💼 Management Samenvatting
Deze beveiligingsregeling waarborgt de correcte configuratie van Traffic Analytics en beschermt tegen beveiligingsrisico's door geavanceerde netwerkmonitoring.
Aanbeveling
IMPLEMENTEER - Traffic Analytics moet worden ingeschakeld voor alle productie NSG's om geavanceerde netwerkverkeeranalyse te realiseren. Zie nsg-flow-logs-log-analytics.json voor gerelateerde configuratie.
Risico zonder
Medium
Risk Score
6/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure
Traffic Analytics biedt diepgaande inzichten in netwerkverkeer en detectie van beveiligingsdreigingen door middel van machine learning analyse. Zonder deze functionaliteit zijn organisaties afhankelijk van handmatige analyse van flow logs, wat tijdrovend is en kritieke bedreigingen kan missen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Traffic Analytics activeert geavanceerde netwerkverkeeranalyse op Network Security Group (NSG) Flow Logs. Deze functionaliteit maakt automatische detectie van afwijkend verkeer mogelijk, biedt visualisatie van netwerktopologieën en identificeert potentiële beveiligingsdreigingen door middel van machine learning analyse. Het systeem analyseert continu netwerkverkeerpatronen en genereert inzichten die security teams helpen om proactief te reageren op bedreigingen voordat deze kritiek worden.
Vereisten
Voor het succesvol implementeren en gebruiken van Traffic Analytics zijn specifieke Azure-services en configuraties vereist die samenwerken om een krachtige netwerkmonitoring oplossing te creëren. Deze vereisten vormen de fundamentele bouwstenen die Traffic Analytics in staat stellen om netwerkverkeer te analyseren en waardevolle inzichten te genereren die essentieel zijn voor moderne cloudbeveiliging. Organisaties moeten ervoor zorgen dat aan alle vereisten wordt voldaan voordat Traffic Analytics wordt ingeschakeld, om een naadloze werking en betrouwbare resultaten te garanderen. Het negeren van deze vereisten kan leiden tot onvolledige gegevens, onbetrouwbare analyses of volledige functionaliteitsuitval. Het is daarom van cruciaal belang om vooraf een grondige inventarisatie uit te voeren van alle benodigde componenten en configuraties voordat met de implementatie wordt begonnen.
De primaire vereiste voor Traffic Analytics is het hebben van Network Security Group (NSG) Flow Logs die actief zijn ingeschakeld en correct geconfigureerd. Deze flow logs verzamelen gedetailleerde informatie over IP-verkeer dat door netwerkbeveiligingsgroepen stroomt, inclusief bron- en bestemmingsadressen, poorten, protocollen en verbindingsstatussen. Zonder deze logs heeft Traffic Analytics geen bronmateriaal om te analyseren, waardoor de gehele functionaliteit nutteloos wordt. Flow logs vormen de ruwe data waarop alle Traffic Analytics analyses zijn gebaseerd. Deze logs worden opgeslagen in een Azure Storage Account en vormen de basis voor alle Traffic Analytics functionaliteit. Het is belangrijk om te begrijpen dat Traffic Analytics niet direct NSG's monitort, maar de flow logs die door deze NSG's worden gegenereerd. Daarom moet de configuratie van NSG Flow Logs als eerste worden aangepakt voordat Traffic Analytics kan worden geïmplementeerd.
Daarnaast is een Log Analytics Workspace verplicht en moet dit correct zijn geconfigureerd voordat Traffic Analytics kan worden ingeschakeld. Dit is de centrale locatie waar Traffic Analytics de verwerkte en geaggregeerde gegevens opslaat na analyse van de ruwe flow logs. Het Log Analytics Workspace dient als de opslaglocatie voor de resultaten van de machine learning analyses die Traffic Analytics uitvoert, inclusief anomaliedetectie, verkeersvisualisaties en beveiligingsinzichten. Organisaties kunnen via dit workspace toegang krijgen tot gedetailleerde rapporten, visualisaties en waarschuwingen over netwerkverkeerpatronen die helpen bij het identificeren van potentiële bedreigingen en het optimaliseren van netwerkconfiguraties. Het is essentieel dat het Log Analytics Workspace correct is geconfigureerd met de juiste rechten, retentie-instellingen en gegevensarchitectuur om te voldoen aan compliance-eisen zoals de BIO-normen en ISO 27001. Organisaties moeten zorgvuldig nadenken over de retentieperiode, omdat dit directe invloed heeft op zowel kosten als compliance. Langere retentieperioden bieden meer historische context voor analyses maar verhogen de opslagkosten aanzienlijk.
Een aanvullende belangrijke vereiste betreft de netwerkbeveiligingsgroepen zelf die moeten worden gemonitord. Deze moeten actief zijn en daadwerkelijk verkeer verwerken, omdat NSG's zonder verkeer geen relevante flow logs genereren. Organisaties moeten ervoor zorgen dat NSG Flow Logs correct zijn ingeschakeld voor alle relevante netwerkbeveiligingsgroepen en dat de logs daadwerkelijk worden gegenereerd en opgeslagen. Dit vereist vaak nauwe coördinatie tussen netwerkteams en security teams om ervoor te zorgen dat alle relevante NSG's worden gemonitord, inclusief zowel productie- als ontwikkelomgevingen waar nodig. Bovendien moet voldoende opslagcapaciteit beschikbaar zijn voor zowel de ruwe flow logs in het Storage Account als de verwerkte Traffic Analytics gegevens in het Log Analytics Workspace. Organisaties moeten regelmatig de opslagcapaciteit monitoren en waarschuwingsmechanismen instellen om te voorkomen dat de capaciteit onverwacht wordt overschreden, wat kan leiden tot het stoppen van logverzameling en het verlies van kritieke beveiligingsinzichten.
Ten slotte vereist Traffic Analytics specifieke Azure-rollen en machtigingen die correct moeten worden toegewezen aan de gebruikte service principal of gebruikersaccount. Organisaties moeten ervoor zorgen dat de identiteit die wordt gebruikt om Traffic Analytics in te schakelen en te configureren beschikt over de benodigde rechten om zowel netwerkconfiguraties als log analytics workspace resources te beheren. Dit omvat typisch rechten zoals Network Contributor voor het beheren van NSG-configuraties en Log Analytics Contributor voor het beheren van workspace-resources en het opslaan van geanalyseerde gegevens. Het is belangrijk om deze machtigingen te documenteren en regelmatig te controleren in het kader van het principe van minimale rechtenverlening, wat essentieel is voor een veilige cloudomgeving volgens Nederlandse baseline richtlijnen. Organisaties moeten ook overwegen om specifieke aangepaste rollen te creëren die alleen de minimale benodigde machtigingen bevatten voor Traffic Analytics, in plaats van gebruik te maken van brede ingebouwde rollen die mogelijk meer rechten verlenen dan strikt noodzakelijk is.
Monitoring
Gebruik PowerShell-script traffic-analytics-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de Traffic Analytics status is een kritieke activiteit voor organisaties die gebruikmaken van Azure-netwerkbeveiliging om ervoor te zorgen dat de implementatie correct functioneert en continue beveiligingsinzichten levert. Regelmatige controle zorgt ervoor dat Traffic Analytics correct functioneert en dat organisaties de voordelen van geavanceerde netwerkverkeeranalyse blijven ontvangen, wat essentieel is voor het detecteren van bedreigingen en het reageren op beveiligingsincidenten. Zonder adequate monitoring kunnen configuratiewijzigingen, serviceonderbrekingen of andere problemen onopgemerkt blijven, waardoor de effectiviteit van de netwerkbeveiliging wordt aangetast en organisaties mogelijk kwetsbaar worden voor aanvallen die anders zouden zijn gedetecteerd. Effectieve monitoring van Traffic Analytics is daarom geen optionele activiteit maar een fundamenteel onderdeel van een robuuste cloudbeveiligingsstrategie. Organisaties die Traffic Analytics implementeren zonder passende monitoring lopen het risico dat zij denken dat zij beschermd zijn, terwijl de functionaliteit in werkelijkheid niet correct functioneert of is uitgeschakeld.
Traffic Analytics status monitoring omvat verschillende aspecten die allemaal aandacht vereisen om een volledig beeld te krijgen van de gezondheid en effectiviteit van de implementatie. Allereerst moet worden gecontroleerd of Traffic Analytics daadwerkelijk is ingeschakeld voor alle relevante Network Security Groups die binnen de scope van de organisatie vallen. Dit omvat zowel productie-omgevingen als kritieke ontwikkel- en testomgevingen waar beveiligingsmonitoring van belang is. Deze controle kan worden uitgevoerd via de Azure Portal, waar de status van Traffic Analytics per NSG zichtbaar is in een overzichtelijke interface, of via PowerShell scripts die programmatisch de configuratie controleren en gerapporteerde resultaten genereren. Het is belangrijk om te verifiëren dat niet alleen de Traffic Analytics functionaliteit is ingeschakeld, maar ook dat de gegevens daadwerkelijk worden verzameld, verwerkt en beschikbaar zijn voor analyse. Organisaties moeten regelmatig controleren of de configuratie consistent blijft en of er geen onbedoelde wijzigingen zijn aangebracht die de functionaliteit kunnen verstoren.
Daarnaast moet worden gemonitord of Traffic Analytics gegevens correct worden gegenereerd en opgeslagen in het Log Analytics Workspace volgens de verwachte patronen en frequenties. Organisaties moeten controleren of er regelmatig nieuwe gegevens binnenkomen en of de verwerkingsintervallen worden gerespecteerd, wat aangeeft dat de service correct functioneert en de flow logs zoals verwacht worden verwerkt. Traffic Analytics verwerkt flow log gegevens typisch met een vertraging van enkele uren vanwege de complexiteit van de analyse en aggregatieprocessen, maar bij langere onderbrekingen van meerdere dagen kan dit wijzen op configuratieproblemen, serviceonderbrekingen of problemen met de onderliggende flow log configuratie. Monitoring moet ook aandacht besteden aan de kwaliteit van de gegenereerde inzichten en rapporten om te verifiëren dat de analyses betekenisvolle informatie leveren die bruikbaar is voor beveiligingsdoeleinden. Organisaties moeten regelmatig de Traffic Analytics dashboards en rapporten bekijken om te beoordelen of de gegenereerde inzichten logisch en relevant zijn voor hun specifieke netwerkomgeving.
Een ander belangrijk monitoringaspect betreft de prestaties en kosten van Traffic Analytics die regelmatig moeten worden geëvalueerd om te zorgen voor optimale waarde en efficiënt gebruik van Azure resources. Organisaties moeten bijhouden hoeveel gegevens er worden verwerkt, wat de impact is op de Log Analytics Workspace kosten, en of de service binnen de verwachte prestaties blijft zonder onverwachte vertragingen of fouten. Dit is met name relevant voor grote organisaties met uitgebreide netwerkinfrastructuren, waar Traffic Analytics aanzienlijke hoeveelheden gegevens kan genereren die significante opslag- en verwerkingskosten kunnen veroorzaken. Kostenmonitoring helpt organisaties om budgetoverschrijdingen te voorkomen en om te begrijpen of de investering in Traffic Analytics de verwachte waarde oplevert door tijdige detectie van bedreigingen en verbeterde netwerkbeveiliging. Organisaties moeten regelmatig kostenanalyses uitvoeren en waar nodig optimalisaties aanbrengen, bijvoorbeeld door retentie-instellingen aan te passen of door te evalueren welke NSG's daadwerkelijk Traffic Analytics nodig hebben versus welke mogelijk zonder kunnen.
Het is aanbevolen om Traffic Analytics status monitoring te automatiseren via PowerShell scripts of Azure Automation runbooks die regelmatig worden uitgevoerd om consistente controle te garanderen en direct te kunnen reageren op problemen voordat deze kritiek worden. Automatisering zorgt voor consistente controle die niet afhankelijk is van handmatige interventie en maakt het mogelijk om direct te reageren op problemen door automatische alerts te genereren wanneer afwijkingen worden gedetecteerd. Scripts kunnen bijvoorbeeld dagelijks controleren of Traffic Analytics is ingeschakeld voor alle productie NSG's, alerts genereren wanneer configuratiewijzigingen worden gedetecteerd die mogelijk de functionaliteit beïnvloeden, en rapportages genereren over de status en prestaties van Traffic Analytics voor management en compliance doeleinden. Deze geautomatiseerde aanpak sluit aan bij best practices voor cloudbeveiliging en compliance-vereisten zoals beschreven in de BIO-normen, die regelmatige verificatie en documentatie van beveiligingsconfiguraties vereisen als onderdeel van continue verbetering en risicomanagement. Organisaties moeten ervoor zorgen dat deze geautomatiseerde monitoring integreert met bestaande security operations centers en incident response processen om een naadloze beveiligingsoperatie te garanderen.
Compliance en Auditing
Traffic Analytics speelt een cruciale rol in het voldoen aan verschillende compliance-eisen die van toepassing zijn op Nederlandse overheidsorganisaties en organisaties die werken met gevoelige informatie en moeten voldoen aan strikte beveiligings- en privacyvereisten. De implementatie en configuratie van Traffic Analytics moet worden uitgevoerd met oog voor deze compliance-vereisten, om ervoor te zorgen dat organisaties voldoen aan zowel nationale als internationale normen voor informatiebeveiliging en netwerkmonitoring. Organisaties moeten Traffic Analytics niet alleen implementeren als technische oplossing, maar ook als onderdeel van een breder compliance framework dat regelmatige verificatie, documentatie en verbetering vereist. Het begrijpen van de compliance-implicaties van Traffic Analytics helpt organisaties om de implementatie correct uit te voeren en te behouden, wat essentieel is voor het behouden van certificeringen en het voldoen aan regelgevende verplichtingen.
Binnen het kader van de Baseline Informatiebeveiliging Overheid (BIO) is met name norm 12.04 relevant voor Traffic Analytics en vereist dat organisaties netwerkactiviteiten monitoren en loggen om ongeautoriseerde toegang en verdachte activiteiten te detecteren. Deze norm richt zich op het monitoren en loggen van netwerkactiviteiten om ongeautoriseerde toegang en verdachte activiteiten te detecteren, wat direct aansluit bij de functionaliteit die Traffic Analytics biedt door geavanceerde netwerkverkeeranalyse. Traffic Analytics voorziet in deze behoefte door continue monitoring van netwerkverkeer en het genereren van gedetailleerde inzichten over netwerkactiviteiten die helpen bij het identificeren van potentieel kwaadaardig gedrag en onregelmatigheden. Organisaties die Traffic Analytics implementeren, tonen hiermee aan dat zij actief werken aan het voldoen aan BIO-norm 12.04 door middel van geavanceerde netwerkmonitoring technologieën die verder gaan dan basis logging en die intelligente analyse en detectie mogelijk maken. Het is belangrijk dat organisaties kunnen aantonen dat Traffic Analytics daadwerkelijk wordt gebruikt voor beveiligingsdoeleinden en dat de gegenereerde inzichten worden geëvalueerd en gebruikt voor risicobeheer en incident response, wat essentieel is voor het voldoen aan de intentie van BIO-norm 12.04.
De ISO 27001:2022 norm, specifiek control A.8.16, vereist dat organisaties monitoring, logging en analyse uitvoeren om informatiebeveiligingsincidenten te detecteren en snel te kunnen reageren op beveiligingsbedreigingen. Traffic Analytics draagt hieraan bij door automatische analyse van netwerkverkeerpatronen en het identificeren van potentiële beveiligingsdreigingen die anders mogelijk onopgemerkt zouden blijven door de enorme hoeveelheid netwerkverkeer die moderne organisaties genereren. De machine learning componenten van Traffic Analytics maken het mogelijk om afwijkend verkeer te detecteren dat mogelijk wijst op security incidents, waardoor organisaties sneller kunnen reageren op bedreigingen voordat deze kritiek worden of significante schade veroorzaken. Dit sluit direct aan bij de eisen van ISO 27001:2022 A.8.16 voor proactieve detectie en respons op beveiligingsincidenten, wat essentieel is voor een effectief informatiebeveiligingsbeheersysteem. Organisaties moeten kunnen aantonen dat Traffic Analytics deel uitmaakt van hun algehele monitoring strategie en dat de gegenereerde inzichten worden geïntegreerd in hun incident response processen en security operations, wat vereist is voor ISO 27001 certificering.
Voor auditing doeleinden is het essentieel dat organisaties uitgebreid documenteren hoe Traffic Analytics is geconfigureerd, welke NSG's worden gemonitord, en hoe de gegenereerde inzichten worden gebruikt voor beveiligingsdoeleinden en risicomanagement. Auditors zullen willen verifiëren dat Traffic Analytics daadwerkelijk is ingeschakeld en functioneert zoals bedoeld, en dat de implementatie voldoet aan de gestelde compliance-eisen en organisatorische beveiligingsstandaarden. Organisaties moeten daarom regelmatig rapportages genereren over de Traffic Analytics status, de geïdentificeerde bedreigingen en hoe deze bedreigingen zijn aangepakt, wat essentieel is voor het demonstreren van effectief gebruik van de monitoring technologie. Deze documentatie vormt audit evidence dat aantoont dat organisaties voldoen aan compliance-vereisten en proactief werken aan netwerkbeveiliging door middel van geavanceerde monitoring en analyse. Organisaties moeten ook kunnen aantonen dat Traffic Analytics deel uitmaakt van hun continue verbeteringsproces en dat regelmatig wordt geëvalueerd of de implementatie nog steeds voldoet aan de gestelde eisen en organisatorische doelen, wat belangrijk is voor zowel interne als externe audits.
Bovendien moeten organisaties zorgvuldig rekening houden met gegevensbeschermingswetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), bij het gebruik van Traffic Analytics omdat netwerkverkeer mogelijk persoonsgegevens bevat die onder de AVG vallen. Hoewel Traffic Analytics primair technische netwerkgegevens analyseert zoals IP-adressen, poorten en protocollen, kan het in bepaalde gevallen persoonsgegevens bevatten of genereren wanneer netwerkverkeer betrekking heeft op individuele gebruikers of wanneer de combinatie van gegevens individuen identificeerbaar maakt. Organisaties moeten daarom ervoor zorgen dat de implementatie van Traffic Analytics voldoet aan AVG-vereisten, inclusief het principe van gegevensminimalisatie, het waarborgen van passende beveiligingsmaatregelen en het respecteren van de rechten van betrokkenen zoals het recht op inzage en verwijdering. Dit kan betekenen dat organisaties specifieke retentie-instellingen configureren die voldoen aan AVG-vereisten, of dat zij procedures ontwikkelen voor het omgaan met Traffic Analytics gegevens die mogelijk persoonsgegevens bevatten, inclusief het correct afhandelen van verzoeken van betrokkenen. Organisaties moeten ook overwegen of een data protection impact assessment (DPIA) nodig is voor Traffic Analytics implementaties, vooral wanneer deze op grote schaal worden gebruikt of wanneer ze mogelijk gevoelige persoonsgegevens verwerken.
Remediatie
Gebruik PowerShell-script traffic-analytics-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer blijkt dat Traffic Analytics niet is ingeschakeld of niet correct functioneert, is het van cruciaal belang om snel remediërende maatregelen te nemen om de netwerkbeveiligingspositie van de organisatie te herstellen en te voorkomen dat beveiligingsdreigingen onopgemerkt blijven. Het ontbreken van Traffic Analytics betekent dat organisaties geen toegang hebben tot geavanceerde netwerkverkeeranalyse die essentieel is voor het detecteren van bedreigingen en het reageren op beveiligingsincidenten, wat het risico verhoogt dat beveiligingsdreigingen en afwijkend verkeer onopgemerkt blijven totdat ze significante schade veroorzaken. Remediatie moet daarom worden uitgevoerd als onderdeel van een gestructureerd proces dat zorgt voor correcte configuratie en minimale impact op operationele systemen, terwijl tegelijkertijd de netwerkbeveiliging wordt hersteld en verbeterd. Effectieve remediatie van Traffic Analytics is geen optionele activiteit maar een kritieke beveiligingsmaatregel die prioriteit moet krijgen binnen de organisatie.
De remediatie van Traffic Analytics begint met een grondige analyse van de huidige configuratie en de reden waarom Traffic Analytics niet functioneert, wat essentieel is om de onderliggende oorzaken te identificeren en te voorkomen dat dezelfde problemen zich in de toekomst opnieuw voordoen. Dit kan verschillende oorzaken hebben, zoals ontbrekende vereisten zoals NSG Flow Logs of Log Analytics Workspace, configuratieproblemen zoals onjuiste instellingen of onvolledige configuratie, machtigingsproblemen waarbij de gebruikte identiteit niet beschikt over de benodigde rechten, of serviceonderbrekingen waarbij Azure services tijdelijk niet beschikbaar waren. Organisaties moeten eerst identificeren welke NSG's Traffic Analytics moeten hebben maar dit momenteel niet hebben ingeschakeld, wat een complete inventarisatie vereist van alle netwerkbeveiligingsgroepen binnen de organisatie. Daarnaast moet worden gecontroleerd of alle vereisten, zoals NSG Flow Logs en Log Analytics Workspace, correct zijn geconfigureerd voordat Traffic Analytics kan worden ingeschakeld, omdat ontbrekende of onjuist geconfigureerde vereisten de functionaliteit zullen verstoren.
De daadwerkelijke remediatie omvat het inschakelen van Traffic Analytics voor de betreffende Network Security Groups na verificatie dat alle vereisten correct zijn geconfigureerd en dat de onderliggende oorzaken zijn aangepakt. Dit kan handmatig worden gedaan via de Azure Portal waar een gebruiksvriendelijke interface beschikbaar is voor het configureren van Traffic Analytics per NSG, of programmatisch via PowerShell scripts die bulkconfiguratie mogelijk maken en consistentie garanderen. Het gebruik van geautomatiseerde scripts wordt sterk aanbevolen, omdat dit consistentie garandeert en fouten vermindert die kunnen optreden bij handmatige configuratie, vooral wanneer meerdere NSG's moeten worden geconfigureerd. Scripts kunnen Traffic Analytics inschakelen voor meerdere NSG's tegelijk en kunnen ook verificatie uitvoeren om te controleren of de configuratie succesvol is toegepast, wat essentieel is voor het garanderen van correcte implementatie. Bovendien maken scripts het mogelijk om remediatie te documenteren en te auditeren, wat belangrijk is voor compliance doeleinden en voor het bijhouden van wijzigingen in de netwerkconfiguratie voor toekomstige referentie.
Na het inschakelen van Traffic Analytics is het belangrijk om te verifiëren dat de service daadwerkelijk functioneert en gegevens begint te genereren volgens de verwachte patronen en frequenties, wat aangeeft dat de configuratie correct is en dat de onderliggende vereisten correct functioneren. Dit vereist geduld, omdat Traffic Analytics enige tijd nodig heeft om flow logs te verzamelen en te verwerken voordat de eerste analyses beschikbaar zijn, wat typisch enkele uren kan duren vanwege de complexiteit van de analyse en aggregatieprocessen. Organisaties moeten controleren of er gegevens binnenkomen in het Log Analytics Workspace en of de eerste rapporten en visualisaties worden gegenereerd die indicatief zijn voor correcte functionaliteit. Als er na verloop van tijd nog steeds geen gegevens verschijnen na het inschakelen van Traffic Analytics, moeten organisaties dieper onderzoeken wat de oorzaak is, bijvoorbeeld door te controleren of NSG Flow Logs correct worden gegenereerd en opgeslagen, of door te verifiëren of er daadwerkelijk verkeer door de NSG's stroomt dat flow logs zou moeten genereren. Organisaties moeten ook controleren of er eventuele configuratieproblemen zijn of dat er mogelijk serviceonderbrekingen zijn geweest die de gegevensverzameling hebben verstoord.
Het is essentieel dat remediatie wordt uitgevoerd in een gecontroleerde en gedocumenteerde manier die voldoet aan best practices voor change management en risicobeheer, vooral wanneer wijzigingen worden aangebracht in productieomgevingen waar onjuiste configuraties significante impact kunnen hebben. Organisaties moeten een change management proces volgen dat ervoor zorgt dat wijzigingen worden gereviewd voordat ze worden toegepast, vooral in productieomgevingen waar stabiliteit en beschikbaarheid van cruciaal belang zijn. Dit omvat typisch een review proces waarbij netwerkteams, security teams en compliance teams de voorgestelde wijzigingen evalueren en goedkeuren voordat deze worden geïmplementeerd. Na succesvolle remediatie moeten organisaties monitoring en alerting configureren om te voorkomen dat Traffic Analytics in de toekomst onbedoeld wordt uitgeschakeld of dat configuratiewijzigingen de functionaliteit beïnvloeden, wat essentieel is voor het behouden van de netwerkbeveiligingspositie op de lange termijn. Dit zorgt voor een duurzame oplossing die bijdraagt aan de algehele netwerkbeveiligingspositie van de organisatie en die ervoor zorgt dat Traffic Analytics continu functioneert zoals bedoeld zonder dat handmatige interventie nodig is. Organisaties moeten ook regelmatig controleren of Traffic Analytics nog steeds correct functioneert en of eventuele wijzigingen in de netwerkconfiguratie aanpassingen vereisen aan de Traffic Analytics configuratie.
Compliance & Frameworks
- BIO: 12.04 - Network monitoring
- ISO 27001:2022: A.8.16 - Monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Traffic Analytics Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.25
Controleert of Traffic Analytics is ingeschakeld voor NSG flow logs.
.NOTES
Filename: traffic-analytics-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.25
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Traffic Analytics Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue
$result = @{ TotalFlowLogs = 0; WithTrafficAnalytics = 0 }
foreach ($watcher in $networkWatchers) {
$flowLogs = Get-AzNetworkWatcherFlowLog -NetworkWatcher $watcher -ErrorAction SilentlyContinue
foreach ($log in $flowLogs) {
$result.TotalFlowLogs++
if ($log.FlowAnalyticsConfiguration.NetworkWatcherFlowAnalyticsConfiguration.Enabled) {
$result.WithTrafficAnalytics++
}
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Flow Logs: $($r.TotalFlowLogs)" -ForegroundColor White
Write-Host "With Traffic Analytics: $($r.WithTrafficAnalytics)" -ForegroundColor $(if ($r.WithTrafficAnalytics -gt 0) { 'Green' } else { 'Yellow' })
if ($r.WithTrafficAnalytics -eq 0 -and $r.TotalFlowLogs -gt 0) {
Write-Host "`nℹ️ Overweeg Traffic Analytics voor betere inzichten" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nTraffic Analytics: $($r.WithTrafficAnalytics)/$($r.TotalFlowLogs) flow logs"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Flow Logs: $($r.TotalFlowLogs)" -ForegroundColor White
Write-Host "With Traffic Analytics: $($r.WithTrafficAnalytics)" -ForegroundColor $(if ($r.WithTrafficAnalytics -gt 0) { 'Green' } else { 'Yellow' })
if ($r.WithTrafficAnalytics -eq 0 -and $r.TotalFlowLogs -gt 0) {
Write-Host "`nℹ️ Overweeg Traffic Analytics voor betere inzichten" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nTraffic Analytics: $($r.WithTrafficAnalytics)/$($r.TotalFlowLogs) flow logs"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder Traffic Analytics zijn organisaties afhankelijk van handmatige analyse van NSG Flow Logs, wat tijdrovend is en het risico verhoogt dat beveiligingsdreigingen onopgemerkt blijven. Dit niet voldoen aan compliance-vereisten zoals CIS 5.1.6, BIO 12.04 en ISO 27001:2022 A.8.16. Het risico is medium tot hoog, afhankelijk van de gevoeligheid van de netwerkomgeving.
Management Samenvatting
Traffic Analytics biedt geautomatiseerde machine learning analyse van netwerkverkeer voor detectie van afwijkende patronen en beveiligingsdreigingen. Dit is essentieel voor proactieve netwerkbeveiliging en voldoet aan compliance-vereisten. Zie logging-monitoring/nsg-flow-logs-log-analytics.json voor gerelateerde implementatie van flow logging naar Log Analytics. Verplicht volgens CIS 5.1.6.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE