💼 Management Samenvatting
Het doorsturen van NSG Flow Logs naar een Log Analytics Workspace met Traffic Analytics ingeschakeld biedt realtime netwerkverkeersanalyse en machine learning-gebaseerde anomaliedetectie bovenop de basis flow logging. Deze geavanceerde analysecapaciteit maakt het mogelijk om verdachte netwerkpatronen automatisch te detecteren die in ruwe flow logs onopgemerkt zouden blijven.
Aanbeveling
IMPLEMENTEER TRAFFIC ANALYTICS
Risico zonder
Medium
Risk Score
6/10
Implementatie
2u (tech: 2u)
Van toepassing op:
✓ Azure
NSG Flow Logs naar alleen een Storage Account bieden ruwe logging van netwerkverkeer in JSON-formaat, wat waardevolle forensische data is maar moeilijk te analyseren zonder gespecialiseerde tools en handmatige query-ontwikkeling. Traffic Analytics, dat een Log Analytics Workspace-integratie vereist, voegt cruciale capaciteiten toe die de beveiligingsmonitoring aanzienlijk verbeteren. Machine learning-gebaseerde anomaliedetectie identificeert automatisch ongebruikelijke verkeerspatronen zoals onverwachte geografische bronnen, abnormale verkeersvolumes, of potentiële command-and-control communicatiebeacons. Visuele dashboards in Azure Portal tonen top talkers, geografische verkeersstromen en protocolverdeling, waardoor beveiligingsteams snel inzicht krijgen in netwerkactiviteiten. Vooraf gebouwde KQL-queries voor veelvoorkomende beveiligingsscenario's, zoals 'toon al het geweigerde verkeer naar RDP-poort 3389' of 'lijst VMs met abnormaal uitgaand verkeer', versnellen incidentonderzoek aanzienlijk. Automatische waarschuwingen waarbij verdachte patronen waarschuwingen activeren zonder handmatige query-configuratie, en integratie met Microsoft Sentinel voor geavanceerde SIEM-gebaseerde bedreigingsdetectie en geautomatiseerde responsplaybooks maken proactieve beveiliging mogelijk. Zonder Traffic Analytics moeten beveiligingsteams handmatig door gigabytes aan ruwe JSON flow logs zoeken, wat praktisch onmogelijk is bij de urgentie van incidentonderzoek. Traffic Analytics transformeert deze ruwe data in bruikbare beveiligingsinformatie met automatische detectie van poortscanactiviteiten, data-exfiltratiepatronen, laterale beweging tussen VMs, malware command-and-control beaconing, en ongebruikelijk protocolgebruik. De machine learning-modellen leren normale baseline verkeerspatronen en waarschuwen bij afwijkingen, wat zero-day aanvalsdetectie mogelijk maakt die niet afhankelijk is van signatures. Voor volwassen security operations is Traffic Analytics essentieel voor het schalen van netwerkbeveiligingsmonitoring voorbij handmatige loganalyse.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Network
Implementatie
Deze maatregel configureert Traffic Analytics voor NSG Flow Logs door Log Analytics Workspace-integratie toe te voegen bovenop de basis flow logging naar Storage Account. De configuratie gebeurt in Azure Portal onder Network Watcher → NSG Flow Logs waarbij voor elke NSG met flow logging ingeschakeld Traffic Analytics moet worden ingeschakeld door de 'Enable Traffic Analytics' checkbox te selecteren, een Log Analytics Workspace te kiezen als bestemming, en het analyse-interval in te stellen op 10 minuten voor bijna realtime zichtbaarheid (60 minuten is een kostenbesparend alternatief). Na configuratie verzamelt Traffic Analytics flow log data uit het Storage Account, verwerkt deze via machine learning-algoritmes, en publiceert inzichten naar Log Analytics waar KQL-queries en dashboards beschikbaar komen. Visuele dashboards in Azure Portal tonen top talkers (welke VMs of IP-adressen genereren het meeste verkeer), geografische flow maps (visualisatie van verkeersbronnen en bestemmingen wereldwijd), protocolverdeling (TCP/UDP/ICMP uitsplitsing), en kwaadaardige IP-stromen (verkeer naar of van bekende slechte IP-adressen uit Microsoft threat intelligence). De implementatie kost 2 uur technisch werk bovenop de basis NSG Flow Logs-implementatie, heeft aanvullende kosten van €2-5 per NSG per maand voor Traffic Analytics-verwerking, en biedt aanzienlijk verbeterde netwerkzichtbaarheid. Dit wordt sterk aanbevolen voor productieomgevingen en voldoet aan CIS Azure Benchmark controle 5.1.6 Level 2 en BIO 12.04 geavanceerde monitoringvereisten.
Vereisten
Voor het succesvol implementeren van Traffic Analytics voor NSG Flow Logs zijn verschillende technische en organisatorische vereisten van essentieel belang. De primaire technische vereiste is dat NSG Flow Logs reeds moeten zijn ingeschakeld en geconfigureerd voor de betreffende Network Security Groups. Zonder actieve flow logging kan Traffic Analytics niet functioneren, aangezien het systeem afhankelijk is van de flow log data die wordt gegenereerd door de NSG's. Organisaties moeten daarom eerst de basis NSG Flow Logs-implementatie voltooien voordat zij Traffic Analytics kunnen activeren. Dit omvat het configureren van flow logging voor alle relevante NSG's, het instellen van een Storage Account voor het opslaan van ruwe flow log data, en het verifiëren dat flow logs daadwerkelijk worden gegenereerd en opgeslagen.
Een tweede kritische vereiste betreft de beschikbaarheid van een Log Analytics Workspace. Traffic Analytics vereist een Log Analytics Workspace als bestemming voor de verwerkte en geanalyseerde data. Dit workspace moet worden aangemaakt in dezelfde Azure-regio als de NSG's waarop Traffic Analytics wordt toegepast, of in een regio die voldoet aan de data residency-vereisten van de organisatie. Voor Nederlandse overheidsorganisaties is het belangrijk om te verifiëren dat het Log Analytics Workspace voldoet aan de vereisten voor gegevensopslag binnen de Europese Unie, conform de AVG en andere relevante regelgeving. Het workspace moet beschikken over voldoende capaciteit om de verwerkte flow log data op te slaan, en organisaties moeten rekening houden met de kosten voor data-opslag en query-uitvoering binnen Log Analytics.
Vanuit een beheersperspectief zijn specifieke Azure-rollen en machtigingen vereist voor het configureren van Traffic Analytics. Beheerders moeten beschikken over de rol Network Contributor of een aangepaste rol met machtigingen voor het beheren van NSG Flow Logs en Traffic Analytics-configuraties. Daarnaast zijn machtigingen vereist voor het configureren van Log Analytics Workspaces, inclusief het kunnen toewijzen van de benodigde service principals en het configureren van data collection settings. Voor het uitvoeren van de implementatiescripts is de PowerShell-module Az.Network geïnstalleerd en geconfigureerd, evenals een geldige verbinding met het Azure-abonnement via Connect-AzAccount.
Een belangrijke organisatorische vereiste betreft het begrijpen van de kostenimplicaties van Traffic Analytics. In tegenstelling tot basis NSG Flow Logs, die relatief goedkoop zijn, brengt Traffic Analytics aanvullende kosten met zich mee vanwege de machine learning-verwerking en data-opslag in Log Analytics. Organisaties moeten budgetteren voor kosten van ongeveer €2-5 per NSG per maand, afhankelijk van het volume van netwerkverkeer en de gekozen analyse-interval. Het is essentieel om deze kosten te begrijpen en te budgetteren voordat Traffic Analytics wordt geïmplementeerd, om te voorkomen dat onverwachte kosten ontstaan die het project kunnen beïnvloeden.
Voor de effectieve benutting van Traffic Analytics moeten beveiligingsteams beschikken over kennis en vaardigheden op het gebied van KQL (Kusto Query Language) voor het schrijven van aangepaste queries, het interpreteren van Traffic Analytics-dashboards, en het reageren op automatische waarschuwingen. Hoewel Traffic Analytics vooraf gebouwde queries en dashboards biedt, kunnen organisaties de waarde van de oplossing aanzienlijk vergroten door aangepaste queries te ontwikkelen die zijn afgestemd op hun specifieke beveiligingsvereisten en bedreigingslandschap. Training en documentatie moeten beschikbaar zijn voor beveiligingsteams om effectief gebruik te maken van alle beschikbare functionaliteiten.
Tot slot moeten organisaties beschikken over processen voor het integreren van Traffic Analytics-waarschuwingen en inzichten in hun bestaande security operations workflows. Dit kan onder meer het configureren van integraties met Microsoft Sentinel, het instellen van automatische waarschuwingen naar beveiligingsteams, en het ontwikkelen van response playbooks voor veelvoorkomende bedreigingsscenario's omvatten. Zonder adequate integratie en processen kan Traffic Analytics waardevolle inzichten genereren die echter niet effectief worden benut voor het verbeteren van de beveiligingspostuur van de organisatie.
Implementatie
Gebruik PowerShell-script nsg-flow-logs-log-analytics.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Traffic Analytics voor NSG Flow Logs begint met het voorbereiden van de Azure-omgeving en het verifiëren van alle vereisten. Het implementatiescript maakt gebruik van de Azure Network API om Traffic Analytics te configureren voor alle relevante NSG's. Het proces omvat het inschakelen van Traffic Analytics op flow logs, het selecteren van een Log Analytics Workspace als bestemming, en het configureren van het analyse-interval op 10 minuten voor bijna realtime zichtbaarheid.
Het eerste implementatiestap betreft het verifiëren dat NSG Flow Logs reeds zijn ingeschakeld en correct functioneren. Zonder actieve flow logging kan Traffic Analytics niet worden geconfigureerd, aangezien het systeem afhankelijk is van de flow log data die wordt gegenereerd. Het script controleert automatisch of flow logging is ingeschakeld voor de doel-NSG's en genereert een foutmelding indien dit niet het geval is. Organisaties moeten eerst de basis NSG Flow Logs-implementatie voltooien voordat zij Traffic Analytics kunnen activeren.
Na verificatie van flow logging moet een Log Analytics Workspace worden geselecteerd of aangemaakt als bestemming voor de verwerkte Traffic Analytics-data. Het workspace moet worden aangemaakt in een Azure-regio die voldoet aan de data residency-vereisten van de organisatie. Voor Nederlandse overheidsorganisaties is dit doorgaans een regio binnen de Europese Unie. Het script kan worden geconfigureerd om automatisch een nieuw workspace aan te maken indien dit nog niet bestaat, of om een bestaand workspace te gebruiken. Het is belangrijk om te verifiëren dat het workspace voldoende capaciteit heeft om de verwachte hoeveelheid verwerkte flow log data op te slaan.
Het configureren van het analyse-interval is een belangrijke beslissing die de balans bepaalt tussen zichtbaarheid en kosten. Een interval van 10 minuten biedt bijna realtime zichtbaarheid in netwerkactiviteiten en maakt snelle detectie van bedreigingen mogelijk, maar genereert meer kosten vanwege de frequentere verwerking. Een interval van 60 minuten is een kostenbesparend alternatief dat nog steeds voldoende zichtbaarheid biedt voor de meeste beveiligingsscenario's. Het script configureert standaard een interval van 10 minuten, maar dit kan worden aangepast op basis van de specifieke behoeften en budgettaire overwegingen van de organisatie.
Na de technische configuratie moet Traffic Analytics tijd krijgen om baseline verkeerspatronen te leren voordat het systeem effectief kan detecteren. Dit leerproces duurt doorgaans 24-48 uur, gedurende welke periode het systeem normale netwerkactiviteiten analyseert en baseline patronen vaststelt. Na deze periode begint Traffic Analytics met het identificeren van afwijkingen en het genereren van waarschuwingen voor verdachte activiteiten. Organisaties moeten rekening houden met deze opwarmperiode bij het plannen van de implementatie en moeten niet verwachten dat het systeem onmiddellijk na configuratie volledig operationeel is.
Voor organisaties met meerdere NSG's verspreid over verschillende abonnementen of resourcegroepen moet Traffic Analytics worden geconfigureerd voor elk NSG afzonderlijk. Het implementatiescript kan worden uitgevoerd voor meerdere NSG's tegelijk, maar organisaties moeten ervoor zorgen dat alle relevante NSG's worden geconfigureerd om een compleet beeld te krijgen van netwerkactiviteiten. Het is aan te raden om een inventarisatie te maken van alle NSG's in de omgeving voordat de implementatie begint, om te verifiëren dat geen NSG's worden overgeslagen.
Na de initiële implementatie moeten organisaties procedures ontwikkelen voor het beheren en onderhouden van Traffic Analytics-configuraties. Dit omvat regelmatige verificatie dat Traffic Analytics actief blijft voor alle geconfigureerde NSG's, het controleren van de effectiviteit van waarschuwingen, en het bijwerken van configuraties indien nodig. Bovendien moeten organisaties een proces implementeren voor het monitoren van kosten en het optimaliseren van configuraties om onnodige uitgaven te voorkomen. Het is aan te raden om maandelijks een review uit te voeren van Traffic Analytics-configuraties en kosten om te verifiëren dat de implementatie nog steeds voldoet aan de behoeften van de organisatie.
Compliance en Auditing
De implementatie van Traffic Analytics voor NSG Flow Logs draagt significant bij aan de naleving van verschillende belangrijke compliance frameworks en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties. Deze geavanceerde monitoringoplossing voldoet aan specifieke eisen binnen meerdere erkende frameworks en helpt organisaties om te voldoen aan hun verplichtingen op het gebied van netwerkbeveiligingsmonitoring en bedreigingsdetectie.
Binnen het CIS Microsoft Azure Foundations Benchmark framework valt deze controle onder controle 5.1.6, die specifiek vereist dat organisaties geavanceerde netwerkmonitoring implementeren met Traffic Analytics. Deze controle valt onder niveau L2 (Level 2), wat betekent dat het wordt aanbevolen voor organisaties die een hoger beveiligingsniveau willen bereiken. De CIS Benchmark is wereldwijd erkend als een beste praktijk framework voor cloud security, en naleving van deze controle is essentieel voor organisaties die hun Azure-omgeving willen beveiligen volgens industrie-standaarden. Traffic Analytics biedt de geavanceerde monitoringcapaciteiten die vereist zijn om te voldoen aan deze CIS-vereiste.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang, en deze controle sluit aan bij BIO 12.04 dat betrekking heeft op monitoring en logging van beveiligingsgebeurtenissen. Deze norm vereist dat organisaties adequate monitoringmechanismen implementeren om netwerkactiviteiten te detecteren en te loggen, met specifieke aandacht voor geavanceerde monitoring die verder gaat dan basis logging. Traffic Analytics implementeert deze BIO-vereiste door geavanceerde machine learning-gebaseerde monitoring te bieden die verdachte netwerkpatronen automatisch detecteert en waarschuwt, wat verder gaat dan de basis flow logging die alleen ruwe data verzamelt.
De internationale ISO 27001 standaard voor informatiebeveiligingsmanagement bevat verschillende controles die relevant zijn voor Traffic Analytics, met name op het gebied van monitoring (A.12.4) en netwerkbeveiliging (A.13.1). Deze controles vereisen dat organisaties passende maatregelen treffen om netwerkactiviteiten te monitoren en bedreigingen te detecteren. Traffic Analytics draagt hieraan bij door geavanceerde monitoring en automatische bedreigingsdetectie te bieden die verder gaat dan basis logging. Voor organisaties die ISO 27001 certificering nastreven of behouden, is deze controle een belangrijke component van het informatiebeveiligingsmanagementsysteem.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat zij Traffic Analytics hebben geïmplementeerd en dat het systeem actief monitort op netwerkbedreigingen. Dit vereist regelmatige monitoring en documentatie van de compliance status. Audit evidence moet omvatten: configuratiebewijs van Traffic Analytics voor alle relevante NSG's, voorbeelden van gegenereerde waarschuwingen en hoe deze zijn afgehandeld, en bewijs van monitoring en remediatie-activiteiten wanneer bedreigingen worden gedetecteerd. Organisaties moeten bovendien kunnen aantonen dat er procedures bestaan voor het reageren op Traffic Analytics-waarschuwingen en dat deze procedures regelmatig worden getest en bijgewerkt.
Naast deze specifieke compliance-vereisten draagt Traffic Analytics ook bij aan algemene beveiligingsverplichtingen onder de NIS2 richtlijn, die van toepassing is op essentiële en belangrijke entiteiten binnen de Europese Unie. De NIS2 richtlijn vereist dat organisaties passende technische en organisatorische maatregelen treffen om de beveiliging van netwerk- en informatiesystemen te waarborgen, inclusief geavanceerde monitoring en bedreigingsdetectie. Traffic Analytics is een concrete implementatie van dergelijke maatregelen en helpt organisaties om te voldoen aan de NIS2 vereisten voor netwerkbeveiligingsmonitoring.
Voor Nederlandse overheidsorganisaties is het belangrijk om te begrijpen dat compliance met deze frameworks niet alleen een technische oefening is, maar ook een organisatorische verplichting. Dit betekent dat organisaties niet alleen Traffic Analytics moeten implementeren, maar ook moeten kunnen aantonen dat zij processen hebben voor het beheren van monitoring, dat zij regelmatig monitoren op compliance, en dat zij actie ondernemen wanneer bedreigingen worden gedetecteerd. Deze holistische aanpak is essentieel voor succesvolle compliance en voor het behalen van certificeringen zoals ISO 27001 of het voldoen aan BIO-audits.
Monitoring
Gebruik PowerShell-script nsg-flow-logs-log-analytics.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van Traffic Analytics-configuraties is essentieel om te waarborgen dat de oplossing blijft functioneren zoals bedoeld en dat beveiligingsteams tijdig worden geïnformeerd over relevante netwerkbedreigingen. Het monitoringproces omvat verschillende aspecten, waaronder de verificatie dat Traffic Analytics actief is en correct is geconfigureerd voor alle relevante NSG's, het controleren van de kwaliteit en relevantie van gegenereerde waarschuwingen, en het evalueren van de effectiviteit van de bedreigingsdetectie.
Regelmatige verificatie van de Traffic Analytics-configuratie moet worden uitgevoerd om ervoor te zorgen dat de oplossing nog steeds actief is en dat alle instellingen correct zijn geconfigureerd. Dit kan worden gedaan door het uitvoeren van het monitoring script, dat controleert of Traffic Analytics is ingeschakeld voor alle geconfigureerde NSG's en of de configuratie overeenkomt met de gewenste instellingen. Het script genereert een rapport dat aangeeft hoeveel NSG's Traffic Analytics hebben ingeschakeld en of deze voldoen aan de vereisten. Eventuele afwijkingen worden geïdentificeerd en gerapporteerd voor verdere actie.
Naast technische verificatie moeten organisaties ook de kwaliteit en relevantie van gegenereerde waarschuwingen monitoren. Dit omvat het analyseren van het aantal waarschuwingen dat wordt gegenereerd, het percentage valse positieven, en de tijd die nodig is om waarschuwingen te onderzoeken en af te handelen. Te veel valse positieven kunnen leiden tot alert fatigue, waarbij beveiligingsteams waarschuwingen gaan negeren, terwijl te weinig waarschuwingen kunnen duiden op een onvolledige configuratie of een probleem met de detectiecapaciteiten. Het is belangrijk om regelmatig de effectiviteit van waarschuwingen te evalueren en configuraties aan te passen indien nodig.
Het monitoren van Traffic Analytics-dashboards biedt waardevolle inzichten in netwerkactiviteiten en trends. Organisaties moeten regelmatig de beschikbare dashboards reviewen, waaronder top talkers, geografische flow maps, protocolverdeling, en kwaadaardige IP-stromen. Deze dashboards helpen beveiligingsteams om patronen te identificeren, trends te analyseren, en potentiële bedreigingen proactief te detecteren voordat ze escaleren tot volledige incidenten. Het is aan te raden om wekelijks of maandelijks een review uit te voeren van Traffic Analytics-dashboards om inzicht te behouden in netwerkactiviteiten.
Voor continue verbetering moeten organisaties regelmatig reviews uitvoeren van de monitoringresultaten en de effectiviteit van Traffic Analytics evalueren. Dit kan worden gedaan door middel van maandelijkse of driemaandelijkse rapportages die de belangrijkste metriek en trends analyseren, en door het uitvoeren van periodieke tests waarbij bekende bedreigingsscenario's worden gesimuleerd om te verifiëren dat Traffic Analytics deze correct detecteert. Op basis van deze reviews kunnen organisaties besluiten om configuraties aan te passen, waarschuwingsdrempels bij te werken, of aanvullende monitoringmechanismen te implementeren.
Een belangrijk aspect van monitoring betreft het verzamelen en analyseren van compliance rapportages die aantonen dat Traffic Analytics correct is geconfigureerd en blijft functioneren zoals bedoeld. Deze rapportages moeten regelmatig worden gegenereerd en geanalyseerd door IT-beheerders en security officers om inzicht te behouden in de nalevingsstatus van de organisatie. Rapportages moeten informatie bevatten over het aantal NSG's waarop Traffic Analytics is ingeschakeld, het aantal gedetecteerde bedreigingen, en de resultaten van functionele tests. Deze informatie helpt organisaties om proactief problemen te identificeren en op te lossen voordat ze een bredere impact hebben op de beveiligingspostuur van de organisatie.
Tot slot moet monitoring ook aandacht besteden aan kostenoptimalisatie. Traffic Analytics genereert kosten voor data-opslag en verwerking in Log Analytics, en organisaties moeten regelmatig monitoren of deze kosten binnen het budget blijven. Dit kan worden gedaan door het analyseren van kostenrapporten in Azure Cost Management, het identificeren van mogelijkheden om kosten te optimaliseren (bijvoorbeeld door het aanpassen van het analyse-interval of het beperken van de hoeveelheid opgeslagen data), en het evalueren van de return on investment van Traffic Analytics op basis van de gedetecteerde bedreigingen en verbeterde beveiligingspostuur.
Remediatie
Gebruik PowerShell-script nsg-flow-logs-log-analytics.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer tijdens monitoring wordt vastgesteld dat Traffic Analytics niet correct is geconfigureerd of niet actief is voor bepaalde NSG's, moet onmiddellijk actie worden ondernomen om de situatie te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van het probleem, wat kan variëren van een ontbrekende Traffic Analytics-configuratie tot een onjuiste instelling of problemen met de onderliggende NSG Flow Logs-service. Het remediatiescript kan worden gebruikt om automatisch Traffic Analytics te configureren voor NSG's waar dit ontbreekt, waardoor de controle snel kan worden hersteld.
In gevallen waarin Traffic Analytics ontbreekt voor bepaalde NSG's, zal het remediatiescript automatisch de benodigde configuratie toepassen. Het script controleert eerst of NSG Flow Logs zijn ingeschakeld, aangezien dit een vereiste is voor Traffic Analytics. Indien flow logging ontbreekt, zal het script eerst deze configuratie toepassen voordat Traffic Analytics wordt geconfigureerd. Vervolgens wordt Traffic Analytics ingeschakeld met de juiste instellingen, inclusief de selectie van het Log Analytics Workspace en het configureren van het analyse-interval. Tijdens dit proces worden alle benodigde instellingen geconfigureerd om ervoor te zorgen dat Traffic Analytics correct functioneert.
Voor situaties waarin Traffic Analytics bestaat maar niet correct is geconfigureerd, zal het script de bestaande configuratie bijwerken naar de gewenste staat. Dit kan onder meer het aanpassen van het analyse-interval, het bijwerken van het Log Analytics Workspace, of het wijzigen van andere configuratie-instellingen omvatten. Het is belangrijk dat organisaties na het uitvoeren van remediatie verificatie uitvoeren om te bevestigen dat Traffic Analytics nu correct functioneert en waarschuwingen genereert zoals verwacht. Dit kan worden gedaan door het uitvoeren van het monitoring script en het controleren van Traffic Analytics-dashboards.
Na technische remediatie moeten organisaties ook evalueren of er organisatorische of procedurele problemen zijn die hebben bijgedragen aan het ontstaan van het probleem. Dit kan onder meer het identificeren van ontbrekende procedures voor het beheren van Traffic Analytics-configuraties, het verbeteren van training voor beheerders, of het implementeren van aanvullende controles om te voorkomen dat vergelijkbare problemen in de toekomst optreden. Bovendien moeten organisaties documenteren wat er is gebeurd, welke acties zijn ondernomen, en welke maatregelen zijn genomen om herhaling te voorkomen.
In gevallen waarin Traffic Analytics correct is geconfigureerd maar geen waarschuwingen genereert wanneer dit wel zou moeten, moet een diepgaandere analyse worden uitgevoerd. Dit kan duiden op problemen met de NSG Flow Logs, problemen met de onderliggende Log Analytics-service, of configuratiefouten die niet direct zichtbaar zijn. In dergelijke situaties moeten organisaties contact opnemen met Microsoft Support of hun cloudbeheerder om het probleem te diagnosticeren en op te lossen. Tijdens deze periode moeten organisaties overwegen om aanvullende monitoringmechanismen te implementeren om ervoor te zorgen dat kritieke netwerkbedreigingen niet onopgemerkt blijven.
Voor organisaties met meerdere NSG's verspreid over verschillende abonnementen of resourcegroepen kan remediatie een complex proces zijn. In dergelijke gevallen is het aan te raden om remediatie gefaseerd uit te voeren, te beginnen met de meest kritieke NSG's (bijvoorbeeld NSG's die worden gebruikt voor productieomgevingen of kritieke applicaties) en vervolgens geleidelijk uit te breiden naar minder kritieke NSG's. Deze gefaseerde aanpak minimaliseert het risico van operationele problemen en geeft organisaties de tijd om configuraties te verifiëren terwijl remediatie wordt uitgevoerd.
Tot slot moet remediatie worden gedocumenteerd voor auditdoeleinden. Organisaties moeten bijhouden welke NSG's zijn bijgewerkt, wanneer Traffic Analytics is geconfigureerd, en welke instellingen zijn gebruikt. Deze documentatie is essentieel voor het aantonen van compliance met beveiligingsstandaarden en voor het verifiëren dat remediatie correct is uitgevoerd. Het remediatiescript kan automatisch deze documentatie genereren, wat het proces vereenvoudigt en zorgt voor consistente rapportage. Bovendien moeten organisaties regelmatig reviews uitvoeren van remediatie-activiteiten om patronen te identificeren en processen te verbeteren voor toekomstige remediatie-acties.
Compliance & Frameworks
- CIS M365: Control 5.1.6 (L2) - Flow logt LAW
- BIO: 12.04 - Network monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
NSG Flow Logs Log Analytics
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.28
Controleert of NSG flow logs naar Log Analytics worden gestuurd.
.NOTES
Filename: nsg-flow-logs-log-analytics.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.28
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "NSG Flow Logs Log Analytics"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue
$result = @{ TotalFlowLogs = 0; WithLogAnalytics = 0 }
foreach ($watcher in $networkWatchers) {
$flowLogs = Get-AzNetworkWatcherFlowLog -NetworkWatcher $watcher -ErrorAction SilentlyContinue
foreach ($log in $flowLogs) {
$result.TotalFlowLogs++
if ($log.FlowAnalyticsConfiguration.NetworkWatcherFlowAnalyticsConfiguration.WorkspaceId) {
$result.WithLogAnalytics++
}
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Flow Logs: $($r.TotalFlowLogs)" -ForegroundColor White
Write-Host "With Log Analytics: $($r.WithLogAnalytics)" -ForegroundColor $(if ($r.WithLogAnalytics -eq $r.TotalFlowLogs) { 'Green' } else { 'Yellow' })
if ($r.WithLogAnalytics -lt $r.TotalFlowLogs) {
Write-Host "`n⚠️ Configureer Log Analytics voor alle flow logs" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nFlow Logs → Log Analytics: $($r.WithLogAnalytics)/$($r.TotalFlowLogs)"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Flow Logs: $($r.TotalFlowLogs)" -ForegroundColor White
Write-Host "With Log Analytics: $($r.WithLogAnalytics)" -ForegroundColor $(if ($r.WithLogAnalytics -eq $r.TotalFlowLogs) { 'Green' } else { 'Yellow' })
if ($r.WithLogAnalytics -lt $r.TotalFlowLogs) {
Write-Host "`n⚠️ Configureer Log Analytics voor alle flow logs" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nFlow Logs → Log Analytics: $($r.WithLogAnalytics)/$($r.TotalFlowLogs)"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: NSG Flow Logs naar alleen Storage Account vereist handmatige analyse. Traffic Analytics voegt machine learning-gebaseerde anomaliedetectie en visualisatie toe. Naleving: CIS 5.1.6. Het risico is gemiddeld - analytics capaciteit.
Management Samenvatting
NSG Flow Logs Log Analytics (Traffic Analytics): Verbeterde flow log analyse met machine learning-gebaseerde anomaliedetectie, geografische mapping, top talkers, en kwaadaardige IP-detectie. Activatie: NSG Flow Logs → Enable Traffic Analytics → Selecteer Log Analytics Workspace. Kosten: €10-50 per maand extra. Verplicht CIS 5.1.6. Implementatie: 2 uur. Geavanceerde netwerkanalyse.
- Implementatietijd: 2 uur
- FTE required: 0.05 FTE