kan leiden tot ernstige gevolgen, waaronder financiële boetes, reputatieschade, en verlies van vertrouwen van burgers en stakeholders. Daarom is het essentieel dat organisaties passende maatregelen nemen om te voldoen aan alle relevante compliance-vereisten, en het implementeren van waarschuwingen voor policy-toewijzingen is een belangrijke stap in deze richting.
Binnen het CIS Azure Foundations Benchmark wordt deze controle specifiek genoemd in sectie 5.2.4, die vereist dat organisaties waarschuwingen configureren voor kritieke activiteiten in Azure, inclusief wijzigingen aan policy-toewijzingen. Deze controle is geclassificeerd als Level 1, wat betekent dat het wordt aanbevolen voor alle organisaties, ongeacht hun omvang of complexiteit. Het niet implementeren van deze controle kan leiden tot niet-naleving van het CIS-framework, wat kan resulteren in beveiligingsrisico's en mogelijke gevolgen tijdens audits. Het CIS Azure Foundations Benchmark is een internationaal erkend framework dat best practices definieert voor het beveiligen van Azure-omgevingen, en het wordt vaak gebruikt als basis voor beveiligingsaudits en compliance-verificaties. Door deze controle te implementeren, kunnen organisaties aantonen dat zij voldoen aan deze best practices en dat zij passende maatregelen hebben genomen om hun Azure-omgeving te beveiligen.
Voor Nederlandse overheidsorganisaties is het BIO-kader (Baseline Informatiebeveiliging Overheid) van bijzonder belang. Binnen dit kader wordt controle 12.04 specifiek gericht op monitoring en waarschuwingen. Deze controle vereist dat organisaties passende monitoring en waarschuwingsmechanismen implementeren om beveiligingsincidenten en onbevoegde wijzigingen tijdig te detecteren. Het monitoren van policy-toewijzingen is een directe implementatie van deze controle, omdat wijzigingen aan governance-structuren kunnen wijzen op potentiële beveiligingsproblemen of onbevoegde toegang. Het BIO-kader is specifiek ontwikkeld voor Nederlandse overheidsorganisaties en definieert minimale beveiligingsvereisten die moeten worden geïmplementeerd om te voldoen aan de Wet informatiebeveiliging rijksoverheid (Wbni). Het niet voldoen aan deze vereisten kan leiden tot niet-naleving van de wetgeving, wat kan resulteren in juridische gevolgen en mogelijke boetes.
Naast deze specifieke controles draagt de implementatie van policy-toewijzingswaarschuwingen bij aan de algemene compliance-principes van traceerbaarheid en verantwoordingsplicht. Door alle wijzigingen aan policy-toewijzingen te monitoren en te loggen, kunnen organisaties aantonen dat zij passende controles hebben geïmplementeerd om governance-wijzigingen te detecteren en te reageren. Dit is essentieel voor auditdoeleinden en voor het voldoen aan de algemene vereisten voor informatiebeveiliging binnen de Nederlandse overheidssector. Traceerbaarheid betekent dat alle activiteiten kunnen worden gevolgd en gedocumenteerd, wat essentieel is voor het begrijpen van wat er is gebeurd en wie verantwoordelijk is voor bepaalde acties. Verantwoordingsplicht betekent dat personen verantwoordelijk kunnen worden gehouden voor hun acties, wat een belangrijk afschrikmiddel is voor onbevoegde activiteiten.
Voor auditdoeleinden is het belangrijk om te documenteren dat de waarschuwingsregel is geconfigureerd en operationeel is. Auditors zullen typisch vragen naar bewijs dat waarschuwingen daadwerkelijk worden gegenereerd wanneer policy-toewijzingen worden gewijzigd, en dat er procedures zijn voor het reageren op deze waarschuwingen. Het bijhouden van logboeken van gegenereerde waarschuwingen en de daaropvolgende acties is daarom essentieel voor het aantonen van compliance. Deze logboeken moeten worden bewaard voor de vereiste retentieperiode, die typisch minimaal zeven jaar is voor Nederlandse overheidsorganisaties. Bovendien moeten de logboeken beschermd worden tegen wijziging of verwijdering, wat kan worden bereikt door gebruik te maken van onveranderlijke opslag of door regelmatige back-ups te maken. Auditors zullen ook vragen naar bewijs dat de waarschuwingen daadwerkelijk worden gebruikt en dat er actie wordt ondernomen wanneer waarschuwingen worden gegenereerd, dus het is belangrijk om deze informatie te documenteren en beschikbaar te houden.
Het is ook belangrijk om te erkennen dat compliance een continu proces is, niet een eenmalige implementatie. Regelmatige verificatie dat waarschuwingsregels nog steeds actief zijn en correct functioneren, is essentieel om ervoor te zorgen dat de organisatie blijft voldoen aan de compliance-vereisten. Dit kan worden bereikt door periodieke tests uit te voeren en door regelmatige reviews van de waarschuwingsconfiguratie te houden. Bovendien moet de organisatie regelmatig evalueren of de waarschuwingen nog steeds effectief zijn en of ze moeten worden aangepast aan veranderende omstandigheden. Dit kan betekenen dat nieuwe waarschuwingen moeten worden toegevoegd, of dat bestaande waarschuwingen moeten worden aangepast om beter te voldoen aan de behoeften van de organisatie. Door compliance te zien als een continu proces, kunnen organisaties ervoor zorgen dat zij altijd voldoen aan de vereisten en dat zij kunnen reageren op veranderende omstandigheden en nieuwe bedreigingen.
Tot slot is het belangrijk om te overwegen hoe compliance wordt gerapporteerd en gecommuniceerd binnen de organisatie. Dit kan betekenen dat regelmatige compliance-rapporten worden gegenereerd die de status van de waarschuwingen en de compliance-positie van de organisatie weergeven. Deze rapporten kunnen worden gebruikt voor management-rapportage, voor auditdoeleinden, en voor het identificeren van gebieden waar verbetering nodig is. Bovendien moet de organisatie ervoor zorgen dat alle relevante stakeholders op de hoogte zijn van de compliance-vereisten en van hoe de waarschuwingen bijdragen aan het voldoen aan deze vereisten. Dit kan worden bereikt door regelmatige training en communicatie, en door ervoor te zorgen dat compliance-informatie gemakkelijk toegankelijk is voor alle relevante personen binnen de organisatie.
Monitoring
Gebruik PowerShell-script alert-policy-assignment-create.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van Azure Policy-toewijzingswaarschuwingen vereist een gestructureerde aanpak die verder gaat dan alleen het configureren van de waarschuwingsregel. Monitoring omvat niet alleen het detecteren van waarschuwingen wanneer ze worden gegenereerd, maar ook het regelmatig verifiëren dat het monitoring-systeem zelf correct functioneert en het analyseren van trends in policy-toewijzingen over tijd. Een effectief monitoring-programma is essentieel voor het handhaven van een sterke beveiligingspostuur, omdat het organisaties in staat stelt om snel te reageren op beveiligingsincidenten en om potentiële problemen te identificeren voordat ze escaleren tot ernstige beveiligingsincidenten. Zonder effectieve monitoring kunnen beveiligingsproblemen onopgemerkt blijven, wat kan leiden tot verzwakte beveiligingscontroles en potentiële compliance-problemen.
De primaire monitoringactiviteit bestaat uit het regelmatig controleren of de waarschuwingsregel nog steeds actief is en correct is geconfigureerd. Dit kan worden gedaan door de waarschuwingsregel te verifiëren in de Azure Portal of door gebruik te maken van geautomatiseerde scripts die de configuratie periodiek controleren. Het is belangrijk om te verifiëren dat de waarschuwingsregel niet per ongeluk is uitgeschakeld of gewijzigd, wat kan gebeuren tijdens andere configuratiewijzigingen in de Azure-omgeving. Deze verificatie moet regelmatig worden uitgevoerd, bijvoorbeeld wekelijks of maandelijks, afhankelijk van de behoeften van uw organisatie. Bovendien moet u controleren of de actiegroep nog steeds correct is geconfigureerd en of alle geconfigureerde ontvangers nog steeds actief zijn en toegang hebben tot de meldingskanalen. Het is ook belangrijk om te verifiëren dat de scope van de waarschuwing nog steeds correct is en dat deze alle relevante abonnementen en beheergroepen omvat.
Naast het verifiëren van de configuratie, moeten organisaties ook monitoren of waarschuwingen daadwerkelijk worden gegenereerd wanneer policy-toewijzingen worden gewijzigd. Als er gedurende een langere periode geen waarschuwingen worden gegenereerd, kan dit wijzen op een probleem met de configuratie, of het kan betekenen dat er simpelweg geen policy-toewijzingen zijn gewijzigd. Het is belangrijk om onderscheid te maken tussen deze twee scenario's door periodiek testwaarschuwingen te genereren of door de activiteitenlogboeken te controleren op policy-toewijzingsactiviteiten. Als er wel activiteiten zijn maar geen waarschuwingen worden gegenereerd, kan dit wijzen op een probleem met de waarschuwingsconfiguratie, zoals een verkeerd geconfigureerde query of een probleem met de logboekregistratie. In dergelijke gevallen moet de configuratie worden onderzocht en gecorrigeerd om ervoor te zorgen dat waarschuwingen correct worden gegenereerd.
Een ander belangrijk aspect van monitoring is het analyseren van de gegenereerde waarschuwingen om patronen te identificeren. Door trends te analyseren in wanneer en door wie policy-toewijzingen worden gewijzigd, kunnen organisaties beter begrijpen hoe hun governance-structuur evolueert en kunnen ze potentiële problemen vroegtijdig identificeren. Dit kan bijvoorbeeld helpen bij het identificeren van ongebruikelijke activiteiten die mogelijk wijzen op onbevoegde toegang of misbruik. Trendanalyse kan ook helpen bij het identificeren van gebieden waar verbetering nodig is, zoals het identificeren van veelvoorkomende fouten of het identificeren van gebieden waar aanvullende training nodig is. Bovendien kan trendanalyse helpen bij het optimaliseren van de waarschuwingsconfiguratie door het identificeren van valse positieven of door het identificeren van gebieden waar aanvullende waarschuwingen nodig zijn.
Monitoring moet ook aandacht besteden aan de respons op waarschuwingen. Het is niet voldoende om alleen waarschuwingen te genereren; organisaties moeten ook verifiëren dat er passende acties worden ondernomen wanneer waarschuwingen worden gegenereerd. Dit kan worden gedaan door het bijhouden van incidenttickets die zijn aangemaakt als reactie op waarschuwingen, of door regelmatige reviews te houden van de acties die zijn ondernomen na het ontvangen van waarschuwingen. Het is belangrijk om te meten hoe snel er wordt gereageerd op waarschuwingen, omdat een langzame respons kan leiden tot verhoogde beveiligingsrisico's. Bovendien moet u controleren of de genomen acties effectief zijn en of ze hebben geleid tot het oplossen van de onderliggende problemen. Als waarschuwingen regelmatig worden gegenereerd maar er geen actie wordt ondernomen, kan dit wijzen op een probleem met het responsproces of op een gebrek aan resources om adequaat te reageren op waarschuwingen.
Voor effectieve monitoring is het ook belangrijk om dashboards en rapporten te configureren die een overzicht geven van de status van policy-toewijzingswaarschuwingen. Deze dashboards kunnen informatie bevatten over het aantal gegenereerde waarschuwingen, de responstijden op waarschuwingen, en trends in policy-toewijzingsactiviteiten. Dergelijke dashboards helpen bij het identificeren van problemen en bij het rapporteren aan management en auditors over de effectiviteit van de monitoring. Dashboards kunnen worden geconfigureerd in Azure Monitor of in andere monitoring-tools, en ze moeten regelmatig worden bijgewerkt om ervoor te zorgen dat ze actuele informatie weergeven. Bovendien moeten dashboards worden gedeeld met relevante stakeholders, zoals beveiligingsteams, compliance-officers, en management, om ervoor te zorgen dat iedereen op de hoogte is van de status van de monitoring en van eventuele problemen die moeten worden aangepakt.
Een cruciaal onderdeel van effectieve monitoring is het implementeren van geautomatiseerde controles die continu verifiëren dat de waarschuwingsinfrastructuur correct functioneert. Deze geautomatiseerde controles kunnen worden geïmplementeerd met behulp van Azure Automation runbooks of door gebruik te maken van Azure Policy om te controleren of waarschuwingsregels correct zijn geconfigureerd. Geautomatiseerde controles helpen bij het identificeren van problemen voordat ze impact hebben op de beveiligingspostuur, en ze verminderen de werklast voor beveiligingsteams door routinematige verificatietaken te automatiseren. Bovendien kunnen geautomatiseerde controles worden geconfigureerd om automatisch te reageren op bepaalde problemen, zoals het opnieuw inschakelen van een waarschuwingsregel die per ongeluk is uitgeschakeld. Dit helpt bij het handhaven van een consistente beveiligingsconfiguratie en bij het verminderen van de tijd die nodig is om problemen op te lossen.
Monitoring van policy-toewijzingswaarschuwingen moet ook rekening houden met de integratie met andere beveiligingssystemen en processen. Dit kan betekenen dat waarschuwingen worden geïntegreerd met een Security Information and Event Management (SIEM) systeem, zoals Microsoft Sentinel, om een gecentraliseerd overzicht te krijgen van alle beveiligingsgebeurtenissen. Integratie met SIEM-systemen maakt het mogelijk om policy-toewijzingswaarschuwingen te correleren met andere beveiligingsgebeurtenissen, wat kan helpen bij het identificeren van complexe aanvalspatronen of bij het begrijpen van de context rondom beveiligingsincidenten. Bovendien kan integratie met SIEM-systemen helpen bij het automatiseren van respons-acties en bij het verbeteren van de algehele beveiligingspostuur door het combineren van informatie uit verschillende bronnen.
Voor Nederlandse overheidsorganisaties is het belangrijk om te overwegen hoe monitoring bijdraagt aan compliance-vereisten en hoe het kan worden gebruikt voor auditdoeleinden. Monitoring moet worden geconfigureerd om voldoende informatie vast te leggen om te voldoen aan compliance-vereisten, zoals de vereisten binnen het BIO-kader en de AVG. Dit betekent dat monitoring-logboeken moeten worden bewaard voor de vereiste retentieperiode, die typisch minimaal zeven jaar is voor Nederlandse overheidsorganisaties. Bovendien moeten monitoring-logboeken beschermd worden tegen wijziging of verwijdering, wat kan worden bereikt door gebruik te maken van onveranderlijke opslag of door regelmatige back-ups te maken. Monitoring moet ook worden geconfigureerd om voldoende detail vast te leggen om te voldoen aan auditvereisten, zoals het vastleggen van wie waarschuwingen heeft ontvangen, welke acties zijn ondernomen, en hoe lang het duurde om te reageren op waarschuwingen.
Het is ook belangrijk om regelmatig de effectiviteit van de monitoring te evalueren en om aanpassingen te maken waar nodig. Dit kan betekenen dat nieuwe monitoring-capaciteiten moeten worden toegevoegd, of dat bestaande monitoring-processen moeten worden verbeterd. Evaluatie van de effectiviteit moet worden uitgevoerd op basis van metrische gegevens, zoals het aantal gedetecteerde incidenten, de responstijden op waarschuwingen, en het aantal valse positieven. Deze metrische gegevens kunnen worden gebruikt om te identificeren waar verbetering nodig is en om te bepalen of de monitoring nog steeds effectief is in het detecteren van beveiligingsproblemen. Bovendien moet de organisatie regelmatig evalueren of de monitoring nog steeds voldoet aan de behoeften van de organisatie en of deze nog steeds effectief is in het detecteren van beveiligingsproblemen. Door regelmatig de effectiviteit te evalueren en aanpassingen te maken, kunnen organisaties ervoor zorgen dat hun monitoring-programma optimaal blijft functioneren en dat het blijft bijdragen aan de algehele beveiligingsdoelstellingen van de organisatie.
Tot slot moet monitoring worden gezien als een continu proces dat regelmatige aandacht en onderhoud vereist. Dit betekent dat monitoring niet alleen moet worden geconfigureerd en vervolgens vergeten, maar dat het regelmatig moet worden geëvalueerd en aangepast aan veranderende omstandigheden. Organisaties moeten een proces hebben voor het regelmatig reviewen van de monitoring-configuratie, voor het evalueren van de effectiviteit van de monitoring, en voor het maken van aanpassingen waar nodig. Dit proces moet worden gedocumenteerd en moet worden geïntegreerd met andere beveiligingsprocessen, zoals het incidentresponse-proces en het compliance-management proces. Door monitoring te zien als een continu proces, kunnen organisaties ervoor zorgen dat hun monitoring-programma blijft evolueren en dat het blijft bijdragen aan de algehele beveiligingsdoelstellingen van de organisatie, zelfs als de bedreigingsomgeving en de organisatorische behoeften veranderen.
Remediatie
Gebruik PowerShell-script alert-policy-assignment-create.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer een waarschuwing wordt gegenereerd voor een Azure Policy-toewijzing, is het essentieel om een gestructureerd remediatieproces te volgen om ervoor te zorgen dat de wijziging wordt geëvalueerd en dat passende acties worden ondernomen. Het remediatieproces begint met het onderzoeken van de waarschuwing om te begrijpen wat er is gewijzigd, door wie de wijziging is aangebracht, en wat de impact is van de wijziging op de beveiligingspostuur van de organisatie. Een gestructureerd remediatieproces is essentieel omdat het ervoor zorgt dat alle wijzigingen worden geëvalueerd en dat passende acties worden ondernomen om de beveiligingspostuur te beschermen. Zonder een gestructureerd proces kunnen wijzigingen onopgemerkt blijven of kunnen onbevoegde wijzigingen langdurig impact hebben op de beveiligingsconfiguratie, wat kan leiden tot verzwakte beveiligingscontroles en potentiële beveiligingsincidenten.
De eerste stap in het remediatieproces is het verzamelen van informatie over de policy-toewijzing die is gewijzigd. Dit omvat het identificeren van welke policy is toegewezen, aan welk scope (abonnement, resourcegroep, of resource), en wat de specifieke parameters zijn van de toewijzing. Deze informatie is essentieel om te bepalen of de wijziging legitiem is of dat deze mogelijk wijst op onbevoegde activiteit. Bovendien moet u informatie verzamelen over wanneer de wijziging is aangebracht, wie de wijziging heeft aangebracht, en wat de reden was voor de wijziging. Deze informatie kan worden verkregen uit het activiteitenlogboek, uit de waarschuwingsdetails, en uit andere relevante bronnen. Het is belangrijk om alle relevante informatie te verzamelen voordat u beslissingen neemt over hoe te reageren op de waarschuwing, omdat onvolledige informatie kan leiden tot verkeerde beslissingen of tot onnodige acties.
Nadat de details van de wijziging zijn verzameld, moet de wijziging worden geverifieerd tegen de goedgekeurde governance-processen van de organisatie. Als de wijziging is aangebracht door een geautoriseerde persoon volgens de juiste procedures, kan de waarschuwing worden afgesloten met een notitie dat de wijziging legitiem was. Als de wijziging echter niet is goedgekeurd of als deze is aangebracht door een onbevoegde persoon, moeten verdere acties worden ondernomen. Deze verificatie moet worden uitgevoerd door een bevoegde persoon, zoals een beveiligingsanalist of een compliance-officer, die de autoriteit heeft om te bepalen of een wijziging legitiem is. Het is belangrijk om deze verificatie snel uit te voeren, omdat onbevoegde wijzigingen snel moeten worden aangepakt om te voorkomen dat ze langdurig impact hebben op de beveiligingspostuur.
In gevallen waar een policy-toewijzing onbevoegd is aangemaakt of gewijzigd, moet de wijziging worden teruggedraaid. Dit kan worden gedaan door de policy-toewijzing te verwijderen of door deze te wijzigen naar de oorspronkelijke configuratie. Het is belangrijk om dit snel te doen om te voorkomen dat de onbevoegde wijziging langdurig impact heeft op de beveiligingspostuur van de organisatie. Voordat u de wijziging terugdraait, moet u echter eerst de impact van de terugdraaiing evalueren, omdat het terugdraaien van een wijziging ook impact kan hebben op andere systemen of processen. Bovendien moet u ervoor zorgen dat de oorspronkelijke configuratie correct is en dat deze nog steeds voldoet aan de behoeften van de organisatie. Als de oorspronkelijke configuratie niet beschikbaar is, moet u een nieuwe configuratie maken die voldoet aan de governance-vereisten van de organisatie.
Naast het terugdraaien van onbevoegde wijzigingen, moet het remediatieproces ook aandacht besteden aan het voorkomen van toekomstige incidenten. Dit kan betekenen dat er aanvullende controles moeten worden geïmplementeerd, zoals het beperken van machtigingen voor het aanmaken van policy-toewijzingen, of het implementeren van goedkeuringsworkflows voordat policy-toewijzingen kunnen worden gewijzigd. Het kan ook betekenen dat er aanvullende training nodig is voor personen die verantwoordelijk zijn voor het beheren van Azure Policy-toewijzingen. Bovendien moet u overwegen om aanvullende monitoring in te stellen om toekomstige incidenten sneller te detecteren, of om de bestaande monitoring te verbeteren om betere detectie te bieden. Het is belangrijk om deze preventieve maatregelen te implementeren omdat ze kunnen helpen bij het voorkomen van toekomstige incidenten en bij het verbeteren van de algehele beveiligingspostuur van de organisatie.
Het is ook belangrijk om alle remediatie-acties te documenteren voor auditdoeleinden. Dit omvat het vastleggen van wat er is gewijzigd, wie de wijziging heeft aangebracht, welke acties zijn ondernomen om de situatie te remediëren, en welke preventieve maatregelen zijn geïmplementeerd om toekomstige incidenten te voorkomen. Deze documentatie is essentieel voor het aantonen van due diligence en voor het leren van incidenten om de beveiligingspostuur te verbeteren. De documentatie moet worden opgeslagen in een centrale locatie waar deze gemakkelijk toegankelijk is voor auditors en voor andere relevante stakeholders. Bovendien moet de documentatie regelmatig worden bijgewerkt om ervoor te zorgen dat deze actueel blijft en dat alle relevante informatie wordt vastgelegd. Deze documentatie kan ook worden gebruikt voor het genereren van compliance-rapporten en voor het demonstreren van de effectiviteit van het remediatieproces.
In sommige gevallen kan het nodig zijn om een volledig incidentresponse-proces te volgen, vooral als de onbevoegde wijziging deel uitmaakt van een groter beveiligingsincident. In dergelijke gevallen moet het remediatieproces worden geïntegreerd met het algemene incidentresponse-proces van de organisatie, en moeten alle relevante stakeholders worden betrokken bij het onderzoek en de remediatie. Dit kan betekenen dat er een incidentresponse-team moet worden geactiveerd, dat er forensisch onderzoek moet worden uitgevoerd, of dat er externe hulp moet worden ingeroepen. Het is belangrijk om deze escalatie snel uit te voeren omdat beveiligingsincidenten snel kunnen escaleren en omdat een snelle respons essentieel is voor het beperken van de impact van het incident. Bovendien moet u ervoor zorgen dat alle relevante informatie wordt gedeeld met het incidentresponse-team en dat alle acties worden gecoördineerd om ervoor te zorgen dat het incident effectief wordt aangepakt.
Tot slot is het belangrijk om regelmatig het remediatieproces te evalueren en om verbeteringen aan te brengen waar nodig. Dit kan betekenen dat het proces moet worden aangepast op basis van geleerde lessen van eerdere incidenten, of dat nieuwe tools of technieken moeten worden geïmplementeerd om het proces te verbeteren. Bovendien moet de organisatie regelmatig evalueren of het remediatieproces nog steeds effectief is en of het nog steeds voldoet aan de behoeften van de organisatie. Door regelmatig het proces te evalueren en verbeteringen aan te brengen, kunnen organisaties ervoor zorgen dat hun remediatieproces optimaal blijft functioneren en dat het blijft bijdragen aan de algehele beveiligingsdoelstellingen van de organisatie.
Compliance & Frameworks
- CIS M365: Control 5.2.4 (L1) - Waarschuwing policy-toewijzing aanmaken
- BIO: 12.04 - Monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Alert Policy Assignment Create
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.5
Controleert alert voor policy assignment create events.
.NOTES
Filename: alert-policy-assignment-create.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.5
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Monitor
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Alert Policy Assignment Create"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$alerts = Get-AzActivityLogAlert -ErrorAction SilentlyContinue
$result = @{ TotalAlerts = $alerts.Count; PolicyAlerts = 0 }
foreach ($alert in $alerts) {
$policyCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'resourceType' -and
$_.Equals -like '*Microsoft.Authorization/policyAssignments*'
}
if ($policyCondition) { $result.PolicyAlerts++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Policy Assignment Alerts: $($r.PolicyAlerts)" -ForegroundColor $(if ($r.PolicyAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.PolicyAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor policy assignment wijzigingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nPolicy Assignment Alerts: $($r.PolicyAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Policy Assignment Alerts: $($r.PolicyAlerts)" -ForegroundColor $(if ($r.PolicyAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.PolicyAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor policy assignment wijzigingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nPolicy Assignment Alerts: $($r.PolicyAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Onbewaakte policy-toewijzingen leiden tot omzeiling van governance-controles. Onbevoegde policies kunnen worden geïmplementeerd, wat resulteert in verzwakte beveiligingscontroles en potentiële compliance-overtredingen. Zonder monitoring kunnen wijzigingen aan de governance-structuur onopgemerkt blijven, waardoor organisaties kwetsbaar zijn voor onbevoegde wijzigingen die de beveiligingspostuur kunnen schaden. Compliance-vereisten: CIS 5.2.4, BIO 12.04. Het risiconiveau is medium vanwege de impact van governance-wijzigingen op de algehele beveiligingsarchitectuur.
Management Samenvatting
Waarschuwing Policy-Toewijzing Aanmaken: Monitor policy-toewijzingsgebeurtenissen om te detecteren wanneer nieuwe policies worden geïmplementeerd of bestaande toewijzingen worden gewijzigd. Detecteert onbevoegde governance-wijzigingen die kunnen leiden tot verzwakte beveiligingscontroles. Activeren via: Azure Monitor → Activiteitenlogboek waarschuwing → Policy-toewijzing schrijfactie. Geen extra kosten. Verplicht volgens CIS 5.2.4 en BIO 12.04. Implementatietijd: ongeveer 30 minuten. Biedt detectie van governance-wijzigingen voor verbeterde beveiligingspostuur.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE