💼 Management Samenvatting
Azure Sentinel deployment verificatie vormt een kritieke controle om te waarborgen dat de SIEM-oplossing correct is geïmplementeerd en geconfigureerd binnen de Azure-omgeving. Zonder adequate verificatie van de deployment kunnen organisaties niet garanderen dat Azure Sentinel volledig operationeel is, dat alle benodigde componenten correct zijn geconfigureerd, en dat de SIEM-functionaliteit beschikbaar is voor beveiligingsmonitoring en compliance-doeleinden.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
12u (tech: 8u)
Van toepassing op:
✓ Azure
Deployment verificatie is essentieel voor effectieve beveiligingsmonitoring omdat zij de basis vormt voor het waarborgen dat Azure Sentinel correct is geïmplementeerd en operationeel is. Zonder adequate verificatie kunnen organisaties niet garanderen dat Azure Sentinel actief is, dat alle benodigde data connectors zijn geconfigureerd, dat de Log Analytics-workspace correct is ingesteld, en dat de SIEM-functionaliteit beschikbaar is voor beveiligingsmonitoring. Dit kan leiden tot situaties waarin organisaties denken dat zij beschikken over adequate beveiligingszichtbaarheid, terwijl in werkelijkheid Azure Sentinel niet volledig operationeel is of bepaalde componenten ontbreken. Deployment verificatie lost dit probleem op door systematisch te controleren of alle benodigde componenten aanwezig zijn, of Azure Sentinel correct is geconfigureerd, en of de SIEM-functionaliteit operationeel is. Deze verificatie moet worden uitgevoerd na de initiële implementatie van Azure Sentinel, na configuratiewijzigingen, en regelmatig als onderdeel van compliance-controles. Daarnaast is deployment verificatie onmisbaar voor het voldoen aan compliance-vereisten zoals vastgelegd in de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn, de AVG en andere relevante wet- en regelgeving die van toepassing is op Nederlandse overheidsorganisaties. Deze frameworks vereisen dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om beveiligingsmonitoring te implementeren en dat deze maatregelen correct functioneren. Het ontbreken van adequate deployment verificatie kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade en juridische aansprakelijkheid.
PowerShell Modules Vereist
Primary API: Azure Security Insights
Connection:
Required Modules: Az.Accounts, Az.OperationalInsights, Az.SecurityInsights
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.OperationalInsights, Az.SecurityInsights
Implementatie
Azure Sentinel deployment verificatie omvat het systematisch controleren van alle componenten die nodig zijn voor een volledig operationele Azure Sentinel-omgeving. Dit omvat het verifiëren dat Azure Sentinel is ingeschakeld op een Log Analytics-workspace, dat de workspace correct is geconfigureerd met de juiste retentie-instellingen en capaciteit, dat data connectors zijn geconfigureerd en actief zijn, dat de benodigde beheerdersrollen zijn toegewezen, en dat de SIEM-functionaliteit operationeel is. Deployment verificatie kan worden uitgevoerd via het Azure Portal door handmatig te controleren of Azure Sentinel is ingeschakeld en of data connectors actief zijn, of via PowerShell-scripts die automatisch alle benodigde componenten controleren en een rapport genereren over de deployment status. Deze scripts kunnen worden geïntegreerd in geautomatiseerde compliance-controles en kunnen worden gebruikt om regelmatig te verifiëren dat Azure Sentinel correct blijft functioneren. Deployment verificatie moet ook controleren of de Log Analytics-workspace beschikt over voldoende capaciteit om beveiligingsgebeurtenissen op te slaan, of de retentie-instellingen voldoen aan compliance-vereisten, en of er geen configuratiefouten zijn die kunnen leiden tot problemen met de SIEM-functionaliteit. Daarnaast moet deployment verificatie controleren of de benodigde beheerdersrollen zijn toegewezen, zodat beheerders Azure Sentinel kunnen beheren en configureren, en of er geen beveiligingsproblemen zijn die kunnen leiden tot onbevoegde toegang tot de SIEM-functionaliteit.
Vereisten
Voor het uitvoeren van Azure Sentinel deployment verificatie zijn specifieke beheerdersbevoegdheden en technische configuraties noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle verificatie van de Azure Sentinel deployment en zijn essentieel om te kunnen waarborgen dat de SIEM-oplossing correct is geïmplementeerd en operationeel is. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet kunnen verifiëren of Azure Sentinel correct is geïmplementeerd en niet kunnen voldoen aan compliance-vereisten zoals vastgelegd in de BIO, NIS2 richtlijn en de AVG.
De primaire vereiste voor deployment verificatie is een specifieke beheerdersrol die toegang heeft tot Azure Sentinel en Log Analytics-workspaces. De Reader rol of de Azure Sentinel Reader rol is de minimale rol die nodig is voor het uitvoeren van deployment verificatie, omdat deze rol toegang heeft tot Azure Sentinel configuratie-informatie zonder de mogelijkheid om wijzigingen aan te brengen. Voor uitgebreidere verificatie die ook configuratie-informatie vereist, kan de Security Reader rol of de Azure Sentinel Contributor rol nodig zijn. Deze rollen kunnen worden toegewezen via het Azure Portal of via Azure PowerShell met behulp van de Az.Resources module. Het is belangrijk te realiseren dat deze rollen gevoelige informatie kunnen bekijken, zoals Azure Sentinel configuratie-informatie en data connector status. Daarom moeten deze rollen alleen worden toegewezen aan vertrouwde beheerders die een security clearance hebben en die zijn getraind in het uitvoeren van deployment verificatie. Organisaties moeten een proces implementeren voor het toewijzen en beheren van deze rollen, inclusief regelmatige reviews om te verifiëren dat alleen geautoriseerde personen toegang hebben tot Azure Sentinel verificatie-functionaliteit.
Naast beheerdersrollen is toegang tot de Azure-omgeving vereist om deployment verificatie uit te voeren. Beheerders die deployment verificatie willen uitvoeren moeten beschikken over toegang tot de Azure-omgeving via het Azure Portal of via Azure PowerShell, wat meestal betekent dat zij beschikken over een Azure-account met de juiste bevoegdheden. Voor organisaties die gebruikmaken van Azure Active Directory voor authenticatie, moeten beheerders beschikken over een geldig Azure AD-account dat is gekoppeld aan de Azure-omgeving. Voor organisaties die gebruikmaken van service principals voor geautomatiseerde verificatie, moeten deze service principals beschikken over de juiste bevoegdheden om Azure Sentinel configuratie-informatie te lezen.
Technische vereisten omvatten ook de beschikbaarheid van PowerShell-modules en de juiste netwerkconnectiviteit. Beheerders die deployment verificatie willen uitvoeren via PowerShell moeten beschikken over de Az.Accounts, Az.OperationalInsights en Az.SecurityInsights modules, die kunnen worden geïnstalleerd via de PowerShell Gallery. Deze modules bevatten de benodigde cmdlets voor het werken met Azure Sentinel, zoals Get-AzOperationalInsightsWorkspace voor het ophalen van workspace-informatie, en REST API-calls voor het controleren van Azure Sentinel status. Daarnaast moeten beheerders beschikken over netwerkconnectiviteit naar Azure services, wat meestal betekent dat zij toegang hebben tot internet of dat er een ExpressRoute-verbinding is geconfigureerd voor organisaties die privéconnectiviteit vereisen. Voor organisaties met strikte netwerkbeveiliging kunnen aanvullende firewallregels nodig zijn om toegang te verlenen tot de benodigde Azure endpoints voor Azure Sentinel verificatie-functionaliteit.
Voor organisaties die geautomatiseerde deployment verificatie willen implementeren, zijn aanvullende vereisten nodig. Dit omvat de beschikbaarheid van een geautomatiseerd systeem zoals Azure Automation, Azure DevOps of een andere CI/CD-pipeline die regelmatig deployment verificatie kan uitvoeren. Deze systemen moeten beschikken over de juiste service principals met de benodigde bevoegdheden om Azure Sentinel configuratie-informatie te lezen, en moeten kunnen communiceren met Azure services via internet of via een ExpressRoute-verbinding. Organisaties moeten overwegen om geautomatiseerde deployment verificatie te implementeren als onderdeel van hun compliance-controles, zodat regelmatig kan worden gecontroleerd of Azure Sentinel correct blijft functioneren.
Het is cruciaal te realiseren dat zonder de juiste bevoegdheden, toegang en configuraties deployment verificatie niet kan worden uitgevoerd en organisaties niet kunnen waarborgen dat Azure Sentinel correct is geïmplementeerd en operationeel is. Het ontbreken van adequate deployment verificatie kan leiden tot situaties waarin organisaties denken dat zij beschikken over adequate beveiligingszichtbaarheid, terwijl in werkelijkheid Azure Sentinel niet volledig operationeel is. Daarom moeten organisaties ervoor zorgen dat alle vereisten volledig zijn geïmplementeerd voordat zij deployment verificatie uitvoeren.
Implementatie
De implementatie van Azure Sentinel deployment verificatie vereist een gestructureerde aanpak die begint met het voorbereiden van de verificatie-omgeving, gevolgd door het uitvoeren van systematische controles op alle benodigde componenten, het documenteren van de verificatieresultaten, en het implementeren van geautomatiseerde verificatie voor continue monitoring. Hoewel deployment verificatie relatief eenvoudig kan worden uitgevoerd via het Azure Portal, is het essentieel om een doordachte verificatiestrategie te volgen die ervoor zorgt dat alle benodigde componenten worden gecontroleerd en dat de verificatieresultaten worden gedocumenteerd voor compliance-doeleinden.
De eerste stap in het verificatieproces is het voorbereiden van de verificatie-omgeving door te zorgen dat de benodigde beheerdersrollen zijn toegewezen, dat PowerShell-modules zijn geïnstalleerd, en dat er toegang is tot de Azure-omgeving. Beheerders moeten verifiëren dat zij beschikken over de juiste bevoegdheden om Azure Sentinel configuratie-informatie te lezen, en moeten testen of zij toegang hebben tot de Azure-omgeving via het Azure Portal of via Azure PowerShell. Na het voorbereiden van de verificatie-omgeving kunnen beheerders beginnen met het uitvoeren van systematische controles op alle benodigde componenten.
De tweede stap omvat het controleren of Azure Sentinel is ingeschakeld op de Log Analytics-workspace. Dit kan worden gedaan via het Azure Portal door te navigeren naar Azure Sentinel en te controleren of de workspace wordt weergegeven als een actieve Azure Sentinel-workspace, of via PowerShell door gebruik te maken van REST API-calls om de Azure Sentinel status op te halen. Beheerders moeten verifiëren dat Azure Sentinel daadwerkelijk is ingeschakeld en niet alleen is geconfigureerd maar nog niet geactiveerd. Daarnaast moeten beheerders controleren of de workspace beschikt over voldoende capaciteit om beveiligingsgebeurtenissen op te slaan, en of de retentie-instellingen voldoen aan compliance-vereisten.
De derde stap omvat het controleren of data connectors zijn geconfigureerd en actief zijn. Azure Sentinel vereist data connectors om beveiligingsgebeurtenissen te verzamelen uit verschillende bronnen, zoals Microsoft 365 services, Azure services, on-premises systemen en externe cloudservices. Beheerders moeten verifiëren dat alle relevante data connectors zijn geconfigureerd en actief zijn, en dat deze connectors daadwerkelijk data verzamelen. Dit kan worden gedaan via het Azure Portal door te navigeren naar Azure Sentinel, Data connectors te selecteren, en de status van elke connector te controleren, of via PowerShell door gebruik te maken van REST API-calls om de connector-status op te halen.
Gebruik PowerShell-script sentinel-deployed.ps1 (functie Invoke-Implementation) – Verifieert Azure Sentinel deployment en controleert of alle benodigde componenten correct zijn geïmplementeerd.
Het PowerShell-script sentinel-deployed.ps1 ondersteunt deze implementatie door automatisch alle benodigde componenten te controleren en een rapport te genereren over de deployment status. Het script maakt verbinding met Azure via Connect-AzAccount, haalt de Azure Sentinel configuratie op via Get-AzOperationalInsightsWorkspace en REST API-calls, en controleert of Azure Sentinel is ingeschakeld, of data connectors zijn geconfigureerd en actief zijn, en of de workspace correct is geconfigureerd. De uitvoer bevat zowel een totaalscore per tenant als een overzicht per workspace en per component, waardoor teams gericht acties kunnen uitzetten naar de eigenaar van de betreffende workload. Het script kan herhaaldelijk worden gedraaid na configuratiewijzigingen om te verifiëren dat de verwachte configuratie inderdaad aanwezig is.
De laatste implementatiestap omvat het documenteren van de verificatieresultaten en het implementeren van geautomatiseerde verificatie voor continue monitoring. Beheerders moeten de verificatieresultaten documenteren in een rapport dat kan worden gebruikt voor compliance-doeleinden, inclusief informatie over welke componenten zijn gecontroleerd, wat de status van elke component is, en of er problemen zijn geïdentificeerd die moeten worden opgelost. Daarnaast moeten organisaties overwegen om geautomatiseerde deployment verificatie te implementeren als onderdeel van hun compliance-controles, zodat regelmatig kan worden gecontroleerd of Azure Sentinel correct blijft functioneren. Deze geautomatiseerde verificatie kan worden geïmplementeerd via Azure Automation, Azure DevOps of een andere CI/CD-pipeline, en kan worden geconfigureerd om waarschuwingen te genereren wanneer problemen worden gedetecteerd.
Compliance en Auditing
Vanuit complianceperspectief vervult Azure Sentinel deployment verificatie een centrale rol als technische voorziening om te waarborgen dat de SIEM-oplossing correct is geïmplementeerd en operationeel is, en als bron van bewijs dat de organisatie structureel voldoet aan gestelde normen. De Baseline Informatiebeveiliging Overheid (BIO) schrijft in hoofdstuk 12.04 voor dat beveiligingsrelevante gebeurtenissen moeten worden gemonitord, geanalyseerd en gekoppeld aan opvolgacties. Door deployment verificatie regelmatig uit te voeren en de resultaten te documenteren, kan eenvoudig worden aangetoond dat Azure Sentinel correct is geïmplementeerd en operationeel is, en dat alle benodigde componenten aanwezig zijn en correct functioneren. Tijdens ENSIA-audits en interne controles kunnen deployment verificatierapporten rechtstreeks worden gebruikt als evidence dat de SIEM-oplossing volwassen is ingericht en correct functioneert.
Ook de AVG en NIS2 stellen impliciete en expliciete eisen aan beveiligingsmonitoring en incident response. AVG Artikel 32 verlangt passende technische en organisatorische maatregelen om onder meer de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens te waarborgen. Zonder goede beveiligingsmonitoring is het vrijwel onmogelijk om na een datalek vast te stellen wanneer het lek precies is ontstaan, wat de beoordeling van meldplicht en impact enorm bemoeilijkt. NIS2 en de Wet beveiliging netwerk- en informatiesystemen vragen bovendien om aantoonbaar en proportioneel incidentmanagement, inclusief snelle detectie en respons. Een Azure Sentinel-omgeving waarin deployment verificatie regelmatig wordt uitgevoerd en de resultaten worden gedocumenteerd, vormt de basis om deze verplichtingen na te komen en om in rapportages richting toezichthouders overtuigend te laten zien dat de SIEM-oplossing correct is geïmplementeerd en operationeel is. Voor organisaties in de publieke sector is deployment verificatie bovendien essentieel voor het waarborgen van transparantie en verantwoording, waarbij bestuurders moeten kunnen aantonen dat zij passende controles hebben geïmplementeerd om de beveiliging van kritieke diensten te waarborgen.
Voor sectorale kaders, zoals de DigiD-beveiligingsrichtlijnen, de richtlijnen van het Nationaal Cyber Security Centrum (NCSC) of aanvullende eisen van toezichthouders in de gezondheidszorg en financiële sector, geldt eveneens dat beveiligingsmonitoring en incident response centraal staan. Azure Sentinel deployment verificatie maakt het mogelijk om maatwerkrapporten te definiëren waarin bijvoorbeeld alle gecontroleerde componenten, de status van elke component, en eventuele geïdentificeerde problemen in één overzicht worden samengebracht. Deze rapporten kunnen periodiek worden geëxporteerd en ondertekend, waardoor zij direct als auditstuk kunnen worden opgenomen in dossiers. Belangrijk is wel dat de verificatieprocedures en -criteria die hiervoor worden gebruikt onder versiebeheer staan, zodat auditteams kunnen controleren dat de gebruikte logica consistent is en dat resultaten herhaalbaar zijn. Door deze configuraties te documenteren in het verwerkingsregister en in dataprotectie-effectbeoordelingen (DPIA's), kan worden aangetoond dat beveiligingsmonitoring proportioneel en doelgebonden is ingericht.
Transparantie en dataminimalisatie blijven randvoorwaarden, ook bij deployment verificatie. Organisaties moeten onderbouwen waarom bepaalde configuratie-informatie wordt verzameld tijdens verificatie en hoe lang verificatierapporten worden bewaard. Azure Sentinel ondersteunt deze verantwoording doordat verificatieprocedures kunnen worden gedocumenteerd en omdat exportstromen naar andere systemen zichtbaar zijn. Door deze configuraties te documenteren in het verwerkingsregister en in dataprotectie-effectbeoordelingen, kan worden aangetoond dat deployment verificatie proportioneel en doelgebonden is ingericht. Hiermee worden technische maatregelen direct gekoppeld aan juridische en organisatorische kaders, wat essentieel is binnen de Nederlandse Baseline voor Veilige Cloud.
Monitoring
Gebruik PowerShell-script sentinel-deployed.ps1 (functie Invoke-Monitoring) – Automatiseert de verificatie van Azure Sentinel deployment status en controleert of alle componenten operationeel zijn.
Effectieve monitoring van Azure Sentinel deployment is essentieel om te waarborgen dat de SIEM-oplossing correct blijft functioneren en dat organisaties altijd beschikken over complete beveiligingszichtbaarheid die essentieel is voor compliance-doeleinden en incident response. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat Azure Sentinel actief is, dat alle benodigde componenten aanwezig zijn en correct functioneren, en dat er geen problemen zijn met de SIEM-infrastructuur die kunnen leiden tot gaten in de beveiligingszichtbaarheid. Monitoring omvat het continu volgen van de deployment status, het verifiëren dat alle componenten operationeel zijn, het controleren van de gezondheid van de SIEM-infrastructuur, en het waarborgen dat configuratiewijzigingen niet leiden tot problemen met de SIEM-functionaliteit.
De basis van monitoring wordt gevormd door regelmatige verificatie van de deployment status via het Azure Portal of via PowerShell. Beheerders moeten wekelijks controleren of Azure Sentinel is ingeschakeld, of alle benodigde data connectors zijn geconfigureerd en actief zijn, en of er geen waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de SIEM-functionaliteit. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de deployment status controleren en waarschuwingen genereren wanneer problemen worden gedetecteerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat configuratiewijzigingen of beheerdersfouten kunnen leiden tot het onbedoeld uitschakelen van Azure Sentinel of data connectors, wat kan resulteren in gaten in de beveiligingszichtbaarheid en niet-naleving van compliance-vereisten.
Naast het controleren van de deployment status moeten organisaties regelmatig verifiëren dat data connectors daadwerkelijk data verzamelen en dat deze data correct wordt opgeslagen in de Log Analytics-workspace. Dit kan worden gedaan door query's uit te voeren in Azure Sentinel om te controleren of data daadwerkelijk binnenkomt uit verschillende bronnen, of door gebruik te maken van ingebouwde monitoring-dashboards die de status van data connectors weergeven. Als data connectors geen data verzamelen of als bepaalde data bronnen ontbreken, kan dit wijzen op problemen met de connector-configuratie die moeten worden opgelost. Organisaties moeten processen implementeren voor het regelmatig uitvoeren van deze verificaties, waarbij wekelijks wordt gecontroleerd of data connectors actief zijn en data verzamelen, en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Voor organisaties die geautomatiseerde deployment verificatie hebben geïmplementeerd, is het essentieel om te monitoren of deze verificatie correct functioneert en of waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd. Dit omvat het controleren van de uitvoer van geautomatiseerde verificatiescripts, het analyseren van gegenereerde waarschuwingen, en het verifiëren dat problemen worden opgelost. Problemen met geautomatiseerde verificatie kunnen leiden tot situaties waarin deployment problemen niet worden gedetecteerd, wat kan resulteren in gaten in de beveiligingszichtbaarheid en problemen met compliance-doeleinden. Organisaties moeten processen implementeren voor het monitoren van de effectiviteit van geautomatiseerde verificatie, waarbij maandelijks wordt gecontroleerd of verificatie correct functioneert en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Daarnaast moeten organisaties processen implementeren voor het monitoren van de gezondheid van de Azure Sentinel-infrastructuur, inclusief het controleren van de capaciteit van de Log Analytics-workspace en het verifiëren dat er voldoende opslagruimte beschikbaar is voor het opslaan van beveiligingsgebeurtenissen. Als de workspace-capaciteit wordt bereikt, kunnen nieuwe beveiligingsgebeurtenissen niet worden opgeslagen, wat kan resulteren in gaten in de beveiligingszichtbaarheid. Organisaties moeten waarschuwingen configureren die worden gegenereerd wanneer workspace-capaciteit bijna wordt bereikt, zodat proactieve maatregelen kunnen worden genomen om te voorkomen dat beveiligingsgebeurtenissen verloren gaan. Voor organisaties die langere retentieperiodes nodig hebben, is het belangrijk om te overwegen om data te exporteren naar externe systemen zoals Azure Storage Accounts, waar langere retentieperiodes mogelijk zijn zonder de beperkingen van de standaard Log Analytics-workspace-capaciteit.
Remediatie
Gebruik PowerShell-script sentinel-deployed.ps1 (functie Invoke-Remediation) – Ondersteunt remediatie door problemen te identificeren en aanbevelingen te geven voor het oplossen van deployment problemen.
Remediatie van Azure Sentinel deployment problemen omvat het identificeren van ontbrekende componenten, het corrigeren van configuratiefouten, en het waarborgen dat alle relevante componenten correct zijn geïmplementeerd en operationeel zijn. Het is belangrijk om te realiseren dat wanneer Azure Sentinel niet correct is geïmplementeerd, er geen beveiligingsmonitoring plaatsvindt en organisaties volledig blind zijn voor beveiligingsbedreigingen die kunnen leiden tot beveiligingsincidenten, datalekken en niet-naleving van compliance-vereisten. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van deployment problemen, zodat de impact op de beveiligingszichtbaarheid wordt geminimaliseerd.
Wanneer Azure Sentinel niet is ingeschakeld, kan dit worden geactiveerd via het Azure Portal door te navigeren naar Azure Sentinel en de Log Analytics-workspace te selecteren waarop Azure Sentinel moet worden ingeschakeld. Na het activeren van de functionaliteit begint Azure Sentinel onmiddellijk met het verzamelen en analyseren van beveiligingsgebeurtenissen, maar het is belangrijk om te realiseren dat beveiligingsgebeurtenissen die hebben plaatsgevonden tijdens de periode waarin de functionaliteit was uitgeschakeld, niet kunnen worden gereconstrueerd. Daarom moeten organisaties processen implementeren voor het snel detecteren wanneer Azure Sentinel is uitgeschakeld, zodat de functionaliteit zo snel mogelijk kan worden geactiveerd en de impact op de beveiligingszichtbaarheid wordt geminimaliseerd.
Wanneer data connectors niet zijn geconfigureerd of niet actief zijn, moeten deze worden geconfigureerd via het Azure Portal door te navigeren naar Azure Sentinel, Data connectors te selecteren, en de gewenste connectors in te schakelen. Voor Microsoft 365 connectors is het nodig om de juiste machtigingen te verlenen aan Azure Sentinel om data te verzamelen uit deze services, wat meestal wordt gedaan via een service principal of managed identity. Voor Azure services moeten diagnostic settings worden geconfigureerd om logs te exporteren naar de Log Analytics-workspace waarop Azure Sentinel is ingeschakeld. Na het configureren van data connectors is het essentieel om te verifiëren dat de connectors actief zijn en data verzamelen, zodat kan worden bevestigd dat de configuratie correct is.
Voor organisaties die problemen hebben met de Log Analytics-workspace configuratie, zoals onvoldoende capaciteit of onjuiste retentie-instellingen, moeten deze problemen worden opgelost voordat Azure Sentinel volledig operationeel kan zijn. Dit kan betekenen dat de workspace-capaciteit moet worden verhoogd, dat retentie-instellingen moeten worden aangepast om te voldoen aan compliance-vereisten, of dat aanvullende workspaces moeten worden geconfigureerd voor specifieke workloads. Organisaties moeten processen implementeren voor het regelmatig controleren van workspace-configuratie, zodat problemen kunnen worden geïdentificeerd en opgelost voordat zij leiden tot problemen met de SIEM-functionaliteit.
Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van deployment problemen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat beheerders moeten worden getraind in het belang van Azure Sentinel, dat configuratiewijzigingen moeten worden gereviewd voordat zij worden doorgevoerd, of dat aanvullende controles moeten worden geïmplementeerd om te voorkomen dat Azure Sentinel onbedoeld wordt uitgeschakeld. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat Azure Sentinel continu actief blijft en dat er geen gaten ontstaan in de beveiligingszichtbaarheid die kunnen leiden tot niet-naleving van compliance-vereisten.
Compliance & Frameworks
- BIO: 12.04, 11.04 - Logging, monitoring en continuïteit van kritieke processen
- ISO 27001:2022: A.12.4.1, A.16.1 - Gebeurtenissen logging, incidentmanagement en forensische mogelijkheden
- NIS2: Artikel - Incident detection en response capaciteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Verificatie van Azure Sentinel deployment en configuratie.
.DESCRIPTION
Dit script verifieert of Azure Sentinel correct is gedeployed en geconfigureerd
op Log Analytics workspaces. Het script controleert of Azure Sentinel is
ingeschakeld, of data connectors zijn geconfigureerd en actief zijn, en of
de workspace correct is geconfigureerd.
Het script is bedoeld als verificatie- en monitoringtool waarmee cloud- en
securityteams snel kunnen zien of Azure Sentinel correct is geïmplementeerd
en operationeel is voor beveiligingsmonitoring.
.NOTES
Filename: sentinel-deployed.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/sentinel/sentinel-deployed.json
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.OperationalInsights
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[string]$WorkspaceResourceGroupName,
[Parameter()]
[string]$WorkspaceName
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Sentinel Deployed - SIEM Deployment Verification and Compliance"
function Connect-RequiredServices {
if (-not (Get-AzContext)) {
Connect-AzAccount -ErrorAction Stop | Out-Null
}
}
function Get-AzureSentinelDeploymentStatus {
<#
.SYNOPSIS
Haalt de deployment status van Azure Sentinel op voor alle Log Analytics workspaces.
#>
$workspaces = @()
if ($WorkspaceName -and $WorkspaceResourceGroupName) {
$workspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName $WorkspaceResourceGroupName -Name $WorkspaceName -ErrorAction SilentlyContinue
if ($workspace) {
$workspaces += $workspace
}
}
else {
$workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction Stop
}
$results = @()
foreach ($ws in $workspaces) {
$workspaceId = $ws.ResourceId
try {
# Controleren of Azure Sentinel is ingeschakeld via REST API
$context = Get-AzContext
$accessToken = [Microsoft.Azure.Commands.Common.Authentication.AzureSession]::Instance.AuthenticationFactory.Authenticate(
$context.Account, $context.Environment, $context.Tenant.Id, $null, "Never", $null, "https://management.azure.com"
).AccessToken
$headers = @{
'Authorization' = "Bearer $accessToken"
'Content-Type' = 'application/json'
}
$sentinelApiUrl = "https://management.azure.com$workspaceId/providers/Microsoft.SecurityInsights/onboardingStates/default?api-version=2021-10-01-preview"
try {
$response = Invoke-RestMethod -Uri $sentinelApiUrl -Method Get -Headers $headers -ErrorAction SilentlyContinue
$isEnabled = $response.properties.customerManagedKey -ne $null -or $response.name -eq "default"
}
catch {
# Als de API-call faalt, controleren we of Sentinel mogelijk is ingeschakeld via workspace-eigenschappen
$isEnabled = $false
}
# Data connectors ophalen
$dataConnectorCount = 0
$activeConnectorCount = 0
if ($isEnabled) {
try {
$connectorsUrl = "https://management.azure.com$workspaceId/providers/Microsoft.SecurityInsights/dataConnectors?api-version=2022-11-01"
$connectorsResponse = Invoke-RestMethod -Uri $connectorsUrl -Method Get -Headers $headers -ErrorAction SilentlyContinue
if ($connectorsResponse.value) {
$dataConnectorCount = $connectorsResponse.value.Count
$activeConnectorCount = ($connectorsResponse.value | Where-Object { $_.properties.state -eq "Enabled" }).Count
}
}
catch {
# Als connectors niet kunnen worden opgehaald, blijven we op 0
}
}
# Workspace configuratie controleren
$workspaceConfigured = $true
$workspaceNotes = @()
if (-not $ws.RetentionInDays -or $ws.RetentionInDays -lt 90) {
$workspaceConfigured = $false
$workspaceNotes += "Retentieperiode is minder dan 90 dagen (huidig: $($ws.RetentionInDays) dagen)"
}
$nonCompliant = -not $isEnabled -or ($isEnabled -and $dataConnectorCount -eq 0) -or -not $workspaceConfigured
$notes = if (-not $isEnabled) {
"Azure Sentinel is niet ingeschakeld op deze workspace."
}
elseif ($dataConnectorCount -eq 0) {
"Azure Sentinel is ingeschakeld maar er zijn geen data connectors geconfigureerd."
}
elseif ($activeConnectorCount -eq 0) {
"Azure Sentinel is ingeschakeld maar er zijn geen actieve data connectors."
}
elseif (-not $workspaceConfigured) {
$workspaceNotes -join "; "
}
else {
"Azure Sentinel is correct gedeployed en geconfigureerd."
}
$results += [PSCustomObject]@{
WorkspaceName = $ws.Name
WorkspaceResourceGroup = $ws.ResourceGroupName
WorkspaceId = $workspaceId
SentinelEnabled = $isEnabled
DataConnectorCount = $dataConnectorCount
ActiveConnectorCount = $activeConnectorCount
WorkspaceConfigured = $workspaceConfigured
RetentionDays = $ws.RetentionInDays
NonCompliant = $nonCompliant
Notes = $notes
}
}
catch {
$results += [PSCustomObject]@{
WorkspaceName = $ws.Name
WorkspaceResourceGroup = $ws.ResourceGroupName
WorkspaceId = $workspaceId
SentinelEnabled = $false
DataConnectorCount = 0
ActiveConnectorCount = 0
WorkspaceConfigured = $false
RetentionDays = 0
NonCompliant = $true
Notes = "Fout bij het ophalen van Azure Sentinel deployment status: $($_.Exception.Message)"
}
}
}
return $results
}
function Test-Compliance {
$data = Get-AzureSentinelDeploymentStatus
$totalWorkspaces = $data.Count
$sentinelDisabled = ($data | Where-Object { -not $_.SentinelEnabled }).Count
$noDataConnectors = ($data | Where-Object { $_.SentinelEnabled -and $_.DataConnectorCount -eq 0 }).Count
$noActiveConnectors = ($data | Where-Object { $_.SentinelEnabled -and $_.ActiveConnectorCount -eq 0 }).Count
$workspaceIssues = ($data | Where-Object { -not $_.WorkspaceConfigured }).Count
$nonCompliant = ($data | Where-Object { $_.NonCompliant -eq $true }).Count
return [PSCustomObject]@{
TotalWorkspaces = $totalWorkspaces
SentinelDisabled = $sentinelDisabled
NoDataConnectors = $noDataConnectors
NoActiveConnectors = $noActiveConnectors
WorkspaceIssues = $workspaceIssues
NonCompliantWorkspaces = $nonCompliant
Details = $data
}
}
try {
Connect-RequiredServices
if ($Monitoring) {
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
if ($result.SentinelDisabled -gt 0) {
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor Yellow
}
else {
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor Green
}
if ($result.NoDataConnectors -gt 0) {
Write-Host ("Zonder data connectors : {0}" -f $result.NoDataConnectors) -ForegroundColor Yellow
}
else {
Write-Host ("Zonder data connectors : {0}" -f $result.NoDataConnectors) -ForegroundColor Green
}
if ($result.NoActiveConnectors -gt 0) {
Write-Host ("Zonder actieve connectors : {0}" -f $result.NoActiveConnectors) -ForegroundColor Yellow
}
else {
Write-Host ("Zonder actieve connectors : {0}" -f $result.NoActiveConnectors) -ForegroundColor Green
}
if ($result.WorkspaceIssues -gt 0) {
Write-Host ("Workspace configuratie problemen : {0}" -f $result.WorkspaceIssues) -ForegroundColor Yellow
}
else {
Write-Host ("Workspace configuratie problemen : {0}" -f $result.WorkspaceIssues) -ForegroundColor Green
}
if ($result.NonCompliantWorkspaces -gt 0) {
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor Yellow
}
else {
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor Green
}
if ($result.SentinelDisabled -gt 0 -or $result.NoDataConnectors -gt 0 -or $result.NoActiveConnectors -gt 0 -or $result.WorkspaceIssues -gt 0 -or $result.NonCompliantWorkspaces -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de Azure Sentinel deployment-vereisten." -ForegroundColor Yellow
Write-Host " Gebruik de details-uitvoer om te bepalen waar Azure Sentinel moet worden ingeschakeld" -ForegroundColor Yellow
Write-Host " of waar data connectors moeten worden geconfigureerd." -ForegroundColor Yellow
}
# Gedetailleerde tabel als JSON voor verdere verwerking
$result.Details | ConvertTo-Json -Depth 4
}
elseif ($Remediation) {
$result = Test-Compliance
$nonCompliant = $result.Details | Where-Object { $_.NonCompliant -eq $true }
if ($nonCompliant) {
Write-Host "" -ForegroundColor Yellow
Write-Host "[INFO] Dit script identificeert workspaces waar Azure Sentinel deployment problemen zijn." -ForegroundColor Yellow
Write-Host "[INFO] Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig." -ForegroundColor Yellow
foreach ($workspace in $nonCompliant) {
Write-Host "" -ForegroundColor White
Write-Host "Workspace: $($workspace.WorkspaceName)" -ForegroundColor Cyan
Write-Host " Status: $($workspace.Notes)" -ForegroundColor Gray
if (-not $workspace.SentinelEnabled) {
Write-Host " Actie: Schakel Azure Sentinel in via Azure Portal > Azure Sentinel > Add" -ForegroundColor Yellow
}
elseif ($workspace.DataConnectorCount -eq 0) {
Write-Host " Actie: Configureer data connectors via Azure Portal > Azure Sentinel > Data connectors" -ForegroundColor Yellow
}
elseif (-not $workspace.WorkspaceConfigured) {
Write-Host " Actie: Pas workspace configuratie aan (retentieperiode minimaal 90 dagen)" -ForegroundColor Yellow
}
}
}
else {
Write-Host "Alle gecontroleerde workspaces hebben Azure Sentinel correct gedeployed." -ForegroundColor Green
}
}
else {
$result = Test-Compliance
Write-Host ""
Write-Host ("Azure Sentinel deployment status: {0} workspace(s) gecontroleerd, {1} met Azure Sentinel uitgeschakeld, {2} zonder data connectors." -f `
$result.TotalWorkspaces, $result.SentinelDisabled, $result.NoDataConnectors)
}
}
catch {
Write-Error $_
exit 1
}
# ================================================================================
# Standaard Invoke-* Functions
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Voert een deployment verificatie uit voor Azure Sentinel.
.DESCRIPTION
Deze functie verifieert of Azure Sentinel correct is gedeployed en geconfigureerd.
Gebruik deze informatie om Azure Sentinel correct te configureren en te waarborgen
dat alle benodigde componenten aanwezig zijn.
#>
[CmdletBinding()]
param()
try {
Connect-RequiredServices
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor (if ($result.SentinelDisabled -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder data connectors : {0}" -f $result.NoDataConnectors) -ForegroundColor (if ($result.NoDataConnectors -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder actieve connectors : {0}" -f $result.NoActiveConnectors) -ForegroundColor (if ($result.NoActiveConnectors -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Workspace configuratie problemen : {0}" -f $result.WorkspaceIssues) -ForegroundColor (if ($result.WorkspaceIssues -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor (if ($result.NonCompliantWorkspaces -gt 0) { 'Yellow' } else { 'Green' })
if ($result.SentinelDisabled -gt 0 -or $result.NoDataConnectors -gt 0 -or $result.NoActiveConnectors -gt 0 -or $result.WorkspaceIssues -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de Azure Sentinel deployment-vereisten." -ForegroundColor Yellow
}
$result.Details | ConvertTo-Json -Depth 4
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een monitoringcontrole uit en toont een samenvatting plus JSON-uitvoer.
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
$result = Test-Compliance
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Log Analytics workspaces totaal : {0}" -f $result.TotalWorkspaces) -ForegroundColor White
Write-Host ("Azure Sentinel uitgeschakeld : {0}" -f $result.SentinelDisabled) -ForegroundColor (if ($result.SentinelDisabled -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder data connectors : {0}" -f $result.NoDataConnectors) -ForegroundColor (if ($result.NoDataConnectors -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Zonder actieve connectors : {0}" -f $result.NoActiveConnectors) -ForegroundColor (if ($result.NoActiveConnectors -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Workspace configuratie problemen : {0}" -f $result.WorkspaceIssues) -ForegroundColor (if ($result.WorkspaceIssues -gt 0) { 'Yellow' } else { 'Green' })
Write-Host ("Niet-conforme workspaces : {0}" -f $result.NonCompliantWorkspaces) -ForegroundColor (if ($result.NonCompliantWorkspaces -gt 0) { 'Yellow' } else { 'Green' })
if ($result.SentinelDisabled -gt 0 -or $result.NoDataConnectors -gt 0 -or $result.NoActiveConnectors -gt 0 -or $result.WorkspaceIssues -gt 0 -or $result.NonCompliantWorkspaces -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Eén of meer workspaces voldoen niet aan de Azure Sentinel deployment-vereisten." -ForegroundColor Yellow
}
$result.Details | ConvertTo-Json -Depth 4
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door deployment problemen te identificeren.
.DESCRIPTION
Deze functie identificeert workspaces waar Azure Sentinel deployment problemen zijn.
Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig
via de Azure Portal.
#>
[CmdletBinding()]
param()
try {
Connect-RequiredServices
$result = Test-Compliance
$nonCompliant = $result.Details | Where-Object { $_.NonCompliant -eq $true }
if ($nonCompliant) {
Write-Host "" -ForegroundColor Yellow
Write-Host "[INFO] Dit script identificeert workspaces waar Azure Sentinel deployment problemen zijn." -ForegroundColor Yellow
Write-Host "[INFO] Voor het oplossen van deze problemen zijn aanvullende handmatige stappen nodig." -ForegroundColor Yellow
foreach ($workspace in $nonCompliant) {
Write-Host "" -ForegroundColor White
Write-Host "Workspace: $($workspace.WorkspaceName)" -ForegroundColor Cyan
Write-Host " Status: $($workspace.Notes)" -ForegroundColor Gray
if (-not $workspace.SentinelEnabled) {
Write-Host " Actie: Schakel Azure Sentinel in via Azure Portal > Azure Sentinel > Add" -ForegroundColor Yellow
}
elseif ($workspace.DataConnectorCount -eq 0) {
Write-Host " Actie: Configureer data connectors via Azure Portal > Azure Sentinel > Data connectors" -ForegroundColor Yellow
}
elseif (-not $workspace.WorkspaceConfigured) {
Write-Host " Actie: Pas workspace configuratie aan (retentieperiode minimaal 90 dagen)" -ForegroundColor Yellow
}
}
}
else {
Write-Host "Alle gecontroleerde workspaces hebben Azure Sentinel correct gedeployed." -ForegroundColor Green
}
}
catch {
Write-Error $_
exit 1
}
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Kritiek - Zonder adequate deployment verificatie kunnen organisaties niet garanderen dat Azure Sentinel correct is geïmplementeerd en operationeel is, wat kan leiden tot gaten in de beveiligingszichtbaarheid en niet-naleving van BIO, NIS2 en AVG-vereisten.
Management Samenvatting
Voer regelmatig Azure Sentinel deployment verificatie uit om te waarborgen dat alle benodigde componenten aanwezig zijn en correct functioneren. Essentieel voor compliance en beveiligingsmonitoring. Implementatie: 12 uur.
- Implementatietijd: 12 uur
- FTE required: 0.2 FTE