💼 Management Samenvatting
Het monitoren van wijzigingen aan beveiligingsoplossingen in Azure vormt een kritieke beveiligingsmaatregel voor Nederlandse overheidsorganisaties. Deze controle waarborgt dat alle configuratiewijzigingen aan essentiële beveiligingsdiensten zoals Microsoft Defender, Azure Sentinel en Azure Security Center direct worden gedetecteerd en gemeld, waardoor ongeautoriseerde of onbedoelde wijzigingen tijdig kunnen worden geïdentificeerd en aangepakt.
Aanbeveling
IMPLEMENTEER BEVEILIGINGSWAARSCHUWINGEN VOOR BEVEILIGINGSOPLOSSINGEN
Risico zonder
High
Risk Score
7/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Beveiligingsoplossingen vormen de ruggengraat van de cloudbeveiliging binnen Azure-omgevingen. Wijzigingen aan de configuratie van deze oplossingen kunnen significante gevolgen hebben voor de algehele beveiligingspostuur van een organisatie. Zonder adequate monitoring kunnen kwaadwillende actoren of onbedoelde fouten leiden tot verzwakking van beveiligingscontroles, waardoor kwetsbaarheden ontstaan die kunnen worden uitgebuit. Voor Nederlandse overheidsorganisaties is het monitoren van dergelijke wijzigingen niet alleen een best practice, maar ook een verplichting onder verschillende compliance frameworks zoals de BIO-normen en CIS Benchmarks. Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Monitor
Connection:
Connect-AzAccountRequired Modules: Az.Monitor
Implementatie
Deze beveiligingscontrole implementeert een Activity Log Alert in Azure Monitor die automatisch waarschuwingen genereert wanneer er wijzigingen worden aangebracht aan beveiligingsoplossingen. Het systeem monitort specifiek wijzigingen aan resources van het type Microsoft.Security en Microsoft.OperationsManagement/solutions, wat onder meer Microsoft Defender for Cloud, Azure Sentinel, en andere beveiligingsoplossingen omvat. Wanneer een dergelijke wijziging wordt gedetecteerd, wordt direct een waarschuwing gegenereerd die kan worden doorgestuurd naar beveiligingsteams via e-mail, SMS, webhooks of geïntegreerde SIEM-systemen. Deze controle past de benodigde beveiligingsinstellingen toe via Azure Monitor en Azure Policy om systemen te beschermen volgens actuele beveiligingsframeworks zoals CIS Benchmarks, BIO en ISO 27001.
Vereisten
Voor de implementatie van deze beveiligingscontrole zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst moet de Azure Activity Log zijn ingeschakeld en geconfigureerd voor de betreffende abonnementen. De Activity Log vormt de basis voor alle monitoringactiviteiten en registreert automatisch alle beheeractiviteiten die worden uitgevoerd op Azure-resources. Zonder een actieve Activity Log kan deze controle niet functioneren, aangezien de alert regel afhankelijk is van de loggegevens die door dit systeem worden gegenereerd.
Daarnaast is toegang tot Azure Monitor vereist, inclusief de benodigde machtigingen voor het maken en beheren van Activity Log Alerts. Organisaties moeten beschikken over gebruikers met de rol van Monitoring Contributor of een aangepaste rol met specifieke machtigingen voor het beheren van alerts. Voor het uitvoeren van de implementatiescripts is bovendien de PowerShell-module Az.Monitor geïnstalleerd en geconfigureerd, evenals een geldige verbinding met het Azure-abonnement via Connect-AzAccount.
Organisatorisch gezien moeten beveiligingsteams beschikken over duidelijke procedures voor het reageren op waarschuwingen die door deze controle worden gegenereerd. Dit omvat het definiëren van escalatiepaden, het vaststellen van response-tijden, en het documenteren van geautoriseerde wijzigingen aan beveiligingsoplossingen. Bovendien moet er een duidelijk overzicht zijn van welke personen of teams gemachtigd zijn om wijzigingen aan te brengen aan beveiligingsoplossingen, zodat onbevoegde wijzigingen snel kunnen worden geïdentificeerd.
Voor de integratie met bestaande monitoring- en incident response-systemen kunnen aanvullende configuraties nodig zijn. Indien organisaties gebruik maken van een SIEM-systeem of een ticketing-systeem, moeten de benodigde webhooks of API-verbindingen worden geconfigureerd om waarschuwingen automatisch door te sturen naar deze systemen. Dit vereist doorgaans coördinatie tussen het beveiligingsteam, de IT-afdeling en eventuele externe leveranciers van monitoringoplossingen.
Implementatie
Gebruik PowerShell-script alert-security-solution-create-update.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van deze beveiligingscontrole begint met het voorbereiden van de Azure-omgeving en het verifiëren van alle vereisten. Het implementatiescript maakt gebruik van de Azure Monitor API om een Activity Log Alert regel te creëren die specifiek monitort op wijzigingen aan beveiligingsoplossingen. De alert regel wordt geconfigureerd om te reageren op activiteiten waarbij resources van het type Microsoft.Security of Microsoft.OperationsManagement/solutions worden aangemaakt, bijgewerkt of gewijzigd.
Tijdens de implementatie wordt een alert regel aangemaakt met de naam 'Security Solution Write Alert' die monitort op de specifieke activiteit 'security solution write'. Deze regel maakt gebruik van de Activity Log om alle relevante gebeurtenissen te detecteren en te categoriseren. Het script configureert automatisch de benodigde condities en filters om ervoor te zorgen dat alleen relevante wijzigingen worden gedetecteerd, waardoor valse positieven worden geminimaliseerd.
Na het aanmaken van de alert regel moet een Action Group worden geconfigureerd die bepaalt hoe en naar wie waarschuwingen worden verzonden. Dit kan onder meer e-mailnotificaties naar beveiligingsteams, SMS-berichten naar on-call medewerkers, of webhook-calls naar geïntegreerde systemen omvatten. Het is aan te raden om meerdere ontvangers te configureren om ervoor te zorgen dat waarschuwingen niet gemist worden, en om verschillende communicatiekanalen te gebruiken voor verschillende prioriteitsniveaus.
Na de technische implementatie moeten organisaties procedures ontwikkelen voor het beheren en onderhouden van deze controle. Dit omvat regelmatige verificatie dat de alert regel actief blijft, het controleren van de effectiviteit van de waarschuwingen, en het bijwerken van ontvangers en escalatiepaden indien nodig. Bovendien moeten organisaties een proces implementeren voor het documenteren van geautoriseerde wijzigingen, zodat beveiligingsteams onderscheid kunnen maken tussen legitieme en verdachte activiteiten.
Voor organisaties met meerdere Azure-abonnementen moet deze controle worden geïmplementeerd op elk abonnement waar beveiligingsoplossingen worden gebruikt. Het is aan te raden om Azure Policy te gebruiken om ervoor te zorgen dat de controle automatisch wordt toegepast op nieuwe abonnementen en dat bestaande configuraties compliant blijven. Dit kan worden bereikt door een aangepast Azure Policy-initiatief te ontwikkelen dat de aanwezigheid en correcte configuratie van de alert regel verifieert.
Compliance en Auditing
Deze beveiligingscontrole draagt direct bij aan de naleving van verschillende nationale en internationale beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Binnen het CIS Azure Foundations Benchmark framework wordt deze controle beschreven in control 5.2.6, die specifiek vereist dat organisaties alerts configureren voor wijzigingen aan beveiligingsoplossingen. Deze controle vormt een essentieel onderdeel van een uitgebreide monitoringstrategie en helpt organisaties te voldoen aan de vereisten voor proactieve bedreigingsdetectie en incident response.
Binnen de BIO-normen (Baseline Informatiebeveiliging Overheid) wordt deze controle geadresseerd in norm 12.04, die betrekking heeft op monitoring en logging van beveiligingsgebeurtenissen. Deze norm vereist dat organisaties adequate monitoringmechanismen implementeren om wijzigingen aan kritieke beveiligingscomponenten te detecteren en te loggen. De implementatie van deze controle helpt organisaties te demonstreren dat zij voldoen aan deze vereisten en beschikken over de benodigde capaciteiten om beveiligingsincidenten tijdig te detecteren en te reageren.
Voor ISO 27001-certificering draagt deze controle bij aan verschillende controleobjectieven, met name op het gebied van informatiebeveiligingsincidenten (A.16) en monitoring (A.12.4). De controle helpt organisaties te voldoen aan de vereisten voor het monitoren van beveiligingsgebeurtenissen en het detecteren van afwijkingen van beveiligingsbeleid. Bovendien ondersteunt het de vereisten voor incident management door tijdige detectie en melding van potentiële beveiligingsincidenten mogelijk te maken.
Tijdens audits en compliance-verificaties moeten organisaties kunnen aantonen dat deze controle actief is geïmplementeerd en functioneel is. Dit vereist documentatie van de alert regel configuratie, bewijs van actieve monitoring, en voorbeelden van waarschuwingen die zijn gegenereerd en afgehandeld. Organisaties moeten bovendien kunnen aantonen dat er procedures bestaan voor het reageren op waarschuwingen en dat deze procedures regelmatig worden getest en bijgewerkt. Auditlogboeken moeten worden bewaard voor een periode van minimaal zeven jaar, conform de Nederlandse archiefwetgeving, en moeten toegankelijk zijn voor geautoriseerde auditors en toezichthouders.
Voor organisaties die werken met gevoelige of geclassificeerde informatie kunnen aanvullende compliance-vereisten van toepassing zijn. Deze kunnen specifieke eisen bevatten met betrekking tot de frequentie van monitoring, de wijze van opslag van auditlogboeken, en de procedures voor het delen van beveiligingsinformatie met externe partijen. Het is belangrijk dat organisaties deze specifieke vereisten identificeren en ervoor zorgen dat de implementatie van deze controle hieraan voldoet, eventueel door aanvullende configuraties of integraties toe te voegen.
Monitoring
Gebruik PowerShell-script alert-security-solution-create-update.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de effectiviteit en functionaliteit van deze beveiligingscontrole is essentieel om ervoor te zorgen dat de controle blijft functioneren zoals bedoeld en dat beveiligingsteams tijdig worden geïnformeerd over relevante gebeurtenissen. Het monitoringproces omvat verschillende aspecten, waaronder de verificatie dat de alert regel actief is en correct is geconfigureerd, het controleren van de frequentie en kwaliteit van gegenereerde waarschuwingen, en het evalueren van de responsetijden en effectiviteit van incident response procedures.
Regelmatige verificatie van de alert regel configuratie moet worden uitgevoerd om ervoor te zorgen dat de regel nog steeds actief is en dat de condities en filters correct zijn geconfigureerd. Dit kan worden gedaan door het uitvoeren van het monitoring script, dat controleert of de alert regel bestaat en of deze de juiste condities bevat voor het detecteren van wijzigingen aan beveiligingsoplossingen. Het script genereert een rapport dat aangeeft hoeveel alert regels zijn geconfigureerd en of deze voldoen aan de vereisten.
Naast technische verificatie moeten organisaties ook de kwaliteit en relevantie van gegenereerde waarschuwingen monitoren. Dit omvat het analyseren van het aantal waarschuwingen dat wordt gegenereerd, het percentage valse positieven, en de tijd die nodig is om waarschuwingen te onderzoeken en af te handelen. Te veel valse positieven kunnen leiden tot alert fatigue, waarbij beveiligingsteams waarschuwingen gaan negeren, terwijl te weinig waarschuwingen kunnen duiden op een onvolledige configuratie of een probleem met de detectiecapaciteiten.
Het monitoren van response-tijden en incident afhandeling is eveneens belangrijk om de effectiviteit van de controle te evalueren. Organisaties moeten bijhouden hoe snel waarschuwingen worden opgepikt door beveiligingsteams, hoe lang het duurt voordat een incident wordt onderzocht, en wat de uitkomst is van incident response activiteiten. Deze metriek helpen organisaties te identificeren waar verbeteringen mogelijk zijn in hun beveiligingsprocessen en om te demonstreren aan stakeholders dat adequate beveiligingscontroles actief zijn.
Voor continue verbetering moeten organisaties regelmatig reviews uitvoeren van de monitoringresultaten en de effectiviteit van de controle evalueren. Dit kan worden gedaan door middel van maandelijkse of driemaandelijkse rapportages die de belangrijkste metriek en trends analyseren, en door het uitvoeren van periodieke tests waarbij geautoriseerde wijzigingen worden aangebracht om te verifiëren dat waarschuwingen correct worden gegenereerd en doorgestuurd. Op basis van deze reviews kunnen organisaties besluiten om de configuratie van de alert regel aan te passen, ontvangers bij te werken, of aanvullende monitoringmechanismen te implementeren.
Remediatie
Gebruik PowerShell-script alert-security-solution-create-update.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer tijdens monitoring wordt vastgesteld dat de beveiligingscontrole niet correct is geconfigureerd of niet actief is, moet onmiddellijk actie worden ondernomen om de situatie te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van het probleem, wat kan variëren van een ontbrekende alert regel tot een onjuiste configuratie of problemen met de onderliggende Azure Monitor service. Het remediatiescript kan worden gebruikt om automatisch de benodigde alert regel aan te maken of bij te werken, waardoor de controle snel kan worden hersteld.
In gevallen waarin de alert regel ontbreekt, zal het remediatiescript een nieuwe alert regel aanmaken met de correcte configuratie. Het script controleert eerst of er al een vergelijkbare alert regel bestaat en zal deze bijwerken indien nodig, of een nieuwe regel aanmaken als deze volledig ontbreekt. Tijdens dit proces worden alle benodigde condities en filters geconfigureerd om ervoor te zorgen dat de alert regel correct functioneert en alleen relevante gebeurtenissen detecteert.
Voor situaties waarin de alert regel bestaat maar niet correct is geconfigureerd, zal het script de bestaande configuratie bijwerken naar de gewenste staat. Dit kan onder meer het aanpassen van condities, het bijwerken van filters, of het wijzigen van de gekoppelde Action Group omvatten. Het is belangrijk dat organisaties na het uitvoeren van remediatie verificatie uitvoeren om te bevestigen dat de alert regel nu correct functioneert en waarschuwingen genereert zoals verwacht.
Na technische remediatie moeten organisaties ook evalueren of er organisatorische of procedurele problemen zijn die hebben bijgedragen aan het ontstaan van het probleem. Dit kan onder meer het identificeren van ontbrekende procedures voor het beheren van alert regels, het verbeteren van training voor beheerders, of het implementeren van aanvullende controles om te voorkomen dat vergelijkbare problemen in de toekomst optreden. Bovendien moeten organisaties documenteren wat er is gebeurd, welke acties zijn ondernomen, en welke maatregelen zijn genomen om herhaling te voorkomen.
In gevallen waarin de alert regel correct is geconfigureerd maar geen waarschuwingen genereert wanneer dit wel zou moeten, moet een diepgaandere analyse worden uitgevoerd. Dit kan duiden op problemen met de Activity Log, problemen met de onderliggende Azure Monitor service, of configuratiefouten die niet direct zichtbaar zijn. In dergelijke situaties moeten organisaties contact opnemen met Microsoft Support of hun cloudbeheerder om het probleem te diagnosticeren en op te lossen. Tijdens deze periode moeten organisaties overwegen om aanvullende monitoringmechanismen te implementeren om ervoor te zorgen dat kritieke beveiligingsgebeurtenissen niet onopgemerkt blijven.
Compliance & Frameworks
- CIS M365: Control 5.2.6 (L1) - Waarschuwing beveiligingsoplossing
- BIO: 12.04 - Monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Alert Security Solution Create Update
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.9
Controleert alert voor security solution create/update events.
.NOTES
Filename: alert-security-solution-create-update.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.9
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Monitor
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Alert Security Solution Create/Update"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$alerts = Get-AzActivityLogAlert -ErrorAction SilentlyContinue
$result = @{ TotalAlerts = $alerts.Count; SecurityAlerts = 0 }
foreach ($alert in $alerts) {
$securityCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'resourceType' -and
($_.Equals -like '*Microsoft.Security*' -or $_.Equals -like '*Microsoft.OperationsManagement/solutions*')
}
if ($securityCondition) { $result.SecurityAlerts++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Security Solution Alerts: $($r.SecurityAlerts)" -ForegroundColor $(if ($r.SecurityAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.SecurityAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor security solution wijzigingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nSecurity Solution Alerts: $($r.SecurityAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Security Solution Alerts: $($r.SecurityAlerts)" -ForegroundColor $(if ($r.SecurityAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.SecurityAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor security solution wijzigingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nSecurity Solution Alerts: $($r.SecurityAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Wijzigingen aan beveiligingsoplossingen worden niet gemonitord (Defender-abonnementen, Sentinel-configuraties). Ongeautoriseerde wijzigingen kunnen leiden tot verzwakte beveiliging. Naleving: CIS 5.2.6, BIO 12.04. Het risico is hoog - wijzigingen aan beveiligingsconfiguraties kunnen de algehele beveiligingspostuur significant beïnvloeden.
Management Samenvatting
Waarschuwing Beveiligingsoplossing Aanmaken/Bijwerken: Monitor wijzigingen aan beveiligingsoplossingen (Defender, Sentinel, Security Center). Detecteert configuratiewijzigingen. Activatie: Monitor → Activity Log alert → Beveiligingsoplossing schrijven. Gratis. Verplicht CIS 5.2.6, BIO 12.04. Implementatie: 30 minuten. Monitoring van beveiligingsconfiguraties.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE