πΌ Management Samenvatting
Een zorgvuldig ontworpen strategie voor audit logging en bewaarbeleid vormt het fundament onder elke compliance- en security-inspanning binnen de Nederlandse Baseline voor Veilige Cloud. De oplossing moet gebeurtenissen registreren, zeven jaar intact houden en voor auditors, toezichthouders en forensische teams direct inzichtelijk maken welke gebruikers- en beheerdershandelingen zijn uitgevoerd.
Aanbeveling
Borg uniforme audit logging voor alle Microsoft 365-workloads, exporteer dagelijks naar Microsoft Sentinel en sla dezelfde gegevens onveranderbaar op in Azure Storage zodat de wettelijke bewaartermijn van zeven jaar aantoonbaar wordt gehaald.
Risico zonder
Critical
Risk Score
9/10
Implementatie
40u (tech: 24u)
Van toepassing op:
β M365
β Azure
β Compliance en Naleving
β Azure
β Compliance en Naleving
Zonder betrouwbaar audit logging ontbreken de gegevens waarmee security-incidenten kunnen worden onderzocht, waarop toezichthouders vertrouwen tijdens inspecties en waarmee bestuurders aantonen dat zij de BIO-, NIS2- en AVG-verplichtingen daadwerkelijk naleven. Slecht ingerichte logging zorgt ervoor dat waarschuwingen te laat binnenkomen, dat forensische onderzoeken stranden en dat juristen geen bewijs kunnen leveren over de rechtmatigheid van toegang tot gegevens. Een doordacht ontwerp verkleint deze risico's door logging te standaardiseren, verantwoordelijkheid duidelijk toe te wijzen en de bewaartermijnen technisch af te dwingen.
PowerShell Modules Vereist
Primary API: Microsoft Graph / Exchange Online
Connection:
Required Modules: Microsoft.Graph, ExchangeOnlineManagement
Connection:
Connect-MgGraph / Connect-ExchangeOnlineRequired Modules: Microsoft.Graph, ExchangeOnlineManagement
Implementatie
Dit ontwerp beschrijft hoe Unified Audit Log-datastromen tenant-breed worden geactiveerd, hoe ze via Microsoft Sentinel en Log Analytics worden gevalideerd en verrijkt, en hoe dezelfde gegevens daarna naar een immutable Azure Storage-account worden geexporteerd voor de verplichte bewaartermijn van zeven jaar. Daarnaast worden governanceprocessen, rollen, budgettering, monitoring en remediatie uitgewerkt zodat techniek, organisatie en compliance naadloos samenwerken.
Vereisten
Een succesvolle inrichting van audit logging binnen Microsoft 365 begint met een scherp begrip van de wettelijke kaders waarin Nederlandse overheidsorganisaties opereren. De Baseline Informatiebeveiliging Overheid eist dat gebeurtenissen zeven jaar controleerbaar blijven en de AVG schrijft voor dat organisaties kunnen aantonen wie welke persoonsgegevens heeft geraadpleegd. Dit betekent dat het projectteam al in de voorbereidingsfase moet bepalen welke datasets als bewijsstukken gelden, hoe lang ze bewaard worden en hoe auditors de integriteit van de logbestanden kunnen valideren. Zonder deze analyse bestaat het gevaar dat de gekozen architectuur wel data verzamelt maar niet aansluit bij onderzoeksbehoeften of juridische verwachtingen, waardoor investeringen hun doel missen en alsnog aanvullende trajecten nodig zijn.
De licentie- en toegangsstructuur vormt de tweede pijler. Praktisch houdt dit in dat ten minste Microsoft 365 E3-licenties beschikbaar zijn en dat workloads met geavanceerde auditvereisten, zoals Microsoft Purview, Defender for Cloud Apps en Entra ID, E5-capaciteiten benutten. Daarnaast moeten rollen als Compliance Administrator, Security Administrator en Sentinel Contributor formeel worden toegewezen, bij voorkeur via Privileged Identity Management om het principe van minimale rechten te borgen. Deze rolverdeling wordt gedocumenteerd in het autorisatiemodel, zodat elke audittrail kan worden gekoppeld aan een bevoegd besluit en zodat scheiding van taken aantoonbaar blijft.
Ook de technische fundamenten moeten ruim van tevoren beschikbaar zijn. Dat omvat een Log Analytics- of Sentinel-workspace in een door de CISO goedgekeurde Azure-regio, een dedicated resourcegroep met uniforme tagging, en een storage-account dat immutability ondersteunt via WORM-beleid. Netwerkverbindingen, serviceaccounts voor exporttaken en Key Vault-integraties voor geheimbeheer worden in dezelfde blauwdruk opgenomen. Door deze randvoorwaarden in een ontwerpdocument vast te leggen ontstaat een herhaalbaar patroon dat voor elke tenantuitrol toepasbaar is zonder dat telkens opnieuw architectuurkeuzes gemaakt hoeven worden.
Financiele randvoorwaarden verdienen dezelfde aandacht als techniek. Het team berekent vooraf de verwachte ingestievolumes per workload en confronteert deze met de tarieven voor Sentinel-inname, Log Analytics-retentie en opslag in de Cool- en Archive-tiers. Kostenplafonds worden vastgelegd in FinOps-afspraken met automatische waarschuwingen wanneer het dagbudget wordt overschreden. Daarnaast is er budget nodig voor consultancyuren voor forensische use-cases en voor periodiek testen van de opslagketen. Door budgetverantwoordelijken aan de stuurgroep te laten deelnemen blijft het onderwerp financiering actief gemonitord.
Tot slot vraagt audit logging om volwassenheid in processen en vaardigheden. SIEM-operators volgen trainingen over het analyseren van Purview-auditrecords, compliance officers leren hoe zij bewijslast interpreteren en juristen worden betrokken om de AVG-grondslagen per bewaarplicht opnieuw te toetsen. Incidentresponsplaybooks worden herschreven zodat elke stap expliciet verwijst naar beschikbare logbronnen, en change- en problemmanagementprocessen nemen verificatie van auditinstellingen standaard mee. Door deze organisatorische vereisten net zo zwaar te laten wegen als technische specificaties ontstaat een oplossing die audits daadwerkelijk doorstaat en niet slechts op papier voldoet.
Een apart governancebesluit beschrijft hoe gegevensclassificatie, lifecycle management en toegangsonderzoeken elkaar versterken. Hierin staat bijvoorbeeld welke datasets als staatsgeheim, departementaal vertrouwelijk of bedrijfsvertrouwelijk worden aangemerkt en welke aanvullende logging dan noodzakelijk is. Het besluit benoemt eveneens de escalatielijnen wanneer een auditor een afwijking constateert en het beschrijft hoe nieuwe wettelijke eisen, zoals aanstaande wijzigingen in de BIO of specifieke sectorale richtlijnen, automatisch tot een herziening van het auditontwerp leiden. Door governance, techniek en proces in een besluit vast te leggen blijft de oplossing toekomstvast en kunnen controllers aantonen dat hun beheersmaatregelen structureel worden bijgewerkt.
Implementatie
De implementatie van audit logging en bewaarbeleid verloopt het meest effectief wanneer deze als programma wordt georganiseerd in plaats van als losse technische taak. Het ontwerp start met een gezamenlijke sessie waarin CISO-office, functioneel beheerders en SOC-team de doelarchitectuur valideren en acceptatiecriteria vaststellen. Deze criteria beschrijven onder andere meetbare doelen voor detectiesnelheid, beschikbaarheid van loggegevens en aantoonbaarheid van zevenjarige bewaartermijnen. Vervolgens wordt een detailplanning uitgewerkt waarin elke workload een eigen sprint krijgt, zodat afhankelijkheden zichtbaar blijven en wijzigingen gecontroleerd verlopen.
Gebruik PowerShell-script audit-retention.ps1 (functie Invoke-Remediation) β PowerShell script voor audit logging configuratie.
De eerste uitvoeringsfase draait om het uniform inschakelen van bronnen voor registratie. In het Microsoft Purview complianceportal wordt auditing tenant-breed geactiveerd, waarna per workload aanvullende loggingopties worden afgedwongen via PowerShell en Graph-API. Scripted controles bevestigen dat UnifiedAuditLogIngestionEnabled op waar staat en dat Exchange-, SharePoint-, Teams- en Entra-activiteiten daadwerkelijk binnenkomen. Tegelijkertijd worden beleidssjablonen uitgerold die gevoelige acties, zoals privilege-escalatie of aanpassing van retentieregels, met een hogere prioriteit labelen zodat downstreamsystemen deze gebeurtenissen nooit onderdrukken.
De tweede fase richt zich op de koppeling met Microsoft Sentinel. De data connector voor Office 365 wordt geconfigureerd met managed identities zodat exportprocessen geen statische credentials vereisen. Voor elke workload wordt nagegaan welke tabelschema's relevant zijn voor onderzoek en hoe de gegevens moeten worden genormaliseerd voor Kusto-query's. Vervolgens worden analytische regels geimplementeerd die afwijkend gedrag herkennen, zoals massale bestandsverwijderingen of misbruik van break-glass-accounts. Het SOC valideert de regels met historische datasets, registreert de verwachte responstijd en legt criteria vast om vals positieven te beperken.
Daarna volgt de inrichting van langetermijnopslag. Een dedicated storage-account met immutable opslag wordt uitgerold via Infrastructure-as-Code, inclusief private endpoints, customer-managed keys en versleutelingsbeleid. Azure Monitor exporteert de Sentinel-tabellen via diagnostische instellingen naar dit account, waarna lifecycle policies de data automatisch verplaatsen van hot naar cool en uiteindelijk naar archiefopslag zonder dat de juridische bewaartermijn in gevaar komt. Elke exportstap wordt gelogd in een controledossier dat auditors kunnen raadplegen om de keten van bewaring te verifieren.
In de vierde fase worden automatiserings- en kwaliteitsmechanismen toegevoegd. Logic Apps controleren dagelijks of exports voltooid zijn, terwijl Azure Automation-runbooks wekelijks de ingestievolumes vergelijken met het referentieontwerp. Bij afwijkingen wordt een melding naar het SOC en de compliance officer gestuurd. Integratietests tonen aan dat incidentresponsplaybooks de juiste logbronnen oproepen en dat rollen met toegangsrechten alleen via PIM kunnen worden geactiveerd. De implementatie eindigt met een formele acceptatie waarbij het bestuur bevestigt dat de oplossing juridisch, technisch en operationeel voldoet.
Na livegang volgt een gefaseerde overdracht naar beheer. Documentatie wordt opgenomen in het ISMS, terwijl runbooks beschrijven hoe scripts kunnen worden herstart, hoe backfill-acties verlopen en hoe wijzigingen via change management worden aangevraagd. Door deze overdracht te koppelen aan trainingen voor SOC-analisten en compliance officers blijft de kennis geborgd en kan de organisatie zelfstandig verbeteringen doorvoeren wanneer nieuwe workloads of regelgeving worden toegevoegd.
Elke implementatiecyclus sluit af met een volwassenheidsmeting waarin lessons learned worden gekoppeld aan concrete verbeteracties. Denk aan het verbreden van automatisering, het toevoegen van nieuwe detectieregels of het optimaliseren van retentieprofielen voor specifieke gegevenscategorieen. De resultaten worden teruggekoppeld aan de portefeuillehouder digitale veiligheid, zodat budget en prioriteit voor vervolgwerk zichtbaar blijven. Daardoor groeit audit logging uit tot een continu verbeterprogramma in plaats van een eenmalig technisch project.
monitoring
Gebruik PowerShell-script audit-retention.ps1 (functie Invoke-Monitoring) β monitor audit logging status en data flow.
Effectieve monitoring zorgt ervoor dat audit logging geen statisch dossier blijft maar een levend controlesysteem. Elke werkdag start met een operationele stand-up waarin het SOC bekijkt of de ingestiecurve van de Unified Audit Log overeenkomt met de verwachte patronen. Daarbij worden dashboards geraadpleegd die per workload de latency, het aantal records en de verdeling tussen gebruikers- en beheerdersacties tonen. Afwijkingen worden direct gelinkt aan geplande wijzigingen of incidenten, zodat onderscheid kan worden gemaakt tussen verklaarbare ruis en daadwerkelijke verstoringen.
Naast volumemonitoring krijgen de exportketens speciale aandacht. Automatiseringsjobs schrijven de status van elke export-run naar een governance-table, waarna Sentinel een waarschuwing triggert als een run langer dan vijftien minuten uitloopt. Opslagaccounts worden gecontroleerd op immutability-instellingen, replicatiestatus en resterende capaciteit, zodat er nooit druk ontstaat om data voortijdig te verwijderen. Wanneer kostenplots onverwacht stijgen controleert het FinOps-team of er een toename is in Power Platform-activiteiten, gedeelde mailboxen of applicaties die plotseling veel auditgebeurtenissen genereren.
Monitoring richt zich ook op de kwaliteit van detecties. Het SOC houdt per use-case bij welk percentage meldingen binnen de service level agreements wordt opgepakt en hoeveel meldingen uiteindelijk als vals positief worden geclassificeerd. Deze gegevens voeden een maandelijks verbeteroverleg waarin nieuwe Kusto-query's worden voorgesteld en waarin de samenwerking tussen mens en automatisering wordt geevalueerd. Waar nodig worden extra verrijkingen toegevoegd, bijvoorbeeld informatie uit Defender for Endpoint of uit identiteitsbeschermingssignalen, zodat onderzoekers sneller naar de kern kunnen gaan.
Compliance officers gebruiken dezelfde monitoringsdata om bewijsvoering richting auditors en toezichthouders te onderbouwen. Zij beoordelen of alle controlestatements uit BIO 12.04 en ISO 27001 aantoonbaar zijn en of elke wijziging in beleid of configuratie is vastgelegd met een change-ticket en testresultaat. De resultaten worden opgenomen in kwartaalrapportages die naast techniek ook aandacht besteden aan privacy-impactanalyses en proportionaliteit. Hierdoor blijft zichtbaar dat audit logging geen doel op zich is maar een integraal onderdeel van beveiligings- en privacygovernance.
Tot slot borgt monitoring de continue verbetering. Lessons learned uit incidenten worden vertaald naar nieuwe queries en dashboards, terwijl maturity-assessments meten of processen daadwerkelijk volwassen worden. De combinatie van technische telemetrie, organisatorische indicatoren en financiele rapportages maakt het mogelijk om vroegtijdig bij te sturen wanneer volumes groeien, nieuwe regelgeving van kracht wordt of wanneer workloads naar de cloud worden gemigreerd. Monitoring fungeert daarmee als stuurinstrument waarmee het bestuur kan aantonen dat de organisatie grip houdt op haar auditvoorzieningen.
Compliance en Auditing
Compliance binnen de Nederlandse Baseline voor Veilige Cloud vereist dat technische maatregelen direct zijn te koppelen aan wettelijke verplichtingen. Het audit- en bewaarbeleid fungeert als bewijslast dat de organisatie controle uitoefent over toegang tot vertrouwelijke gegevens, dat integriteit gewaarborgd is en dat reconstructie na incidenten mogelijk blijft. Elk aspect van de oplossing wordt daarom gedocumenteerd in controlestatements die aangeven welk proces, welke tooling en welke verantwoordelijke het normdoel dekt.
Voor de BIO wordt vooral gekeken naar thema 12.04, waarin logging, monitoring en bewaartermijnen van zeven jaar verplicht zijn. Het ontwerp beschrijft hoe Unified Audit Logs minimaal dagelijks worden geexporteerd, hoe toegang tot loggegevens wordt vastgelegd en hoe immutability-instellingen voorkomen dat logs kunnen worden aangepast of verwijderd. Door gebruik te maken van Azure Storage met WORM-beleid en door elke export automatisch te voorzien van een hashwaarde voldoet de organisatie aan de eis dat logbestanden betrouwbaar en verifieerbaar blijven gedurende de gehele bewaartermijn.
ISO 27001 legt nadruk op een managementsysteem dat continu wordt verbeterd. De beschreven processen sluiten hierbij aan doordat zij controlemaatregelen koppelen aan risicoregisters, changeprocedures en organisatorische rollen. Het informatiebeveiligingsbeleid verwijst expliciet naar de auditarchitectuur, terwijl interne audits steekproeven nemen op zowel configuraties als operationele rapportages. Wanneer afwijkingen worden vastgesteld, wordt een corrigerende maatregel geregistreerd in het ISMS en wordt de effectiviteit ervan opnieuw beoordeeld tijdens de volgende auditcyclus.
NIS2 en de AVG voegen extra verplichtingen toe. NIS2 artikel 21 verlangt dat essentiele aanbieders aantonen dat zij over detectie- en responscapaciteiten beschikken; de combinatie van Sentinel-regels, incidentplaybooks en bewaarbeleid vormt het bewijs dat hieraan wordt voldaan. De AVG benadrukt verantwoording en dataminimalisatie. Daarom beschrijft het ontwerp hoe auditgegevens uitsluitend voor beveiligings- en compliance-doeleinden worden gebruikt, hoe toegang tot loggegevens wordt gecontroleerd en hoe verzoeken van betrokkenen worden behandeld wanneer auditlogs persoonsgegevens bevatten.
De praktische uitwerking van deze compliance-eisen draait om samenwerking tussen juridische experts, securityspecialisten en businessverantwoordelijken. Iedere wijziging in regelgeving leidt tot een actualisatie van het controledossier, waarna de technische teams toetsen of configuraties moeten worden aangepast. Door deze cyclus vast te leggen in governancekalenders en door audits te koppelen aan concrete bewijsstukken houden organisaties grip op hun verplichtingen en voorkomen zij verrassingen tijdens externe onderzoeken.
Remediatie
Gebruik PowerShell-script audit-retention.ps1 (functie Invoke-Remediation) β Herstellen.
Een volwassen remediatiestrategie zorgt ervoor dat afwijkingen in audit logging snel worden hersteld voordat bewijsvoering verloren gaat. Zodra monitoring aangeeft dat ingestie stokt, dat exports mislukken of dat retentie-instellingen zijn gewijzigd, treedt het herstelproces in werking. Dit proces beschrijft wie de leiding neemt, welke escalatieroutes gelden en hoe beslissingen worden vastgelegd zodat achteraf kan worden aangetoond dat adequaat is gereageerd. De herstelworkflow bevat duidelijke timers voor triage, technische diagnose en businesscommunicatie, zodat het bestuur realtime inzicht houdt in de voortgang. Zo ontstaat transparantie richting auditors en kan worden aangetoond dat de organisatie voortdurend grip houdt op haar loggingketen.
De eerste stap is confirmatie van de impact. Het team gebruikt de PowerShell-scripts uit audit-retention.ps1 om de actuele configuratie te verzamelen en vergelijkt deze met de referentiestaat. Eventuele afwijkingen worden geclassificeerd als kritisch wanneer zij dataverlies kunnen veroorzaken of wanneer wettelijke bewaartermijnen in gevaar zijn. Voor elke classificatie hoort een standaardoplossing, bijvoorbeeld het heractiveren van Unified Audit Log, het opnieuw autoriseren van de Sentinel-connector of het terugzetten van immutability policies. Alle bevindingen worden vastgelegd in het ISMS, inclusief tijdstempel, verantwoordelijke en verwacht herstelmoment, zodat ook later nog kan worden aangetoond dat beslissingen onderbouwd waren.
Wanneer de technische oorzaak bekend is, volgt herstel in gecontroleerde stappen. Scripts worden uitgevoerd onder tijdelijke PIM-rollen, waarna ze logging genereren die automatisch aan het incidentdossier wordt toegevoegd. Indien exports ontbreken, wordt een backfill-proces gestart dat ontbrekende tijdsvensters alsnog naar Sentinel en het opslagaccount kopieert. Parallel controleert een tweede analist of de datastromen weer volgens verwachting lopen en of de bewaartermijn opnieuw is geborgd. Waar mogelijk worden controlesommen of hashwaarden vergeleken met de oorspronkelijke exports, zodat de integriteit van de herstelde datasets objectief kan worden aangetoond en auditors over sluitend bewijs beschikken.
Communicatie vormt een integraal onderdeel van remediatie. Betrokken proceseigenaren, CISO-office, privacy officers en juridische adviseurs ontvangen updates volgens het communicatieplan. Wanneer er sprake is van mogelijke datalekken wordt de Functionaris Gegevensbescherming direct geinformeerd, zodat kan worden beoordeeld of meldplicht richting de Autoriteit Persoonsgegevens speelt. Alle beslissingen, logbestanden en configuraties worden verzameld in een dossier dat later als auditbewijsmateriaal dient. Waar meerdere ketens elkaar raken, bijvoorbeeld wanneer OT-omgevingen of gekoppelde applicaties auditdata aanleveren, wordt ook de desbetreffende leverancier geinformeerd zodat consistente herstelacties plaatsvinden.
Nadat het incident is opgelost volgt een evaluatie. De oorzaak en genomen maatregelen worden opgenomen in het risicoregister en, waar nodig, vertaald naar verbeteringen in monitoring, automatisering of processen. Denk aan extra controles in de scripts, strengere toegang tot opslagaccounts of aanvullende trainingen voor beheerders. De lessons learned worden gedeeld tijdens het security governance-overleg, zodat ook andere teams profiteren van de inzichten. Door remediatie op deze manier te institutionaliseren ontstaat een lerende organisatie die bij elke verstoring sterker wordt en die consistent kan aantonen dat zij haar auditketen onder controle heeft.
Compliance & Frameworks
- BIO: 12.04.01, 12.04.02, 12.04.03 - Logging van gebeurtenissen - 7 jaar bewaarplicht
- ISO 27001:2022: A.12.4.1, A.12.4.2, A.12.4.3 - Gebeurtenissen logging en audittrails en bescherming van logbestanden
- NIS2: Artikel - Logging en monitoring voor incident detectie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Audit & Retention Design
.DESCRIPTION
Audit: Unified Audit Log (7-year retention via Sentinel export), audit policies (record all user/admin actions), alert rules (admin changes, break-glass usage, mass deletions).
.NOTES
Filename: audit-retention.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-10-15
Last Modified: 2025-10-15
Version: 1.0
Related JSON: content/design/compliance/audit-retention.json
Category: compliance
Workload: design
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\audit-retention.ps1 -Monitoring
Check compliance status
.EXAMPLE
.\audit-retention.ps1 -Remediation
Apply configuration
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[switch]$Revert,
[Parameter()]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
# ============================================================================
# HEADER
# ============================================================================
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Audit & Retention Design" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================
" -ForegroundColor Cyan
# ============================================================================
# FUNCTIONS
# ============================================================================
function Test-Compliance {
<#
.SYNOPSIS
Tests if current configuration is compliant
#>
[CmdletBinding()]
param()
return Invoke-Monitoring
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitors current configuration status
#>
[CmdletBinding()]
param()
Write-Host "
Monitoring:" -ForegroundColor Yellow
# Design document - no API calls
$auditConfig = Get-AdminAuditLogConfig
@{
isCompliant = ($auditConfig.UnifiedAuditLogIngestionEnabled -eq $true)
unifiedAuditLogIngestionEnabled = $auditConfig.UnifiedAuditLogIngestionEnabled
message = if ($auditConfig.UnifiedAuditLogIngestionEnabled) { "Audit log search enabled" } else { "Audit log search NOT enabled" }
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Applies recommended configuration
#>
[CmdletBinding()]
param()
Write-Host "
Remediation:" -ForegroundColor Yellow
# Design document - no API calls
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
}
function Invoke-Revert {
<#
.SYNOPSIS
Reverts configuration to previous state
#>
[CmdletBinding()]
param()
Write-Host "
Revert:" -ForegroundColor Yellow
Write-Host "Reverting configuration..." -ForegroundColor Yellow
Write-Host "Manual revert required - see JSON documentation" -ForegroundColor Gray
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
if ($Revert) {
if ($WhatIf) {
Write-Host "WhatIf: Would revert configuration" -ForegroundColor Yellow
}
else {
Invoke-Revert
}
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
else {
Write-Host "Available parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Check current status" -ForegroundColor Gray
Write-Host " -Remediation : Apply configuration" -ForegroundColor Gray
Write-Host " -Revert : Revert changes" -ForegroundColor Gray
Write-Host " -WhatIf : Show what would happen" -ForegroundColor Gray
}
}
catch {
Write-Error "Error: $_"
throw
}
finally {
Write-Host "
========================================
" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Wanneer audit logging niet volledig of niet immutabel is ingericht, blijven security-incidenten vaak onopgemerkt, stranden forensische onderzoeken en kan de organisatie niet bewijzen dat zij aan BIO, NIS2 en AVG-verplichtingen voldoet. Dit leidt tot verhoogde kans op datalekken, bestuurlijke aansprakelijkheid en boetes oplopend tot twintig miljoen euro. Bovendien ontstaat reputatieschade omdat bestuurders geen inzicht kunnen geven in wie welke beheerdershandelingen heeft uitgevoerd.
Management Samenvatting
Activeer tenant-brede auditing in Microsoft Purview, valideer de ingestie via Microsoft Sentinel, automatiseer exports naar een WORM-enabled Azure Storage-account en koppel monitoring- en remediatieprocessen aan deze keten. Zo ontstaat een herhaalbaar patroon waarmee Nederlandse overheidsorganisaties incidenten sneller detecteren, audits doorstaan en voldoen aan de zevenjarige bewaarplicht zonder afhankelijk te zijn van handmatige acties.
- Implementatietijd: 40 uur
- FTE required: 0.3 FTE