💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van waarschuwingen voor het verwijderen van openbare IP-adressen en beschermt tegen beveiligingsrisico's die ontstaan door ongecontroleerde wijzigingen in de netwerkinfrastructuur.
Aanbeveling
OVERWEEG WAARSCHUWINGEN VOOR VERWIJDERING OPENBARE IP-ADRESSEN
Risico zonder
Medium
Risk Score
5/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Het monitoren van verwijderingen van openbare IP-adressen is cruciaal omdat deze acties kunnen wijzen op onbevoegde toegang, configuratiefouten of kwaadaardige activiteiten die kunnen leiden tot serviceonderbrekingen of beveiligingslekken.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Monitor
Connection:
Connect-AzAccountRequired Modules: Az.Monitor
Implementatie
Deze regel past de benodigde beveiligingsinstellingen toe via Azure Monitor en Activity Log alerts om systemen te beschermen volgens actuele beveiligingsframeworks zoals CIS Benchmarks, BIO en ISO 27001. Het systeem genereert automatisch waarschuwingen wanneer openbare IP-adressen worden verwijderd, waardoor organisaties direct kunnen reageren op potentieel schadelijke wijzigingen.
Vereisten
Voor het implementeren van waarschuwingen voor het verwijderen van openbare IP-adressen zijn specifieke vereisten noodzakelijk om ervoor te zorgen dat de monitoring effectief functioneert en organisaties tijdig kunnen reageren op kritieke wijzigingen in hun netwerkinfrastructuur. De primaire vereiste voor deze beveiligingsmaatregel is de beschikbaarheid en correcte configuratie van het Azure Activity Log. Het Activity Log vormt de basis voor alle waarschuwingsregels die betrekking hebben op resourcewijzigingen binnen een Azure-abonnement. Zonder een goed geconfigureerd Activity Log kunnen organisaties geen inzicht krijgen in wie, wat en wanneer er wijzigingen zijn aangebracht aan hun openbare IP-adressen. Het Activity Log registreert automatisch alle beheeractiviteiten die worden uitgevoerd op resources binnen een Azure-abonnement, inclusief het maken, wijzigen en verwijderen van openbare IP-adressen. Deze logboeken bevatten essentiële informatie zoals de identiteit van de gebruiker of service principal die de actie heeft uitgevoerd, het tijdstip van de actie, de resource die is gewijzigd en de specifieke bewerking die is uitgevoerd. Voor Nederlandse overheidsorganisaties is het correct configureren van het Activity Log niet alleen een technische vereiste, maar ook een compliance-verplichting volgens de BIO-normen en AVG-vereisten. Het Activity Log moet worden geconfigureerd om alle relevante gebeurtenissen vast te leggen en deze informatie moet worden opgeslagen voor de vereiste bewaartermijn, die doorgaans minimaal zeven jaar bedraagt voor auditdoeleinden. Daarnaast is het belangrijk dat organisaties beschikken over de juiste Azure-machtigingen om waarschuwingsregels te kunnen maken en beheren. Beheerders moeten minimaal de rol van Monitoring Contributor hebben of een aangepaste rol met specifieke machtigingen voor het maken en beheren van waarschuwingsregels. Zonder deze machtigingen kunnen beveiligingsteams geen effectieve monitoring implementeren en lopen organisaties het risico dat kritieke wijzigingen onopgemerkt blijven. Een aanvullende vereiste is de beschikbaarheid van een geschikt kanaal voor het ontvangen van waarschuwingen. Azure Monitor ondersteunt verschillende notificatiemethoden, waaronder e-mail, SMS, webhooks en integratie met ITSM-systemen. Organisaties moeten een betrouwbaar notificatiekanaal configureren dat 24/7 wordt bewaakt, zodat beveiligingsteams direct kunnen reageren op waarschuwingen over verwijderde openbare IP-adressen. Voor grotere organisaties kan het ook wenselijk zijn om waarschuwingen te integreren met Security Information and Event Management (SIEM) systemen voor gecentraliseerde monitoring en geavanceerde correlatie met andere beveiligingsgebeurtenissen.
Implementatie
Gebruik PowerShell-script alert-public-ip-delete.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van waarschuwingen voor het verwijderen van openbare IP-adressen vereist een gestructureerde aanpak waarbij verschillende technische en organisatorische aspecten worden geadresseerd. Het implementatieproces begint met het verifiëren van de beschikbaarheid van het Azure Activity Log en het controleren van de benodigde machtigingen voor het maken van waarschuwingsregels. Beheerders moeten eerst inloggen op Azure met de juiste credentials en vervolgens de PowerShell-module Az.Monitor installeren en importeren als deze nog niet beschikbaar is. De daadwerkelijke implementatie wordt uitgevoerd door het uitvoeren van het PowerShell-script dat automatisch een waarschuwingsregel aanmaakt die specifiek gericht is op het detecteren van verwijderingsacties op openbare IP-adressen. Deze waarschuwingsregel wordt geconfigureerd om te reageren op de specifieke Activity Log-gebeurtenis die wordt gegenereerd wanneer een openbaar IP-adres wordt verwijderd. De regel maakt gebruik van een Activity Log Alert, wat betekent dat deze direct wordt geactiveerd wanneer de gebeurtenis plaatsvindt, zonder vertraging. Dit is cruciaal voor beveiligingsdoeleinden omdat organisaties zo snel mogelijk moeten worden gewaarschuwd over potentieel schadelijke wijzigingen. Tijdens de configuratie van de waarschuwingsregel moeten beheerders verschillende parameters instellen, waaronder de naam van de regel, de beschrijving, de condities die moeten worden gecontroleerd en de acties die moeten worden ondernomen wanneer de waarschuwing wordt geactiveerd. De conditie voor deze specifieke waarschuwing is gericht op de bewerking Microsoft.Network/publicIPAddresses/delete, wat de standaard Azure Resource Manager-bewerking is voor het verwijderen van openbare IP-adressen. Naast het configureren van de waarschuwingsregel zelf, moeten organisaties ook een actiegroep instellen die bepaalt wie wordt geïnformeerd wanneer de waarschuwing wordt geactiveerd. Deze actiegroep kan bestaan uit e-mailadressen van beveiligingsteamleden, SMS-nummers voor kritieke meldingen, webhook-URL's voor integratie met externe systemen, of Azure Logic Apps voor geautomatiseerde responsacties. Voor Nederlandse overheidsorganisaties is het belangrijk dat deze actiegroepen worden geconfigureerd volgens de interne communicatieprotocollen en dat er altijd een backup-notificatiemethode beschikbaar is voor het geval de primaire methode faalt. Na de initiële implementatie moeten beheerders de waarschuwingsregel testen om te verifiëren dat deze correct functioneert. Dit kan worden gedaan door een testscenario uit te voeren waarbij een openbaar IP-adres tijdelijk wordt aangemaakt en vervolgens wordt verwijderd, waarbij wordt gecontroleerd of de waarschuwing correct wordt gegenereerd en de notificaties worden verzonden naar de geconfigureerde actiegroep. Het is ook belangrijk om te documenteren welke resources worden bewaakt door deze waarschuwingsregel en welke procedures moeten worden gevolgd wanneer een waarschuwing wordt ontvangen. Deze documentatie moet worden opgenomen in het beveiligingsbeleid van de organisatie en regelmatig worden geüpdatet wanneer er wijzigingen worden aangebracht aan de configuratie.
Compliance en Auditing
Het implementeren van waarschuwingen voor het verwijderen van openbare IP-adressen is niet alleen een technische beveiligingsmaatregel, maar ook een essentiële compliance-vereiste voor Nederlandse overheidsorganisaties. Deze maatregel draagt direct bij aan het voldoen aan verschillende beveiligingsstandaarden en frameworks die verplicht zijn voor publieke sector organisaties. De CIS Microsoft Azure Foundations Benchmark, specifiek controle 5.2.9, vereist expliciet dat organisaties waarschuwingen configureren voor kritieke bewerkingen op netwerkresources, waaronder het verwijderen van openbare IP-adressen. Deze controle valt onder de categorie Logging and Monitoring en is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd. De CIS Benchmark benadrukt dat het monitoren van resourcewijzigingen essentieel is voor het detecteren van onbevoegde toegang, configuratiefouten en kwaadaardige activiteiten. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) eveneens van groot belang. BIO-controle 12.04 richt zich specifiek op monitoring en logging van beveiligingsgebeurtenissen. Deze controle vereist dat organisaties een adequaat monitoringsysteem hebben dat in staat is om kritieke gebeurtenissen te detecteren en te rapporteren, waaronder wijzigingen aan netwerkinfrastructuurcomponenten zoals openbare IP-adressen. Het monitoren van verwijderingen van openbare IP-adressen helpt organisaties te voldoen aan deze BIO-vereiste door te zorgen voor continue zichtbaarheid van wijzigingen in de netwerkinfrastructuur. Daarnaast draagt deze maatregel bij aan het voldoen aan ISO 27001-vereisten, met name controle A.12.4.1 die betrekking heeft op het loggen van gebeurtenissen en controle A.12.4.2 die betrekking heeft op het monitoren van beveiligingsgebeurtenissen. ISO 27001 vereist dat organisaties een uitgebreid logging- en monitoringsysteem hebben dat alle relevante beveiligingsgebeurtenissen vastlegt en analyseert. Het configureren van waarschuwingen voor het verwijderen van openbare IP-adressen vormt een belangrijk onderdeel van dit systeem. Voor auditdoeleinden is het belangrijk dat organisaties kunnen aantonen dat zij waarschuwingen hebben geconfigureerd en dat deze waarschuwingen daadwerkelijk functioneren. Auditors zullen tijdens compliance-audits controleren of de waarschuwingsregels correct zijn geconfigureerd, of er procedures zijn voor het reageren op waarschuwingen en of er documentatie beschikbaar is die aantoont dat de monitoring effectief is. Organisaties moeten daarom regelmatig testen uitvoeren om te verifiëren dat de waarschuwingen correct worden gegenereerd en dat de notificaties worden verzonden naar de juiste personen. Deze testresultaten moeten worden gedocumenteerd en beschikbaar zijn voor auditdoeleinden. Bovendien moeten organisaties kunnen aantonen dat zij procedures hebben voor het onderzoeken en oplossen van waarschuwingen, en dat er een escalatieproces is voor kritieke gebeurtenissen. Het is ook belangrijk dat de loggegevens die worden gebruikt voor de waarschuwingen worden bewaard voor de vereiste bewaartermijn, die voor Nederlandse overheidsorganisaties doorgaans minimaal zeven jaar bedraagt. Deze bewaartermijn is noodzakelijk voor compliance met verschillende wet- en regelgeving, waaronder de Archiefwet en de AVG. Organisaties moeten ervoor zorgen dat hun logging-infrastructuur voldoende capaciteit heeft om deze gegevens voor de volledige bewaartermijn op te slaan, en dat er procedures zijn voor het beveiligen van deze gegevens tegen ongeautoriseerde toegang, wijziging of verwijdering.
Monitoring
Gebruik PowerShell-script alert-public-ip-delete.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van waarschuwingen voor het verwijderen van openbare IP-adressen is een continu proces dat regelmatige aandacht vereist om ervoor te zorgen dat de beveiligingsmaatregel effectief blijft functioneren. Beheerders moeten periodiek controleren of de waarschuwingsregel nog steeds actief is en correct is geconfigureerd. Dit kan worden gedaan door het uitvoeren van het monitoring-script dat de status van de waarschuwingsregel verifieert en rapporteert over eventuele configuratiewijzigingen of problemen. Het monitoringproces omvat verschillende aspecten, waaronder het verifiëren van de actieve status van de waarschuwingsregel, het controleren van de geconfigureerde actiegroepen, het valideren van de notificatiekanalen en het analyseren van de historische waarschuwingsgegevens. Beheerders moeten regelmatig de Azure Monitor-dashboard bekijken om te zien of er waarschuwingen zijn gegenereerd en of deze correct zijn afgehandeld. Het is belangrijk om te controleren of de waarschuwingen daadwerkelijk worden ontvangen door de geconfigureerde ontvangers en of er geen technische problemen zijn die voorkomen dat waarschuwingen worden verzonden. Daarnaast moeten beheerders de Activity Log regelmatig controleren om te verifiëren dat alle verwijderingsacties op openbare IP-adressen correct worden geregistreerd. Als er verwijderingen plaatsvinden zonder dat er waarschuwingen worden gegenereerd, kan dit wijzen op een probleem met de configuratie van de waarschuwingsregel of met het Activity Log zelf. In dergelijke gevallen moeten beheerders onmiddellijk onderzoek doen naar de oorzaak van het probleem en corrigerende maatregelen nemen. Het is ook belangrijk om trends te analyseren in de waarschuwingsgegevens om te identificeren of er patronen zijn die kunnen wijzen op systematische problemen of beveiligingsincidenten. Bijvoorbeeld, als er een plotselinge toename is in het aantal verwijderingen van openbare IP-adressen, kan dit wijzen op een beveiligingsincident of een configuratiefout in geautomatiseerde processen. Beheerders moeten daarom regelmatig rapporten genereren over de waarschuwingsactiviteit en deze analyseren op afwijkende patronen. Voor Nederlandse overheidsorganisaties is het ook belangrijk om te zorgen voor continue beschikbaarheid van de monitoring-infrastructuur. Dit betekent dat er redundantie moet zijn in de notificatiesystemen en dat er procedures moeten zijn voor het handelen wanneer de primaire monitoring-infrastructuur niet beschikbaar is. Beheerders moeten regelmatig testen uitvoeren om te verifiëren dat de monitoring-infrastructuur correct functioneert en dat er geen single points of failure zijn die kunnen leiden tot het verlies van waarschuwingscapaciteit.
Remediatie
Gebruik PowerShell-script alert-public-ip-delete.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer een waarschuwing wordt ontvangen over het verwijderen van een openbaar IP-adres, moeten beveiligingsteams onmiddellijk actie ondernemen om de situatie te onderzoeken en, indien nodig, corrigerende maatregelen te nemen. Het remediatieproces begint met het verzamelen van informatie over de verwijderingsactie, waaronder de identiteit van de gebruiker of service principal die de actie heeft uitgevoerd, het tijdstip van de verwijdering, de naam en het IP-adres van de verwijderde resource, en de context waarin de verwijdering heeft plaatsgevonden. Deze informatie kan worden verkregen uit het Azure Activity Log en de waarschuwingsdetails. Een van de eerste stappen in het remediatieproces is het bepalen of de verwijdering legitiem was of dat deze wijst op een beveiligingsincident. Als de verwijdering legitiem was, bijvoorbeeld als onderdeel van een geplande onderhoudsactie of resource-opschoning, moet dit worden gedocumenteerd en kunnen de beveiligingsteams de waarschuwing als een false positive markeren. Echter, als de verwijdering onverwacht was of als er twijfel bestaat over de legitimiteit, moeten beveiligingsteams verder onderzoek doen. In het geval van een onbevoegde verwijdering of een beveiligingsincident, moeten beveiligingsteams onmiddellijk maatregelen nemen om verdere schade te voorkomen. Dit kan onder meer het blokkeren van de account of service principal die de verwijdering heeft uitgevoerd, het herstellen van het verwijderde openbare IP-adres indien mogelijk, en het onderzoeken van andere resources die mogelijk zijn aangetast. Het herstellen van een verwijderd openbaar IP-adres kan complex zijn, vooral als het IP-adres al is vrijgegeven en mogelijk is toegewezen aan een andere resource. In dergelijke gevallen moeten beveiligingsteams mogelijk een nieuw openbaar IP-adres aanmaken en de configuratie van de betrokken resources bijwerken om naar het nieuwe IP-adres te verwijzen. Het is belangrijk dat organisaties procedures hebben voor het snel herstellen van kritieke resources in het geval van onbevoegde verwijderingen. Deze procedures moeten worden getest en regelmatig worden geüpdatet om ervoor te zorgen dat ze effectief zijn. Na het oplossen van het incident moeten beveiligingsteams een post-incident review uitvoeren om te identificeren wat er is gebeurd, waarom het is gebeurd, en welke maatregelen kunnen worden genomen om vergelijkbare incidenten in de toekomst te voorkomen. Deze review moet worden gedocumenteerd en de bevindingen moeten worden gebruikt om de beveiligingsprocessen en -procedures te verbeteren. Het remediatiescript kan worden gebruikt om automatisch bepaalde corrigerende acties uit te voeren, zoals het opnieuw aanmaken van een verwijderd openbaar IP-adres of het configureren van aanvullende beveiligingsmaatregelen. Echter, het is belangrijk dat beveiligingsteams altijd menselijke beoordeling uitvoeren voordat automatische remediatie wordt toegepast, om te voorkomen dat legitieme acties worden teruggedraaid of dat er onbedoelde gevolgen optreden.
Compliance & Frameworks
- CIS M365: Control 5.2.9 (L1) - Waarschuwing voor verwijdering IP-adres
- BIO: 12.04 - Monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Alert Public IP Delete
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.8
Controleert alert voor public IP delete events.
.NOTES
Filename: alert-public-ip-delete.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.8
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Monitor
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Alert Public IP Delete"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$alerts = Get-AzActivityLogAlert -ErrorAction SilentlyContinue
$result = @{ TotalAlerts = $alerts.Count; PublicIPDeleteAlerts = 0 }
foreach ($alert in $alerts) {
$pipCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'resourceType' -and
$_.Equals -like '*Microsoft.Network/publicIPAddresses*'
}
$deleteCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'operationName' -and
$_.Equals -like '*delete*'
}
if ($pipCondition -and $deleteCondition) { $result.PublicIPDeleteAlerts++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Public IP Delete Alerts: $($r.PublicIPDeleteAlerts)" -ForegroundColor $(if ($r.PublicIPDeleteAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.PublicIPDeleteAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor publieke IP verwijderingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nPublic IP Delete Alerts: $($r.PublicIPDeleteAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Public IP Delete Alerts: $($r.PublicIPDeleteAlerts)" -ForegroundColor $(if ($r.PublicIPDeleteAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.PublicIPDeleteAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor publieke IP verwijderingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nPublic IP Delete Alerts: $($r.PublicIPDeleteAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Verwijderingen van openbare IP-adressen worden niet gemonitord, wat kan wijzen op serviceonderbrekingen door onbedoelde verwijderingen. Compliance: CIS 5.2.9. Het risico is medium - wijzigingsregistratie.
Management Samenvatting
Waarschuwing Verwijdering Openbaar IP-adres: Monitor verwijderingen van openbare IP-adressen (potentiële serviceonderbreking). Activatie: Monitor → Activity Log waarschuwing → Verwijdering openbaar IP-adres. Gratis. Aanbevolen CIS 5.2.9. Implementatie: 30 minuten. Registreert IP-adres verwijderingen.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE