Audit Logging Voor Gevoelige Bevoegdheden Configureren

Het monitoren van het gebruik van gevoelige bevoegdheden is essentieel voor het detecteren van misbruik en interne bedreigingen. Zonder adequate logging kunnen aanvallers bevoegdheden misbruiken zonder detectie, wat leidt tot gegevensexfiltratie, systeemcompromittatie en nalevingsschendingen. Deze instelling maakt deel uit van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van uitgebreide audit logging.

Implementatie

Deze maatregel configureert audit logging voor gevoelige bevoegdheden via Microsoft Intune apparaatconfiguratiebeleid of compliance beleidsregels. Het beleid registreert zowel succesvolle als mislukte pogingen om gevoelige bevoegdheden te gebruiken, waardoor beveiligingsteams volledige zichtbaarheid krijgen over wie welke bevoegdheden gebruikt en wanneer. Dit maakt tijdige detectie van afwijkend gedrag mogelijk en ondersteunt forensische onderzoeken na beveiligingsincidenten.

Vereisten

De implementatie van audit logging voor gevoelige bevoegdheden vereist een zorgvuldige voorbereiding op zowel technisch als organisatorisch vlak. Deze beveiligingsmaatregel vormt een essentieel onderdeel van een complete defensieve strategie en kan niet effectief worden geïmplementeerd zonder de juiste fundamenten. Organisaties die deze maatregel willen implementeren moeten beginnen met het evalueren van hun huidige infrastructuur en het identificeren van eventuele hiaten die moeten worden opgevuld voordat de implementatie kan beginnen. Vanuit technisch perspectief is toegang tot Microsoft Intune de primaire vereiste. Organisaties moeten beschikken over een actief Intune-licentieplan dat geschikt is voor apparaatbeheer. De meest voorkomende licentieplannen die deze functionaliteit ondersteunen zijn Microsoft 365 E3 of E5, of een standalone Enterprise Mobility + Security licentie. Zonder een geldige licentie kunnen organisaties geen gebruik maken van de apparaatconfiguratiebeleidsregels die nodig zijn om audit logging te configureren. Het is belangrijk om te verifiëren dat de licentie daadwerkelijk actief is en dat alle benodigde services beschikbaar zijn voordat met de implementatie wordt begonnen. Naast licentievereisten is een geschikte beheerdersrol essentieel. Organisaties moeten een beheerder aanwijzen met voldoende rechten om apparaatconfiguratiebeleidsregels te maken, te wijzigen, en toe te wijzen aan apparaten. In de praktijk betekent dit meestal de rol van Intune-beheerder of globale beheerder, afhankelijk van de organisatorische structuur en de toegepaste principes voor op rollen gebaseerd toegangsbeheer. Het is belangrijk dat deze beheerders niet alleen technische kennis hebben, maar ook begrijpen welke impact de configuratie heeft op de beveiligingspostuur van de organisatie. De apparaten zelf moeten correct zijn ingeschreven in Microsoft Intune via een van de ondersteunde inschrijvingsmethoden. De meest voorkomende methoden zijn Azure AD join, waarbij apparaten direct worden gekoppeld aan Azure Active Directory, Hybrid Azure AD join voor organisaties met een hybride omgeving, of Mobile Device Management inschrijving voor specifieke gebruiksscenario's. Elke methode heeft zijn eigen voor- en nadelen, en organisaties moeten de methode kiezen die het beste past bij hun infrastructuur en beveiligingsvereisten. Voor Windows-apparaten is een minimale versie vereist om de geavanceerde audit logging functionaliteit volledig te ondersteunen. Windows 10 versie 1709 of hoger, of Windows 11 zijn de aanbevolen versies. Oudere versies kunnen beperkte ondersteuning bieden of bepaalde functionaliteiten missen die essentieel zijn voor effectieve audit logging. Organisaties met oudere versies moeten overwegen om een upgrade traject te plannen voordat ze audit logging implementeren. Infrastructurele vereisten vormen een kritiek onderdeel van de voorbereiding. De Windows-beveiligingsgebeurtenislogboeken moeten voldoende ruimte hebben om de gegenereerde auditgebeurtenissen op te slaan. De standaardconfiguratie van 20 MB is vrijwel altijd onvoldoende voor productieomgevingen met normale activiteitsniveaus. Een minimale logboekgrootte van 100 MB wordt sterk aanbevolen voor productieomgevingen, en voor omgevingen met hoge activiteit kunnen zelfs grotere logboeken nodig zijn. Organisaties moeten de verwachte hoeveelheid auditgebeurtenissen schatten en hun logboekgrootte dienovereenkomstig configureren. Voor langdurige retentie en centrale analyse is een beveiligingsinformatie- en gebeurtenisbeheersysteem wenselijk, zo niet essentieel. Deze systemen maken het mogelijk om auditlogboeken centraal te verzamelen, te analyseren, en te bewaren voor nalevingsdoeleinden. Microsoft Sentinel, Azure Monitor, of externe SIEM-systemen kunnen allemaal worden gebruikt voor dit doel. De keuze hangt af van de bestaande infrastructuur, budgettaire overwegingen, en specifieke functionele vereisten. Organisatorisch moeten er duidelijke procedures zijn voor het beheren en monitoren van auditlogboeken. Beveiligingsteams moeten getraind zijn in het analyseren van bevoegdheidsgebruikgebeurtenissen en het identificeren van verdacht gedrag. Deze training moet niet alleen technische vaardigheden omvatten, maar ook kennis van de organisatie, haar bedrijfsprocessen, en de context waarin bevoegdheden normaal gesproken worden gebruikt. Zonder deze contextuele kennis is het moeilijk om onderscheid te maken tussen legitiem gebruik en potentieel misbruik. Daarnaast zijn duidelijke incident response procedures nodig voor het escaleren van gevonden anomalieën. Deze procedures moeten beschrijven wie verantwoordelijk is voor het onderzoeken van verdachte activiteiten, welke stappen moeten worden ondernomen wanneer een incident wordt gedetecteerd, en hoe verschillende soorten incidenten moeten worden behandeld. De procedures moeten regelmatig worden getest en bijgewerkt op basis van geleerde lessen uit eerdere incidenten. Vanuit nalevingsperspectief moet de organisatie vastleggen welke retentietermijnen gelden voor auditlogboeken en hoe deze logboeken beschermd worden tegen ongeautoriseerde toegang of manipulatie. Dit is met name relevant voor organisaties die vallen onder de AVG, BIO, of andere regelgeving die specifieke eisen stelt aan logging en auditing. De retentietermijnen kunnen variëren van enkele maanden tot meerdere jaren, afhankelijk van de toepasselijke regelgeving en interne beleidsregels. Organisaties moeten ervoor zorgen dat hun logopslag- en archiveringssystemen deze termijnen kunnen ondersteunen. Tot slot is het belangrijk dat de organisatie een duidelijk overzicht heeft van welke gevoelige bevoegdheden binnen de Windows-omgeving gebruikt worden. Dit omvat kennis van systeembevoegdheden zoals SeBackupPrivilege, SeDebugPrivilege, SeLoadDriverPrivilege, en SeRestorePrivilege, die vaak doelwit zijn van aanvallers en daarom extra monitoring vereisen. Organisaties moeten begrijpen wie normaal gesproken deze bevoegdheden gebruikt, in welke context, en op welke tijden. Deze baseline informatie is essentieel voor het effectief detecteren van afwijkend gedrag.

Implementatie

De implementatie van audit logging voor gevoelige bevoegdheden is een gestructureerd proces dat zorgvuldige planning en uitvoering vereist. Het proces begint met het creëren van een apparaatconfiguratiebeleid in Microsoft Intune, wat de centrale component is voor het afdwingen van de gewenste audit logging configuratie op alle beheerde Windows-apparaten. Organisaties moeten beginnen met het openen van het Intune-beheercentrum, wat de primaire interface is voor het beheren van alle Intune-gerelateerde configuraties. Vanuit het beheercentrum navigeert u naar de sectie Apparaten, waar alle apparaatbeheerfunctionaliteiten zich bevinden. Binnen deze sectie selecteert u Configuratieprofielen, wat de locatie is waar alle apparaatconfiguratiebeleidsregels worden beheerd. Het maken van een nieuw profiel begint met het klikken op de knop voor het maken van een nieuw profiel. Tijdens het configuratieproces moet u het platform selecteren, waarbij Windows 10 en later de juiste keuze is voor moderne Windows-apparaten. Vervolgens kiest u het profieltype Sjablonen, wat toegang geeft tot een breed scala aan vooraf geconfigureerde beleidssjablonen. Binnen de beschikbare sjablonen selecteert u de Administratieve sjablonen, wat een krachtige optie is die toegang geeft tot een uitgebreide set Windows-beleidsinstellingen. Deze sjablonen zijn gebaseerd op de traditionele Group Policy Object instellingen, maar worden nu beheerd via de cloud-gebaseerde Intune-omgeving. Binnen de administratieve sjablonen navigeert u naar de categorie Computerconfiguratie, gevolgd door Administratieve sjablonen, Windows-onderdelen, Auditbeleid, en ten slotte Bevoegdheidsgebruik. Deze hiërarchische structuur volgt de logische organisatie van Windows-beleidsinstellingen en maakt het mogelijk om specifieke audit instellingen te vinden en te configureren. Hier selecteert u de instelling Audit gevoelig bevoegdheidsgebruik, wat de specifieke instelling is die verantwoordelijk is voor het loggen van het gebruik van gevoelige bevoegdheden. Deze instelling moet worden geconfigureerd op Ingeschakeld, wat betekent dat de audit functionaliteit actief is. Belangrijker nog, u moet ervoor zorgen dat zowel de optie Succes als Mislukking zijn geselecteerd. Deze configuratie is essentieel omdat beide typen gebeurtenissen waardevolle informatie bevatten voor beveiligingsanalisten. Succesvolle gebeurtenissen tonen wanneer bevoegdheden legitiem worden gebruikt, wat helpt bij het vaststellen van een baseline voor normaal gedrag. Mislukte gebeurtenissen daarentegen zijn vaak indicatoren van aanvallen of interne bedreigingen die proberen toegang te krijgen tot bevoegdheden waartoe ze geen recht hebben. Deze mislukte pogingen kunnen vroegtijdige waarschuwingen zijn voor potentiële beveiligingsincidenten en moeten daarom altijd worden gelogd. Na het configureren van de beleidsinstellingen moet het profiel worden toegewezen aan de relevante apparaatgroepen. Deze toewijzing bepaalt welke apparaten de configuratie ontvangen en is daarom een kritiek onderdeel van het implementatieproces. Organisaties moeten ervoor zorgen dat alle kritieke endpoints deze beleidsregel ontvangen, inclusief servers, werkstations, en andere Windows-apparaten die toegang hebben tot gevoelige gegevens of systemen. Het is belangrijk om een volledig overzicht te hebben van alle apparaten die deze configuratie moeten ontvangen voordat de toewijzing wordt gemaakt. De implementatie kan het beste gefaseerd worden uitgevoerd, wat een risicobeperkende aanpak is die problemen vroegtijdig kan identificeren voordat ze de volledige omgeving beïnvloeden. Begin met een pilotgroep van testapparaten die representatief zijn voor de productieomgeving maar niet kritiek zijn voor bedrijfsoperaties. Deze pilotgroep moet voldoende groot zijn om betekenisvolle resultaten te produceren, maar klein genoeg om snel te kunnen worden geëvalueerd. Tijdens de pilotfase moet worden geverifieerd dat de logging correct werkt zonder negatieve impact op prestaties of gebruikerservaring. Dit omvat het controleren van systeemprestaties, gebruikerservaring, en de kwaliteit van de gegenereerde logboeken. Na succesvolle validatie kan de beleidsregel geleidelijk worden uitgerold naar de volledige omgeving, waarbij elke fase wordt geëvalueerd voordat naar de volgende wordt overgegaan. Tijdens de implementatie moet er speciale aandacht zijn voor de grootte van gebeurtenislogboeken en bewaarbeleidsregels. Het beveiligingsgebeurtenislogboek op Windows-endpoints moet voldoende groot zijn om de toegenomen auditgebeurtenissen op te slaan. Een minimale logboekgrootte van 100 MB wordt sterk aanbevolen, met automatisch overschrijfgedrag wanneer het logboek vol raakt, tenzij organisatorische eisen anders voorschrijven. Organisaties met nalevingsvereisten die langere retentieperioden vereisen, moeten overwegen om grotere logboeken te configureren of alternatieve opslagmethoden te implementeren. Voor langdurige retentie en nalevingsdoeleinden moet een mechanisme worden geïmplementeerd om auditlogboeken centraal te verzamelen. Windows Event Forwarding is een native Windows-functionaliteit die logboeken kan doorsturen naar een centrale collector. Azure Monitor agents kunnen worden geïnstalleerd op endpoints om logboeken direct naar Azure Monitor te verzenden. SIEM-connectors bieden integratie met externe beveiligingsinformatie- en gebeurtenisbeheersystemen. De keuze tussen deze opties hangt af van de bestaande infrastructuur, budgettaire overwegingen, en specifieke functionele vereisten. Ongeacht de gekozen methode maakt centrale verzameling het mogelijk om logboeken te analyseren, te correleren met andere beveiligingsgebeurtenissen, en te bewaren voor de vereiste retentietermijnen zonder afhankelijk te zijn van lokale gebeurtenislogboekopslag. Na implementatie moet het logginggedrag worden geverifieerd door het genereren van testgebeurtenissen en het controleren of deze correct worden vastgelegd. Dit kan worden gedaan door handmatig een gevoelige bevoegdheid te gebruiken, zoals het maken van een back-up of het laden van een stuurprogramma, en vervolgens te controleren of de bijbehorende gebeurtenissen verschijnen in het beveiligingsgebeurtenislogboek. Gebeurtenis-ID 4672 wordt gegenereerd voor succesvol bevoegdheidsgebruik, terwijl gebeurtenis-ID 4673 wordt gegenereerd voor bevoegdheidsgebruikaanvragen. Deze verificatie moet deel uitmaken van de wijzigingsbeheer- en acceptatieprocedures en moet worden gedocumenteerd voor toekomstige referentie en nalevingsdoeleinden.

Gebruik PowerShell-script privilege-use-audit-sensitive-privilege-use-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Effectieve monitoring van bevoegdheidsgebruikauditlogboeken vereist een gestructureerde en veelzijdige aanpak die zowel technische controle als analytische beoordeling omvat. Het monitoren is geen eenmalige activiteit, maar een continu proces dat constant moet worden verfijnd en geoptimaliseerd op basis van veranderende bedreigingen en organisatorische behoeften. Het monitoren begint met het fundamentele verifiëren dat de auditbeleidsregel daadwerkelijk actief is en correct functioneert op alle endpoints. Dit kan worden gecontroleerd via PowerShell-scripts die de lokale Group Policy Object of Intune-beleidsinstellingen uitlezen en verifiëren dat de instelling voor audit gevoelig bevoegdheidsgebruik is geconfigureerd op zowel succes als mislukking. Deze verificatie moet regelmatig worden uitgevoerd, niet alleen na de initiële implementatie, maar ook als onderdeel van periodieke nalevingscontroles. Automatisering van deze verificatie kan helpen om ervoor te zorgen dat configuratiedrift wordt gedetecteerd voordat het een beveiligingsprobleem wordt. Daarnaast moet periodiek worden gecontroleerd of het beveiligingsgebeurtenislogboek daadwerkelijk bevoegdheidsgebruikgebeurtenissen registreert. Dit is belangrijk omdat gebeurtenislogboeken vol kunnen raken, waardoor nieuwe gebeurtenissen niet meer worden vastgelegd, of de logging om andere redenen kan falen zonder dat dit direct opvalt. Organisaties moeten monitoring implementeren die waarschuwt wanneer verwachte gebeurtenissen niet worden gegenereerd, wat kan wijzen op een probleem met de loggingconfiguratie of een poging om logging te omzeilen. De monitoring moet zich richten op verschillende aspecten van bevoegdheidsgebruik, elk met zijn eigen unieke waarde voor beveiligingsanalisten. Ten eerste moet er uitgebreide aandacht zijn voor normaal gebruik: welke gebruikers gebruiken regelmatig gevoelige bevoegdheden als onderdeel van hun dagelijkse werkzaamheden? Welke bevoegdheden worden het meest gebruikt? Op welke tijden vinden deze activiteiten plaats? Deze baseline informatie is essentieel voor het identificeren van anomalieën, omdat het onmogelijk is om afwijkend gedrag te detecteren zonder eerst te begrijpen wat normaal is. Het opbouwen van deze baseline vereist tijd en observatie, en organisaties moeten geduld hebben terwijl het systeem leert wat normaal gedrag is binnen hun specifieke omgeving. Ten tweede moeten mislukte bevoegdheidsgebruikaanvragen worden geanalyseerd met bijzondere aandacht, omdat deze vaak vroege indicatoren zijn van aanvallen waarbij een aanvaller probeert bevoegdheden te verkrijgen waartoe hij geen toegang heeft. Deze mislukte pogingen kunnen wijzen op brute force-aanvallen, bevoegdheidsescalatiepogingen, of interne bedreigingen die proberen hun toegang uit te breiden. Patronen zoals herhaalde mislukte pogingen vanuit hetzelfde account, mislukte pogingen op ongebruikelijke tijden zoals 's nachts of in het weekend, of mislukte pogingen vanuit ongebruikelijke locaties moeten allemaal worden onderzocht. Deze patronen kunnen wijzen op gecompromitteerde accounts, interne bedreigingen, of externe aanvallers die toegang hebben verkregen tot het netwerk. Ten derde moet er gerichte monitoring plaatsvinden op het gebruik van hoog-risico bevoegdheden zoals SeDebugPrivilege, SeBackupPrivilege, en SeRestorePrivilege. Deze bevoegdheden zijn bijzonder gevaarlijk omdat ze kunnen worden misbruikt voor gegevensexfiltratie, malware-installatie, of het omzeilen van beveiligingscontroles. SeDebugPrivilege stelt gebruikers bijvoorbeeld in staat om processen te debuggen, wat kan worden gebruikt om geheimen uit geheugen te lezen of malware te injecteren. SeBackupPrivilege en SeRestorePrivilege kunnen worden gebruikt om gegevens te kopiëren zonder normale toegangscontroles te passeren. Het gebruik van deze bevoegdheden buiten bekende en geautoriseerde contexten moet als verdacht worden beschouwd en moet onmiddellijk worden onderzocht. Voor effectieve monitoring is een beveiligingsinformatie- en gebeurtenisbeheersysteem essentieel, zo niet onmisbaar. Deze systemen maken het mogelijk om bevoegdheidsgebruikgebeurtenissen centraal te verzamelen, te correleren met andere beveiligingsgebeurtenissen, en te analyseren op verdachte patronen die alleen zichtbaar zijn wanneer gebeurtenissen uit meerdere bronnen worden gecombineerd. Microsoft Sentinel biedt bijvoorbeeld ingebouwde analytische regels die kunnen detecteren wanneer gevoelige bevoegdheden worden gebruikt in combinatie met andere indicatoren van compromittering, zoals ongebruikelijke netwerkactiviteit, verdachte authenticatiepatronen, of bekende aanvalsignaturen. Daarnaast kunnen aangepaste detectieregels worden gemaakt die specifiek zijn afgestemd op de organisatie en haar bedreigingslandschap. Deze aangepaste regels kunnen rekening houden met de unieke bedrijfsprocessen, organisatorische structuur, en historische beveiligingsincidenten van de organisatie. De monitoring moet ook rekening houden met nalevingsvereisten, die vaak specifieke eisen stellen aan hoe en wanneer auditlogboeken moeten worden beoordeeld. Auditlogboeken moeten regelmatig worden beoordeeld om te verifiëren dat alle vereiste gebeurtenissen worden vastgelegd en dat de logging voldoet aan interne beleidsregels en externe regelgeving zoals AVG, BIO, of ISO 27001. Deze beoordelingen moeten worden gedocumenteerd en moeten kunnen worden gepresenteerd tijdens externe audits. Automatische nalevingsrapporten kunnen helpen door aan te geven welke endpoints correct zijn geconfigureerd en welke aandacht vereisen, waardoor beveiligingsteams hun tijd kunnen focussen op de meest kritieke problemen. Proactieve monitoring moet worden aangevuld met robuuste incident response procedures die duidelijk beschrijven wat er moet gebeuren wanneer verdacht bevoegdheidsgebruik wordt gedetecteerd. Wanneer een verdachte activiteit wordt geïdentificeerd, moeten beveiligingsteams snel kunnen reageren door het account te onderzoeken, aanvullende logging in te schakelen voor dieper forensisch onderzoek, of indien nodig de toegang tijdelijk te blokkeren om verdere schade te voorkomen. Deze procedures moeten worden gedocumenteerd, regelmatig worden getest via tabletop-oefeningen of red team-engagementen, en moeten worden bijgewerkt op basis van geleerde lessen uit eerdere incidenten. Tot slot moet de effectiviteit van de monitoring worden gemeten en geoptimaliseerd op basis van concrete prestatie-indicatoren. Het aantal gedetecteerde incidenten, het vals-positief percentage, de tijd tot detectie, en de tijd tot reactie zijn allemaal belangrijke prestatie-indicatoren die kunnen worden gebruikt om de monitoringstrategie continu te verbeteren. Organisaties moeten regelmatig deze prestatie-indicatoren evalueren en aanpassingen maken aan hun monitoringbenadering op basis van wat ze leren. Dit kan betekenen het verfijnen van detectieregels, het aanpassen van drempelwaarden, of het implementeren van nieuwe monitoringtechnieken naarmate nieuwe bedreigingen opduiken.

Gebruik PowerShell-script privilege-use-audit-sensitive-privilege-use-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring aangeeft dat audit logging voor gevoelige bevoegdheden niet correct is geconfigureerd of niet functioneert, moet onmiddellijk actie worden ondernomen om de situatie te herstellen. Elke periode waarin audit logging niet functioneert, vertegenwoordigt een beveiligingsrisico omdat potentiële misbruik van bevoegdheden niet wordt gedetecteerd en gedocumenteerd. Het remediatieproces moet daarom worden behandeld met de urgentie die past bij een beveiligingsincident, zelfs als het technisch gezien een configuratieprobleem is. Het remediatieproces begint met een grondige analyse om de oorzaak van het probleem te identificeren. Deze analyse is essentieel omdat verschillende oorzaken verschillende oplossingen vereisen, en het toepassen van de verkeerde oplossing kan het probleem verergeren of nieuwe problemen introduceren. Mogelijke oorzaken kunnen variëren van eenvoudige configuratiefouten tot complexe infrastructurele problemen. Een veelvoorkomende oorzaak is dat de Intune-beleidsregel niet correct is toegewezen aan het apparaat, wat kan gebeuren wanneer apparaatgroepen niet correct zijn geconfigureerd of wanneer er fouten zijn opgetreden tijdens het toewijzingsproces. Een andere mogelijke oorzaak is dat er conflicten zijn met andere Group Policies die de auditinstellingen overschrijven. Dit is met name relevant in hybride omgevingen waar zowel on-premises Active Directory Group Policies als Intune-beleidsregels actief zijn. Een derde mogelijke oorzaak is dat het beveiligingsgebeurtenislogboek vol is geraakt, waardoor nieuwe gebeurtenissen niet meer worden vastgelegd. Dit kan gebeuren wanneer de logboekgrootte onvoldoende is voor de hoeveelheid activiteit, of wanneer het bewaarbeleid niet correct is geconfigureerd. Voor endpoints waar de auditbeleidsregel niet actief is, moet het Intune-configuratieprofiel opnieuw worden toegewezen of geforceerd worden gesynchroniseerd. Dit kan worden gedaan via het Intune-beheercentrum door naar het betreffende apparaat te navigeren en de synchronisatieactie uit te voeren. Voor meerdere apparaten tegelijk kunnen bulkacties worden gebruikt om de efficiëntie te verhogen. Het is belangrijk om te verifiëren dat de synchronisatie succesvol is voltooid voordat wordt aangenomen dat het probleem is opgelost. In gevallen waar Group Policy-conflicten de Intune-beleidsregel overschrijven, moet worden onderzocht welke GPO's actief zijn en of deze moeten worden aangepast of verwijderd. Dit vereist vaak samenwerking tussen verschillende teams, omdat Group Policies mogelijk worden beheerd door een ander team dan Intune-beleidsregels. Organisaties die een hybride omgeving hebben met zowel on-premises Active Directory Group Policies als Intune-beleidsregels moeten ervoor zorgen dat de prioritering correct is geconfigureerd. Intune-beleidsregels kunnen worden ingesteld om GPO-instellingen te overschrijven waar nodig, maar dit vereist expliciete configuratie. Wanneer het beveiligingsgebeurtenislogboek vol is geraakt, moet dit worden uitgebreid en indien nodig worden gewist om ruimte te maken voor nieuwe gebeurtenissen. Het is echter belangrijk om eerst een back-up te maken van bestaande logboeken voordat deze worden gewist, tenzij de logboeken al centraal zijn verzameld via gebeurtenis doorsturen of SIEM-integratie. Deze back-up is belangrijk voor forensisch onderzoek en nalevingsdoeleinden, zelfs als de logboeken al centraal zijn verzameld, omdat lokale back-ups kunnen dienen als verificatie of als back-up in geval van problemen met de centrale verzameling. De gebeurtenislogboekgrootte moet worden verhoogd naar minimaal 100 MB, met overschrijfgedrag ingesteld op gebeurtenissen overschrijven indien nodig, tenzij nalevingseisen anders voorschrijven. Organisaties met nalevingseisen die langere retentieperioden vereisen, moeten overwegen om grotere logboeken te configureren of alternatieve opslagmethoden te implementeren. Voor apparaten die niet reageren op beleidsupdates, kan handmatige configuratie nodig zijn via Group Policy Editor of direct via het register. De registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit moet de waarde FullPrivilegeAuditing hebben ingesteld op 3 voor zowel succes als mislukking, of 2 voor alleen mislukking. Echter, handmatige configuratie wordt niet aanbevolen voor schaalbare implementaties en moet alleen worden gebruikt als tijdelijke oplossing totdat de op beleidsregels gebaseerde configuratie kan worden hersteld. Handmatige configuratie is foutgevoelig, moeilijk te onderhouden, en kan leiden tot inconsistentie tussen apparaten. Na remediatie moet uitgebreide verificatie plaatsvinden dat de audit logging daadwerkelijk functioneert. Dit kan worden gedaan door het genereren van testgebeurtenissen, bijvoorbeeld door het gebruik van een gevoelige bevoegdheid, en het controleren of deze wordt vastgelegd in het beveiligingsgebeurtenislogboek. Gebeurtenis-ID 4672 voor succesvol bevoegdheidsgebruik en gebeurtenis-ID 4673 voor bevoegdheidsgebruikaanvragen moeten beide zichtbaar zijn in de logboeken. Deze verificatie moet niet alleen onmiddellijk na remediatie plaatsvinden, maar ook periodiek daarna om ervoor te zorgen dat de logging blijft functioneren. Het remediatieproces moet volledig worden gedocumenteerd, inclusief de genomen stappen, de gevonden oorzaak, de toegepaste oplossing, en de resultaten van de verificatie. Deze documentatie helpt bij het voorkomen van vergelijkbare problemen in de toekomst, ondersteunt nalevingsaudits, en kan dienen als referentie voor andere teamleden die vergelijkbare problemen tegenkomen. Voor structurele problemen, zoals een patroon van endpoints die de beleidsregel niet ontvangen, moet een grondige oorzaakanalyse worden uitgevoerd om onderliggende infrastructurele of configuratieproblemen te identificeren en op te lossen. Deze analyse moet verder gaan dan de directe symptomen en moet de fundamentele oorzaken aanpakken om te voorkomen dat het probleem opnieuw optreedt.

Gebruik PowerShell-script privilege-use-audit-sensitive-privilege-use-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.

Naleving en Controle

Audit logging voor gevoelige bevoegdheden vormt een fundamenteel en onmisbaar onderdeel van naleving voor Nederlandse overheidsorganisaties en private sector organisaties die werken met persoonsgegevens. Deze beveiligingsmaatregel is niet alleen een technische configuratie, maar een kritieke component van een bredere nalevings- en governance strategie die organisaties helpt voldoen aan zowel externe regelgeving als interne beleidsregels. Het belang van deze maatregel kan niet worden overschat, omdat het de basis vormt voor verantwoordingsplicht, transparantie, en het vermogen om beveiligingsincidenten te onderzoeken en te reageren. Vanuit het perspectief van de Algemene Verordening Gegevensbescherming vormt uitgebreide logging een essentieel onderdeel van de technische en organisatorische maatregelen die vereist zijn onder artikel 32. Dit artikel vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen, en uitgebreide logging is een van de belangrijkste manieren waarop organisaties kunnen aantonen dat ze aan deze verplichting voldoen. De maatregel draagt bij aan het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens door het monitoren van toegang en gebruik van systemen waarin deze gegevens worden verwerkt. Zonder adequate logging is het onmogelijk om te verifiëren wie toegang heeft gehad tot welke gegevens, wanneer deze toegang heeft plaatsgevonden, en of deze toegang legitiem was. Specifiek voor het gebruik van gevoelige bevoegdheden is logging bijzonder belangrijk omdat deze bevoegdheden vaak worden gebruikt bij het beheren, backuppen, of herstellen van systemen die persoonsgegevens bevatten. Wanneer een beheerder bijvoorbeeld een back-up maakt van een database met persoonsgegevens, moet dit worden gelogd zodat kan worden geverifieerd dat de back-up legitiem was en dat de gegevens niet werden geëxporteerd voor ongeautoriseerde doeleinden. Volledige audittrails maken het mogelijk om bij datalekken te verifiëren wie toegang heeft gehad tot welke gegevens en op welk moment, wat essentieel is voor het voldoen aan de meldplicht datalekken zoals vastgelegd in de AVG. Deze meldplicht vereist dat organisaties binnen 72 uur na ontdekking van een datalek de Autoriteit Persoonsgegevens informeren, en uitgebreide logging is essentieel voor het snel kunnen identificeren van de omvang en impact van een datalek. Voor organisaties in de publieke sector is de Baseline Informatiebeveiliging Overheid van toepassing, die specifieke en gedetailleerde eisen stelt aan logging en monitoring. BIO maatregel 16.01 vereist dat organisaties gebeurtenissen loggen en audittrails bijhouden die voldoende detail bevatten om beveiligingsincidenten te kunnen reconstrueren en analyseren. Deze vereiste gaat verder dan alleen het loggen van gebeurtenissen; het vereist dat de logboeken voldoende detail bevatten om een volledig beeld te kunnen vormen van wat er is gebeurd tijdens een incident. Het loggen van bevoegdheidsgebruikgebeurtenissen voldoet aan deze vereiste door het vastleggen van wie welke bevoegdheden heeft gebruikt, wanneer, en in welke context. Deze informatie maakt het mogelijk om bij beveiligingsincidenten een volledig beeld te krijgen van de activiteiten die hebben plaatsgevonden, wat essentieel is voor zowel incident response als forensisch onderzoek. Zonder deze informatie is het onmogelijk om te bepalen of een incident is veroorzaakt door een externe aanvaller, een interne bedreiging, of een ongeluk, wat cruciaal is voor het nemen van passende maatregelen. Daarnaast draagt uitgebreide logging bij aan het voldoen aan BIO maatregelen gericht op toegangsbeheer, omdat het gebruik van bevoegdheden een belangrijke indicator is van wie toegang heeft tot welke systemen en gegevens. Door het monitoren van bevoegdheidsgebruik kunnen organisaties verifiëren dat toegangsbeheer correct functioneert en dat gebruikers alleen toegang hebben tot de systemen en gegevens waartoe ze geautoriseerd zijn. Voor organisaties die certificering nastreven onder ISO 27001:2022 is controle A.12.4.1 van toepassing, die vereist dat organisaties gebeurtenissen loggen, deze logboeken beschermen, en regelmatig beoordelen. Het configureren van audit logging voor gevoelige bevoegdheden vormt een directe en essentiële implementatie van deze controle. De logging moet echter voldoen aan de vereisten voor logbescherming, wat betekent dat logboeken beschermd moeten worden tegen ongeautoriseerde toegang, manipulatie, of verwijdering. Dit is cruciaal omdat logboeken die kunnen worden gemanipuleerd of verwijderd hun waarde verliezen voor zowel beveiligingsdoeleinden als naleving. Logbescherming kan worden bereikt door het gebruik van write-once read-many opslag, cryptografische integriteitscontroles, en gecontroleerde toegang tot logbeheersystemen. Deze maatregelen zorgen ervoor dat logboeken niet kunnen worden gewijzigd of verwijderd zonder detectie, wat essentieel is voor hun waarde als bewijs in forensisch onderzoek en nalevingsaudits. Naast externe nalevingsvereisten moeten organisaties ook voldoen aan interne governance- en risicobeheervereisten. Uitgebreide logging draagt bij aan het voldoen aan governance doelen door transparantie te bieden over het gebruik van bevoegdheden en door het mogelijk maken van verantwoordingsplicht. Wanneer medewerkers weten dat hun activiteiten worden gelogd, werkt dit preventief tegen misbruik en zorgt het voor een beveiligingsbewuste cultuur waarin medewerkers zich bewust zijn van de gevolgen van hun acties. Vanuit risicobeheerperspectief maakt logging het mogelijk om risico's te identificeren en te mitigeren voordat deze escaleren tot beveiligingsincidenten. Door het analyseren van bevoegdheidsgebruikpatronen kunnen organisaties vroegtijdig signalen opvangen van interne bedreigingen, misbruik van bevoegdheden, of compromittering van accounts. Deze vroegtijdige detectie is essentieel voor het voorkomen van ernstige beveiligingsincidenten die kunnen leiden tot datalekken, systeemcompromittering, of andere vormen van schade. Voor audit doeleinden moeten organisaties kunnen aantonen dat logging correct is geconfigureerd en functioneert. Dit vereist gedocumenteerde procedures voor het configureren, monitoren, en onderhouden van audit logging. De documentatie moet duidelijk maken welke beleidsinstellingen zijn toegepast, welke apparaten zijn geconfigureerd, en hoe de effectiviteit van de logging wordt geverifieerd. Tijdens externe audits moeten organisaties kunnen aantonen dat logboeken daadwerkelijk worden gegenereerd, centraal worden verzameld, en regelmatig worden beoordeeld. Dit vereist dat er procedures zijn voor het testen van logging functionaliteit en het documenteren van logbeoordelingen. Deze procedures moeten regelmatig worden uitgevoerd en de resultaten moeten worden gedocumenteerd voor presentatie tijdens audits. Tot slot moet rekening worden gehouden met retentietermijnen voor auditlogboeken. Verschillende regelgeving en interne beleidsregels kunnen verschillende retentietermijnen voorschrijven, variërend van minimaal 90 dagen tot meerdere jaren voor bepaalde categorieën van logboeken. Organisaties moeten een duidelijk overzicht hebben van welke retentietermijnen van toepassing zijn en zorgen dat logopslag- en archiveringssystemen deze termijnen kunnen ondersteunen. Dit is met name relevant voor bevoegdheidsgebruiklogboeken, die vaak moeten worden bewaard voor langere perioden omdat ze essentieel kunnen zijn voor het onderzoeken van beveiligingsincidenten die pas later worden ontdekt. Geavanceerde Persistente Bedreigingen kunnen bijvoorbeeld maanden of zelfs jaren onopgemerkt blijven, en logboeken die zijn verwijderd voordat het incident werd ontdekt, kunnen onherstelbaar verloren gaan, waardoor forensisch onderzoek onmogelijk wordt.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Schakel audit logging in voor gevoelige bevoegdheden om volledige zichtbaarheid te krijgen op wie welke bevoegdheden gebruikt en wanneer.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE