💼 Management Samenvatting
Platformmonitoring en auditing vormen het zenuwstelsel van de Nederlandse Baseline voor Veilige Cloud en zorgen ervoor dat elke wijziging, aanmelding en beleidsaanpassing direct zichtbaar en verklaarbaar blijft.
Aanbeveling
Investeer in een integraal monitorings- en auditprogramma dat alle Microsoft 365- en Azure-signalen centraliseert in Log Analytics en Sentinel en borgt dat Purview Audit minimaal zeven jaar bewijs levert.
Risico zonder
Critical
Risk Score
9/10
Implementatie
60u (tech: 40u)
Van toepassing op:
✓ Microsoft 365
✓ Azure
✓ Azure
Zonder een zorgvuldig ontworpen monitoringslaag verliest een organisatie het overzicht over privilege-escalaties, datalekken en sabotage, waardoor meldingsplichten richting de Autoriteit Persoonsgegevens of NIS2-toezichthouders onmogelijk worden nagekomen en vertrouwen van burgers en partners wegvalt.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Security
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Security
Implementatie
Dit control vertaalt strategische beveiligingsdoelen naar concrete configuraties voor Microsoft Purview, de Microsoft 365 Unified Audit Log, Azure Policy, Intune en Sentinel zodat cloudresources, identiteiten en endpoints continu worden bewaakt volgens de BIO- en ISO 27001-normen.
Vereisten
Een volwassen inrichting van platformmonitoring begint met een solide fundament van organisatorische en technische randvoorwaarden. Elke overheidsorganisatie die Microsoft 365 en Azure inzet moet eerst vastleggen welke bedrijfskritische processen afhankelijk zijn van de clouddiensten, welke gegevenscategorieën onder de BIO- en AVG-classificaties vallen en welke detectie-eisen de toezichthouders stellen. Dat kader vormt de briefing voor het security architectuurteam dat verantwoordelijk is voor de selectie en configuratie van Microsoft Purview, de Unified Audit Log, Azure Log Analytics en de koppeling met Microsoft Sentinel. Zonder deze basale componenten kunnen er geen betrouwbare audittrails worden opgebouwd, ontbreekt consistentie in de tijdstempels en is het onmogelijk om gebeurtenissen over tenantgrenzen heen te correleren. Daarom moet vooraf tevens worden gecontroleerd of alle workloads de juiste diagnostische instellingen ondersteunen en of er voldoende bandbreedte is om logstromen veilig via ExpressRoute of een IPsec-tunnel naar een centrale Log Analytics workspace te verzenden. Naast de technische bouwstenen vragen de licentie- en rechtenstructuur specifieke aandacht. Voor een volledige dekking zijn doorgaans Microsoft 365 E5-, Defender for Cloud- en Entra ID P2-licenties nodig, aangevuld met Microsoft Purview Audit (Premium) voor langdurige bewaarplicht. Service principals die logextracties uitvoeren moeten in Entra ID worden vastgelegd met minimale privileges, terwijl secrets in een Azure Key Vault met beheerde identiteit worden opgeslagen. Organisaties die met ketenpartners of shared tenants werken, hebben bovendien federatieve identiteiten en conditional access policies nodig om API-toegang strikt te beperken. Het dataclassificatiebeleid moet in Purview zijn gepubliceerd zodat elk logrecord automatisch van het juiste label wordt voorzien voordat het naar Sentinel of een langdurig archief wordt verzonden. Procesmatig vereist het platform een multidisciplinair team waarin SOC-analisten, cloud engineers, compliance officers en change managers structureel samenwerken. Er dienen playbooks te bestaan voor onboarding van nieuwe workloads, acceptatietesten in een sandboxomgeving en terugvalscenario’s wanneer logging tijdelijk uitvalt. Ook moeten er afspraken zijn over wie rapportages opstelt voor de Chief Information Security Officer, hoe vaak dashboards worden geëvalueerd in het Security Governance Board en op welke manier bevindingen worden teruggekoppeld naar applicatie-eigenaren. Voor operationele continuïteit is een 24/7 bereikbare eerstelijn cruciaal, aangevuld met escalatiepaden naar externe CERT-partners of de Rijksoverheid wanneer zich een NIS2-meldplichtig incident voordoet. Tot slot vraagt een Nederlandse overheidscontext om aanvullende eisen op het gebied van bewaartermijnen en forensische zekerheid. Auditlogs moeten minimaal zeven jaar intact blijven in een onveranderbare opslag zoals Azure Immutable Blob of Microsoft 365 Litigation Hold, inclusief hashwaardes zodat de bewijsketen standhoudt in civielrechtelijke procedures. Er moet budget zijn voor redundante Log Analytics workspaces in twee Azure-regio’s binnen de Europese Unie, een uitwijkstrategie voor het geval een regio niet beschikbaar is, en een getest plan voor het opnieuw inrichten van de monitoringomgeving bij calamiteiten. Zonder deze randvoorwaarden blijft elke implementatie kwetsbaar en worden de voordelen van geavanceerde monitoring nooit volledig benut. Daarnaast moeten leverancierscontracten expliciet beschrijven hoe beheerde diensten bijdragen aan de monitoringketen. Managed service providers leveren bijvoorbeeld hun eigen logfeeds via Azure Lighthouse of een dedicated API-koppeling, terwijl externe pentesters geauthenticeerde toegang krijgen tot een oefenomgeving die dezelfde auditconfiguratie bevat als productie. Het inkoopteam borgt dat SLA’s bepalingen bevatten over responstijden, escalaties en toegang tot forensische data, inclusief boetebepalingen bij non-conformiteit. Door contractuele afspraken te koppelen aan de technische eisen ontstaat een sluitende keten van verantwoordelijkheid die bestand is tegen audits, parlementaire vragen en publieke transparantie-eisen.
Implementatie
De implementatiefase start met het opstellen van een integraal ontwerp waarin tenantbrede logging, auditing en detectie elkaar versterken. Het projectteam inventariseert eerst alle Microsoft 365 workloads, Azure-abonnementen en hybride koppelingen om te bepalen welke signalen naar de centrale Log Analytics workspace moeten worden gestuurd. Op basis daarvan worden diagnostische instellingen voor Azure Resource Manager, Entra ID en Microsoft 365 Unified Audit Log geprofileerd, inclusief granulariteit, sampling en opslaglocaties. Parallel wordt een governancebesluit genomen over de scheiding tussen productieworkspaces en een dedicated Log Analytics workspace voor testdoeleinden, zodat instellingen veilig kunnen worden gevalideerd zonder productiegegevens aan te passen. Deze voorbereidingen zorgen ervoor dat de daadwerkelijke configuratiestappen reproduceerbaar zijn en dat elke wijziging traceerbaar is voor auditors. Vervolgens activeert het team de noodzakelijke loggingfeatures. In Microsoft Purview wordt Audit (Premium) ingeschakeld met een bewaartermijn van zeven jaar en worden de standaard auditsets uitgebreid met high-value events zoals privilegiestijgingen, DLP-overschrijdingen en wijzigingen in gevoeligheidslabels. Binnen Microsoft 365 worden Unified Audit Log, mailboxauditing en Teams compliance recording via PowerShell gevalideerd. Aan de Azure-zijde worden diagnostic settings geconfigureerd voor alle resourcegroepen, waarbij activiteitenlogboeken, beveiligingswaarschuwingen en prestatiemetrieken naar zowel Log Analytics als een archief in Azure Storage worden gestuurd. Intune-profielen zorgen ervoor dat endpoints security events, Defender for Endpoint alerts en kernconfiguraties automatisch rapporteren. Elke stap wordt vergezeld van een testcase waarin de verwachte logrecords worden opgehaald via Kusto-query’s zodat de kwaliteit direct meetbaar is. Het script platform-monitoring-auditing.ps1 fungeert als het hart van de automatisering. Via Connect-MgGraph maakt het script verbinding met de tenant, controleert of de vereiste modules zoals Microsoft.Graph.Security aanwezig zijn en pusht vervolgens een consistente configuratieset naar alle relevante workloads. Het script legt per tenant het ingestelde auditniveau vast, maakt of actualiseert Log Analytics workspaces, configureert Sentinel-gegevensconnectors en zet standaard alertregels klaar voor kritieke gebeurtenissen zoals massale aanmeldingsfouten, verdachte mailboxregels of mislukte wijzigingen in Azure Policy. In dezelfde run worden Sentinel automation rules aangemaakt zodat incidenten automatisch aan het SOC-ticketingsysteem worden aangeboden en, indien nodig, playbooks in Azure Automation worden gestart voor containmentmaatregelen. Alle uitvoer wordt in een deploymentlog opgeslagen zodat bewijsvoering direct beschikbaar is. Gedurende het gehele traject wordt nauw samengewerkt met change- en releasebeheer om productie-incidenten te voorkomen. Elke configuratie wordt eerst uitgerold in een acceptatietenant waar functionele beheerders en securityanalisten de dashboards, alertstromen en workbooks beoordelen. Pas na een formele go/no-go worden de instellingen in productie toegepast en wordt het script in een DevOps-pijplijn opgenomen zodat toekomstige updates gecontroleerd verlopen. Documentatie over verantwoordelijkheden, fallbackprocedures en handmatige stappen wordt toegevoegd aan het servicehandboek zodat beheerders exact weten hoe zij wijzigingen moeten uitvoeren of herstellen. Door deze gestructureerde aanpak ontstaat een herhaalbare implementatie die zowel auditproof als kostenefficiënt is. Parallel aan de technische oplevering wordt een pilot uitgevoerd met een representatieve businessunit. Gedurende vier weken wordt gemeten welke incidenttypes binnenkomen, hoeveel tijd analisten besteden aan triage en hoeveel automatische playbooks daadwerkelijk worden voltooid. De resultaten worden gebruikt om de ROI van Sentinel-verbruik en opslagkosten te onderbouwen en om de laatste fine-tuning van alertdrempels door te voeren. Na afronding levert het team een compleet overdrachtsdossier op met architectuurdiagrammen, Kusto-query’s, beheerprocedures en een planning voor periodieke herbeoordelingen zodat het programma duurzaam kan groeien.
Gebruik PowerShell-script platform-monitoring-auditing.ps1 (functie Invoke-Monitoring) – Monitoren.
monitoring
Effectieve monitoring binnen de Nederlandse Baseline voor Veilige Cloud draait om continue zichtbaarheid over alle lagen van het platform. Het SOC definieert per businessproces welke detectieregels cruciaal zijn, welke logbronnen daarvoor nodig zijn en welk responsetempo past bij de impactcategorie. Azure Sentinel wordt ingericht met data connectors voor Entra ID, Microsoft Defender, Azure Activity Logs, Purview, Intune en relevante third-party bronnen zoals on-premises firewalls. Door gebruik te maken van Kusto-query’s worden baselines vastgesteld voor normaal gedrag, waarna anomaly detection rules gericht zoeken naar afwijkende patronen zoals ongebruikelijke geografische aanmeldingen, massale rolwijzigingen of plotselinge verhogingen in opslagtransacties. Deze analytische laag wordt aangevuld met near-real-time alerts uit Defender for Cloud Apps zodat verdachte SaaS-activiteiten onmiddellijk zichtbaar zijn. De monitoringstrategie staat of valt met begrijpelijke visualisaties voor zowel operationele analisten als bestuurders. Workbooks in Sentinel en Microsoft Purview combineren tijdseries, geografische kaartlagen, tabeloverzichten en KPI-kaarten die direct laten zien hoe het platform presteert ten opzichte van de vereiste BIO-controles. Specifieke dashboards zijn ontworpen voor identity security, data protection, infrastructure health en compliance. Elk dashboard bevat contextuele toelichting, gekoppelde runbooks en links naar relevante beleidsdocumenten, zodat een nieuwe analist zonder vertraging begrijpt wat een afwijking betekent. Daarnaast worden Power BI-rapportages gedeeld met CISO’s en afdelingshoofden waarin trends rondom incidenttypen, doorlooptijden en herstelmaatregelen worden verklaard. Zo ontstaat een gedeeld beeld van risico’s en prioriteiten. Automatisering speelt een centrale rol in het terugbrengen van de analyselast. Sentinel automation rules sturen alerts direct naar het SOC-platform, verrijken ze met context uit CMDB’s en starten waar mogelijk een Logic App of Azure Automation runbook dat containmentmaatregelen uitvoert, zoals het blokkeren van een account of het isoleren van een endpoint. Het script platform-monitoring-auditing.ps1 wordt periodiek aangeroepen via een geplande taak om te verifiëren of connectors, analyticsregels en dataverbindingen nog in de gewenste staat verkeren. Afwijkingen worden gelogd als technische schulden en krijgen een eigenaar in het ITSM-systeem zodat opvolging gegarandeerd is. Voor kritieke workloads bestaan er aanvullende synthetische transacties die user journeys simuleren en de resulterende logs analyseren op vertragingen of ontbrekende events. Echte volwassenheid ontstaat pas wanneer monitoring cyclisch wordt geëvalueerd. Daarom organiseert de organisatie maandelijkse review-sessies waarin het SOC, compliance officers en service-eigenaren de effectiviteit van detectieregels toetsen aan recente dreigingsinformatie van het Nationaal Cyber Security Centrum. Nieuwe TTP’s worden vertaald naar hunts en analyticsquery’s, terwijl verouderde regels worden opgeschoond om ruis te beperken. Medewerkers volgen jaarlijks trainingen in het interpreteren van Sentineldashboards, het lezen van Purview-audittrails en het documenteren van bevindingen voor audits. Door deze continue verbetering blijft het monitoringprogramma actueel, mensgericht en afgestemd op de Nederlandse wettelijke context. Om stabiliteit te garanderen worden servicewindows voor onderhoud van connectors en workspaces vooraf afgestemd met de bedrijfsvoering. Elk gepland onderhoud wordt voorzien van een monitoringfallback waarbij kritieke alerts tijdelijk rechtstreeks naar Defender-portalen worden doorgestuurd. Daarnaast definieert het team meetbare service level objectives voor signaalvertraging, beschikbaarheid van dashboards en maximale incidentwachtrijen. Deze doelen worden continu gemeten en zichtbaar gemaakt op een reliability-dashboard, zodat afwijkingen direct leiden tot verbeteracties en het management inzicht houdt in de volwassenheid van de monitoringsdienst.
Gebruik PowerShell-script platform-monitoring-auditing.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie binnen het platform is meer dan het wegdrukken van alerts; het is een gecontroleerde keten van detectie, analyse, besluitvorming en herstel die aantoonbaar voldoet aan NIS2- en BIO-eisen. Zodra Sentinel een incident aanmaakt, worden contextgegevens zoals betrokken identiteit, bron-IP, getroffen workload en correlatie met eerdere gebeurtenissen automatisch toegevoegd. Het eerste responsniveau beoordeelt of het incident legitiem is en voert een gestructureerde triage uit op basis van impact op vertrouwelijkheid, integriteit en beschikbaarheid. Daarbij hoort het raadplegen van Purview-auditlogs, Intune device compliance status en Azure Resource Graph zodat binnen enkele minuten een volledig beeld ontstaat van de aanvalsvector. Na bevestiging start de containmentfase volgens vooraf gedefinieerde playbooks. Voor identiteitsincidenten betekent dit het tijdelijk blokkeren van de gebruiker, het intrekken van refresh tokens en het afdwingen van een wachtwoordreset met meervoudige verificatie. Bij infrastructuurissues worden netwerkbeperkingen geactiveerd via Azure Firewall of Network Security Groups, terwijl workloads met verdachte processen naar een geïsoleerde resourcegroep worden verplaatst. Alle stappen worden geregistreerd in het ITSM-systeem inclusief tijdstempels, verantwoordelijke personen en gebruikte tooling. Tegelijkertijd informeert het communicatieteam de proceseigenaren en, indien nodig, de Functionaris Gegevensbescherming zodat AVG-verplichtingen binnen de wettelijke termijnen worden nagekomen. Het script platform-monitoring-auditing.ps1 bevat functies zoals Invoke-Remediation die geautomatiseerde herstelacties uitvoeren. Denk aan het herstellen van diagnostische instellingen, het opnieuw inschakelen van de Unified Audit Log of het herdeployen van Sentinel-alertregels die door een misconfiguratie zijn uitgeschakeld. Door het script via een gecontroleerde pipeline te draaien, blijft elke wijziging versioneerbaar en is direct zichtbaar welke parameters zijn ingezet. Voor complexe scenario’s worden runbooks in Azure Automation gebruikt die forensische snapshots maken, versleutelde kopieën van logbestanden naar een bewijskluis sturen en een post-incidentrapportage genereren. Deze rapportage bevat een tijdlijn, impactanalyse, genomen maatregelen en openstaande verbeteracties. Nadat de technische verstoring is opgelost, volgt een uitgebreide evaluatie. Het Response Review Board – met vertegenwoordigers van SOC, architectuur, privacy, juridische zaken en de business – bespreekt de rootcause, beoordeelt of detectie- en monitoringregels moeten worden aangepast en bepaalt welke structurele maatregelen nodig zijn om herhaling te voorkomen. Lessons learned worden verwerkt in trainingssessies en opgenomen in het securityhandboek. Tevens wordt gecontroleerd of alle bewijslasten voor toezichthouders compleet zijn, waaronder auditlogs, communicatie aan betrokkenen en beslisnotities. Door remediatie als een volwaardig governanceproces te benaderen, blijft vertrouwen behouden en kan de organisatie aantonen dat zij proportionele en aantoonbare maatregelen heeft getroffen. Om de paraatheid hoog te houden organiseert de organisatie minimaal driemaal per jaar een tabletop-oefening en één technische purple-teamtest waarin detectie, respons en herstel gezamenlijk worden beoordeeld. Tijdens deze sessies wordt het volledige besluitvormingsproces nagebootst, inclusief communicatie met de woordvoerder en het escaleren naar het Nationaal Cyber Security Centrum. De uitkomsten worden vertaald naar geactualiseerde playbooks, aanvullende training voor first responders en, waar nodig, verbeterde integraties tussen het SOC-platform en ketenpartners. Zo blijft remediatie geen papieren proces maar een geoefende vaardigheid. Elke remediatiecase wordt bovendien verrijkt met metrieke data zoals mean time to detect, contain en recover. Deze cijfers worden vergeleken met vooraf gedefinieerde prestatiedoelen en vormen input voor het jaarlijkse verbeterplan. Door transparant te rapporteren aan directie en auditcommissie blijft de urgentie hoog en krijgt het SOC de middelen om tooling, staffing en training structureel te optimaliseren.
Gebruik PowerShell-script platform-monitoring-auditing.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance en auditing vormen de sluitsteen van elke monitoringstrategie binnen de Nederlandse Baseline voor Veilige Cloud. Overheidsorganisaties moeten niet alleen aantonen dat zij logging en detectie hebben ingericht, maar ook dat de processen aansluiten op BIO 12.4, ISO/IEC 27001 Annex A.12.4 en de eisen uit de Wet beveiliging netwerk- en informatiesystemen. Dat betekent concreet dat er een volledig en onveranderbaar overzicht moet zijn van wie welke handeling heeft uitgevoerd, op welk systeem, met welk resultaat en op basis van welke autorisatie. De governancearchitectuur beschrijft daarom expliciet hoe rollen en verantwoordelijkheden zijn verdeeld, welke controles periodiek worden uitgevoerd en hoe afwijkingen worden gerapporteerd aan het management. Voor auditlogbewaring hanteert de organisatie een gelaagde aanpak. Operationele logs blijven minimaal 180 dagen in Log Analytics beschikbaar voor snelle zoekopdrachten en realtime dashboards. Voor de wettelijk vereiste zeven jaar wordt gebruikgemaakt van Purview Audit (Premium) in combinatie met Azure Blob Storage met immutable policies en georeplicatie binnen de Europese Unie. Elke export wordt voorzien van een hashwaarde en digitale handtekening zodat rechters en toezichthouders kunnen verifiëren dat er niet met de data is gemanipuleerd. Tevens worden de bewaartermijnen afgestemd op specifieke wetgeving, zoals fiscaal recht of sectorale archiefwetgeving, zodat er geen tegenstrijdige retention policies ontstaan. Auditors en interne toezichthouders hebben inzicht nodig in de effectiviteit van de controles. Daarom levert het SOC per kwartaal een compliance-rapportage waarin key control indicators zijn opgenomen, zoals het percentage ingeschakelde diagnostic settings, het aantal succesvol uitgevoerde Sentinel-playbooks en de doorlooptijd van incidentmeldingen richting de Autoriteit Persoonsgegevens. Deze rapportage wordt ondersteund door steekproeven waarbij Purview-auditentries worden vergeleken met changetickets en goedgekeurde CAB-notulen. Eventuele afwijkingen worden geregistreerd in het risicologboek, voorzien van mitigerende maatregelen en opgevolgd tijdens de eerstvolgende managementreview. Op die manier ontstaat een aantoonbare audittrail van constateringen tot en met afronding. Om de compliancepositie toekomstbestendig te houden, integreert de organisatie haar monitoring- en auditdata met het enterprise riskmanagementplatform. Nieuwe wet- en regelgeving, zoals de Europese Cyber Resilience Act, wordt proactief vertaald naar aanvullende detectie-eisen en aangepaste rapportages. Wanneer Microsoft nieuwe loggingmogelijkheden introduceert, wordt een impactanalyse uitgevoerd die vastlegt of de functionaliteit verplicht wordt gesteld, facultatief blijft of juist moet worden uitgeschakeld vanwege dataminimalisatie. Door deze continue dialoog tussen technologie, juridische kaders en bestuurlijke accountability blijft het monitoring- en auditprogramma in lijn met de hoogste verwachtingen van Nederlandse toezichthouders. Tot slot wordt samengewerkt met interne audit en externe accountants om het monitoringsprogramma op te nemen in de jaarlijkse assuranceplanning. Zij voeren onafhankelijke steekproeven uit op de codebasis van platform-monitoring-auditing.ps1, controleren of wijzigingsbeheer correct is toegepast en beoordelen of de loggingconfiguraties overeenkomen met de vastgestelde normen. Bevindingen worden gekoppeld aan verbeterinitiatieven in het enterpriseportfolio zodat compliance niet eindigt met een rapport, maar direct leidt tot tastbare versterking van het beveiligingslandschap. Daarnaast investeert de organisatie in digitale assurance-labs waarin auditors zelfstandig scenario’s kunnen naspelen op een gesandboxte tenant met identieke loggingconfiguraties. Zo ontstaat een veilige omgeving om vragen van toezichthouders te beantwoorden zonder productiegegevens te riskeren en wordt continu aangetoond dat de beheersmaatregelen daadwerkelijk werken. De labresultaten worden gedocumenteerd in het auditdossier en gekoppeld aan de jaarlijkse managementverklaring.
Compliance & Frameworks
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Platform Monitoring & Auditing Design
.DESCRIPTION
Implementation for Platform Monitoring & Auditing Design
.NOTES
Filename: platform-monitoring-auditing.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/security/platform-monitoring-auditing.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Platform Monitoring & Auditing Design"
$BIOControl = "16.01"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "platform-monitoring-auditing"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder deze basis blijven privilege-escalaties, configuratiewijzigingen en datalekken maanden onder de radar, worden BIO- en NIS2-meldplichten gemist en ontbreekt forensisch bewijs voor toezichthouders en de rechter.
Management Samenvatting
Activeer Purview Audit (Premium), Unified Audit Log, Entra ID sign-in en auditlogs, Azure Activity Logs en alle resource diagnostische instellingen, stuur ze naar een centrale Log Analytics workspace en koppel alles aan Microsoft Sentinel met gestandaardiseerde analyticsregels, automation rules en werkboeken. Archiveer de ruwe data onveranderbaar voor zeven jaar, test periodiek via het script platform-monitoring-auditing.ps1 of configuraties intact zijn en rapporteer elk kwartaal op key control indicators richting CISO en audit. Deze combinatie levert continue zichtbaarheid, versnelt incidentrespons tot onder de NIS2-drempels en bewijst aantoonbaar naleving van BIO 12.4 en ISO/IEC 27001.
- Implementatietijd: 60 uur
- FTE required: 0.5 FTE