💼 Management Samenvatting
Deze beveiligingsmaatregel zorgt ervoor dat Windows-eindpunten hun gebeurtenissen consistent doorsturen naar een centrale verzamelomgeving, waardoor afwijkingen in real time zichtbaar worden en onderzoeksdossiers nooit afhankelijk zijn van lokale logboeken die kunnen worden verwijderd of overschreven.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Door loggegevens vroegtijdig te centraliseren voldoet de organisatie aan de Nederlandse Baseline voor Veilige Cloud, worden BIO- en AVG-eisen aantoonbaar ingevuld en ontstaat er een betrouwbare grondslag voor detectie van misbruik van beheerrechten, ongeautoriseerde configuraties en laterale beweging binnen het overheidsnetwerk.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
De maatregel configureert Windows Event Forwarding via Microsoft Intune, inclusief beveiligde collectors, verplichte authenticatie en scriptgestuurde validatie, zodat ieder beheerd endpoint automatisch dezelfde loggingstandaard volgt ongeacht locatie of netwerksegment.
Vereisten
Een robuuste inrichting van Windows Event Forwarding begint met het definiëren van de centrale logboekarchitectuur waarin alle domeincontrollers, beheerde werkplekken en servers hun beveiligingsrelevante gebeurtenissen afleveren. Voor Nederlandse overheidsorganisaties betekent dit dat het Security Operations Center een schaalbare verzamelserver in een gecontroleerd netwerksegment beschikbaar stelt, voorzien van redundante opslag en versleutelde transportkanalen zodat loggegevens conform BIO-eisen niet onderweg kunnen worden gemanipuleerd of onderschept.
Daarnaast moeten Intune-beheerders vooraf zorgen voor consistente device compliance, zodat elke Windows client over de meest recente Intune Management Extension, een actieve verbinding met Microsoft Entra ID en toegang tot de benodigde service-URL's beschikt. Zonder deze voorbereidingen blijft de beleidsregel weliswaar toegewezen, maar ontstaan er hiaten omdat endpoints die buiten het beheer vallen geen logboeken versturen, waardoor dreigingsanalyses incompleet blijven en post-incidentonderzoeken geen sluitend bewijs kunnen leveren.
Op identiteitsniveau is een duidelijke rolverdeling noodzakelijk. Alleen beheerders met een toegewezen Intune Security Administrator rol mogen de configuratieprofielen aanpassen, terwijl het dagelijkse beheer van het abonnement via gescripte pipelines moet verlopen zodat audit trails eenvoudig aantonen wie welke wijziging heeft doorgevoerd. Tevens is het essentieel om een serviceaccount of managed identity te registreren voor het uitvoeren van health checks en scriptmatige validaties, omdat persoonlijke accounts kunnen expireren en zo de continuïteit van de logstroom in gevaar brengen.
Voordat de productieconfiguratie wordt uitgerold, hoort een representatieve testomgeving beschikbaar te zijn waarin dezelfde netwerksegmenten, firewallregels en subscription policies gelden als in productie. In deze omgeving worden de forwarding-instellingen gevalideerd op bandbreedteverbruik, buffering en failovergedrag. Testresultaten worden gedocumenteerd en vergeleken met de prestatie-eisen van het SOC, zodat het team exact weet hoeveel gebeurtenissen per seconde kunnen worden verwerkt en weloverwogen capaciteitsbeslissingen kan nemen.
Tot slot vereisen de kwaliteitsprocessen dat alle documentatie, waaronder architectuurdiagrammen, verantwoordingsnotities en operationele runbooks, centraal wordt opgeslagen in een door de organisatie goedgekeurde kennisbank. Medewerkers moeten getraind zijn in het herkennen van verstoringen in de logstroom, het interpreteren van meldingen uit de script gebaseerde health checks en het escaleren naar het incidentrespons-team. Zonder deze organisatorische randvoorwaarden blijft logboekdoorsturing een technisch experiment, terwijl de bedoeling juist is om een herhaalbare, auditbestendige voorziening te realiseren.
Een aanvullende randvoorwaarde betreft de opslag- en retentievoorzieningen waarin de doorgestuurde logs landen. De gekozen SIEM of log analytics workspace moet aantoonbaar voldoen aan de eisen van het Nationaal Cyber Security Centrum en de Archiefwet, inclusief een bewaartermijn van minimaal twaalf maanden voor beveiligingsrelevante gebeurtenissen. Dat betekent dat storage-accounts versleuteld zijn met door de organisatie beheerde sleutels, dat lifecycle policies voorkomen dat data voortijdig wordt verwijderd en dat er duidelijke procedures bestaan voor het exporteren van logboeken wanneer een extern forensisch onderzoek noodzakelijk is.
Ook leveranciersafhankelijkheden worden meegenomen in de voorbereidingen. Wanneer een externe partij verantwoordelijk is voor delen van het beheer, bijvoorbeeld een werkplekdienstverlener, moet in het contract zijn vastgelegd dat hun beheeracties eveneens in de gecentraliseerde logvoorziening verschijnen. Dit vraagt om API-toegang tot ondersteunende systemen, een gezamenlijke incidentcommunicatieprocedure en periodieke verificatiesessies waarin zowel interne als externe partijen aan kunnen tonen dat alle kritieke gebeurtenissen daadwerkelijk worden doorgestuurd. Zonder deze borging blijven essentiële gebeurtenissen verborgen voor toezichthouders.
Implementatie
De implementatie van event log forwarding via Intune start met een grondige inventarisatie van alle Windows-eindpunten die binnen de scope vallen. Beheerders verzamelen hostnamen, organisatorische eenheden, netwerksegmenten en toepasselijke compliance-eisen, zodat de uiteindelijke configuratieprofielen doelgericht kunnen worden toegewezen. Deze analyse maakt inzichtelijk welke systemen al beschikken over lokale verzamelmechanismen en welke machines volledig afhankelijk zijn van Intune, waardoor dubbele logging wordt voorkomen en de storagecapaciteit van het Security Operations Center efficiënt wordt benut.
Vervolgens wordt in de Intune admin center een apparaatconfiguratieprofiel aangemaakt op basis van de sjabloon voor aangepaste OMA-URI-instellingen. Hierin worden de subscripten voor Windows Event Forwarding gedefinieerd, waaronder de collector-URL, de authenticatiemethode en de aangewezen event channels. De waarden worden getest met behulp van lokale debuginstellingen en PowerShell-cmdlets zoals wecutil, zodat exact duidelijk is hoe de eindpunten zich gedragen voordat de beleidsregel breed wordt uitgerold. Bij elke wijziging wordt een versienummer aan de configuratie toegevoegd en vastgelegd in de centrale changelog.
Tijdens de implementatie wordt gebruikgemaakt van het script event-log-forwarding.ps1, dat zowel monitoring als remediatie ondersteunt. Het script draait in een gecontroleerde runspace, controleert of de vereiste services actief zijn en valideert of de subscription GUID's overeenkomen met de goedgekeurde configuratie. Wanneer afwijkingen worden gedetecteerd, schrijft het script een gebeurtenis weg in het Microsoft 365 Defender portal en stuurt het automatisch een melding naar het SOC-team, zodat analisten direct kunnen beoordelen of er sprake is van sabotage of een technische fout.
Een zorgvuldig stagedeployment voorkomt dat productieprocessen worden verstoord. Eerst ontvangt een kleine pilotgroep de beleidsregel, waarbij de Intune rapportages en de scriptuitvoer gebruikt worden om de verwerkingstijden, herstartvereisten en compatibiliteit met security agents te verifiëren. Pas nadat de pilot stabiel draait, wordt het beleid per afdelingsgroep toegewezen, waarbij change management de betrokken proceseigenaren informeert over eventuele korte onderbrekingen in het logboekverkeer en de noodzaak om systemen tijdens kantooruren aan te laten staan zodat logs daadwerkelijk worden verzonden.
Gedurende de uitrol worden alle resultaten gedocumenteerd in een implementatiedossier dat onderdeel vormt van de Nederlandse Baseline voor Veilige Cloud. In dit dossier staan de gehanteerde instellingen, de relatie met de BIO-controles en de onderliggende risicoafwegingen. De documentatie wordt gedeeld met auditors en het CISO-office, zodat zij kunnen bevestigen dat de gekozen aanpak niet alleen technisch werkt, maar ook past binnen de governance-structuur van de organisatie. Door deze transparante werkwijze kan elke toekomstige wijziging sneller worden beoordeeld en telkens dezelfde kwaliteitsstandaard worden gegarandeerd.
Wanneer de configuratie eenmaal organisatiebreed actief is, wordt de Intune-beleidsregel vergrendeld tegen ongeautoriseerde wijzigingen door middel van role-based access control en aangepaste alerts in Microsoft Defender for Cloud Apps. Hierdoor kunnen alleen aangewezen beheerders de instellingen aanpassen en wordt elke poging tot wijziging direct gelogd en geëscaleerd. Zo blijft de implementatie duurzaam in stand en blijft de logboekketen betrouwbaar, zelfs wanneer personeelswisselingen plaatsvinden of nieuwe werkplekgeneraties worden toegevoegd.
Tot besluit wordt een post-implementatie-evaluatie georganiseerd waarbij operations, security en compliance gezamenlijk de eerste weken aan telemetrie doornemen. Eventuele afwijkingen worden vertaald naar backlog-items in het centrale werkspoor, en verbeteringen worden direct verwerkt in het script en het Intune-profiel. Deze iteratieve aanpak zorgt ervoor dat de implementatie zich blijft aanpassen aan nieuwe dreigingsscenario's en technologische ontwikkelingen zonder dat de beheerlast onbeheersbaar wordt.
Gebruik PowerShell-script event-log-forwarding.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Monitoring van event log forwarding begint met het definiëren van duidelijke prestatie-indicatoren die verder gaan dan een simpele online- of offline-status. Het Security Operations Center stelt per locatie en apparaatcategorie vast hoeveel gebeurtenissen minimaal per uur moeten worden ontvangen en welke event channels cruciaal zijn voor detectie van misbruik van beheerrechten, laterale beweging en manipulatie van beveiligingsinstellingen. Door deze normen vast te leggen krijgt elke analist een objectieve maatstaf om afwijkingen te herkennen en kan de monitoringworkflow volledig worden afgestemd op het risicoprofiel van de organisatie.
Het script event-log-forwarding.ps1 vormt de ruggengraat van de operationele controles. In monitoringmodus controleert het script of de benodigde Windows-services zijn gestart, of de lokale subscription-client nog synchroniseert met de collector en of er recente events in de wachtrij zijn achtergebleven. De uitvoer wordt naar een Log Analytics workspace gestuurd waar Kusto-query's automatisch verbanden leggen tussen scriptresultaten en andere telemetriebronnen, zodat analisten op één dashboard kunnen zien of een storing samenhangt met netwerkbeperkingen, certificaatproblemen of ongeautoriseerde configuratiewijzigingen.
Naast de scriptgestuurde controles draait er een continue kwaliteitscontrole op de collector. Deze controle vergelijkt het aantal ontvangen berichten met historische gemiddelden en markeert plotselinge dalingen als potentiële verstoringen. Wanneer de drempel wordt overschreden, stuurt het systeem automatisch een melding naar Microsoft Teams met contextinformatie zoals het betrokken apparaat, de tijdsperiode en het geraamde dataverlies. Hierdoor kunnen operationele teams binnen minuten ingrijpen en hoeft er niet te worden gewacht op een periodieke rapportage.
Voor overheidsteams is het essentieel dat monitoringgegevens ook beschikbaar zijn voor auditors. Daarom worden wekelijkse overzichten gegenereerd waarin de beschikbaarheid van de logstroom, de tijd die nodig was om incidenten op te lossen en de eventuele resterende risico's worden samengevat. Deze documenten volgen hetzelfde sjabloon als de overige onderdelen van de Nederlandse Baseline voor Veilige Cloud, waardoor het eenvoudiger wordt om trends te signaleren en structurele verbeteracties aan het management voor te leggen.
Een belangrijk onderdeel van monitoring is het uitvoeren van synthetische tests. Met behulp van een gecontroleerde PowerShell-opdracht wordt op vaste tijdstippen een herkenbaar event gegenereerd dat door het hele ketenpad reist. Het SOC verifieert of dit event binnen een afgesproken tijdsbestek zichtbaar wordt in het SIEM-dashboard. Blijft het signaal uit, dan geeft het systeem een rood statusbericht en wordt automatisch een probleemticket aangemaakt. Dit mechanisme bewijst dat de monitoringketen niet alleen passief reageert, maar actief de beschikbaarheid van de logvoorziening aantoont.
Tot slot worden alle monitoringactiviteiten geëvalueerd tijdens maandelijkse kwaliteitsreviews. Hierin bespreken Intune-beheerders, netwerkexperts en de CISO-office welke trends zichtbaar zijn, welke correctieve acties zijn uitgevoerd en welke aanvullende detectielogica nodig is om nieuwe dreigingsscenario's af te dekken. Bevindingen worden vertaald naar verbetermaatregelen in het script, nieuwe dashboards of aangepaste escalatieprocedures. Zo blijft de monitoringfunctie volwassen en sluit deze continu aan op zowel operationele eisen als complianceverplichtingen.
De inzichten uit deze monitoringcyclus worden gedeeld via kennisbijeenkomsten en digitale communities binnen de organisatie, zodat iedere security analist en werkplekbeheerder begrijpt welke signalen doorslaggevend zijn voor tijdige detectie. Door ervaringen te documenteren, lessons learned te verspreiden en opvolging te borgen binnen het changeproces, groeit de volwassenheid van de monitoringfunctie en wordt het vertrouwen van bestuurders en toezichthouders versterkt.
Gebruik PowerShell-script event-log-forwarding.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie van verstoringen in event log forwarding begint met een snelle impactbepaling. Zodra monitoring een afwijking meldt, controleren beheerders welke apparaten geen logboeken meer verzenden en of de collector nog bereikbaar is vanuit de getroffen segmenten. Deze analyse wordt vastgelegd in het incidentdossier, inclusief tijdstippen, betrokken assetgroepen en eventuele correlaties met recente wijzigingen in Intune of netwerkconfiguraties. Door direct helderheid te creëren over de scope kan het SOC prioriteiten stellen en voorkomen dat andere incidenten onopgemerkt blijven.
Daarna wordt het script event-log-forwarding.ps1 in remediatiemodus uitgevoerd op de betrokken apparaten. Het script reset de subscription, herstelt corrupte configuratiebestanden en start de benodigde services opnieuw. Wanneer lokale policies of registry-instellingen handmatig zijn gewijzigd, overschrijft het script deze waarden met de goedgekeurde baseline, zodat de client opnieuw synchroniseert met de collector. De scriptuitvoer wordt opgeslagen in een beveiligde storage-account en automatisch gekoppeld aan het incidentticket, waardoor auditors achteraf kunnen nagaan welke herstelacties precies zijn uitgevoerd.
Indien het probleem wordt veroorzaakt door infrastructuurcomponenten, bijvoorbeeld een collectordienst die geen verbinding meer heeft met zijn database, wordt het change team ingeschakeld om de onderliggende oorzaak aan te pakken. Zij beoordelen of er patches of configuratiewijzigingen nodig zijn en documenteren elke stap in het centrale wijzigingsregister. Hiermee wordt gewaarborgd dat de oplossing niet alleen symptoombestrijding is, maar ook voorkomt dat dezelfde fout opnieuw optreedt. Wanneer er meerdere oorzaken parallel spelen, wordt voor iedere oorzaak een afzonderlijk actiespoor geopend zodat verantwoordelijkheden helder blijven.
Communicatie is tijdens remediatie minstens zo belangrijk als techniek. Het CISO-office informeert proceseigenaren en eventueel betrokken leveranciers over de voortgang, de resterende risico's en de verwachte oplostijd. Indien gevoelige of staatsgeheime informatie in het spel is, wordt afstemming gezocht met de Functionaris Gegevensbescherming en de Chief Information Officer om te bepalen of aanvullende maatregelen noodzakelijk zijn, zoals versnelde forensische analyse of het isoleren van systemen totdat het logverkeer weer stabiel is.
Zodra de logstroom hersteld lijkt, wordt een gecontroleerde validatie uitgevoerd. Dit gebeurt door het genereren van testevents en het vergelijken van de ontvangsttijdstempels met de drempelwaarden uit het monitoringplan. Pas als meerdere opeenvolgende tests slaagden, wordt het incident formeel gesloten. De uitkomsten van de validatie, inclusief eventuele restpunten, worden gepubliceerd in het lessons learned-overzicht zodat toekomstige herstelacties sneller kunnen worden opgepakt en het vertrouwen van toezichthouders behouden blijft.
Tot slot leidt iedere remediatie-actie tot aanpassingen in de beheerdocumentatie. Runbooks worden bijgewerkt met nieuwe beslisbomen, het script krijgt waar nodig extra controles en het Intune-profiel wordt aangescherpt om misconfiguraties te voorkomen. Deze continue verbetercyclus zorgt ervoor dat remediatie niet alleen reactief is, maar ook structureel bijdraagt aan de volwassenheid van de Nederlandse Baseline voor Veilige Cloud. Door techniek, proces en governance in samenhang te verbeteren, neemt de kans op herhaling van dezelfde storing aantoonbaar af en blijft de logboekketen betrouwbaar voor zowel dagelijkse beveiligingsoperaties als wettelijke auditdoeleinden.
Na afronding van ieder hersteltraject worden de betrokken medewerkers geëvalueerd op kennisniveau en handelingssnelheid. De uitkomsten bepalen welke trainingen, toolaanpassingen of organisatorische maatregelen nodig zijn om toekomstige incidenten nog sneller op te lossen. Door remediatie consequent te koppelen aan ontwikkeling van mensen en middelen groeit de veerkracht van de organisatie en wordt logboekdoorsturing een voorspelbaar, beheerst proces.
Gebruik PowerShell-script event-log-forwarding.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance met Windows Event Forwarding laat zien dat de organisatie haar logboekketen onder controle heeft en voldoet aan nationale normen zoals de BIO, de AVG en de Rijksbrede Cloudstrategie. Een gedetailleerd beleid beschrijft waarom logdoorsturing noodzakelijk is, welke systemen zijn opgenomen in de scope en hoe proportionaliteit wordt geborgd voor privacygevoelige gegevens. Door deze beleidsuitgangspunten expliciet te maken, kunnen auditors eenvoudig toetsen of de technische inrichting overeenkomt met de bestuurlijke afspraken en of uitzonderingen correct zijn geautoriseerd.
Binnen de BIO is maatregel 16.01 gericht op het vastleggen, opslaan en analyseren van gebeurtenissen. Event log forwarding levert het bewijs dat alle relevante gebeurtenissen de centrale loggingomgeving bereiken, ongeacht waar het apparaat zich bevindt. Dit bewijs bestaat uit Intune-rapportages, scriptuitvoer, SIEM-dashboards en change-logs, die gezamenlijk aantonen dat de organisatie voortdurend controleert of de keten intact is. Wanneer toezichthouders vragen stellen, kunnen deze bronnen direct worden overlegd waardoor auditcycli korter worden en de betrouwbaarheid van de rapportages toeneemt.
Voor de AVG is vooral de rechtmatigheid en doelbinding van loggegevens van belang. Daarom beschrijft het beleid welke categorieën persoonsgegevens in de events kunnen voorkomen en hoe de organisatie ervoor zorgt dat alleen bevoegde medewerkers toegang hebben tot deze data. Toegangsrechten worden gekoppeld aan rolgebaseerde groepen, logging wordt versleuteld opgeslagen en retentieperioden volgen het principe van minimale bewaartermijnen. Deze maatregelen tonen aan dat de organisatie de privacy-risico's onderkent en passende organisatorische en technische maatregelen heeft getroffen.
Ook internationale normen zoals ISO 27001 vragen om aantoonbaar beheer van logbestanden. Door procedures vast te leggen voor configuratiewijzigingen, monitoring en remediatie, ontstaat een volledige audittrail die rechtstreeks kan worden gebruikt tijdens certificeringsaudits. Documenten zoals het statement of applicability en risicoregisters refereren expliciet aan de Intune-configuratie en het ondersteunende script, zodat auditors precies zien hoe de controle is ingericht en welke bewijslast beschikbaar is.
Het governance-proces rond compliance en auditing omvat periodieke controles waarbij het CISO-office steekproeven uitvoert op beleidsdocumenten, technische instellingen en operationele rapportages. Afwijkingen worden geregistreerd als verbetermaatregelen en krijgen een eigenaar, deadline en prioriteit. Deze registraties worden gedeeld met het managementteam en opgenomen in de voortgangsrapportage van de Nederlandse Baseline voor Veilige Cloud. Door deze bestuurlijke aandacht blijft logboekdoorsturing niet alleen een technische taak, maar een aantoonbaar onderdeel van de totale risicobeheersing.
Tot slot is externe verantwoording essentieel. Overheidsorganisaties rapporteren aan toezichthouders zoals de Algemene Rekenkamer of branchegerichte inspecties. Door tijdig inzicht te geven in de werking van event log forwarding, inclusief trends, lessons learned en geplande verbeteracties, ontstaat vertrouwen dat de organisatie haar digitale weerbaarheid serieus neemt. Het delen van deze inzichten met ketenpartners helpt bovendien bij gezamenlijke incidentrespons en bij het verder harmoniseren van logboekstandaarden binnen de publieke sector.
Een volwassen compliance-functie omvat ook scholing van medewerkers die met loggegevens werken. Zij volgen periodiek trainingen over gegevensbescherming, ethische verwerking en het juiste gebruik van analysetools. Evaluaties van deze trainingen worden toegevoegd aan het auditdossier, zodat kan worden aangetoond dat kennis en gedrag van medewerkers actief worden ontwikkeld. Hiermee wordt de organisatorische verankering van event log forwarding zichtbaar en blijft de controlemaatregel toekomstbestendig. Deze voortdurende educatie versterkt aantoonbaar de complianceketen.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Event Log Forwarding
.DESCRIPTION
CIS - Event log forwarding naar central SIEM.
.NOTES
Filename: event-log-forwarding.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Service: Wecsvc|Expected: Configured
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $ServiceName = "Wecsvc"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "log-forwarding.ps1"; PolicyName = "Event Log Forwarding"; IsCompliant = $false; CurrentValue = $null; Details = @() }; function Invoke-Revert { Set-Service -Name $ServiceName -StartupType Disabled }
try { $svc = Get-Service -Name $ServiceName -ErrorAction SilentlyContinue; if ($svc) { $startup = Get-CimInstance -ClassName Win32_Service -Filter "Name='$ServiceName'" | Select-Object -ExpandProperty StartMode; if ($startup -ne 'Disabled') { $r.IsCompliant = $true; $r.Details += "Forwarding service enabled" }else { $r.Details += "Forwarding disabled" } }else { $r.IsCompliant = $true; $r.Details += "Service niet gevonden" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { Write-Host "Event forwarding configureren:" -ForegroundColor Yellow; Write-Host "1. Set-Service Wecsvc -StartupType Automatic" -ForegroundColor Gray; Write-Host "2. Configure WinRM + subscriptions" -ForegroundColor Gray }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Set-Service -Name $ServiceName -StartupType Disabled }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder centrale eventlogdoorsturing blijven misbruik van beheerrechten en kritieke systeemfouten onopgemerkt, waardoor forensische reconstructies onmogelijk worden.
Management Samenvatting
Zorg voor uniforme doorsturing van Windows-gebeurtenissen naar een gecontroleerde collector.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE